IAMRichtlinien erstellen (Konsole) - AWS Identitäts- und Zugriffsverwaltung
IAMRichtlinien erstellenRichtlinien mit dem JSON Editor erstellenErstellen von Richtlinien mit dem visuellen EditorImportieren vorhandener verwalteter Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRichtlinien erstellen (Konsole)

Eine Richtlinie ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können das verwenden AWS Management Console , um vom Kunden verwaltete Richtlinien in zu erstellenIAM. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem AWS-Konto anhängen.

Die Anzahl und Größe der IAM Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente.

IAMRichtlinien erstellen

Sie können eine vom Kunden verwaltete Richtlinie AWS Management Console mithilfe einer der folgenden Methoden erstellen:

  • JSON— Fügen Sie ein veröffentlichtes Beispiel für eine identitätsbasierte Richtlinie ein und passen Sie sie an.

  • Visueller Editor – Sie können eine neue Richtlinie von Grund auf im visuellen Editor erstellen. Wenn Sie den visuellen Editor verwenden, müssen Sie die Syntax nicht verstehenJSON.

  • Importieren – Importieren Sie eine verwaltete Richtlinie aus Ihrem Konto und passen Sie sie an. Sie können eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie importieren, die Sie zuvor erstellt haben.

Die Anzahl und Größe der IAM Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente.

Richtlinien mit dem JSON Editor erstellen

Sie können Richtlinien eingeben oder einfügen, JSON indem Sie die JSONOption auswählen. Diese Methode ist nützlich für das Kopieren einer Beispielrichtlinie zur Verwendung in Ihrem Konto. Sie können auch Ihr eigenes JSON Richtliniendokument in den JSON Editor eingeben. Sie können die JSONOption auch verwenden, um zwischen dem visuellen Editor umzuschalten und die Ansichten JSON zu vergleichen.

Wenn Sie eine Richtlinie im JSON Editor erstellen oder bearbeiten, IAM führt er eine Richtlinienvalidierung durch, um Sie bei der Erstellung einer effektiven Richtlinie zu unterstützen. IAMidentifiziert JSON Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienprüfungen mit umsetzbaren Empfehlungen bereitstellt, mit denen Sie die Richtlinie weiter verfeinern können.

Ein JSON Richtliniendokument besteht aus einer oder mehreren Aussagen. Jede Anweisung sollte alle Aktionen mit den gleichen Auswirkungen (Allow oder Deny) enthalten und dieselben Ressourcen und Bedingungen unterstützen. Wenn Sie für eine Aktion alle Ressourcen ("*") angeben müssen und eine andere Aktion den Amazon-Ressourcennamen (ARN) einer bestimmten Ressource unterstützt, müssen sie in zwei separaten JSON Anweisungen enthalten sein. Einzelheiten zu ARN Formaten finden Sie unter Amazon Resource Name (ARN) im Allgemeine AWS-Referenz Handbuch. Allgemeine Informationen zu IAM Richtlinien finden Sie unterRichtlinien und Berechtigungen in AWS Identity and Access Management. Informationen zur Sprache der IAM Richtlinie finden Sie unterIAM-JSON-Richtlinienreferenz.

So verwenden Sie den JSON Richtlinien-Editor, um eine Richtlinie zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Bereich Policy-Editor die JSONOption aus.

  5. Geben Sie ein JSON Richtliniendokument ein oder fügen Sie es ein. Einzelheiten zur Sprache der IAM Richtlinie finden Sie unterIAM-JSON-Richtlinienreferenz.

  6. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  7. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS Management Console, können Sie eine JSON oder YAML -Richtlinienvorlage generieren, die Sie in AWS CloudFormation Vorlagen verwenden können.

    Wählen Sie dazu im Richtlinien-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Weitere Informationen dazu AWS CloudFormation finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im AWS CloudFormation Benutzerhandbuch.

  8. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.

  9. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

  10. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unterTags für AWS Identity and Access Management Ressourcen.

  11. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Erstellen von Richtlinien mit dem visuellen Editor

Der visuelle Editor in der IAM Konsole führt Sie durch die Erstellung einer Richtlinie, ohne JSON Syntax schreiben zu müssen. Ein Beispiel für die Verwendung des visuellen Editors zum Erstellen einer Richtlinie finden Sie unter Steuern des Zugriffs auf Identitäten.

So verwenden Sie den visuellen Editor zum Erstellen einer Richtlinie

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Suchen Sie im Bereich Richtlinien-Editor nach dem Abschnitt Dienst auswählen und wählen Sie dann einen AWS Dienst aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken. Sie können nur einen Service innerhalb eines Berechtigungsblocks des visuellen Editors auswählen. Um mehr als einem Service Zugriff zu gewähren, fügen Sie mehrere Berechtigungsblöcke hinzu, indem Sie Add more permissions (Weitere Berechtigungen hinzufügen) auswählen.

  5. Wählen Sie unter Actions allowed (Zulässige Aktionen) die Aktionen aus, die der Richtlinie hinzugefügt werden sollen. Es gibt folgende Möglichkeiten, Aktionen auszuwählen:

    • Markieren Sie das Kontrollkästchen für alle Aktionen.

    • Wählen Sie Add actions (Aktionen hinzufügen), um den Namen einer bestimmten Aktion einzugeben. Sie können Platzhalter (*) verwenden, um mehrere Aktionen anzugeben.

    • Wählen Sie eine der Access level ((Zugriffsebene)-Gruppen aus, um alle Aktionen für die Zugriffsebene auszuwählen (z. B. Read (Lesen), Write (Schreiben) oder List (Auflisten).

    • Erweitern Sie die einzelnen Gruppen Access level (Zugriffsebene), um einzelne Aktionen auszuwählen.

    Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie Switch to deny permissions (Zu Berechtigungen verweigern wechseln). Da standardmäßig IAM verweigert wird, empfehlen wir aus Sicherheitsgründen, dass Sie Berechtigungen nur für die Aktionen und Ressourcen gewähren, die ein Benutzer benötigt. Sie sollten eine JSON Anweisung zum Verweigern von Berechtigungen nur dann erstellen, wenn Sie eine Berechtigung außer Kraft setzen möchten, die durch eine andere Anweisung oder Richtlinie separat zulässig ist. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.

  6. Wenn bei Resources (Ressourcen) der Service und die Aktionen, die Sie in den vorherigen Schritten ausgewählt haben, nicht die Auswahl bestimmter Ressourcen unterstützen, sind alle Ressourcen zulässig, und Sie können diesen Abschnitt nicht bearbeiten.

    Wenn Sie eine oder mehrere Aktionen auswählen, die Berechtigungen auf Ressourcenebene unterstützen, dann listet der visuelle Editor diese Ressourcen auf. Sie können dann Resources (Ressourcen) erweitern, um die Ressourcen für Ihre Richtlinie anzugeben.

    Sie können Ressourcen auf folgende Weise angeben:

    • Wählen Sie Hinzufügen ARNs, um Ressourcen anhand ihrer Amazon-Ressourcennamen (ARN) anzugeben. Sie können den visuellen ARN Editor oder die Liste ARNs manuell verwenden. Weitere Informationen zur ARN Syntax finden Sie unter Amazon Resource Name (ARN) im Allgemeine AWS-Referenz Handbuch. Informationen zur Verwendung ARNs im Resource Element einer Richtlinie finden Sie unterIAMJSONpolitische Elemente: Resource.

    • Wählen Sie Any in this account (Alle in diesem Konto) neben einer Ressource aus, um Berechtigungen für alle Ressourcen dieses Typs zu gewähren.

    • Wählen Sie All (Alle) aus, um alle Ressourcen für den Service auszuwählen.

  7. (Optional) Wählen Sie Request conditions - optional (Anfragebedingungen - (optional)) aus, um der Richtlinie, die Sie erstellen, Bedingungen hinzuzufügen. Bedingungen schränken die Wirkung einer JSON Grundsatzerklärung ein. Sie können beispielsweise festlegen, dass einem Benutzer erlaubt wird, die Aktionen für die Ressourcen nur durchzuführen, wenn die Anforderung dieses Benutzers in einem bestimmten Zeitraum stattfindet. Sie können auch häufig verwendete Bedingungen verwenden, um einzuschränken, ob ein Benutzer mit einem Gerät mit Multi-Faktor-Authentifizierung (MFA) authentifiziert werden muss. Oder Sie können festlegen, dass die Anforderung aus einem bestimmten IP-Adressbereich stammen muss. Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste in der Service Authorization Reference.

    Sie haben folgende Möglichkeiten, Bedingungen auszuwählen:

    • Verwenden Sie Kontrollkästchen, um allgemein verwendete Bedingungen auszuwählen.

    • Wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus, um andere Bedingungen anzugeben. Wählen Sie den Condition Key (Bedingungsschlüssel), den Qualifier (Qualifizierer) und den Operator der Bedingung aus und geben Sie dann einen Value (Wert) ein. Um mehr als einen Wert hinzuzufügen, wählen Sie Add (Hinzufügen) aus. Betrachten Sie die Werte, als wären sie mit einem logischen "ODER"-Operator miteinander verbunden. Wählen Sie danach Add condition (Bedingung hinzufügen) aus.

    Um mehr als eine Bedingung hinzuzufügen, wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus. Wiederholen Sie diesen Vorgang nach Bedarf. Jede Bedingung gilt nur für diesen einen Berechtigungsblock des visuellen Editors. Alle Bedingungen müssen wahr sein, damit der Berechtigungsblock ausgeführt werden kann. Mit anderen Worten, gehen Sie davon aus, dass die Bedingungen durch einen logischen Operator "AND" miteinander verbunden sind.

    Weitere Informationen zum Element Condition (Bedingung) finden Sie unter IAMJSONpolitische Elemente: Condition im IAM-JSON-Richtlinienreferenz.

  8. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add more permissions (Weitere Berechtigungen hinzufügen) aus. Wiederholen Sie die Schritte 2 bis 5 für jeden Block.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  9. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS Management Console, können Sie eine JSON oder YAML -Richtlinienvorlage generieren, die Sie in AWS CloudFormation Vorlagen verwenden können.

    Wählen Sie dazu im Richtlinien-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Weitere Informationen dazu AWS CloudFormation finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im AWS CloudFormation Benutzerhandbuch.

  10. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.

  11. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben.

  12. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unterTags für AWS Identity and Access Management Ressourcen.

  13. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Importieren vorhandener verwalteter Richtlinien

Eine einfache Möglichkeit zum Erstellen einer neuen Richtlinie besteht darin, eine vorhandene verwaltete Richtlinie innerhalb Ihres Kontos zu importieren, die mindestens einige der Berechtigungen aufweist, die Sie benötigen. Sie können dann die Richtlinie an Ihre neuen Anforderungen anpassen.

Sie können keine eingebundene Richtlinie importieren. Informationen über den Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien.

So importieren Sie eine vorhandene verwaltete Richtlinie im visuellen Editor

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Policy editor (Richtlinien-Editor) Visual aus und dann rechts auf der Seite die Option Actions (Aktionen) und anschließend Import policy (Richtline importieren) aus.

  5. Wählen Sie im Fenster Import policy (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

  6. Wählen Sie Import policy (Richtlinie importieren) aus.

    Die importierten Richtlinien werden in neuen Berechtigungsblöcken unten in der Richtlinie hinzugefügt.

  7. Verwenden Sie den Visual Editor oder passen JSONSie Ihre Richtlinie an. Wählen Sie anschließend Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  8. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese Einstellungen später nicht bearbeiten. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann Create policy (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

Um eine bestehende verwaltete Richtlinie in den JSONEditor zu importieren

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Bereich Richtlinien-Editor die JSONOption aus und klicken Sie dann rechts auf der Seite auf Aktionen und anschließend auf Richtlinie importieren.

  5. Wählen Sie im Fenster Import policy (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

  6. Wählen Sie Import policy (Richtlinie importieren) aus.

    Aussagen aus den importierten Richtlinien werden am Ende Ihrer JSON Richtlinie hinzugefügt.

  7. Passen Sie Ihre Richtlinie an unterJSON. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter. Passen Sie Ihre Richtlinie in JSON an oder wählen Sie den Visual editor (Visueller Editor). Wählen Sie anschließend Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual Editor auf Weiter klicken, kann es IAM sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  8. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese später nicht mehr bearbeiten. Überprüfen Sie die Richtlinie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann Create policy (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.