Erstellen von Rollen und Anfügen von Richtlinien (Konsole) - AWS Identitäts- und Zugriffsverwaltung
Beispiel 1: Konfigurieren eines Benutzers als Datenbankadministrator (Konsole)Beispiel 2: Konfigurieren eines Benutzers als Netzwerkadministrator (Konsole)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Rollen und Anfügen von Richtlinien (Konsole)

Einige der zuvor aufgeführten Richtlinien ermöglichen die Konfiguration von AWS Diensten mit Rollen, die es diesen Diensten ermöglichen, Operationen in Ihrem Namen auszuführen. Die Auftragsfunktionsrichtlinien geben entweder genaue Rollennamen an, die Sie verwenden müssen, oder fügen zumindest ein Präfix an, das den ersten Teil des Namens, der verwendet werden kann, angibt. Führen Sie die Schritte in den folgenden Verfahren aus, um eine dieser Rollen zu erstellen.

Um eine Rolle für eine AWS -Service (IAMKonsole) zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Konsole Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie für Vertrauenswürdige Entität die Option AWS -Service aus.

  4. Wählen Sie für Dienst oder Anwendungsfall einen Dienst und dann den Anwendungsfall aus. Anwendungsfälle werden durch den Service definiert, damit die für den Service erforderliche Vertrauensrichtlinie enthalten ist.

  5. Wählen Sie Weiter.

  6. Bei Berechtigungsrichtlinien hängen die Optionen vom ausgewählten Anwendungsfall ab:

    • Wenn der Dienst die Berechtigungen für die Rolle definiert, können Sie keine Berechtigungsrichtlinien auswählen.

    • Wählen Sie aus einer begrenzten Anzahl von Berechtigungsrichtlinien aus.

    • Wählen Sie aus allen Berechtigungsrichtlinien aus.

    • Wählen Sie keine Berechtigungsrichtlinien aus, erstellen Sie die Richtlinien, nachdem die Rolle erstellt wurde, und fügen Sie die Richtlinien dann der Rolle hinzu.

  7. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.

    1. Öffnen Sie den Abschnitt Berechtigungsgrenze festlegen und wählen Sie dann Eine Berechtigungsgrenze verwenden aus, um die maximalen Rollenberechtigungen zu steuern.

      IAMenthält eine Liste der AWS verwalteten und von Kunden verwalteten Richtlinien in Ihrem Konto.

    2. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

  8. Wählen Sie Weiter.

  9. Die Optionen für den Rollennamen hängen vom Dienst ab:

    • Wenn der Dienst den Rollennamen definiert, können Sie den Rollennamen nicht bearbeiten.

    • Wenn der Dienst ein Präfix für den Rollennamen definiert, können Sie ein optionales Suffix eingeben.

    • Wenn der Dienst den Rollennamen nicht definiert, können Sie der Rolle einen Namen geben.

      Wichtig

      Beachten Sie beim Benennen einer Rolle Folgendes:

      • Rollennamen müssen innerhalb Ihres AWS-Konto Unternehmens eindeutig sein und können nicht von Fall zu Fall eindeutig sein.

        Erstellen Sie beispielsweise keine Rollen, die PRODROLE sowohl als auch benannt sindprodrole. Wenn ein Rollenname in einer Richtlinie oder als Teil einer verwendet wirdARN, unterscheidet der Rollenname Groß- und Kleinschreibung. Wenn Kunden jedoch ein Rollenname in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß- und Kleinschreibung nicht berücksichtigt.

      • Sie können den Namen der Rolle nicht bearbeiten, nachdem er erstellt wurde, da andere Entitäten möglicherweise auf die Rolle verweisen.

  10. (Optional) Geben Sie unter Beschreibung eine Beschreibung für die Rolle ein.

  11. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten Schritt 1: Vertrauenswürdige Entitäten auswählen oder Schritt 2: Berechtigungen hinzufügen die Option Bearbeiten aus.

  12. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Rolle leichter zu identifizieren, zu organisieren oder nach ihr zu suchen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie im Benutzerhandbuch unter IAMRessourcen taggen. IAM

  13. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Beispiel 1: Konfigurieren eines Benutzers als Datenbankadministrator (Konsole)

Dieses Beispiel zeigt die Schritte, die erforderlich sind, um Alice, eine IAM Benutzerin, als Datenbankadministrator zu konfigurieren. Sie verwenden die Informationen in der ersten Zeile der Tabelle in diesem Abschnitt und ermöglichen dem Benutzer, die RDS Amazon-Überwachung zu aktivieren. Sie hängen die DatabaseAdministratorRichtlinie an den IAM Benutzer von Alice an, damit dieser die Amazon-Datenbankdienste verwalten kann. Diese Richtlinie ermöglicht es Alice auch, dem RDS Amazon-Dienst eine Rolle rds-monitoring-role zu übergeben, die es dem Service ermöglicht, die RDS Amazon-Datenbanken in ihrem Namen zu überwachen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Policies (Richtlinien) aus, geben Sie database in das Suchfeld ein und drücken Sie die Eingabetaste.

  3. Wählen Sie das Optionsfeld für die DatabaseAdministratorRichtlinie aus, wählen Sie Aktionen und dann Anhängen aus.

  4. Wählen Sie in der Liste der Entitäten Alice und dann Attach policy (Richtlinie anfügen) aus. Alice kann jetzt AWS Datenbanken verwalten. Damit Alice diese Datenbanken jedoch überwachen kann, müssen Sie die Servicerolle konfigurieren.

  5. Wählen Sie im Navigationsbereich der IAM Konsole Rollen und anschließend Rolle erstellen aus.

  6. Wählen Sie den Rollentyp AWS Service und dann Amazon ausRDS.

  7. Wählen Sie den Anwendungsfall Amazon RDS Role for Enhanced Monitoring.

  8. Amazon RDS definiert die Berechtigungen für Ihre Rolle. Wählen Sie Next: Review (Weiter: Prüfen), um fortzufahren.

  9. Der Rollenname muss einer der Namen sein, die in der DatabaseAdministrator Richtlinie angegeben sind, über die Alice jetzt verfügt. Eine davon ist rds-monitoring-role. Geben Sie das für den Rollennamen ein.

  10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  11. Wählen Sie nach der Überprüfung der Details Create role (Rolle erstellen).

  12. Alice kann jetzt RDSEnhanced Monitoring im Bereich Monitoring der RDS Amazon-Konsole aktivieren. Zum Beispiel kann sie dies tun, wenn sie eine DB-Instance erstellt, eine Read Replica erstellt oder eine DB-Instance ändert. Sie müssen den Rollennamen, den sie erstellt haben (rds-monitoring-role), in das Feld „Überwachungsrolle“ eingeben, wenn sie Enable Enhanced Monitoring auf Ja setzen.

Beispiel 2: Konfigurieren eines Benutzers als Netzwerkadministrator (Konsole)

Dieses Beispiel zeigt die Schritte, die erforderlich sind, um Jorge, einen IAM Benutzer, als Netzwerkadministrator zu konfigurieren. Es verwendet die Informationen in der Tabelle in diesem Abschnitt, um Jorge zu ermöglichen, den IP-Verkehr zu und von a zu überwachen. VPC Außerdem kann Jorge diese Informationen in den Protokollen unter Logs erfassen. CloudWatch Sie fügen die NetworkAdministratorRichtlinie dem IAM Benutzer von Jorge zu, damit dieser die AWS Netzwerkressourcen konfigurieren kann. Diese Richtlinie ermöglicht es Jorge auch, eine Rolle, deren Name mit beginnt, flow-logs* an Amazon zu übergeben, EC2 wenn Sie ein Flow-Protokoll erstellen. In diesem Szenario gibt es im Gegensatz zu Beispiel 1 keinen vordefinierten Servicerollentyp, sodass Sie einige Schritte anders ausführen müssen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) aus, geben Sie network in das Suchfeld ein und drücken Sie die Eingabetaste.

  3. Wählen Sie das Optionsfeld neben der NetworkAdministratorRichtlinie aus, wählen Sie Aktionen und dann Anhängen aus.

  4. Aktivieren Sie in der Liste der Benutzer das Kontrollkästchen neben Jorge und wählen Sie dann Attach policy (Richtlinie anfügen). Jorge kann jetzt AWS Netzwerkressourcen verwalten. Um jedoch die Überwachung des IP-Verkehrs in Ihrem zu ermöglichenVPC, müssen Sie die Servicerolle konfigurieren.

  5. Da die Servicerolle, die Sie erstellen müssen, keine vordefinierte verwaltete Richtlinie hat, müssen Sie diese zuerst erstellen. Wählen Sie im Navigationsbereich Policies und dann Create policy.

  6. Wählen Sie im Bereich Policy-Editor die JSONOption aus und kopieren Sie den Text aus dem folgenden JSON Richtliniendokument. Fügen Sie diesen Text in das JSONTextfeld ein. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual und JSONEditor wechseln. Wenn Sie jedoch Änderungen vornehmen oder im visuellen Editor auf Weiter klicken, IAM könnte es sein, dass Ihre Richtlinie neu strukturiert wird, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  8. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) als Richtliniennamen vpc-flow-logs-policy-for-service-role ein. Überprüfen Sie die Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die durch Ihre Richtlinie erteilten Berechtigungen zu sehen, und wählen Sie dann zum Speichern Create policy (Richtlinie erstellen) aus.

    Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt und ist bereit.

  9. Wählen Sie im Navigationsbereich der IAM Konsole Rollen und anschließend Rolle erstellen aus.

  10. Wählen Sie den Rollentyp AWS Service und dann Amazon ausEC2.

  11. Wählen Sie den EC2Amazon-Anwendungsfall.

  12. Wählen Sie auf der Seite Richtlinien zum Anhängen von Berechtigungen die Richtlinie aus, die Sie zuvor erstellt haben, vpc-flow-logs-policy- for-service-role, und klicken Sie dann auf Weiter: Überprüfen.

  13. Der Rollenname muss gemäß der NetworkAdministrator Richtlinie, über die Jorge jetzt verfügt, zugelassen sein. Es ist jeder Name zulässig, der mit flow-logs- beginnt. Geben Sie in diesem Beispiel flow-logs-for-jorge als Role name (Rollennamen) ein.

  14. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  15. Wählen Sie nach der Überprüfung der Details Create role (Rolle erstellen).

  16. Jetzt können Sie die Vertrauensrichtlinie konfigurieren, die für dieses Szenario erforderlich ist. Wählen Sie auf der Seite Rollen die flow-logs-for-jorgeRolle aus (den Namen, nicht das Kontrollkästchen). Wählen Sie auf der Detailseite für Ihre neue Rolle die Registerkarte Trust relationships (Vertrauensbeziehungen) und anschließend Edit trust relationship (Vertrauensbeziehung bearbeiten).

  17. Ändern Sie die Zeile "Service" in Folgendes, wobei Sie den Eintrag für ec2.amazonaws.com ersetzen:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge kann jetzt Flow-Logs für ein VPC OR-Subnetz in der EC2 Amazon-Konsole erstellen. Wenn Sie das Flow-Protokoll erstellen, geben Sie die flow-logs-for-jorgeRolle an. Diese Rolle hat die Berechtigungen, das Protokoll zu erstellen und Daten hineinzuschreiben.