Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Es wird empfohlen, Richtlinien zu verwenden, die die geringsten Rechte gewähren, d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine benutzerdefinierte Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten.
Um mit dem Hinzufügen von Berechtigungen für Ihre IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) zu beginnen, können Sie Folgendes verwenden. AWS verwaltete Richtlinien AWS verwaltete Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem verfügbar. AWS-Konto AWS verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Rechten. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.
Sie können AWS verwaltete Richtlinien, einschließlich Jobfunktionen, an jede IAM-Identität anhängen. Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie Access Analyzer ausführen AWS Identity and Access Management , um Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine benutzerdefinierte Richtlinie schreiben oder eine Richtlinie mit nur den erforderlichen Berechtigungen für Ihr Team erstellen. Das ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie erfahren, wie Ihr Team die Daten verwendet AWS.
AWS Die verwalteten Richtlinien für berufliche Funktionen sind so konzipiert, dass sie sich eng an den üblichen Aufgabenbereichen in der IT-Branche orientieren. Sie können mithilfe dieser Richtlinien ganz einfach die Berechtigungen erteilen, die Sie benötigen, um die Aufgaben, die von jemanden in einer bestimmten Auftragsfunktionen erwartet werden, auszuführen. Diese Richtlinien führen Berechtigungen für viele Services in einer einzigen Richtlinie zusammen, mit der sich leichter arbeiten lässt als mit auf vielen Richtlinien verteilten Berechtigungen.
Verwenden von Rollen zum Kombinieren von Services
In einigen Richtlinien werden IAM-Dienstrollen verwendet, damit Sie die Funktionen anderer AWS Dienste nutzen können. Diese Richtlinien gewähren Zugriff aufiam:passrole, was es einem Benutzer mit der Richtlinie ermöglicht, eine Rolle an einen AWS Dienst zu übergeben. Diese Rolle delegiert IAM-Berechtigungen an den AWS Dienst, damit dieser Aktionen in Ihrem Namen ausführen kann.
Erstellen Sie die Rollen entsprechend Ihren Anforderungen. Die Netzwerkadministrator-Richtlinie ermöglicht es beispielsweise einem Benutzer mit der Richtlinie, eine Rolle mit dem Namen "flow-logs-vpc" an den CloudWatch Amazon-Service zu übergeben. CloudWatch verwendet diese Rolle, um den vom Benutzer VPCs erstellten IP-Verkehr zu protokollieren und zu erfassen.
Damit die bewährten Sicherheitsmethoden befolgt werden, enthalten die Richtlinien für Auftragsfunktionen Filter, die die Namen der gültigen Rollen, die übergeben werden können, begrenzen. So vermeiden Sie, dass unnötige Berechtigungen zugewiesen werden. Wenn Ihre Benutzer die optionalen Servicerollen benötigen, müssen Sie eine Rolle erstellen, die der in der Richtlinie angegebenen Namenskonvention entspricht. Sie gewähren dann Berechtigungen für die Rolle. Sobald dies erledigt ist, kann der Benutzer den Service so konfigurieren, dass er die Rolle verwendet, wobei beliebige Berechtigungen der Rolle gewährt werden.
In den folgenden Abschnitten ist der Name jeder Richtlinie einen Link zur Richtliniendetailseite in der AWS Management Console. Dort können Sie das Richtliniendokument einsehen und die Berechtigungen überprüfen, die darin gewährt werden.
Auftragsfunktion
AWS Name der verwalteten Richtlinie: AdministratorAccess
Anwendungsfall: Dieser Benutzer hat vollständigen Zugriff und kann Berechtigungen an jeden Service und jede Ressource in AWS delegieren.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt alle Aktionen für alle AWS Dienste und für alle Ressourcen im Konto. Weitere Informationen zur verwalteten Richtlinie finden Sie AdministratorAccessim Referenzhandbuch für AWS verwaltete Richtlinien.
Anmerkung
Bevor ein IAM-Benutzer oder eine IAM-Rolle mit den in dieser Richtlinie festgelegten Berechtigungen auf die AWS Billing and Cost Management Konsole zugreifen kann, müssen Sie zuerst den IAM-Benutzer- und Rollenzugriff aktivieren. Folgen Sie dazu den Anweisungen unter Zugriff auf die Fakturierungskonsole gewähren, um den Zugriff auf die Fakturierungskonsole zu delegieren.
Fakturierung Auftragsfunktion
AWS Name der verwalteten Richtlinie: Abrechnung
Anwendungsfall: Dieser Benutzer muss Abrechnungsinformationen anzeigen und Zahlungen einrichten und autorisieren können. Der Benutzer kann die für den gesamten AWS Service anfallenden Kosten überwachen.
Aktualisierungen der Richtlinien: AWS Pflegt und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt volle Berechtigungen für die Verwaltung von Rechnungen, Kosten, Zahlungsmethoden, Budgets und Berichten. Weitere Beispiele für Kostenmanagement-Richtlinien finden Sie in den AWS Billing -Richtlinienbeispielen im AWS Billing and Cost Management -Benutzerhandbuch. Weitere Informationen zur verwalteten Richtlinie finden Sie unter Fakturierung im Referenzhandbuch für von verwaltete AWS -Richtlinien.
Anmerkung
Bevor ein IAM-Benutzer oder eine IAM-Rolle mit den in dieser Richtlinie festgelegten Berechtigungen auf die AWS Billing and Cost Management Konsole zugreifen kann, müssen Sie zunächst den IAM-Benutzer- und Rollenzugriff aktivieren. Folgen Sie dazu den Anweisungen unter Zugriff auf die Fakturierungskonsole gewähren, um den Zugriff auf die Fakturierungskonsole zu delegieren.
Datenbankadministrator-Auftragsfunktion
AWS Name der verwalteten Richtlinie: DatabaseAdministrator
Anwendungsfall: Dieser Benutzer richtet Datenbanken in der AWS Cloud ein, konfiguriert und verwaltet sie.
Richtlinienaktualisierungen: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Richtlinienbeschreibung: Diese Richtlinie erteilt Berechtigungen, um Datenbanken zu erstellen, zu konfigurieren und zu verwalten. Es beinhaltet den Zugriff auf AWS Datenbankdienste wie Amazon DynamoDB, Amazon Relational Database Service (RDS) und Amazon Redshift. Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur verwalteten Richtlinie finden Sie DatabaseAdministratorim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Richtlinie für Jobfunktionen unterstützt die Möglichkeit, Rollen an AWS Dienste zu übergeben. Die Richtlinie gewährt die iam:PassRole-Aktion ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | Wählen Sie diese AWS verwaltete Richtlinie aus |
|---|---|---|---|
| Der Benutzer kann RDS-Datenbanken überwachen | rds-monitoring-role | Amazon RDS Role for Enhanced Monitoring | AmazonRDSEnhancedMonitoringRole |
| Erlauben AWS Lambda Sie die Überwachung Ihrer Datenbank und den Zugriff auf externe Datenbanken | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| Lambda das Hochladen von Dateien in Amazon S3 und in Amazon Redshift Cluster mit DynamoDB ermöglichen | lambda_exec_role |
AWS Lambda | Erstellen einer neuen verwalteten Richtlinie, wie im AWS Big Data Blog |
| Erlauben Sie Lambda-Funktionen, als Trigger für Ihre DynamoDB-Tabellen zu fungieren | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamo-Rolle DBExecution |
| Erlauben Sie Lambda-Funktionen den Zugriff auf Amazon RDS in einer VPC | lambda-vpc-execution-role | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Lambda Developer Guide definiert | AWSLambdaVPCAccessExecutionRole |
| Erlauben AWS Data Pipeline Sie den Zugriff auf Ihre Ressourcen AWS | DataPipelineDefaultRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | In der AWS Data Pipeline Dokumentation sind die erforderlichen Berechtigungen für diesen Anwendungsfall aufgeführt. Weitere Informationen finden Sie unter IAM-Rollen AWS Data Pipeline |
| Erlauben Sie Ihren Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden, auf Ihre AWS Ressourcen zuzugreifen | DataPipelineDefaultResourceRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | AmazonEC2RoleforDataPipelineRole |
Auftragsfunktion für Data Scientist
AWS Name der verwalteten Richtlinie: DataScientist
Anwendungsfall: Dieser Benutzer führt Hadoop-Aufträge und -Abfragen. Der Benutzer greift auch auf Informationen für Datenanalysen und Business Intelligence zu und analysiert diese.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen, Verwalten und Ausführen von Abfragen in einem Amazon EMR-Cluster sowie zur Durchführung von Datenanalysen mit Tools wie Amazon QuickSight. Die Richtlinie beinhaltet den Zugriff auf zusätzliche Data-Scientist-Dienste wie Amazon AWS Data Pipeline EC2, Amazon Kinesis, Amazon Machine Learning und SageMaker KI. Zeigen Sie die Richtlinie für die vollständige Liste der Data Scientist-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur verwalteten Richtlinie finden Sie DataScientistim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Richtlinie für Jobfunktionen unterstützt die Möglichkeit, Rollen an AWS Dienste zu übergeben. Eine Aussage ermöglicht die Übertragung beliebiger Rollen an SageMaker KI. Eine weitere Anweisung gewährt die iam:PassRole-Aktion ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS verwaltete Richtlinie zur Auswahl |
|---|---|---|---|
| Erlauben Sie EC2 Amazon-Instances den Zugriff auf Dienste und Ressourcen, die für Cluster geeignet sind | EMR-_ EC2 DefaultRole | Amazon EMR für EC2 | AmazonElasticMapReduceforEC2Rolle |
| Erlauben Sie Amazon EMR den Zugriff auf den EC2 Amazon-Service und die Ressourcen für Cluster | EMR_ DefaultRole | Amazon EMR | EMRServiceAmazon-Richtlinie_v2 |
| Kinesis Managed Service für Apache Flink den Zugriff auf Streaming-Datenquellen erlauben | kinesis-* |
Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Big Data Blog |
Weitere Informationen finden Sie im AWS Big Data Blog |
| Erlauben Sie AWS Data Pipeline den Zugriff auf Ihre Ressourcen AWS | DataPipelineDefaultRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | In der AWS Data Pipeline Dokumentation sind die erforderlichen Berechtigungen für diesen Anwendungsfall aufgeführt. Weitere Informationen finden Sie unter IAM-Rollen AWS Data Pipeline |
| Erlauben Sie Ihren Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden, auf Ihre AWS Ressourcen zuzugreifen | DataPipelineDefaultResourceRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | AmazonEC2RoleforDataPipelineRole |
Auftragsfunktion Developer Power User
AWS Name der verwalteten Richtlinie: PowerUserAccess
Anwendungsfall: Dieser Benutzer führt Aufgaben zur Anwendungsentwicklung durch und kann Ressourcen und Dienste erstellen und konfigurieren, die die AWS bewusste Anwendungsentwicklung unterstützen.
Richtlinienaktualisierungen: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: In der ersten Aussage dieser Richtlinie wird das NotActionElement verwendet, um alle Aktionen für alle AWS Dienste und Ressourcen außer AWS Identity and Access Management AWS Organizations, und zuzulassen AWS Account Management. Die zweite Anweisung erteilt IAM-Berechtigungen zum Erstellen einer serviceverknüpften Rolle. Dies wird von einigen Services benötigt, die auf Ressourcen in einem anderen Service zugreifen müssen, z. B. ein Amazon S3-Bucket. Es gewährt auch AWS Organizations Berechtigungen zum Anzeigen von Informationen über die Organisation des Benutzers, einschließlich der E-Mail-Adresse des Verwaltungskontos und der organisatorischen Einschränkungen. Diese Richtlinie schränkt zwar IAM ein AWS Organizations, ermöglicht es dem Benutzer jedoch, alle IAM Identity Center-Aktionen durchzuführen, wenn IAM Identity Center aktiviert ist. Sie gewährt außerdem Kontoverwaltungsberechtigungen, mit denen Sie sehen können, welche AWS Regionen für das Konto aktiviert oder deaktiviert sind.
Netzwerkadministrator-Auftragsfunktion
AWS Name der verwalteten Richtlinie: NetworkAdministrator
Anwendungsfall: Dieser Benutzer hat die Aufgabe, AWS Netzwerkressourcen einzurichten und zu verwalten.
Aktualisierungen der Richtlinie: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Verwalten von Netzwerkressourcen in Auto Scaling, Amazon EC2 AWS Direct Connect,, Route 53, Amazon CloudFront, Elastic Load Balancing AWS Elastic Beanstalk,, Amazon SNS CloudWatch, CloudWatch Logs, Amazon S3, IAM und Amazon Virtual Private Cloud. Weitere Informationen zur verwalteten Richtlinie finden Sie NetworkAdministratorim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Jobfunktion erfordert die Fähigkeit, Rollen an AWS Dienste zu übergeben. Die Richtlinie gewährt iam:GetRole und iam:PassRole ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS verwaltete Richtlinie zur Auswahl |
|---|---|---|---|
| Ermöglicht Amazon VPC, im Namen des Benutzers Logs in CloudWatch Logs zu erstellen und zu verwalten, um IP-Verkehr zu überwachen, der in und aus Ihrer VPC fließt | flow-logs-* | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im Amazon VPC User Guide definiert | Für diesen Anwendungsfall gibt es keine bestehende AWS verwaltete Richtlinie, aber in der Dokumentation sind die erforderlichen Berechtigungen aufgeführt. Siehe Amazon VPC-Leitfaden. |
Schreibgeschützter Zugriff
AWS Name der verwalteten Richtlinie: ReadOnlyAccess
Anwendungsfall Dieser Benutzer benötigt Nur-Lese-Zugriff auf alle Ressourcen eines AWS-Konto.
Wichtig
Dieser Benutzer wird auch Zugriff auf das Lesen von Daten in Speicherdiensten wie Amazon S3 S3-Buckets und Amazon DynamoDB-Tabellen haben.
Aktualisierungen der Richtlinien: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Auflisten, Abrufen, Beschreiben und anderweitigen Anzeigen von Ressourcen und deren Attributen. Es enthält keine mutierenden Funktionen wie Erstellen oder Löschen. Diese Richtlinie beinhaltet den schreibgeschützten Zugriff auf sicherheitsrelevante AWS Dienste wie und. AWS Identity and Access Management AWS Billing and Cost Management Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur verwalteten Richtlinie finden Sie ReadOnlyAccessim Referenzhandbuch für AWS verwaltete Richtlinien. Wenn Sie eine ähnliche Richtlinie benötigen, die keinen Zugriff auf Lesedaten in Speicherdiensten gewährt, finden Sie unterAuftragsfunktion für Benutzer mit Lesezugriff.
Auftragsfunktion Sicherheitsprüfer
AWS Name der verwalteten Richtlinie: SecurityAudit
Anwendungsfall: Dieser Benutzer überwacht Konten auf die Einhaltung der Sicherheitsanforderungen. Dieser Benutzer kann auf Protokolle und Ereignisse zugreifen, um potenzielle Sicherheitsverstöße oder mögliche bösartige Aktivitäten zu untersuchen.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Anzeigen von Konfigurationsdaten für viele AWS Dienste und zum Überprüfen ihrer Protokolle. Weitere Informationen zur verwalteten Richtlinie finden Sie SecurityAuditim Referenzhandbuch für AWS verwaltete Richtlinien.
Auftragsfunktion Support Benutzer
AWS Name der verwalteten Richtlinie: SupportUser
Anwendungsfall: Dieser Benutzer kontaktiert den AWS Support, erstellt Supportfälle und sieht sich den Status vorhandener Fälle an.
Aktualisierungen der Richtlinie: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Aktualisieren von Support Fällen. Weitere Informationen zur verwalteten Richtlinie finden Sie SupportUserim Referenzhandbuch für AWS verwaltete Richtlinien.
Funktion des Systemadministrators
AWS Name der verwalteten Richtlinie: SystemAdministrator
Anwendungsfall: Dieser Benutzer richtet Ressourcen für Entwicklungsvorgänge ein und verwaltet diese.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Verwalten von Ressourcen für eine Vielzahl von AWS Diensten AWS CloudTrail, darunter Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS und Amazon VPC. AWS Trusted Advisor Weitere Informationen zur verwalteten Richtlinie finden Sie SystemAdministratorim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Jobfunktion erfordert die Fähigkeit, Rollen an AWS Dienste zu übergeben. Die Richtlinie gewährt iam:GetRole und iam:PassRole ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS verwaltete Richtlinie zur Auswahl |
|---|---|---|---|
| Erlauben Sie Apps, die in EC2 Instances in einem Amazon ECS-Cluster ausgeführt werden, den Zugriff auf Amazon ECS | ecr-sysadmin-* | Die EC2 Rolle von Amazon für EC2 Container Service | EC2ContainerServiceforEC2Rolle bei Amazon |
| Ein Benutzer kann Datenbanken überwachen | rds-monitoring-role | Amazon RDS Role for Enhanced Monitoring | AmazonRDSEnhancedMonitoringRole |
| Erlauben Sie Apps, die in EC2 Instances ausgeführt werden, den Zugriff auf AWS Ressourcen. | ec2-sysadmin-* | Amazon EC2 | Beispielrichtlinie für eine Rolle, die Zugriff auf einen S3-Bucket gewährt, wie im EC2 Amazon-Benutzerhandbuch beschrieben; nach Bedarf anpassen |
| Erlauben Sie Lambda, DynamoDB-Streams zu lesen und in Logs zu schreiben CloudWatch | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamo-Rolle DBExecution |
Auftragsfunktion für Benutzer mit Lesezugriff
AWS Name der verwalteten Richtlinie: ViewOnlyAccess
Anwendungsfall: Dieser Benutzer kann eine Liste mit AWS Ressourcen und grundlegenden Metadaten im Konto dienstübergreifend einsehen. Der Benutzer kann Ressourceninhalt oder Metadaten, die über das Kontingent hinausgehen, nicht lesen und keine Informationen für Ressourcen auflisten.
Aktualisierungen der Richtlinie: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen für diese Richtlinie finden Sie in der IAM-Konsole, und wählen Sie dann die Versionen der Datenlinien-Registerkarte. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt List*Describe*,,Get*,View*, und Lookup* Zugriff auf Ressourcen für AWS Dienste. Informationen darüber, welche Aktionen diese Richtlinie für die einzelnen Dienste beinhaltet, finden Sie unter ViewOnlyAccess
Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen
Diese Richtlinien werden alle von den Diensten verwaltet AWS und auf dem neuesten Stand gehalten, sodass sie auch Unterstützung für neue Dienste und neue Funktionen bieten, sobald diese von den AWS Diensten hinzugefügt werden. Diese Richtlinien können nicht von den Kunden geändert werden. Sie können eine Kopie der Richtlinie erstellen und die Kopie dann ändern. Diese Kopie wird jedoch nicht automatisch aktualisiert, wenn neue Dienste und API-Operationen AWS eingeführt werden.
Für eine Auftragsfunktionsrichtlinie können Sie den Versionsverlauf sowie die Uhrzeit und das Datum jedes Updates in der IAM-Konsole anzeigen. Verwenden Sie dazu die Links auf dieser Seite, um die Richtliniendetails anzuzeigen. Wählen Sie dann die Versionen der Datenlinien, um die Versionen anzuzeigen. Auf dieser Seite werden die letzten 25 Versionen einer Richtlinie angezeigt. Um alle Versionen einer Richtlinie anzuzeigen, rufen Sie den get-policy-version AWS CLI Befehl oder die GetPolicyVersionAPI-Operation auf.
Anmerkung
Sie können bis zu fünf Versionen einer vom Kunden verwalteten Richtlinie verwenden, wobei jedoch der vollständige Versionsverlauf der AWS verwalteten Richtlinien AWS beibehalten wird.
