Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator

Weitere Informationen dazu, wie und warum IAM-Richtlinien verwendet werden, finden Sie unter Berechtigungen und Richtlinien in IAM.

Sie erhalten Zugriff auf die IAM-Richtliniensimulator-Konsole unter: https://policysim.aws.amazon.com/

Wichtig

Die Ergebnisse des Richtliniensimulators können von Ihrer AWS-Live-Umgebung abweichen. Wir empfehlen Ihnen, Ihre Richtlinien nach dem Testen mit dem Richtliniensimulator anhand Ihrer AWS-Live-Umgebung zu überprüfen, um sicherzustellen, dass Sie die gewünschten Ergebnisse erzielt haben. Weitere Informationen finden Sie unter Funktionsweise des IAM-Richtliniensimulators.

Mit dem IAM-Richtliniensimulator können Sie identitätsbasierte Richtlinien sowie IAM-Berechtigungsgrenzen testen und diesbezüglichen Probleme beheben. Im Folgenden finden Sie einige gängige Aktionen, die Sie mit dem Richtliniensimulator ausführen können:

  • Testen Sie die identitätsbasierten Richtlinien, die mit IAM-Benutzern, -Gruppen oder IAM-Rollen in Ihrem AWS-Konto-Konto verknüpft sind. Wenn mehrere Richtlinie mit dem Benutzer, der Gruppe oder der Rolle verknüpft sind, können Sie alle Richtlinien testen oder einzelne Richtlinien für den Test auswählen. Sie können testen, welche Aktionen die ausgewählten Richtlinien für bestimmte Ressourcen zulassen oder verweigern.

  • Testen und beheben Sie die Auswirkungen von Berechtigungsgrenzen auf IAM-Entitäten. Hinweis: Sie können jeweils nur eine Berechtigungsgrenze simulieren.

  • Testen Sie die Auswirkungen der ressourcenbasierten Richtlinien zu IAM-Benutzern, die mit AWS-Ressourcen verbunden sind, wie Amazon-S3-Buckets, Amazon-SQS-Warteschlangen, Amazon-SNS-Themen oder Amazon-S3 Glacier-Datenspeicher. Um eine ressourcenbasierte Richtlinie im Richtliniensimulator für IAM-Benutzer zu verwenden, müssen Sie die Ressource in die Simulation aufnehmen. Sie müssen außerdem das Kontrollkästchen aktivieren, um die Richtlinie dieser Ressource in die Simulation aufzunehmen.

    Anmerkung

    Die Simulation ressourcenbasierter Richtlinien wird für IAM-Rollen nicht unterstützt.

  • Wenn Ihr AWS-Konto einer AWS Organizations-Organisation angehört, können Sie testen, welche Auswirkungen Service-Kontrollrichtlinien (SCP) auf Ihre identitätsbasierten Richtlinien haben.

    Anmerkung

    Der Richtliniensimulator bewertet keine SCPs mit allen Bedingungen.

  • Testen Sie neue identitätsbasierten Richtlinien, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem Sie sie in den Richtliniensimulator eingeben oder dorthin kopieren. Diese werden nur in der Simulation verwendet, aber nicht gespeichert. Sie können eine ressourcenbasierte Richtlinie nicht in den Richtliniensimulator eingeben oder dorthin kopieren.

  • Testen Sie identitätsbasierte Richtlinien mit ausgewählten Services, Aktionen und Ressourcen. Sie können beispielsweise Ihre Richtlinie dahingehend testen, um sicherzustellen, dass sie einer Entität ermöglicht, die Aktionen ListAllMyBuckets, CreateBucket und DeleteBucket im Amazon S3-Service für einen bestimmten Bucket auszuführen.

  • Simulieren Sie realitätsnahe Szenarien durch Bereitstellen von Kontextschlüsseln, z. B. eine IP-Adresse oder ein Datum, die in den Condition-Elementen der zu testenden Richtlinien enthalten sind.

    Anmerkung

    Der Richtliniensimulator simuliert keine als Eingabe bereitgestellten Tags, wenn die identitätsbasierte Richtlinie in der Simulation kein Condition-Element enthält, das explizit nach Tags sucht.

  • Bestimmen Sie, welche spezifische Anweisung in einer identitätsbasierten Richtlinie zur Folge hat, dass Zugriff auf eine bestimmte Ressource oder Aktion gewährt oder verweigert wird.

Funktionsweise des IAM-Richtliniensimulators

Der Richtliniensimulator bewertet die Aussagen der identitätsbasierten Richtlinie und die Eingaben, die Sie während der Simulation angeben. Die Ergebnisse des Richtliniensimulators können von Ihrer AWS-Live-Umgebung abweichen. Wir empfehlen Ihnen, Ihre Richtlinien nach dem Testen mit dem Richtliniensimulator anhand Ihrer AWS-Live-Umgebung zu überprüfen, um sicherzustellen, dass Sie die gewünschten Ergebnisse erzielt haben.

Der Simulator unterscheidet sich jedoch von der AWS-Live-Umgebung wie folgt:

  • Der Richtliniensimulator stellt keine tatsächliche AWS-Serviceanforderung, sodass Sie Testanforderungen sicher testen können, die unerwünschte Änderungen an Ihrer AWS-Umgebung vornehmen könnten. Der Richtliniensimulator berücksichtigt die Schlüsselwerte des realen Kontextes in der Produktion nicht.

  • Da der Richtliniensimulator nicht die Ausführung der ausgewählten Aktionen simuliert, kann er keine Antwort auf die simulierte Anforderung melden. Als einziges Ergebnis wird zurückgegeben, ob die angeforderte Aktion gewährt oder verweigert wird.

  • Wenn Sie eine Richtlinie im Richtliniensimulator bearbeiten, wirken sich diese Änderungen nur auf den Richtliniensimulator aus. Die entsprechende Richtlinie in Ihrem AWS-Konto bleibt unverändert.

  • Sie können Service-Kontrollrichtlinien (SCPs) nicht mit beliebigen Bedingungen testen.

  • Der Richtliniensimulator unterstützt keine Simulation für IAM-Rollen und Benutzer für kontoübergreifenden Zugriff.

Anmerkung

Der IAM-Richtliniensimulator ermittelt nicht, welche Services globale Bedingungsschlüssel für die Autorisierung unterstützen. Der Richtliniensimulator erkennt beispielsweise nicht, dass ein Service aws:TagKeys nicht unterstützt.

Erforderliche Berechtigungen für die Verwendung des IAM-Richtliniensimulators

Sie können die Konsole oder die API des Richtliniensimulators zum Testen von Richtlinien verwenden. Standardmäßig können Konsolenbenutzer Richtlinien testen, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem sie diese in den Richtliniensimulator eingeben oder dorthin kopieren. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. API-Benutzer müssen die Berechtigungen zum Testen von nicht verknüpften Richtlinien besitzen. Sie können Konsolen- oder API-Benutzern erlauben, Richtlinien zu testen, die IAM-Benutzern, Benutzergruppen oder Rollen in Ihrem AWS-Konto angefügt sind. Hierzu müssen Sie die Berechtigung zum Abrufen dieser Richtlinien bereitstellen. Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

Beispiele für Konsolen- und API-Richtlinien, mit denen ein Benutzer Richtlinien simulieren kann, finden Sie unter Beispielrichtlinien: AWS Identity and Access Management (IAM).

Erforderliche Berechtigungen für die Verwendung der Richtliniensimulator-Konsole

Sie können Benutzern die Berechtigung zum Testen von Richtlinien erteilen, die Ihren IAM-Benutzern, -Gruppen oder -Rollen in Ihrem AWS-Konto angefügt sind. Hierzu müssen Sie Ihren Benutzern Berechtigungen zum Abrufen dieser Richtlinien geben. Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

Unter IAM: Zugriff auf die Richtliniensimulator-Konsole finden Sie eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-Konsole für die Richtlinien ermöglicht, die mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind.

Eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-Konsole nur für die Benutzer mit einem bestimmten Pfad ermöglicht, finden Sie unter IAM: Zugriff auf die Richtliniensimulator-Konsole basierend auf dem Benutzerpfad.

Um eine Richtlinie zu erstellen, die die Verwendung der Richtliniensimulator-Konsole nur für einen Entitätstyp ermöglicht, führen Sie die folgenden Verfahren.

So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Benutzer

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Gruppen

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

So ermöglichen Sie Konsolenbenutzern die Simulation von Richtlinien für Rollen

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Um ressourcenbasierte Richtlinien zu testen, müssen die Benutzer die Berechtigung zum Abrufen der Ressourcenrichtlinie besitzen.

So ermöglichen Sie Konsolenbenutzern das Testen von ressourcenbasierten Richtlinien in einem Amazon S3-Bucket

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • s3:GetBucketPolicy

Die folgende Richtlinie verwendet diese Aktion beispielsweise, damit Konsolenbenutzer eine ressourcenbasierte Richtlinie in einem bestimmten Amazon S3-Bucket simulieren können.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetBucketPolicy", "Resource":"arn:aws:s3:::bucket-name/*" } ] }

Erforderliche Berechtigungen für die Verwendung der Richtliniensimulator-API

Mit den Richtliniensimulator-API-Operationen GetContextKeyForCustomPolicy und SimulateCustomPolicy können Sie Richtlinien testen, die noch keinem Benutzer bzw. keiner Gruppe oder Rolle angefügt sind. Um solche Richtlinien zu testen, übergeben Sie die Richtlinien als Zeichenfolgen an die API. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen. Sie können die API auch verwenden, um Richtlinien zu testen, die IAM-Benutzern, Benutzergruppen oder Rollen in Ihrem AWS-Konto angefügt sind. Dazu müssen Sie Benutzern Berechtigungen zum Aufrufen von GetContextKeyForPrincipalPolicy und SimulatePrincipalPolicy erteilen.

Informationen zum Anzeigen einer Beispielrichtlinie, die die Verwendung der Richtliniensimulator-API für angefügte und nicht angefügte Richtlinien im aktuellen AWS-Konto ermöglicht, finden Sie unter IAM: Zugriff auf die Richtliniensimulator-API.

Um eine Richtlinie zu erstellen, die die Verwendung der Richtliniensimulator-API nur für einen Richtlinientyp ermöglicht, führen Sie die folgenden Verfahren.

So ermöglichen Sie API-Benutzern die Simulation von Richtlinien, die direkt als Zeichenfolgen an die API weitergeleitet werden

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

So ermöglichen Sie API-Benutzern die Simulation von Richtlinien, die mit IAM-Benutzern, -Gruppen, -Rollen oder IAM-Ressourcen verknüpft sind

Binden Sie die folgenden Aktionen in Ihrer Richtlinie ein:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Wenn Sie beispielsweise dem Benutzer Bob die Berechtigung zum Simulieren einer Richtlinie erteilen, die der Benutzerin Alice zugewiesen sind, gewähren Sie Bob Zugriff auf die folgende Ressource: arn:aws:iam::777788889999:user/alice.

Eine Beispielrichtlinie, die die Verwendung der Richtliniensimulator-API nur für die Benutzer mit einem bestimmten Pfad ermöglicht, finden Sie unter IAM: Zugriff auf die Richtliniensimulator-API basierend auf dem Benutzerpfad.

Verwenden des IAM-Richtliniensimulators (Konsole)

Standardmäßig können Benutzer Richtlinien testen, die noch nicht mit einem Benutzer, einer Gruppe oder einer Rolle verknüpft sind, indem sie diese in die Konsole des Richtliniensimulators eingeben oder dorthin kopieren. Diese Richtlinien werden nur in der Simulation verwendet und legen keine vertrauliche Informationen offen.

So testen Sie eine Richtlinie, die keinem Benutzer bzw. keiner Gruppe oder Rolle (Konsole) angefügt ist
  1. Öffnen Sie die IAM-Richtliniensimulatorkonsole unter https://policysim.aws.amazon.com/.

  2. Wählen Sie im Menü Mode: (Modus:) oben auf der Seite die Option New Policy (Neue Richtlinie).

  3. Wählen Sie unter Policy Sandbox (Richtlinien-Sandbox) die Option Create New Policy (Neue Richtlinie erstellen).

  4. Geben Sie eine Richtlinie in den Richtliniensimulator ein bzw. kopieren Sie sie dorthin und verwenden Sie den Richtliniensimulator wie in den folgenden Schritten beschrieben.

Sobald Sie über die Berechtigung zur Verwendung der IAM-Richtliniensimulator-Konsole verfügen, können Sie mithilfe des Richtliniensimulators einen IAM-Benutzer, eine Gruppe, Rolle oder Ressourcenrichtlinie testen.

So testen Sie eine Richtlinie, die einem Benutzer bzw. einer Gruppe oder Rolle (Konsole) angefügt ist
  1. Öffnen Sie die IAM-Richtliniensimulatorkonsole unter https://policysim.aws.amazon.com/.

    Anmerkung

    Zum Anmelden beim Richtliniensimulator als IAM-Benutzer verwenden Sie Ihre eindeutige Anmelde-URL, um sich bei der AWS Management Console anzumelden. Rufen Sie dann die Website https://policysim.aws.amazon.com/ auf. Weitere Informationen zum Anmelden als IAM-Benutzer finden Sie unter Wie sich IAM-Benutzer anmelden in AWS.

    Der Richtliniensimulator wird im Modus Existing Policies (Existierende Richtlinien) geöffnet und zeigt unter Users, Groups, and Roles (Benutzer, Gruppen und Rollen) die IAM-Benutzer in Ihrem Konto an.

  2. Wählen Sie die Option aus, die für Ihre Aufgabe geeignet ist:

    So testen Sie Folgendes: Vorgehensweise:
    Eine mit einem Benutzer verknüpfte Richtlinie Wählen Sie die Option Users (Benutzer) in der Liste Users, Groups, and Roles (Benutzer, Gruppen und Rollen). Wählen Sie dann den Benutzer.
    Eine mit einer Gruppe verknüpfte Richtlinie Wählen Sie die Option Groups (Gruppen) in der Liste Users, Groups, and Roles (Benutzer, Gruppen und Rollen). Wählen Sie dann die Gruppe.
    Eine mit einer Rolle verknüpfte Richtlinie Wählen Sie die Option Roles (Rollen) in der Liste Users, Groups, and Roles (Benutzer, Gruppen und Rollen). Wählen Sie dann die Rolle.
    Eine mit einer Ressource verknüpfte Richtlinie Siehe Schritt 9.
    Eine benutzerdefinierte Richtlinie für einen Benutzer, eine Gruppe oder eine Rolle Wählen Sie Create New Policy (Neue Richtlinie erstellen). Geben Sie im neuen Bereich Policies (Richtlinien) eine Richtlinie ein oder fügen Sie sie ein und wählen Sie dann Apply (Anwenden) aus.
    Tipp

    Um eine mit einer Gruppe verknüpfte Richtlinie zu testen, können Sie den IAM-Richtliniensimulator direkt von der IAM-Konsole aus starten: Wählen Sie im Navigationsbereich die Option Groups. Wählen Sie den Namen der Gruppe aus, für die Sie eine Richtlinie testen möchten, und klicken Sie dann auf die Registerkarte Permissions (Berechtigungen). Klicken Sie auf Simulieren.

    So testen Sie eine vom Kunden verwaltete Richtlinie, die mit einem Benutzer verknüpft ist: Wählen Sie im Navigationsbereich die Option Users (Benutzer). Klicken Sie auf den Namen des Benutzers, für den Sie eine Richtlinie testen möchten. Klicken Sie dann auf die Registerkarte Permissions (Berechtigungen) und erweitern Sie die zu testende Richtlinie. Wählen Sie ganz rechts die Option Simulate policy (Richtlinie simulieren). Der IAM-Richtliniensimulator wird in einem neuen Fenster geöffnet, in dem die ausgewählte Richtlinie im Bereich Policies angezeigt wird.

  3. (Optional) Wenn Ihr Konto Mitglied einer Organisation in AWS Organizations ist, dann aktivieren Sie das Kontrollkästchen neben AWS Organizations-SCPs, um SCPs in Ihre simulierte Bewertung einzubeziehen. SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) festlegen. Die SCP beschränkt Berechtigungen für Entitäten in Mitgliedskonten. Wenn eine Service-Kontrollrichtlinie einen Service oder eine Aktion blockiert, kann keine Entität in diesem Konto auf diesen Service zugreifen oder diese Aktion ausführen. Dies gilt auch, wenn ein Administrator diesem Service oder dieser Aktion über eine IAM- oder Ressourcenrichtlinie explizit Berechtigungen erteilt.

    Wenn Ihr Konto kein Mitglied einer Organisation ist, wird das Kontrollkästchen nicht angezeigt.

  4. (Optional) Sie können eine Richtlinie testen, die als Berechtigungsgrenze für eine IAM-Entity (Benutzer oder Rolle) festgelegt ist, jedoch nicht für Gruppen. Wenn derzeit eine Berechtigungsgrenzen-Richtlinie für die Entity festgelegt ist, wird sie im Bereich Policies (Richtlinien) angezeigt. Sie können nur eine Berechtigungsgrenze für eine Entity festlegen. Um eine andere Berechtigungsgrenze zu testen, können Sie eine benutzerdefinierte Berechtigungsgrenze erstellen. Wählen Sie dazu die Option Create New Policy (Neue Richtlinie erstellen). Ein neuer Bereich Policies (Richtlinien) wird geöffnet. Wählen Sie im Menü Custom IAM Permissions Boundary Policy (Richtlinie zu benutzerdefinierten IAM-Berechtigungsgrenzen). Geben Sie einen Namen für die neue Richtlinie und anschließend im Feld unten eine Richtlinie ein oder kopieren Sie sie in das Feld. Wählen Sie Apply (Anwenden) aus, um die Richtlinie zu speichern. Wählen Sie als Nächstes Back (Zurück) aus, um zum ursprünglichen Bereich Policies (Richtlinien) zurückzukehren. Aktivieren Sie dann das Kontrollkästchen neben der Berechtigungsgrenze, die Sie für die Simulation verwenden möchten.

  5. (Optional) Sie können nur eine Teilmenge von Richtlinien testen, die einem Benutzer, einer Gruppe oder einer Rolle angefügt sind. Deaktivieren Sie dazu im Bereich Policies (Richtlinien) das Kontrollkästchen neben jeder Richtlinie, die Sie ausschließen möchten.

  6. Klicken Sie unter Policy Simulator (Richtliniensimulator) auf Select service (Service wählen) und wählen Sie den zu testenden Service. Klicken Sie dann auf Select actions (Aktionen wählen) und wählen Sie eine oder mehrere zu testende Aktionen. Obwohl in den Menüs die verfügbaren Auswahlmöglichkeiten für nur jeweils einen Service aufgeführt werden, werden unter Action Settings and Results (Aktionseinstellungen und Ergebnisse) sämtliche von Ihnen ausgewählte Services und Aktionen angezeigt.

  7. (Optional) Wenn eine der in Schritt 2 und Schritt 5 ausgewählten Richtlinien Bedingungen mit den AWSglobalen Bedingungsschlüsseln enthält, dann geben Sie Werte für diese Schlüssel an. Erweitern Sie hierzu den Abschnitt Global Settings (Globale Einstellungen) und geben Sie die entsprechenden Werte für die dort angezeigten Schlüsselnamen ein.

    Warnung

    Wenn Sie den Wert für einen Bedingungsschlüssel nicht angeben, wird dieser Schlüssel während der Simulation ignoriert. In einigen Fällen führt dies zu einem Fehler und die Ausführung der Simulation schlägt fehl. In anderen Fällen wird die Simulation ausgeführt, doch die Ergebnisse sind möglicherweise nicht zuverlässig. In diesen Fällen entspricht die Simulation nicht den realen Bedingungen, zu denen ein Wert für den Bedingungsschlüssel oder die Variable gehört.

  8. (Optional) Jede ausgewählte Aktion wird in der Liste Action Settings and Results (Aktionseinstellungen und Ergebnisse) mit dem Status Not simulated (Nicht simuliert) in der Spalte Permission (Berechtigung) angezeigt, bis Sie die Simulation tatsächlich ausführen. Bevor Sie die Simulation ausführen, können Sie die jeweilige Aktion mit einer Ressource konfigurieren. Um einzelne Aktionen für ein bestimmtes Szenario zu konfigurieren, klicken Sie auf den Pfeil, um die Zeile der Aktion zu erweitern. Wenn die Aktion Berechtigungen auf Ressourcenebene unterstützt, können Sie den Amazon-Ressourcenname (ARN) der betreffenden Ressource eingeben, deren Zugriff Sie testen möchten. Standardmäßig ist jede Ressource mit einem Platzhalter (*) festgelegt. Sie können auch einen Wert für jeden Bedingungskontextschlüssel angeben. Wie bereits erwähnt, werden Schlüssel mit leeren Werten ignoriert. Dies kann dazu führen, dass die Simulation fehlschlägt oder die Ergebnisse unzuverlässig sind.

    1. Klicken Sie auf den Pfeil neben dem Namen der Aktion, um jede Zeile zu erweitern, und konfigurieren Sie zusätzliche Informationen, die zur genauen Simulation der Aktion in Ihrem Szenario erforderlich sind. Wenn die Aktion Berechtigungen auf Ressourcenebene erfordert, können Sie den Amazon-Ressourcenname (ARN) der bestimmten Ressource eingeben, für die Sie den Zugriff simulieren möchten. Standardmäßig ist jede Ressource mit einem Platzhalter (*) festgelegt.

    2. Wenn die Aktion Berechtigungen auf Ressourcenebene unterstützt, diese jedoch nicht benötigt, können Sie auf Add Resource (Ressource hinzufügen) klicken, um den Ressourcentyp auszuwählen, den Sie zur Simulation hinzufügen möchten.

    3. Wenn eine der ausgewählten Richtlinien ein Condition-Element enthält, das auf einen Kontextschlüssel für den Service dieser Aktion verweist, wird dieser Schlüsselname unter der Aktion angezeigt. Sie können den Wert festlegen, der bei der Simulation dieser Aktion für die angegebene Ressource verwendet werden soll.

    Aktionen, die verschiedene Gruppen von Ressourcentypen erfordern

    Unter verschiedenen Umständen erfordern einige Aktionen unterschiedliche Ressourcentypen. Jede Gruppe von Ressourcentypen ist mit einem Szenario verknüpft. Wenn eines dieser Szenarien auf Ihre Simulation zutrifft, wählen Sie es. Der Richtliniensimulator benötigt die für das jeweilige Szenario geeigneten Ressourcentypen. In der folgenden Liste werden alle unterstützten Szenariomöglichkeiten sowie die Ressourcen angezeigt, die Sie zum Ausführen der Simulation definieren müssen.

    Alle der folgenden Amazon EC2-Szenarien setzen voraus, dass Sie die Ressourcen instance, image und security-group festlegen. Wenn Ihr Szenario ein EBS-Volume enthält, müssen Sie dieses volume als Ressource festlegen. Wenn das Amazon EC2-Szenario eine Virtual Private Cloud (VPC) umfasst, müssen Sie die Ressource network-interface angeben. Wenn es ein IP-Subnetz umfasst, müssen Sie die Ressource subnet angeben. Weitere Informationen zu Amazon EC2-Szenarien finden Sie unter Unterstützte Plattformen im Amazon EC2 Leitfaden.

    • EC2-VPC-InstanceStore

      instance, image, security-group, network-interface

    • EC2-VPC-InstanceStore-Subnet

      instance, image, security-group, network-interface, subnet

    • EC2-VPC-EBS

      instance, image, security-group, network-interface, volume

    • EC2-VPC-EBS-Subnet

      instance, image, security-group, network-interface, subnet, volume

  9. (Optional) Wenn Sie eine ressourcenbasierte Richtlinie in Ihre Simulation einbinden möchten, müssen Sie zunächst die Aktionen auswählen, die Sie für diese Ressource in Schritt 6 simulieren möchten. Erweitern Sie die Zeilen für die ausgewählten Aktionen und geben Sie den ARN der Ressource mit einer zu simulierenden Richtlinie ein. Wählen Sie anschließend die Option Include Resource Policy (Ressourcenrichtlinie einschließen) neben dem Textfeld ARN. Der IAM-Richtliniensimulator unterstützt derzeit nur ressourcenbasierte Richtlinien der folgenden Services: Amazon S3 (nur ressourcenbasierte Richtlinien, ACLs werden derzeit nicht unterstützt), Amazon SQS, Amazon SNS und entsperrte S3 Glacier-Tresore (gesperrte Tresore werden derzeit nicht unterstützt).

  10. Wählen Sie rechts oben die Option Run Simulation (Simulationen ausführen).

    Die Spalte Permission (Berechtigung) in der jeweiligen Zeile der Liste Action Settings and Results (Aktionseinstellungen und Ergebnisse) zeigt das Simulationsergebnis dieser Aktion für die angegebene Ressource an.

  11. Um festzustellen, welche Anweisung in einer Richtlinie explizit eine Aktion zulässt oder verweigert, wählen Sie den Link N matching statement(s) (übereinstimmende Aussage(n)) in der Spalte Permissions (Berechtigungen) aus, um die Zeile zu erweitern. Klicken Sie dann auf den Link Show statement (Anweisung anzeigen). Im Bereich Policies (Richtlinien) wird die relevante Richtlinie mit der Anweisung, die das Simulationsergebnis beeinflusst hat, hervorgehoben angezeigt.

    Anmerkung

    Wenn eine Aktion implizit verweigert wird d. h. wenn die Aktion nur verweigert wird, weil sie nicht explizit zugelassen ist, werden die Optionen List (Anweisung auflisten) und Show statement (Anweisung anzeigen) nicht angezeigt.

Fehlerbehebung bei Meldungen in der Konsole des IAM-Richtliniensimulators

In der folgenden Tabelle werden die Informations- und Warnmeldungen aufgeführt, die bei der Verwendung des IAM-Richtliniensimulators auftreten können. Die Tabelle enthält außerdem Schritte, die Sie zur Fehlerbehebung ausführen können.

Fehlermeldung Schritte zur Fehlerbehebung
Diese Richtlinie wurde bearbeitet. Änderungen werden nicht in Ihrem Konto gespeichert.

Es ist keine Aktion erforderlich.

Diese Meldung dient nur zu Informationszwecken. Wenn Sie eine vorhandene Richtlinie im IAM-Richtliniensimulator bearbeiten, wirkt sich die Änderung nicht auf Ihr AWS-Konto aus. Die Richtliniensimulator ermöglicht es Ihnen, ausschließlich für Testzwecke Änderungen an Richtlinien vorzunehmen.

Die Ressourcenrichtlinie kann nicht abgerufen werden. Grund: detaillierte Fehlermeldung Der Richtliniensimulator kann nicht auf eine angeforderte ressourcenbasierte Richtlinie zugreifen. Vergewissern Sie sich, dass der angegebene Ressourcen-ARN korrekt ist und dass der Benutzer, der die Simulation ausführt, die Berechtigung zum Lesen der Ressourcenrichtlinie besitzt.
Eine oder mehrere Richtlinien benötigen Werte in den Simulationseinstellungen. Ohne diese Werte schlägt die Simulation möglicherweise fehl.

Diese Meldung wird angezeigt, wenn die getestete Richtlinie Bedingungsschlüssel oder Variablen enthält, Sie jedoch keine Werte für diese Schlüssel oder Variablen unter Simulation Settings (Simulationseinstellungen) angegeben haben.

Um diese Meldung zu schließen, wählen Sie Simulation Settings (Simulationseinstellungen) aus und geben einen Wert für den jeweiligen Bedingungsschlüssel oder die jeweilige Variable ein.

Sie haben Richtlinien geändert. Diese Ergebnisse sind nicht mehr gültig.

Diese Meldung wird angezeigt, wenn Sie die ausgewählte Richtlinie geändert haben, während die Ergebnisse im Bereich Results (Ergebnisse) angezeigt wurden. Die im Bereich Results (Ergebnisse) angezeigten Ergebnisse wird nicht dynamisch aktualisiert.

Um diese Meldung zu schließen, wählen Sie erneut Run Simulation (Simulation ausführen) aus, um die neuen Simulationsergebnisse basierend auf den im Bereich Policies (Richtlinien) vorgenommenen Änderungen anzuzeigen.

Die Ressource, die Sie für diese Simulation eingegeben haben, entspricht nicht diesem Service.

Diese Meldung wird angezeigt, wenn Sie einen Amazon-Ressourcenname (ARN) im Bereich Simulation Settings (Simulationseinstellungen) eingegeben haben, der nicht dem Service entspricht, den Sie für die aktuelle Simulation ausgewählt haben. Diese Meldung wird z. B. angezeigt, wenn Sie einen ARN für eine Amazon DynamoDB-Ressource angeben, jedoch Amazon Redshift als zu simulierenden Service auswählen.

Führen Sie einen der folgenden Schritte aus, um diese Meldung zu schließen:

  • Entfernen Sie den ARN aus dem Feld im Bereich Simulation Settings (Simulationseinstellungen).

  • Wählen Sie den Service aus, der dem unter Simulation Settings (Simulationseinstellungen) festgelegten ARN entspricht.

Diese Aktion gehört zu einem Service, der zusätzlich zu ressourcenbasierten Richtlinien spezielle Zugriffskontrollmechanismen unterstützt, wie z. B. Amazon S3 ACLs oder S3 Glacier Vault Lock-Richtlinien. Der Richtliniensimulator bietet keine Unterstützung für diese Mechanismen, sodass sich die Ergebnisse von Ihrer Produktionsumgebung unterscheiden können.

Es ist keine Aktion erforderlich.

Diese Meldung dient nur zu Informationszwecken. In der aktuellen Version bewertet der Richtliniensimulator Richtlinien, die mit Benutzern und Benutzergruppen verknüpft sind, und kann ressourcenbasierte Richtlinien für Amazon S3, Amazon SQS, Amazon SNS und S3 Glacier bewerten. Der Richtliniensimulator unterstützt nicht alle Zugriffskontrollmechanismen, die von anderen AWS-Services unterstützt werden.

DynamoDB FGAC wird derzeit nicht unterstützt.

Es ist keine Aktion erforderlich.

Diese Informationsmeldung bezieht sich auf eine differenzierte Zugriffskontrolle. Eine fein abgestimmte Zugriffskontrolle bietet die Möglichkeit, IAM-Richtlinienbedingungen zu verwenden, um zu bestimmen, wer auf einzelne Datenelemente und Attribute in DynamoDB-Tabellen und -Indizes zugreifen kann. Sie bezieht sich auch auf die Aktionen, die für diese Tabellen und Indizes ausgeführt werden können. Die aktuelle Version des IAM-Richtliniensimulators bietet keine Unterstützung für diesen Typ von Richtlinienbedingungen. Weitere Informationen zur fein abgestuften DynamoDB-Zugriffskontrolle finden Sie unter Fein abgestufte Zugriffskontrolle für DynamoDB.

Sie verfügen über Richtlinien, die nicht mit der Richtliniensyntax übereinstimmen. Sie können die Richtlinienvalidierung zum Überprüfen und Akzeptieren der empfohlenen Updates für Ihre Richtlinien verwenden.

Diese Meldung wird oben über der Richtlinienliste angezeigt, wenn Sie über Richtlinien verfügen, die nicht die IAM-Richtliniengrammatik erfüllen. Um diese Richtlinien zu simulieren, lesen Sie die Optionen für die Richtlinienvalidierung unter Validieren von IAM-Richtlinien, um diese Richtlinien zu identifizieren und zu beheben.

Diese Richtlinie muss aktualisiert werden, um die neuesten Regeln der Richtliniensyntax zu erfüllen.

Diese Meldung wird angezeigt, wenn Ihre Richtlinien nicht der IAM-Richtliniengrammatik entsprechen. Um diese Richtlinien zu simulieren, lesen Sie die Optionen für die Richtlinienvalidierung unter Validieren von IAM-Richtlinien, um diese Richtlinien zu identifizieren und zu beheben.

Verwenden des IAM-Richtliniensimulators (AWS CLI und AWS-API)

Die Befehle des Richtliniensimulators erfordern den Aufruf von API-Operationen für die folgenden zwei Aktionen:

  1. Bewerten der Richtlinien und Zurückgeben der Liste der Kontextschlüssel, auf die sie verweisen. Sie müssen wissen, auf welche Kontextschlüssel verwiesen wird, sodass Sie im nächsten Schritt Werte für diese angeben können.

  2. Simulieren von Richtlinien, wobei eine Liste der Aktionen, Ressourcen und Kontextschlüssel bereitgestellt wird, die während der Simulation verwendet werden.

Aus Sicherheitsgründen werden die API-Operationen in zwei Gruppen unterteilt:

In beiden Fällen simulieren die API-Operationen die Auswirkungen einzelner oder mehrerer Richtlinien auf eine Liste der Aktionen und Ressourcen. Die jeweilige Aktion bildet mit der jeweiligen Ressource ein Paar. Die Simulation bestimmt, ob die Richtlinien diese Aktion für diese Ressource zulassen oder verweigern. Sie können auch Werte für Kontextschlüssel angeben, auf die Ihre Richtlinien verweisen. Sie können die Liste der Kontextschlüssel abrufen, auf die die Richtlinien verweisen, indem Sie zuerst GetContextKeysForCustomPolicy oder GetContextKeysForPrincipalPolicy aufrufen. Wenn Sie keinen Wert für einen Kontextschlüssel angeben, wird die Simulation weiterhin ausgeführt. Die Ergebnisse sind jedoch möglicherweise nicht zuverlässig, da der Richtliniensimulator diesen Kontextschlüssel nicht in der Bewertung berücksichtigen kann.

So rufen Sie die Liste der Kontextschlüssel ab (AWS CLI, AWS-API)

Verwenden Sie die folgenden Informationen, um eine Liste von Richtlinien zu bewerten und eine Liste der Kontextschlüssel zurückzugeben, die in den Richtlinien verwendet werden.

So simulieren Sie IAM-Richtlinien (AWS CLI, AWS-API)

Verwenden Sie die folgenden Informationen zum Simulieren von IAM-Richtlinien, um die effektiven Berechtigungen eines Benutzers zu bestimmen.