Erstellen von IAM-Richtlinien (Konsole) - AWS Identitäts- und Zugriffsverwaltung
Erstellen von IAM-RichtlinienErstellen von Richtlinien mit dem JSON-EditorErstellen von Richtlinien mit dem visuellen EditorImportieren vorhandener verwalteter Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von IAM-Richtlinien (Konsole)

Eine Richtlinie ist eine Entität, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. Sie können die verwenden AWS Management Console , um vom Kunden verwaltete Richtlinien in IAM zu erstellen. Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien an Identitäten (Benutzer, Gruppen und Rollen) in Ihrem anhängen. AWS-Konto

Erstellen von IAM-Richtlinien

Sie können eine vom Kunden verwaltete Richtlinie AWS Management Console mithilfe einer der folgenden Methoden erstellen:

  • JSON – Fügen Sie eine veröffentlichte identitätsbasierte Beispielrichtlinie ein und passen Sie sie an.

  • Visueller Editor – Sie können eine neue Richtlinie von Grund auf im visuellen Editor erstellen. Wenn Sie den visuellen Editor verwenden, müssen Sie nicht mit der JSON-Syntax vertraut sein.

  • Importieren – Importieren Sie eine verwaltete Richtlinie aus Ihrem Konto und passen Sie sie an. Sie können eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie importieren, die Sie zuvor erstellt haben.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und Kontingente AWS STS.

Erstellen von Richtlinien mit dem JSON-Editor

Sie können Richtlinien in JSON eingeben oder einfügen, indem Sie die Option JSON auswählen. Diese Methode ist nützlich für das Kopieren einer Beispielrichtlinie zur Verwendung in Ihrem Konto. Alternativ können Sie Ihr eigenes JSON-Richtliniendokument im JSON-Editor eingeben. Sie können auch die Option JSON verwenden, um zwischen dem Visual-Editor und JSON zu wechseln und so die Ansichten zu vergleichen.

Wenn Sie eine Richtlinie im JSON-Editor erstellen oder bearbeiten, führt IAM eine Richtlinienvalidierung durch, um Ihnen beim Erstellen einer effektiven Richtlinie zu helfen. IAM identifiziert JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit umsetzbaren Empfehlungen zur weiteren Verfeinerung der Richtlinie bereitstellt.

Das Dokument einer JSON-Richtlinie besteht aus mindestens einer Anweisung. Jede Anweisung sollte alle Aktionen mit den gleichen Auswirkungen (Allow oder Deny) enthalten und dieselben Ressourcen und Bedingungen unterstützen. Wenn eine Aktion es erforderlich macht, dass Sie alle Ressourcen angeben ("*") und eine andere Aktion den Amazon-Ressourcennamen (ARN) einer bestimmten Ressource unterstützt, sind für diese Aktionen zwei separate JSON-Anweisungen erforderlich. Weitere Informationen zu ARN-Formaten finden Sie unter Amazon-Ressourcenname (ARN) im Allgemeine AWS-Referenz Handbuch. Weitere allgemeine Informationen zu IAM-Richtlinien finden Sie unter Berechtigungen und Richtlinien in IAM. Informationen zur IAM-Richtliniensprache finden Sie unter IAM-JSON-Richtlinienreferenz.

So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie im Bereich Policy editor (Richtlinien-Editor) die Option JSON aus.

  5. Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie unter IAM-JSON-Richtlinienreferenz.

  6. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  7. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS Management Console, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in AWS CloudFormation Vorlagen verwenden können.

    Wählen Sie dazu im Richtlinien-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Weitere Informationen dazu AWS CloudFormation finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im AWS CloudFormation Benutzerhandbuch.

  8. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.

  9. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

  10. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen.

  11. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Erstellen von Richtlinien mit dem visuellen Editor

Der visuelle Editor in der IAM-Konsole führt Sie durch das Erstellen einer Richtlinie, wobei das Schreiben von JSON-Syntax nicht erforderlich ist. Ein Beispiel für die Verwendung des visuellen Editors zum Erstellen einer Richtlinie finden Sie unter Steuern des Zugriffs auf Identitäten.

So verwenden Sie den visuellen Editor zum Erstellen einer Richtlinie

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Richtlinie erstellen aus.

  4. Suchen Sie im Bereich Richtlinien-Editor nach dem Abschnitt Dienst auswählen und wählen Sie dann einen AWS Dienst aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken. Sie können nur einen Service innerhalb eines Berechtigungsblocks des visuellen Editors auswählen. Um mehr als einem Service Zugriff zu gewähren, fügen Sie mehrere Berechtigungsblöcke hinzu, indem Sie Add more permissions (Weitere Berechtigungen hinzufügen) auswählen.

  5. Wählen Sie unter Actions allowed (Zulässige Aktionen) die Aktionen aus, die der Richtlinie hinzugefügt werden sollen. Es gibt folgende Möglichkeiten, Aktionen auszuwählen:

    • Markieren Sie das Kontrollkästchen für alle Aktionen.

    • Wählen Sie Add actions (Aktionen hinzufügen), um den Namen einer bestimmten Aktion einzugeben. Sie können Platzhalter (*) verwenden, um mehrere Aktionen anzugeben.

    • Wählen Sie eine der Access level ((Zugriffsebene)-Gruppen aus, um alle Aktionen für die Zugriffsebene auszuwählen (z. B. Read (Lesen), Write (Schreiben) oder List (Auflisten).

    • Erweitern Sie die einzelnen Gruppen Access level (Zugriffsebene), um einzelne Aktionen auszuwählen.

    Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie Switch to deny permissions (Zu Berechtigungen verweigern wechseln). Da IAM standardmäßig verweigert, empfehlen wir, dass Sie im Sinne bewährter Sicherheitsmethoden nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Sie sollten nur dann eine JSON-Anweisung erstellen, um Berechtigungen zu verweigern, wenn Sie eine von einer anderen Anweisung oder Richtlinie erteilte Berechtigung separat überschreiben möchten. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.

  6. Wenn bei Resources (Ressourcen) der Service und die Aktionen, die Sie in den vorherigen Schritten ausgewählt haben, nicht die Auswahl bestimmter Ressourcen unterstützen, sind alle Ressourcen zulässig, und Sie können diesen Abschnitt nicht bearbeiten.

    Wenn Sie eine oder mehrere Aktionen auswählen, die Berechtigungen auf Ressourcenebene unterstützen, dann listet der visuelle Editor diese Ressourcen auf. Sie können dann Resources (Ressourcen) erweitern, um die Ressourcen für Ihre Richtlinie anzugeben.

    Sie können Ressourcen auf folgende Weise angeben:

    • Wählen Sie Add ARNs (ARNs hinzufügen) aus, um Ressourcen anhand ihres Amazon-Ressourcennamens (ARN) anzugeben. Sie können den visuellen ARN-Editor verwenden oder ARNs manuell auflisten. Weitere Informationen zur ARN-Syntax finden Sie unter Amazon-Ressourcenname (ARN) im Allgemeine AWS-Referenz -Handbuch. Hinweise zur Verwendung von ARNs im Resource-Element einer Richtlinie finden Sie unter IAM-JSON-Richtlinienelemente: Resource.

    • Wählen Sie Any in this account (Alle in diesem Konto) neben einer Ressource aus, um Berechtigungen für alle Ressourcen dieses Typs zu gewähren.

    • Wählen Sie All (Alle) aus, um alle Ressourcen für den Service auszuwählen.

  7. (Optional) Wählen Sie Request conditions - optional (Anfragebedingungen - (optional)) aus, um der Richtlinie, die Sie erstellen, Bedingungen hinzuzufügen. Bedingungen schränken die Auswirkungen einer JSON-Richtlinienanweisung ein. Sie können beispielsweise festlegen, dass einem Benutzer erlaubt wird, die Aktionen für die Ressourcen nur durchzuführen, wenn die Anforderung dieses Benutzers in einem bestimmten Zeitraum stattfindet. Sie können auch allgemein genutzte Bedingungen verwenden, um festzulegen, ob ein Benutzer mithilfe eines Multi-Factor Authentication (MFA)-Geräts authentifiziert werden muss. Oder Sie können festlegen, dass die Anforderung aus einem bestimmten IP-Adressbereich stammen muss. Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste in der Service Authorization Reference.

    Sie haben folgende Möglichkeiten, Bedingungen auszuwählen:

    • Verwenden Sie Kontrollkästchen, um allgemein verwendete Bedingungen auszuwählen.

    • Wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus, um andere Bedingungen anzugeben. Wählen Sie den Condition Key (Bedingungsschlüssel), den Qualifier (Qualifizierer) und den Operator der Bedingung aus und geben Sie dann einen Value (Wert) ein. Um mehr als einen Wert hinzuzufügen, wählen Sie Add (Hinzufügen) aus. Betrachten Sie die Werte, als wären sie mit einem logischen "ODER"-Operator miteinander verbunden. Wählen Sie danach Add condition (Bedingung hinzufügen) aus.

    Um mehr als eine Bedingung hinzuzufügen, wählen Sie Add another condition (Weitere Bedingung hinzufügen) aus. Wiederholen Sie diesen Vorgang nach Bedarf. Jede Bedingung gilt nur für diesen einen Berechtigungsblock des visuellen Editors. Alle Bedingungen müssen wahr sein, damit der Berechtigungsblock ausgeführt werden kann. Anders ausgedrückt: Betrachten Sie die Bedingungen als durch einen logischen "UND"-Operator miteinander verbunden.

    Weitere Informationen zum Element Condition (Bedingung) finden Sie unter IAM-JSON-Richtlinienelemente: Condition im IAM-JSON-Richtlinienreferenz.

  8. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add more permissions (Weitere Berechtigungen hinzufügen) aus. Wiederholen Sie die Schritte 2 bis 5 für jeden Block.

    Anmerkung

    Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  9. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS Management Console, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in AWS CloudFormation Vorlagen verwenden können.

    Wählen Sie dazu im Richtlinien-Editor Aktionen und anschließend CloudFormationVorlage generieren aus. Weitere Informationen dazu AWS CloudFormation finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im AWS CloudFormation Benutzerhandbuch.

  10. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie Next (Weiter) aus.

  11. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben.

  12. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen.

  13. Wählen Sie Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Importieren vorhandener verwalteter Richtlinien

Eine einfache Möglichkeit zum Erstellen einer neuen Richtlinie besteht darin, eine vorhandene verwaltete Richtlinie innerhalb Ihres Kontos zu importieren, die mindestens einige der Berechtigungen aufweist, die Sie benötigen. Sie können dann die Richtlinie an Ihre neuen Anforderungen anpassen.

Sie können keine eingebundene Richtlinie importieren. Informationen über den Unterschied zwischen verwalteten und eingebundenen Richtlinien finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien.

So importieren Sie eine vorhandene verwaltete Richtlinie im visuellen Editor

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie im Policy editor (Richtlinien-Editor) Visual aus und dann rechts auf der Seite die Option Actions (Aktionen) und anschließend Import policy (Richtline importieren) aus.

  5. Wählen Sie im Fenster Import policy (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

  6. Wählen Sie Import policy (Richtlinie importieren) aus.

    Die importierten Richtlinien werden in neuen Berechtigungsblöcken unten in der Richtlinie hinzugefügt.

  7. Verwenden Sie den Visual editor (Visueller Editor) oder wählen Sie JSON aus, um Ihre Richtlinie anzupassen. Wählen Sie anschließend Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  8. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese Einstellungen später nicht bearbeiten. Überprüfen Sie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann Create policy (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

So importieren Sie eine vorhandene verwaltete Richtlinie in den JSON-Editor

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie im Abschnitt Policy editor (Richtlinien-Editor) die Option JSON aus und dann rechts auf der Seite die Option Actions (Aktionen) und anschließend Import policy (Richtline importieren) aus.

  5. Wählen Sie im Fenster Import policy (Richtlinie importieren) die verwalteten Richtlinien aus, die am ehesten mit der Richtlinie übereinstimmen, die Sie in Ihre neue Richtlinie einschließen möchten. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Richtlinien einzuschränken.

  6. Wählen Sie Import policy (Richtlinie importieren) aus.

    Anweisungen aus den importierten Richtlinien werden unten in Ihrer JSON-Richtlinie hinzugefügt.

  7. Passen Sie Ihre Richtlinie in JSON an. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter. Passen Sie Ihre Richtlinie in JSON an oder wählen Sie den Visual editor (Visueller Editor). Wählen Sie anschließend Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  8. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Sie können diese später nicht mehr bearbeiten. Überprüfen Sie die Richtlinie Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen) und wählen Sie dann Create policy (Richtline erstellen) aus, um Ihre Eingaben zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an Ihre Benutzer, Gruppen oder Rollen anfügen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.