Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltete Richtlinien und eingebundene Richtlinien
Wenn Sie die Berechtigungen für eine Identität in IAM festlegen, müssen Sie entscheiden, ob Sie eine verwaltete AWS-Richtlinie, eine vom Kunden verwaltete Richtlinie oder eine Inline-Richtlinie verwenden. In den folgenden Themen erhalten Sie weitere Informationen zu den einzelnen Arten identitätsbasierter Richtlinien und deren Verwendung.
Themen
Von AWS-verwaltete Richtlinien
Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Eigenständige Richtlinie bedeutet, dass die Richtlinie ihren eigenen Amazon-Ressourcennamen (ARN) hat, der den Richtliniennamen enthält. Zum Beispiel arn:aws:iam::aws:policy/IAMReadOnlyAccess ist eine von AWS verwaltete Richtlinie. Weitere Informationen zu ARNs finden Sie unter IAM-ARNs. Eine Liste der von AWS verwalteten Richtlinien für finden Sie unter Von AWS-Servicesverwaltete Richtlinien. AWS
Die verwalteten AWS-Richtlinien ermöglichen es Ihnen, entsprechende Berechtigungen für Benutzer, Gruppen und Rollen festzulegen. Das ist schneller, als selbst die Richtlinien zu schreiben und beinhaltet Berechtigungen für viele häufige Anwendungsfälle.
Sie können definierten Berechtigungen in den AWS verwalteten Richtlinien nicht ändern. AWS aktualisiert gelegentlich die Berechtigungen, die in einer von AWS verwalteten Richtlinie definiert sind. Wenn AWS dies durchführt, wirkt sich die Aktualisierung auf alle Auftraggeber-Entitäten (Benutzer, Gruppen und Rollen) aus, an die die Richtlinie angefügt sind. AWS aktualisiert am ehesten dann eine von AWS verwaltete Richtlinie, wenn ein neuer AWS-Service gestartet wird oder neue API-Aufrufe für vorhandene Services verfügbar werden. Die AWS verwaltete Richtlinie namens ReadOnlyAccess bietet beispielsweise schreibgeschützten Zugriff auf alle -AWSServices und -Ressourcen. Wenn einen neuen Service AWS startet, AWS aktualisiert die ReadOnlyAccess Richtlinie, um Leseberechtigungen für den neuen Service hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.
Von AWS verwaltete Richtlinien definieren Berechtigungen für Service-Administratoren, indem sie diesen Vollzugriff auf einen Service gewähren.
Von Power-Usern verwaltete AWS-Richtlinien bieten vollen Zugriff auf AWS-Dienste und Ressourcen, ermöglichen jedoch nicht die Verwaltung von Benutzern und Gruppen.
Verwaltete AWS-Richtlinien für partiellen Zugriff bieten bestimmte Zugriffsebenen auf AWS-Dienste, ohne dass Zugriffsberechtigungen für die Verwaltung gewährt werden.
Die von AWS verwalteten Richtlinien weisen eine besonders nützliche Kategorie auf, und zwar die Richtlinien, die für Auftragsfunktionen konzipiert wurden. Diese Richtlinien sind genau an häufig genutzte Jobfunktionen in der IT-Branche angepasst und ermöglichen es, Berechtigungen für diese Funktionen zu gewähren. Ein wichtiger Vorteil der Verwendung von Richtlinien für Auftragsfunktionen besteht darin, dass sie von AWS als neue Services verwaltet und aktualisiert werden und dass neue API-Operationen eingeführt werden. Die AdministratorAccess Auftragsfunktion bietet beispielsweise Vollzugriff und Berechtigungsdelegierung für jeden Service und jede Ressource in AWS. Wir empfehlen, dass diese Richtlinie nur für den Kontoadministrator verwendet wird. Verwenden Sie für Hauptbenutzer, die vollen Zugriff auf jeden Service benötigen, mit Ausnahme des eingeschränkten Zugriffs auf IAM und Organizations, die -PowerUserAccessAuftragsfunktion. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie unter AWS Von verwaltete Richtlinien für Auftragsfunktionen.
Die von AWS verwalteten Richtlinien sind in der folgenden Abbildung dargestellt. Das Diagramm zeigt drei AWS verwaltete Richtlinien: AdministratorAccessPowerUserAccess, und AWSCloudTrailReadOnlyAccess. Beachten Sie, dass eine einzelne von AWS verwaltete Richtlinie sowohl an Prinzipal-Entitäten in verschiedenen AWS-Konten, als auch an verschiedene Prinzipal-Entitäten in einem einzelnen AWS-Konto angefügt werden kann.
Kundenverwaltete Richtlinien
Sie können eigenständige Richtlinien ihrem eingenem AWS-Konto anlegen, die Sie Prinzipal-Entitäten (Benutzer, Gruppen und Rollen) anfügen können. Sie erstellen diese vom Kunden verwalteten Richtlinien für Ihre spezifischen Anwendungsfälle und können sie beliebig oft ändern und aktualisieren. Wie bei verwalteten AWS-Richtlinien gewähren Sie, wenn Sie eine Richtlinie an eine Prinzipal-Entität anfügen, ihr die in der Richtlinie festgelegten Berechtigungen. Wenn Sie Berechtigungen in der Richtlinie aktualisieren, werden die Änderungen auf alle Prinzipal-Entitäten angewendet, an die die Richtlinie angefügt ist.
Eine hervorragende Methode zum Erstellen einer vom Kunden verwalteten Richtlinie besteht darin, zunächst eine vorhandene, von AWS verwaltete Richtlinie zu kopieren. So wissen Sie, dass die Richtlinie zu Beginn richtig ist und Sie sie nur an Ihre Umgebung anpassen müssen.
Die vom Kunden verwalteten Richtlinien sind in der folgenden Abbildung dargestellt. Bei der jeweiligen Richtlinie handelt es sich um eine Entität in IAM mit ihrem eigenen Amazon-Ressourcenname (ARN), der den Richtliniennamen enthält. Beachten Sie, dass ein und dieselbe Richtlinie mehreren Hauptentitäten zugeordnet werden kann. So ist beispielsweise dieselbe DynamoDB-books-app-Richtlinie zwei verschiedenen IAM-Rollen zugeordnet.
Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien.
Eingebundene Richtlinien
Eine Inline-Richtlinie ist eine Richtlinie, die für eine einzelne IAM-Identität (einen Benutzer, eine Gruppe oder eine Rolle) erstellt worden ist. Inline-Richtlinien pflegen eine strikte one-to-one Beziehung zwischen einer Richtlinie und einer Identität. Sie werden gelöscht, wenn Sie die Identität löschen. Sie können eine Richtlinie erstellen und sie entweder, wenn Sie die Identität erstellen, oder später in eine Identität einbetten. Wenn eine Richtlinie für mehr als eine Entität gelten könnte, ist es besser, eine verwaltete Richtlinie zu verwenden.
Die eingebundenen Richtlinien sind in der folgenden Abbildung dargestellt. Jede Richtlinie ist unabdingbarer Bestandteil des Benutzers, der Gruppe oder der Rolle. Beachten Sie, dass zwei Rollen dieselbe Richtlinie enthalten (die Richtlinie DynamoDB-books-app), aber sie verwenden keine Richtlinie gemeinsam. Jede Rolle hat ihre eigene Kopie der Richtlinie.
