Auswahl zwischen verwalteten und eingebundenen Richtlinien - AWS Identitäts- und Zugriffsverwaltung
Verwenden von eingebundenen Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Auswahl zwischen verwalteten und eingebundenen Richtlinien

Berücksichtigen Sie Ihre Anwendungsfälle, wenn Sie zwischen verwalteten und Inline-Richtlinien entscheiden. In den meisten Fällen empfehlen wir, dass Sie verwaltete Richtlinien anstelle von eingebundenen Richtlinien verwenden.

Anmerkung

Sie können sowohl verwaltete als auch Inline-Richtlinien zusammen verwenden, um gemeinsame und eindeutige Berechtigungen für eine Prinzipal-Entität zu definieren.

Verwaltete Richtlinien bieten die folgenden Funktionen:

Wiederverwendbarkeit

Eine einzelne verwaltete Richtlinie kann an mehrere Auftraggeber-Entitäten (Benutzer, Gruppen und Rollen) angefügt werden. Sie können eine Bibliothek mit Richtlinien erstellen, die nützliche Berechtigungen für Ihr definieren AWS-Konto, und diese Richtlinien dann nach Bedarf an Prinzipal-Entitäten anfügen.

Zentrale Änderungsverwaltung

Wenn Sie eine verwaltete Richtlinie ändern, wird die Änderung auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist. Wenn Sie beispielsweise eine Berechtigung für eine neue AWS API hinzufügen möchten, können Sie eine vom Kunden verwaltete Richtlinie aktualisieren oder eine von AWS verwaltete Richtlinie zuordnen, um die Berechtigung hinzuzufügen. Wenn Sie eine von AWS verwaltete Richtlinie verwenden, AWS aktualisiert die Richtlinie. Wenn eine verwaltete Richtlinie aktualisiert wird, werden die Änderungen auf alle Prinzipal-Entitäten angewendet, denen die verwaltete Richtlinie angefügt ist. Um eine Inline-Richtlinie zu ändern, müssen Sie dagegen jede Identität einzeln bearbeiten, die die Inline-Richtlinie enthält. Wenn beispielsweise eine Gruppe und eine Rolle dieselbe Inline-Richtlinie enthalten, müssen Sie beide Prinzipal-Entitäten individuell bearbeiten, um diese Richtlinie zu ändern.

Versioning und Rollback

Wenn Sie eine kundenverwaltete Richtlinie ändern, wird die vorhandene Richtlinie nicht von der geänderten Richtlinie überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. IAM speichert bis zu fünf Versionen Ihrer vom Kunden verwalteten Richtlinien. Sie können Richtlinienversionen verwenden, um eine frühere Version einer Richtlinie wiederherzustellen, sofern dies erforderlich ist.

Anmerkung

Eine Richtlinienversion ist nicht mit dem Richtlinienelement Version identisch. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version.

Delegieren der Berechtigungsverwaltung

Sie können Benutzern in Ihrem erlauben AWS-Konto , Richtlinien anzufügen und zu trennen, während Sie die Kontrolle über die in diesen Richtlinien definierten Berechtigungen behalten. Sie können einige Benutzer als Administratoren mit vollständigen Rechten bestimmen, d. h. Administratoren, die Richtlinien erstellen, aktualisieren und löschen können. Anschließend können Sie andere Benutzer als Administratoren mit eingeschränkten Rechten bestimmen. Dies bedeutet, dass Administratoren zwar Richtlinien an andere Prinzipal-Entitäten anfügen können, aber nur die Richtlinien, für die Sie ihnen die Berechtigungen zum Anfügen erteilt haben.

Weitere Informationen zum Delegieren der Berechtigungsverwaltung finden Sie unter Steuern des Zugriffs auf Richtlinien.

Größere Zeichenbeschränkungen für Richtlinien

Die maximale Zeichengröße für verwaltete Richtlinien ist größer als die Zeichenbeschränkung für eingebundene Richtlinien. Wenn Sie die Zeichengrößenbeschränkung der eingebundenen Richtlinie erreichen, können Sie weitere IAM-Gruppen erstellen und die verwaltete Richtlinie der Gruppe zuweisen.

Weitere Informationen zu Kontingenten und Limits finden Sie unter IAM und AWS STS-Kontingente.

Automatische Aktualisierungen für - AWS verwaltete Richtlinien

AWS verwaltet AWS verwaltet verwaltete Richtlinien und aktualisiert sie bei Bedarf, z. B. um Berechtigungen für neue AWS Services hinzuzufügen, ohne dass Sie Änderungen vornehmen müssen. Die Aktualisierungen werden automatisch auf die Prinzipal-Entitäten angewendet, an die Sie die AWS verwaltete Richtlinie angehängt haben.

Verwenden von eingebundenen Richtlinien

Eingebundene Richtlinien sind nützlich, wenn Sie eine strikte one-to-one Beziehung zwischen einer Richtlinie und der Identität aufrechterhalten möchten, auf die sie angewendet wird. Sie sollten beispielsweise darauf achten, dass die Berechtigungen einer Richtlinie nicht versehentlich einer Identität zugewiesen werden, für die sie nicht vorgesehen sind. Bei Verwendung einer Inline-Richtlinie können die Berechtigungen in der Richtlinie nicht versehentlich der falschen Identität zugeordnet werden. Wenn Sie die AWS Management Console zum Löschen dieser Identität verwenden, werden außerdem die in der Identität eingebetteten Richtlinien gelöscht, da sie Teil der Prinzipal-Entität sind.