Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Von verwaltete Richtlinien für Auftragsfunktionen
Es wird empfohlen, Richtlinien zu verwenden, die die geringsten Rechte gewähren, d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine benutzerdefinierte Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten.
Um mit dem Hinzufügen von Berechtigungen zu Ihren IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) zu beginnen, können Sie verwendenVon AWS-verwaltete Richtlinien. Von AWS verwaltete Richtlinien decken häufige Anwendungsfälle ab und sind in Ihrem verfügbar AWS-Konto. AWS Von verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Rechten. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.
Sie können AWS verwaltete Richtlinien, einschließlich Auftragsfunktionen, an jede IAM-Identität anfügen. Um zu den Berechtigungen mit den geringsten Berechtigungen zu wechseln, können Sie AWS Identity and Access Management Access Analyzer ausführen, um Prinzipale mit - AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine benutzerdefinierte Richtlinie schreiben oder eine Richtlinie mit nur den erforderlichen Berechtigungen für Ihr Team erstellen. Dies ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie erfahren, wie Ihr Team verwendet AWS.
AWS Von verwaltete Richtlinien für Auftragsfunktionen sind so konzipiert, dass sie genau an allgemeine Auftragsfunktionen in der IT-Branche angepasst werden. Sie können mithilfe dieser Richtlinien ganz einfach die Berechtigungen erteilen, die Sie benötigen, um die Aufgaben, die von jemanden in einer bestimmten Auftragsfunktionen erwartet werden, auszuführen. Diese Richtlinien führen Berechtigungen für viele Services in einer einzigen Richtlinie zusammen, mit der sich leichter arbeiten lässt als mit auf vielen Richtlinien verteilten Berechtigungen.
Verwenden von Rollen zum Kombinieren von Services
Einige der Richtlinien verwenden IAM-Servicerollen, um Ihnen zu helfen, die Funktionen anderer - AWS Services zu nutzen. Diese Richtlinien gewähren Zugriff auf iam:passrole, wodurch ein Benutzer mit der Richtlinie eine Rolle an einen - AWS Service übergeben kann. Diese Rolle delegiert IAM-Berechtigungen an den AWS Service, um Aktionen in Ihrem Namen auszuführen.
Erstellen Sie die Rollen entsprechend Ihren Anforderungen. Beispielsweise ermöglicht die Network Administrator-Richtlinie einem Benutzer mit der Richtlinie, eine Rolle namens „flow-logs-vpc“ an den Amazon CloudWatch-Service zu übergeben. CloudWatch verwendet diese Rolle, um IP-Datenverkehr für VPCs zu protokollieren und zu erfassen, die vom Benutzer erstellt wurden.
Damit die bewährten Sicherheitsmethoden befolgt werden, enthalten die Richtlinien für Auftragsfunktionen Filter, die die Namen der gültigen Rollen, die übergeben werden können, begrenzen. So vermeiden Sie, dass unnötige Berechtigungen zugewiesen werden. Wenn Ihre Benutzer die optionalen Servicerollen benötigen, müssen Sie eine Rolle erstellen, die der in der Richtlinie angegebenen Namenskonvention entspricht. Sie gewähren dann Berechtigungen für die Rolle. Sobald dies erledigt ist, kann der Benutzer den Service so konfigurieren, dass er die Rolle verwendet, wobei beliebige Berechtigungen der Rolle gewährt werden.
In den folgenden Abschnitten ist der Name jeder Richtlinie einen Link zur Richtliniendetailseite in der AWS Management Console. Dort können Sie das Richtliniendokument einsehen und die Berechtigungen überprüfen, die darin gewährt werden.
Auftragsfunktion
AWS Name der von verwalteten Richtlinie: AdministratorAccess
Anwendungsfall: Dieser Benutzer hat vollständigen Zugriff und kann Berechtigungen an jeden Service und jede Ressource in AWS delegieren.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt alle Aktionen für alle - AWS Services und für alle Ressourcen im Konto. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter AdministratorAccess im AWS Referenzhandbuch zu von verwalteten Richtlinien.
Anmerkung
Bevor ein IAM-Benutzer oder eine IAM-Rolle mit den Berechtigungen in dieser Richtlinie auf die AWS Billing and Cost Management Konsole zugreifen kann, müssen Sie zunächst den IAM-Benutzer- und -Rollenzugriff aktivieren. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.
Fakturierung Auftragsfunktion
AWS Name der von verwalteten Richtlinie: Fakturierung
Anwendungsfall: Dieser Benutzer muss Abrechnungsinformationen anzeigen und Zahlungen einrichten und autorisieren können. Der Benutzer kann die für den gesamten AWS Service angesammelten Kosten überwachen.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt volle Berechtigungen für die Verwaltung von Rechnungen, Kosten, Zahlungsmethoden, Budgets und Berichten. Weitere Beispiele für Kostenmanagementrichtlinien finden Sie unter -AWS Billing Richtlinienbeispiele im AWS Billing and Cost Management -Benutzerhandbuch. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter Fakturierung im AWS Referenzhandbuch für verwaltete Richtlinien.
Anmerkung
Bevor ein IAM-Benutzer oder eine IAM-Rolle mit den Berechtigungen in dieser Richtlinie auf die AWS Billing and Cost Management Konsole zugreifen kann, müssen Sie zunächst den IAM-Benutzer- und -Rollenzugriff aktivieren. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.
Datenbankadministrator-Auftragsfunktion
AWS Name der von verwalteten Richtlinie: DatabaseAdministrator
Anwendungsfall: Dieser Benutzer richtet Datenbanken in der AWS Cloud ein, konfiguriert und verwaltet sie.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie erteilt Berechtigungen, um Datenbanken zu erstellen, zu konfigurieren und zu verwalten. Sie beinhaltet den Zugriff auf AWS Datenbankservices wie Amazon DynamoDB ,Amazon Relational Database Service (RDS) und Amazon Redshift. Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter DatabaseAdministrator im AWS Referenzhandbuch zur von verwalteten Richtlinie .
Diese Auftragsfunktionsrichtlinie unterstützt die Möglichkeit, Rollen an - AWS Services zu übergeben. Die Richtlinie gewährt die iam:PassRole-Aktion ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
Optionale IAM-Servicerollen für die Auftragsfunktion "Datenbankadministrator" | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | Wählen Sie diese AWS verwaltete Richtlinie aus | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Der Benutzer kann RDS-Datenbanken überwachen | rds-monitoring-role | Amazon RDS Role for Enhanced Monitoring | AmazonRDSEnhancedMonitoringRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Zulassen AWS Lambda , dass Ihre Datenbank überwacht und auf externe Datenbanken zugreift | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Lambda das Hochladen von Dateien in Amazon S3 und in Amazon Redshift Cluster mit DynamoDB ermöglichen | lambda_exec_role |
AWS Lambda | Erstellen einer neuen verwalteten Richtlinie, wie im AWS Big Data Blog |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erlauben Sie Lambda-Funktionen, als Trigger für Ihre DynamoDB-Tabellen zu fungieren | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erlauben Sie Lambda-Funktionen den Zugriff auf Amazon RDS in einer VPC | lambda-vpc-execution-role | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Lambda Developer Guide definiert | AWSLambdaVPCAccessExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Zugriff AWS Data Pipeline auf Ihre - AWS Ressourcen erlauben | DataPipelineDefaultRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | In der AWS Data Pipeline Dokumentation sind die erforderlichen Berechtigungen für diesen Anwendungsfall aufgeführt. Siehe IAM-Rollen für AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Anwendungen, die auf Amazon EC2-Instances ausgeführt werden, können auf Ihre AWS -Ressourcen zugreifen | DataPipelineDefaultResourceRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | AmazonEC2RoleforDataPipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Auftragsfunktion für Data Scientist
AWS Name der von verwalteten Richtlinie: DataScientist
Anwendungsfall: Dieser Benutzer führt Hadoop-Aufträge und -Abfragen. Der Benutzer greift auch auf Informationen für Datenanalysen und Business Intelligence zu und analysiert diese.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt Berechtigungen zum Erstellen, Verwalten und Ausführen von Abfragen auf einem Amazon-EMR-Cluster und zum Durchführen von Datenanalysen mit Tools wie Amazon QuickSight. Die Richtlinie umfasst den Zugriff auf zusätzliche Datenwissenschaftlerservices wie AWS Data Pipeline, Amazon EC2, Amazon Kinesis , Amazon Machine Learning und SageMaker. Zeigen Sie die Richtlinie für die vollständige Liste der Data Scientist-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter DataScientist im AWS Referenzhandbuch zur von verwalteten Richtlinie .
Diese Auftragsfunktionsrichtlinie unterstützt die Möglichkeit, Rollen an - AWS Services zu übergeben. Eine Anweisung ermöglicht die Übergabe einer beliebigen Rolle an SageMaker. Eine weitere Anweisung gewährt die iam:PassRole-Aktion ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
Optionale IAM-Servicerollen für die Auftragsfunktion "Data Scientist" | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS Von verwaltete Richtlinie zur Auswahl | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ermöglichen Sie Amazon EC2-Instances den Zugriff auf für Cluster geeignete Dienste und Ressourcen | EMR-EC2_DefaultRole | Amazon EMR für EC2 | AmazonElasticMapReduceforEC2Role |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR-Zugriff für den Zugriff auf den Amazon EC2-Service und die Ressourcen für Cluster erlauben | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy _v2 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Kinesis Managed Service für Apache Flink den Zugriff auf Streaming-Datenquellen erlauben | kinesis-* |
Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Big Data Blog |
Weitere Informationen finden Sie im AWS Big Data Blog |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Zugriff AWS Data Pipeline auf Ihre - AWS Ressourcen erlauben | DataPipelineDefaultRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | In der AWS Data Pipeline Dokumentation sind die erforderlichen Berechtigungen für diesen Anwendungsfall aufgeführt. Siehe IAM-Rollen für AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Anwendungen, die auf Amazon EC2-Instances ausgeführt werden, können auf Ihre AWS -Ressourcen zugreifen | DataPipelineDefaultResourceRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | AmazonEC2RoleforDataPipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Auftragsfunktion Developer Power User
AWS Name der von verwalteten Richtlinie: PowerUserAccess
Anwendungsfall: Dieser Benutzer führt Aufgaben zur Anwendungsentwicklung aus und kann Ressourcen und Services erstellen und konfigurieren, die eine AWS -fähige Anwendungsentwicklung unterstützen.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Die erste Anweisung dieser Richtlinie verwendet das -NotActionElement, um alle Aktionen für alle AWS Services und für alle Ressourcen außer AWS Identity and Access Management, AWS Organizations und zuzulassen AWS Account Management. Die zweite Anweisung erteilt IAM-Berechtigungen zum Erstellen einer serviceverknüpften Rolle. Dies wird von einigen Services benötigt, die auf Ressourcen in einem anderen Service zugreifen müssen, z. B. ein Amazon S3-Bucket. Außerdem erhalten Organisationen die Berechtigung, Informationen über die Organisation des Benutzers anzuzeigen, einschließlich der E-Mail des Verwaltungskontos und der Organisationsbeschränkungen. Obwohl diese Richtlinie den Zugriff von IAM und Organisationen einschränkt, erlaubt sie dem Benutzer alle IAM Identity Center-Aktionen auszuführen, wenn IAM Identity Center aktiviert ist. Außerdem werden Kontoverwaltungsberechtigungen erteilt, um anzuzeigen, welche AWS Regionen für das Konto aktiviert oder deaktiviert sind.
Netzwerkadministrator-Auftragsfunktion
AWS Name der von verwalteten Richtlinie: NetworkAdministrator
Anwendungsfall: Dieser Benutzer hat die Aufgabe, AWS Netzwerkressourcen einzurichten und zu verwalten.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Verwalten von Netzwerkressourcen in Auto Scaling , Amazon EC2 AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing , AWS Elastic Beanstalk Amazon SNS , CloudWatch CloudWatch Logs, Amazon S3, IAM und Amazon Virtual Private Cloud . Weitere Informationen zur von verwalteten Richtlinie finden Sie unter NetworkAdministrator im AWS Referenzhandbuch zur von verwalteten Richtlinie .
Diese Auftragsfunktion erfordert die Fähigkeit, Rollen an - AWS Services zu übergeben. Die Richtlinie gewährt iam:GetRole und iam:PassRole ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
Optionale IAM-Servicerollen für die Auftragsfunktion "Network Administrator" | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS Von verwaltete Richtlinie zur Auswahl | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ermöglicht Amazon VPC das Erstellen und Verwalten von Protokollen in - CloudWatch Protokollen im Namen des Benutzers, um den ein- und ausgehenden IP-Datenverkehr Ihrer VPC zu überwachen | flow-logs-* | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im Amazon VPC User Guide definiert | Dieser Anwendungsfall verfügt nicht über eine vorhandene AWS verwaltete Richtlinie, aber in der Dokumentation sind die erforderlichen Berechtigungen aufgeführt. Siehe Amazon VPC-Leitfaden. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schreibgeschützter Zugriff
AWS Name der von verwalteten Richtlinie: ReadOnlyAccess
Anwendungsfall Dieser Benutzer benötigt Nur-Lese-Zugriff auf alle Ressourcen eines AWS-Konto.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Auflisten, Abrufen, Beschreiben und anderweitigen Anzeigen von Ressourcen und deren Attributen. Es enthält keine mutierenden Funktionen wie Erstellen oder Löschen. Diese Richtlinie beinhaltet schreibgeschützten Zugriff auf sicherheitsrelevante AWS Services wie AWS Identity and Access Management und AWS Billing and Cost Management. Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services an, die von dieser Richtlinie unterstützt werden.
Auftragsfunktion Sicherheitsprüfer
AWS Name der von verwalteten Richtlinie: SecurityAudit
Anwendungsfall: Dieser Benutzer überwacht Konten auf die Einhaltung der Sicherheitsanforderungen. Dieser Benutzer kann auf Protokolle und Ereignisse zugreifen, um potenzielle Sicherheitsverstöße oder mögliche bösartige Aktivitäten zu untersuchen.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt Berechtigungen zum Anzeigen von Konfigurationsdaten für viele - AWS Services und zum Überprüfen ihrer Protokolle. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter SecurityAudit im AWS Referenzhandbuch zu von verwalteten Richtlinien.
Auftragsfunktion Support Benutzer
AWS Name der von verwalteten Richtlinie: SupportUser
Anwendungsfall: Dieser Benutzer wendet sich an den - AWS Support, erstellt Supportfälle und zeigt den Status vorhandener Fälle an.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Aktualisieren von - AWS Support Fällen. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter SupportUser im AWS Referenzhandbuch zu von verwalteten Richtlinien.
Funktion des Systemadministrators
AWS Name der von verwalteten Richtlinie: SystemAdministrator
Anwendungsfall: Dieser Benutzer richtet Ressourcen für Entwicklungsvorgänge ein und verwaltet diese.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Verwalten von Ressourcen für eine Vielzahl von - AWS Services, einschließlich AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit AWS CodeDeploy,, AWS Config AWS Directory Service, Amazon EC2 AWS Identity and Access Management,, AWS Key Management Service, AWS Lambda Amazon RDS, Route 53, Amazon S3, Amazon SES AWS Trusted Advisor, Amazon SQS und Amazon VPC. Weitere Informationen zur von verwalteten Richtlinie finden Sie unter SystemAdministrator im AWS Referenzhandbuch zu von verwalteten Richtlinien.
Diese Auftragsfunktion erfordert die Fähigkeit, Rollen an - AWS Services zu übergeben. Die Richtlinie gewährt iam:GetRole und iam:PassRole ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Optionale IAM-Servicerollen für die Auftragsfunktion "System Administrator" | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS Von verwaltete Richtlinie zur Auswahl | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Apps, die in EC2-Instances in einem Amazon ECS-Cluster ausgeführt werden, können auf Amazon ECS zuzugreifen | ecr-sysadmin-* | Amazon EC2-Rolle für EC2 Container Service | AmazonEC2ContainerServiceforEC2Role |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ein Benutzer kann Datenbanken überwachen | rds-monitoring-role | Amazon RDS Role for Enhanced Monitoring | AmazonRDSEnhancedMonitoringRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Apps, die in EC2-Instances ausgeführt werden, können auf - AWS Ressourcen zugreifen. | ec2-sysadmin-* | Amazon EC2 | Musterrichtlinie für die Rolle, die den Zugriff auf einen S3-Bucket wie im Amazon EC2 Leitfaden gezeigt gewährt. Bei Bedarf anpassbar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Lambda erlauben, DynamoDB-Streams zu lesen und in CloudWatch Protokolle zu schreiben | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Auftragsfunktion für Benutzer mit Lesezugriff
AWS Name der von verwalteten Richtlinie: ViewOnlyAccess
Anwendungsfall: Dieser Benutzer kann eine Liste von AWS Ressourcen und grundlegenden Metadaten im Konto über -Services hinweg anzeigen. Der Benutzer kann Ressourceninhalt oder Metadaten, die über das Kontingent hinausgehen, nicht lesen und keine Informationen für Ressourcen auflisten.
Richtlinienaktualisierungen: AWS verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt List*, Describe*, View*, und Lookup* Zugriff auf Ressourcen für Get*- AWS Services. Informationen zu den Aktionen, die diese Richtlinie für jeden Service beinhaltet, finden Sie unter ViewOnlyAccess
Aktualisierungen der von AWS verwalteten Richtlinien für Auftragsfunktionen
Diese Richtlinien werden alle von verwaltet AWS und auf dem neuesten Stand gehalten, um Unterstützung für neue -Services und neue Funktionen zu bieten, wenn sie von - AWS Services hinzugefügt werden. Diese Richtlinien können nicht von den Kunden geändert werden. Sie können eine Kopie der Richtlinie erstellen und dann die Kopie ändern. Diese Kopie wird jedoch nicht automatisch aktualisiert, wenn neue Services und API-Operationen AWS einführt.
Für eine Auftragsfunktionsrichtlinie können Sie den Versionsverlauf sowie die Uhrzeit und das Datum jedes Updates in der IAM-Konsole anzeigen. Verwenden Sie dazu die Links auf dieser Seite, um die Richtliniendetails anzuzeigen. Wählen Sie dann die Versionen der Datenlinien, um die Versionen anzuzeigen. Auf dieser Seite werden die letzten 25 Versionen einer Richtlinie angezeigt. Um alle Versionen für eine Richtlinie anzuzeigen, rufen Sie den get-policy-version AWS CLI Befehl oder die GetPolicyVersion API-Operation auf.
Anmerkung
Sie können bis zu fünf Versionen einer vom Kunden verwalteten Richtlinie haben, AWS aber behält den vollständigen Versionsverlauf der AWS verwalteten Richtlinien bei.
