Grundlegendes zu Zugriffsebenen in Richtlinienübersichten - AWS Identitäts- und Zugriffsverwaltung
AWS Übersicht über die ZugriffsebeneAWS -Zugriffsebenen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu Zugriffsebenen in Richtlinienübersichten

AWS Übersicht über die Zugriffsebene

Richtlinienübersichten enthalten eine Übersicht auf Zugriffsebene, in der die Aktionsberechtigungen beschrieben werden, die für jeden in der Richtlinie erwähnten Service definiert sind. Weitere Informationen zu Richtlinienübersichten finden Sie unter Grundlegendes zu von Richtlinien gewährten Berechtigungen. Übersichten über die Zugriffsebenen enthalten Angaben darüber, ob die Aktionen in jeder Zugriffsebene (List, Read, Tagging, Write, und Permissions management) die in der Richtlinie definierten Berechtigungen Full oder Limited haben. Informationen zur Klassifizierung der Zugriffsebene, die jeder Aktion in einem Service zugewiesen ist, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Services.

Im nachfolgenden Beispiel werden die Zugriffsebenen beschrieben, die in einer Richtlinie für bestimmte Services gewährt werden. Beispiele mit vollständigen JSON-Richtliniendokumenten sowie deren Übersichten finden Sie unter Beispiele für Richtlinienübersichten.

Service Zugriffsebene Diese Richtlinie bietet Folgendes:
IAM Vollzugriff Zugriff auf alle Aktionen innerhalb des IAM-Services
CloudWatch Full: List Zugriff auf alle CloudWatch Aktionen auf der List Zugriffsebene, aber kein Zugriff auf Aktionen mit der Permissions management Zugriffsebenenklassifizierung Read, Writeoder .
Data Pipeline Limited: List, Read Zugriff auf mindestens eine, aber nicht auf alle AWS Data Pipeline Aktionen auf der Read Zugriffsebene List und , aber nicht auf die Permissions management Aktionen Write oder .
EC2 Full: List, Read Limited: Write Zugriff auf alle Amazon EC2 List- und Read-Aktionen und Zugriff auf mindestens eine, aber nicht alle Amazon EC2 Write-Aktionen, aber kein Zugriff auf Aktionen mit der Permissions management-Zugriffsstufeneinteilung.
S3 Limited: Read, Write, Permissions management Zugriff auf mindestens eine, aber nicht alle Amazon S3-Aktionen mit Read, Write und Permissions management
CodeDeploy (empty) Unbekannter Zugriff, weil dieser Service in IAM nicht erkannt wird.
API Gateway None In der Richtlinie wird kein Zugriff festgelegt.
CodeBuild a white exclamation point on an organe triangle background Es sind keine Aktionen definiert. Kein Zugriff, da keine Aktionen für den Service definiert sind. Weitere Informationen zum Verständnis und zum Beheben dieses Problems finden Sie unter Meine Richtlinie erteilt nicht die erwarteten Berechtigungen.

Wie zuvor erwähnt, gibt Full access (Voller Zugriff) an, dass die Richtlinie Zugriff auf alle Aktionen innerhalb des Services bietet. Richtlinien, die Zugriff auf einige, aber nicht alle Aktionen innerhalb eines Services gewähren, werden entsprechend der Zugriffsebenenklassifizierung gruppiert. Diese Zugriffsebenengruppen sind Folgende:

  • Full: Die Richtlinie bietet Zugriff auf alle Aktionen in der angegebenen Zugriffsebenenklassifizierung.

  • Limited: Die Richtlinie bietet Zugriff auf eine oder mehrere Aktionen in der angegebenen Zugriffsebenenklassifizierung, jedoch nicht auf alle Aktionen.

  • None: Die Richtlinie bietet keinen Zugriff.

  • (leer): Dieser Service wird in IAM nicht erkannt. Wenn der Servicename einen Tippfehler enthält, gewährt die Richtlinie keinen Zugriff auf den Service. Wenn der Servicename korrekt ist, werden Richtlinienübersichten von diesem Service möglicherweise nicht unterstützt oder befindet sich in der Vorschau. In diesem Fall kann es sein, dass die Richtlinie Zugriff gewährt, dieser Zugriff kann jedoch nicht in der Richtlinienübersicht angezeigt werden. Informationen dazu, wie Sie Unterstützung der Richtlinienübersicht für einen allgemein verfügbaren (GA) Service anfordern, finden Sie unter Der Service unterstützt keine IAM-Richtlinienübersichten.

Zusammenfassungen der Zugriffsebene, die eingeschränkten (teilweisen) Zugriff auf -Aktionen enthaltenTagging, werden nach den AWS Zugriffsebenenklassifizierungen List, Read, Write, oder gruppiertPermissions management.

AWS -Zugriffsebenen

AWS definiert die folgenden Zugriffsebenenklassifizierungen für die Aktionen in einem Service:

  • List: Die Berechtigung zum Auflisten von Ressourcen innerhalb des Services, um zu bestimmen, ob ein Objekt vorhanden ist. Aktionen mit dieser Zugriffsebene können Objekte auflisten, aber nicht die Inhalte einer Ressource sehen. Zum Beispiel hat die Amazon S3-Aktion ListBucket die Zugriffsebene List.

  • Read: Die Berechtigung zum Lesen, jedoch nicht zum Bearbeiten der Inhalte und Attribute der Ressourcen innerhalb des Services. Zum Beispiel haben die Amazon S3-Aktionen GetObject und GetBucketLocation die Zugriffsebene Read.

  • Tagging: Die Berechtigung zum Ausführen von Aktionen, die nur den Status der Ressourcen-Tags ändern. Beispielsweise verfügen die IAM-Aktionen TagRole und UntagRole über die Zugriffsebene Tagging (Markieren), da sie nur eine Rolle markieren oder die Markierung der Rolle entfernen können. Die CreateRole-Aktion ermöglicht jedoch das Markieren einer Rolle, wenn Sie diese Rolle erstellen. Da die Aktion nicht nur ein Tag hinzufügt, hat sie auch die Zugriffsebene Write.

  • Write: Die Berechtigung zum Erstellen, Löschen oder Ändern von Ressourcen innerhalb des Services. Beispielsweise verfügen die Amazon S3-Aktionen CreateBucket, DeleteBucket und PutObject über die Zugriffsebene Write. Write-Aktionen lassen es möglicherweise auch zu, einen Ressourcen-Tag zu ändern. Jedoch verfügt eine Aktion, die nur Änderungen an Tags zulässt, über die Zugriffsebene Tagging.

  • Permissions management: Die Berechtigung zum Erteilen oder Ändern von Ressourcenberechtigungen innerhalb des Services. Beispielsweise verfügen die meisten IAM- und - AWS Organizations Aktionen sowie Aktionen wie die Amazon S3-Aktionen PutBucketPolicy und DeleteBucketPolicy über die Zugriffsebene Berechtigungsverwaltung.

    Tipp

    Um die Sicherheit Ihres zu verbessern AWS-Konto, sollten Sie Richtlinien einschränken oder regelmäßig überwachen, die die Klassifizierung der Zugriffsebene für die Berechtigungsverwaltung enthalten.

Informationen zur Klassifizierung der Zugriffsebene für alle Aktionen in einem Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Services.