Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Jobfunktionen
Es wird empfohlen, Richtlinien zu verwenden, die die geringsten Rechte gewähren, d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine benutzerdefinierte Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt.
Um mit dem Hinzufügen von Berechtigungen zu Ihren IAM Identitäten (Benutzern, Benutzergruppen und Rollen) zu beginnen, können Sie Folgendes verwendenAWS verwaltete Richtlinien. AWS verwaltete Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. AWS verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Rechten. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.
Sie können AWS verwaltete Richtlinien, einschließlich Jobfunktionen, an jede IAM Identität anhängen. Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie AWS Identity and Access Management Access Analyzer ausführen, um Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine benutzerdefinierte Richtlinie schreiben oder eine Richtlinie mit nur den erforderlichen Berechtigungen für Ihr Team erstellen. Das ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie erfahren, wie Ihr Team die Daten verwendet AWS.
AWS Die verwalteten Richtlinien für berufliche Funktionen sind so konzipiert, dass sie sich eng an den üblichen Aufgabenbereichen in der IT-Branche orientieren. Sie können mithilfe dieser Richtlinien ganz einfach die Berechtigungen erteilen, die Sie benötigen, um die Aufgaben, die von jemanden in einer bestimmten Auftragsfunktionen erwartet werden, auszuführen. Diese Richtlinien führen Berechtigungen für viele Services in einer einzigen Richtlinie zusammen, mit der sich leichter arbeiten lässt als mit auf vielen Richtlinien verteilten Berechtigungen.
Verwenden von Rollen zum Kombinieren von Services
In einigen Richtlinien werden IAM Servicerollen verwendet, damit Sie die Funktionen anderer AWS Dienste nutzen können. Diese Richtlinien gewähren Zugriff aufiam:passrole, was es einem Benutzer mit der Richtlinie ermöglicht, eine Rolle an einen AWS Dienst zu übergeben. Diese Rolle delegiert IAM Berechtigungen an den AWS Dienst, Aktionen in Ihrem Namen auszuführen.
Erstellen Sie die Rollen entsprechend Ihren Anforderungen. Die Netzwerkadministrator-Richtlinie ermöglicht es beispielsweise einem Benutzer mit der Richtlinie, eine Rolle mit dem Namen "flow-logs-vpc" an den CloudWatch Amazon-Service zu übergeben. CloudWatch verwendet diese Rolle, um den vom Benutzer VPCs erstellten IP-Verkehr zu protokollieren und zu erfassen.
Damit die bewährten Sicherheitsmethoden befolgt werden, enthalten die Richtlinien für Auftragsfunktionen Filter, die die Namen der gültigen Rollen, die übergeben werden können, begrenzen. So vermeiden Sie, dass unnötige Berechtigungen zugewiesen werden. Wenn Ihre Benutzer die optionalen Servicerollen benötigen, müssen Sie eine Rolle erstellen, die der in der Richtlinie angegebenen Namenskonvention entspricht. Sie gewähren dann Berechtigungen für die Rolle. Sobald dies erledigt ist, kann der Benutzer den Service so konfigurieren, dass er die Rolle verwendet, wobei beliebige Berechtigungen der Rolle gewährt werden.
In den folgenden Abschnitten ist der Name jeder Richtlinie einen Link zur Richtliniendetailseite in der AWS Management Console. Dort können Sie das Richtliniendokument einsehen und die Berechtigungen überprüfen, die darin gewährt werden.
Auftragsfunktion
AWS Name der verwalteten Richtlinie: AdministratorAccess
Anwendungsfall: Dieser Benutzer hat vollständigen Zugriff und kann Berechtigungen an jeden Service und jede Ressource in AWS delegieren.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt alle Aktionen für alle AWS Dienste und für alle Ressourcen im Konto. Weitere Informationen zur verwalteten Richtlinie finden Sie AdministratorAccessim Referenzhandbuch für AWS verwaltete Richtlinien.
Anmerkung
Bevor ein IAM Benutzer oder eine Rolle mit den in dieser Richtlinie festgelegten Berechtigungen auf die AWS Billing and Cost Management Konsole zugreifen kann, müssen Sie zuerst den IAM Benutzer- und Rollenzugriff aktivieren. Folgen Sie dazu den Anweisungen unter Zugriff auf die Abrechnungskonsole gewähren, um den Zugriff auf die Abrechnungskonsole zu delegieren.
Fakturierung Auftragsfunktion
AWS Name der verwalteten Richtlinie: Abrechnung
Anwendungsfall: Dieser Benutzer muss Abrechnungsinformationen anzeigen und Zahlungen einrichten und autorisieren können. Der Benutzer kann die für den gesamten AWS Service anfallenden Kosten überwachen.
Aktualisierungen der Richtlinien: AWS Pflegt und aktualisiert diese Richtlinie. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Richtlinienbeschreibung: Diese Richtlinie gewährt volle Berechtigungen für die Verwaltung von Rechnungen, Kosten, Zahlungsmethoden, Budgets und Berichten. Weitere Beispiele für Kostenmanagement-Richtlinien finden Sie in den AWS Billing Richtlinienbeispielen im AWS Billing and Cost Management Benutzerhandbuch. Weitere Informationen zur verwalteten Richtlinie finden Sie unter Abrechnung im Referenzhandbuch für AWS verwaltete Richtlinien.
Anmerkung
Bevor ein IAM Benutzer oder eine Rolle mit den in dieser Richtlinie festgelegten Berechtigungen auf die AWS Billing and Cost Management Konsole zugreifen kann, müssen Sie zuerst den IAM Benutzer- und Rollenzugriff aktivieren. Folgen Sie dazu den Anweisungen unter Zugriff auf die Abrechnungskonsole gewähren, um den Zugriff auf die Abrechnungskonsole zu delegieren.
Datenbankadministrator-Auftragsfunktion
AWS Name der verwalteten Richtlinie: DatabaseAdministrator
Anwendungsfall: Dieser Benutzer richtet Datenbanken in der AWS Cloud ein, konfiguriert und verwaltet sie.
Richtlinienaktualisierungen: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Richtlinienbeschreibung: Diese Richtlinie erteilt Berechtigungen, um Datenbanken zu erstellen, zu konfigurieren und zu verwalten. Es beinhaltet den Zugriff auf AWS Datenbankdienste wie Amazon DynamoDB, Amazon Relational Database Service (RDS) und Amazon Redshift. Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur verwalteten Richtlinie finden Sie DatabaseAdministratorim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Richtlinie für Jobfunktionen unterstützt die Möglichkeit, Rollen an AWS Dienste zu übergeben. Die Richtlinie gewährt die iam:PassRole-Aktion ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | Wählen Sie diese AWS verwaltete Richtlinie aus |
|---|---|---|---|
| Erlauben Sie dem Benutzer, RDS Datenbanken zu überwachen | rds-monitoring-role | Die RDS Rolle von Amazon für verbesserte Überwachung | Ein mazonRDSEnhanced MonitoringRole |
| Erlauben AWS Lambda Sie die Überwachung Ihrer Datenbank und den Zugriff auf externe Datenbanken | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| Lambda das Hochladen von Dateien in Amazon S3 und in Amazon Redshift Cluster mit DynamoDB ermöglichen | lambda_exec_role |
AWS Lambda | Erstellen einer neuen verwalteten Richtlinie, wie im AWS Big Data Blog |
| Erlauben Sie Lambda-Funktionen, als Trigger für Ihre DynamoDB-Tabellen zu fungieren | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| Erlauben Sie Lambda-Funktionen den Zugriff auf Amazon RDS in einem VPC | lambda-vpc-execution-role | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Lambda Developer Guide definiert | AWSLambdaVPCAccessExecutionRole |
| Erlauben AWS Data Pipeline Sie den Zugriff auf Ihre Ressourcen AWS | DataPipelineDefaultRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | In der AWS Data Pipeline Dokumentation sind die erforderlichen Berechtigungen für diesen Anwendungsfall aufgeführt. Siehe IAMRollen für AWS Data Pipeline |
| Erlauben Sie Ihren Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden, auf Ihre AWS Ressourcen zuzugreifen | DataPipelineDefaultResourceRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | Amazon EC2RoleforDataPipelineRole |
Auftragsfunktion für Data Scientist
AWS Name der verwalteten Richtlinie: DataScientist
Anwendungsfall: Dieser Benutzer führt Hadoop-Aufträge und -Abfragen. Der Benutzer greift auch auf Informationen für Datenanalysen und Business Intelligence zu und analysiert diese.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen, Verwalten und Ausführen von Abfragen in einem EMR Amazon-Cluster sowie zur Durchführung von Datenanalysen mit Tools wie Amazon QuickSight. Die Richtlinie beinhaltet den Zugriff auf zusätzliche Data-Scientist-Dienste wie Amazon AWS Data Pipeline EC2, Amazon Kinesis, Amazon Machine Learning und SageMaker. Zeigen Sie die Richtlinie für die vollständige Liste der Data Scientist-Services an, die von dieser Richtlinie unterstützt werden. Weitere Informationen zur verwalteten Richtlinie finden Sie DataScientistim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Richtlinie für Jobfunktionen unterstützt die Möglichkeit, Rollen an AWS Dienste zu übergeben. Eine Anweisung ermöglicht die Übergabe beliebiger Rollen an SageMaker. Eine weitere Anweisung gewährt die iam:PassRole-Aktion ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS verwaltete Richtlinie zur Auswahl |
|---|---|---|---|
| Erlauben Sie EC2 Amazon-Instances den Zugriff auf Dienste und Ressourcen, die für Cluster geeignet sind | EMR-EC2_DefaultRole | Amazon EMR für EC2 | AmazonElasticMapReduceforEC2Role |
| Erlauben EMR Sie Amazon Access den Zugriff auf den EC2 Amazon-Service und die Ressourcen für Cluster | EMR_DefaultRole | Amazon EMR | Eine mazonEMRService Policy_v2 |
| Kinesis Managed Service für Apache Flink den Zugriff auf Streaming-Datenquellen erlauben | kinesis-* |
Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Big Data Blog |
Weitere Informationen finden Sie im AWS Big Data Blog |
| Erlauben Sie AWS Data Pipeline den Zugriff auf Ihre Ressourcen AWS | DataPipelineDefaultRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | In der AWS Data Pipeline Dokumentation sind die erforderlichen Berechtigungen für diesen Anwendungsfall aufgeführt. Siehe IAMRollen für AWS Data Pipeline |
| Erlauben Sie Ihren Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden, auf Ihre AWS Ressourcen zuzugreifen | DataPipelineDefaultResourceRole | Erstellen einer Rolle mit einer Vertrauensrichtlinie, wie im AWS Data Pipeline Developer Guide definiert | Amazon EC2RoleforDataPipelineRole |
Auftragsfunktion Developer Power User
AWS Name der verwalteten Richtlinie: PowerUserAccess
Anwendungsfall: Dieser Benutzer führt Aufgaben zur Anwendungsentwicklung durch und kann Ressourcen und Dienste erstellen und konfigurieren, die die AWS bewusste Anwendungsentwicklung unterstützen.
Richtlinienaktualisierungen: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: In der ersten Aussage dieser Richtlinie wird das NotActionElement verwendet, um alle Aktionen für alle AWS Dienste und für alle Ressourcen außer AWS Identity and Access Management AWS Organizations, und zuzulassen AWS Account Management. Die zweite Anweisung erteilt IAM Berechtigungen zum Erstellen einer dienstbezogenen Rolle. Dies wird von einigen Services benötigt, die auf Ressourcen in einem anderen Service zugreifen müssen, z. B. ein Amazon S3-Bucket. Außerdem erhalten Organisationen die Berechtigung, Informationen über die Organisation des Benutzers anzuzeigen, einschließlich der E-Mail des Verwaltungskontos und der Organisationsbeschränkungen. Diese Richtlinie schränkt IAM zwar Organizations ein, ermöglicht es dem Benutzer jedoch, alle IAM Identity Center-Aktionen durchzuführen, wenn IAM Identity Center aktiviert ist. Sie gewährt auch Kontoverwaltungsberechtigungen, mit denen Sie sehen können, welche AWS Regionen für das Konto aktiviert oder deaktiviert sind.
Netzwerkadministrator-Auftragsfunktion
AWS Name der verwalteten Richtlinie: NetworkAdministrator
Anwendungsfall: Dieser Benutzer hat die Aufgabe, AWS Netzwerkressourcen einzurichten und zu verwalten.
Aktualisierungen der Richtlinie: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Verwalten von Netzwerkressourcen in Auto ScalingEC2, Amazon AWS Direct Connect,, Route 53 CloudFront, Amazon, Elastic Load Balancing AWS Elastic Beanstalk SNS CloudWatch, Amazon,, CloudWatch LogsIAM, Amazon S3 und Amazon Virtual Private Cloud. Weitere Informationen zur verwalteten Richtlinie finden Sie NetworkAdministratorim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Jobfunktion erfordert die Fähigkeit, Rollen an AWS Dienste zu übergeben. Die Richtlinie gewährt iam:GetRole und iam:PassRole ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS verwaltete Richtlinie zur Auswahl |
|---|---|---|---|
| Ermöglicht AmazonVPC, im Namen des Benutzers CloudWatch Protokolle in Logs zu erstellen und zu verwalten, um den ein- und ausgehenden IP-Verkehr zu überwachen VPC | flow-logs-* | Erstellen Sie eine Rolle mit einer Vertrauensrichtlinie, wie im VPCAmazon-Benutzerhandbuch definiert | Für diesen Anwendungsfall gibt es keine bestehende AWS verwaltete Richtlinie, aber in der Dokumentation sind die erforderlichen Berechtigungen aufgeführt. Weitere Informationen finden Sie im VPCAmazon-Benutzerhandbuch. |
Schreibgeschützter Zugriff
AWS Name der verwalteten Richtlinie: ReadOnlyAccess
Anwendungsfall Dieser Benutzer benötigt Nur-Lese-Zugriff auf alle Ressourcen eines AWS-Konto.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Auflisten, Abrufen, Beschreiben und anderweitigen Anzeigen von Ressourcen und deren Attributen. Es enthält keine mutierenden Funktionen wie Erstellen oder Löschen. Diese Richtlinie beinhaltet den schreibgeschützten Zugriff auf sicherheitsrelevante AWS Dienste wie und. AWS Identity and Access Management AWS Billing and Cost Management Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services an, die von dieser Richtlinie unterstützt werden.
Auftragsfunktion Sicherheitsprüfer
AWS Name der verwalteten Richtlinie: SecurityAudit
Anwendungsfall: Dieser Benutzer überwacht Konten auf die Einhaltung der Sicherheitsanforderungen. Dieser Benutzer kann auf Protokolle und Ereignisse zugreifen, um potenzielle Sicherheitsverstöße oder mögliche bösartige Aktivitäten zu untersuchen.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Anzeigen von Konfigurationsdaten für viele AWS Dienste und zum Überprüfen ihrer Protokolle. Weitere Informationen zur verwalteten Richtlinie finden Sie SecurityAuditim Referenzhandbuch für AWS verwaltete Richtlinien.
Auftragsfunktion Support Benutzer
AWS Name der verwalteten Richtlinie: SupportUser
Anwendungsfall: Dieser Benutzer kontaktiert den AWS Support, erstellt Supportfälle und sieht sich den Status vorhandener Fälle an.
Aktualisierungen der Richtlinie: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Aktualisieren von AWS Support Fällen. Weitere Informationen zur verwalteten Richtlinie finden Sie SupportUserim Referenzhandbuch für AWS verwaltete Richtlinien.
Funktion des Systemadministrators
AWS Name der verwalteten Richtlinie: SystemAdministrator
Anwendungsfall: Dieser Benutzer richtet Ressourcen für Entwicklungsvorgänge ein und verwaltet diese.
Richtlinienaktualisierungen: Diese Richtlinie wird AWS beibehalten und aktualisiert. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt Berechtigungen zum Erstellen und Verwalten von Ressourcen für eine Vielzahl von AWS Diensten AWS CloudTrail, darunter Amazon CloudWatch, AWS CodeCommit,, AWS CodeDeploy, AWS Config AWS Directory Service, AmazonEC2,, AWS Identity and Access Management, AWS Key Management Service AWS Lambda, AmazonRDS, Route 53, Amazon S3, AmazonSES, AmazonSQS, Amazon AWS Trusted Advisor, und AmazonVPC. Weitere Informationen zur verwalteten Richtlinie finden Sie SystemAdministratorim Referenzhandbuch für AWS verwaltete Richtlinien.
Diese Jobfunktion erfordert die Fähigkeit, Rollen an AWS Dienste zu übergeben. Die Richtlinie gewährt iam:GetRole und iam:PassRole ausschließlich für die in der folgenden Tabelle genannten Rollen. Weitere Informationen finden Sie unter Erstellen von Rollen und Anfügen von Richtlinien (Konsole) an späterer Stelle in diesem Thema. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
| Anwendungsfall | Rollenname (* ist ein Platzhalter) | Auszuwählender Servicerollentyp | AWS verwaltete Richtlinie zur Auswahl |
|---|---|---|---|
| Erlauben Sie Apps, die in EC2 Instances in einem ECS Amazon-Cluster ausgeführt werden, auf Amazon zuzugreifen ECS | ecr-sysadmin-* | Die EC2 Rolle von Amazon für EC2 Container Service | Amazon EC2ContainerServiceforEC2Role |
| Ein Benutzer kann Datenbanken überwachen | rds-monitoring-role | Die RDS Rolle von Amazon für verbesserte Überwachung | Ein mazonRDSEnhanced MonitoringRole |
| Erlauben Sie Apps, die in EC2 Instanzen ausgeführt werden, auf AWS Ressourcen zuzugreifen. | ec2-sysadmin-* | Amazon EC2 | Beispielrichtlinie für eine Rolle, die Zugriff auf einen S3-Bucket gewährt, wie im EC2Amazon-Benutzerhandbuch beschrieben; nach Bedarf anpassen |
| Erlauben Sie Lambda, DynamoDB-Streams zu lesen und in Logs zu schreiben CloudWatch | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
Auftragsfunktion für Benutzer mit Lesezugriff
AWS Name der verwalteten Richtlinie: ViewOnlyAccess
Anwendungsfall: Dieser Benutzer kann eine Liste mit AWS Ressourcen und grundlegenden Metadaten im Konto dienstübergreifend einsehen. Der Benutzer kann Ressourceninhalt oder Metadaten, die über das Kontingent hinausgehen, nicht lesen und keine Informationen für Ressourcen auflisten.
Aktualisierungen der Richtlinie: AWS Verwaltet und aktualisiert diese Richtlinie. Eine Historie der Änderungen an dieser Richtlinie finden Sie, wenn Sie sich die Richtlinie in der IAM Konsole ansehen und dann die Registerkarte Richtlinienversionen auswählen. Weitere Informationen zu Auftragsfunktions-Richtlinienaktualisierungen finden Sie unter Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen.
Beschreibung der Richtlinie: Diese Richtlinie gewährt List*Describe*,Get*,View*, und Lookup* Zugriff auf Ressourcen für AWS Dienste. Informationen darüber, welche Aktionen diese Richtlinie für die einzelnen Dienste beinhaltet, finden Sie unter ViewOnlyAccess
Aktualisierungen der AWS verwalteten Richtlinien für Jobfunktionen
Diese Richtlinien werden alle von den Diensten verwaltet AWS und auf dem neuesten Stand gehalten, sodass sie auch Unterstützung für neue Dienste und neue Funktionen bieten, sobald diese von den AWS Diensten hinzugefügt werden. Diese Richtlinien können nicht von den Kunden geändert werden. Sie können eine Kopie der Richtlinie erstellen und diese Kopie dann ändern. Diese Kopie wird jedoch nicht automatisch aktualisiert, wenn neue Dienste und API Abläufe AWS eingeführt werden.
Bei einer Jobfunktionsrichtlinie können Sie den Versionsverlauf sowie die Uhrzeit und das Datum der einzelnen Updates in der IAM Konsole einsehen. Verwenden Sie dazu die Links auf dieser Seite, um die Richtliniendetails anzuzeigen. Wählen Sie dann die Versionen der Datenlinien, um die Versionen anzuzeigen. Auf dieser Seite werden die letzten 25 Versionen einer Richtlinie angezeigt. Um alle Versionen einer Richtlinie anzuzeigen, rufen Sie den get-policy-version AWS CLI Befehl oder die GetPolicyVersionAPIOperation auf.
Anmerkung
Sie können bis zu fünf Versionen einer vom Kunden verwalteten Richtlinie verwenden, wobei jedoch der vollständige Versionsverlauf der AWS verwalteten Richtlinien AWS beibehalten wird.
