Anzeigen von Richtlinienübersichten Bearbeiten von Richtlinien zur Behebung von Warnungen Elemente einer Richtlinienübersicht SummaryAllElements ein JSON-Richtliniendokument

Richtlinienübersicht (Liste der Services)

Richtlinien werden in drei Tabellen zusammengefasst: Richtlinienübersicht, Serviceübersicht und Aktionsübersicht. In der Tabelle Richtlinienübersicht werden die Services und die Übersichten der für die ausgewählte Richtlinie definierten Berechtigungen aufgelistet.

Abbildung des Richtlinienübersichtdiagramms, die die drei Tabellen und deren Beziehung darstellt

Die Tabelle der Richtlinienübersicht ist in eine oder mehrere Abschnitte gruppiert: Uncategorized services (Nicht kategorisierte Services), Explicit deny (Explizite Zugriffsverweigerung) und Allow (Erlauben). Wenn die Richtlinie einen Service enthält, den IAM nicht erkennt, ist der Service im Abschnitt Uncategorized services der Tabelle enthalten. Wenn IAM den Service erkennt, ist er je nach Auswirkung der Richtlinie ( oder ) im Abschnitt Explicit deny oder DenyAllowAllow der Tabelle enthalten.

Anzeigen von Richtlinienübersichten

Sie können die Zusammenfassungen aller Richtlinien einsehen, die an einen Benutzer angehängt sind, indem Sie auf der Seite mit den Benutzerdetails auf der Registerkarte Permissions (Berechtigungen) den Richtliniennamen auswählen. Sie können die Zusammenfassungen aller Richtlinien einsehen, die an eine Rolle angehängt sind, indem Sie auf der Seite mit den Rollendetails auf der Registerkarte Permissions (Berechtigungen) den Richtliniennamen auswählen. Sie können die Richtlinienübersicht für alle verwalteten Richtlinien auf der Seite Policies (Richtlinien) einsehen. Wenn Ihre Richtlinie keine Richtlinienübersicht enthält, finden Sie unter Übersicht fehlender Richtlinien Informationen zu den Gründen dafür.

So zeigen Sie die Richtlinienübersicht auf der Seite Policies (Richtlinien) an

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Policies.
Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.
Wählen Sie auf der Seite Policy details (Richtliniendetails) der Richtlinie die Registerkarte Permissions (Berechtigungen) aus, um die Richtlinienübersicht anzuzeigen.

So zeigen Sie die Übersicht für eine an einen Benutzer angefügte Richtlinie an

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Users (Benutzer).
Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten.
Wählen Sie auf der Seite Summary (Übersicht) des Benutzers die Registerkarte Permissions (Berechtigungen) aus, um die Liste der Richtlinien anzuzeigen, die direkt oder aus einer Gruppe an den Benutzer angefügt werden.
Erweitern Sie in der Richtlinientabelle des Benutzers die Zeile der anzuzeigenden Richtlinie.

So zeigen Sie die Übersicht für eine an eine Rolle angefügte Richtlinie an

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Rollen aus.
Wählen Sie in der Rollenliste den Namen der Rolle aus, deren Richtlinie Sie anzeigen möchten.
Wählen Sie auf der Seite Summary (Zusammenfassung) der Rolle die Registerkarte Permissions (Berechtigungen) aus, um die Liste der Richtlinien anzuzeigen, die der Rolle zugeordnet sind.
Erweitern Sie in der Richtlinientabelle der Rolle die Zeile der anzuzeigenden Richtlinie.

Bearbeiten von Richtlinien zur Behebung von Warnungen

Beim Anzeigen einer Richtlinienübersicht erkennen Sie möglicherweise einen Rechtschreibfehler oder Sie stellen fest, dass die Richtlinie nicht die erwarteten Berechtigungen hat. Sie können eine Richtlinienübersicht nicht direkt bearbeiten. Sie können jedoch eine individuell verwaltete Richtlinie mit dem visuellen Richtlinieneditor bearbeiten, der viele der Fehler und Warnungen erfasst, die in den Richtlinienzusammenfassungsberichten angezeigt werden. Sie können dann die Änderungen in der Zusammenfassung einsehen, um zu prüfen, ob Sie alle Probleme behoben haben. Informationen zum Bearbeiten einer Inline-Richtlinie finden Sie unter Bearbeiten von IAM-Richtlinien. Sie können AWS verwaltete Richtlinien nicht bearbeiten.

So bearbeiten Sie eine Richtlinie für die Richtlinienübersicht mit der Visual-Option

Öffnen Sie die Richtlinienübersicht wie in den vorherigen Verfahren erläutert.
Wählen Sie Bearbeiten aus.

Wenn Sie die Seite Users (Benutzer) geöffnet haben und eine vom Kunden verwaltete Richtlinie bearbeiten möchten, die mit diesem Benutzer verknüpft ist, werden Sie zur Seite Policies (Richtlinien) weitergeleitet. Die vom Kunden verwalteten Richtlinien können nur auf der Seite Policies (Richtlinien) bearbeitet werden.
Wählen Sie die Visual-Option aus, um die bearbeitungsfähige, visuelle Darstellung Ihrer Richtlinie anzuzeigen. IAM kann Ihre Richtlinie umstrukturieren, um sie für den visuellen Editor zu optimieren und Ihnen das Auffinden und Beheben von Problemen zu erleichtern. Die Warnungen und Fehlermeldungen auf der Seite können Ihnen helfen, Probleme mit Ihrer Richtlinie zu beheben. Weitere Informationen zur Restrukturierung von Richtlinien durch IAM finden Sie unter Umstrukturierung einer Richtlinie.
Bearbeiten Sie die Richtlinien und wählen Sie Next (Weiter) aus, um die übernommenen Änderungen in der Richtlinienübersicht einzusehen. Wenn Sie noch immer ein Problem sehen, wählen Sie Previous (Zurück) aus, um zur Bearbeitungsseite zurückzukehren.
Wählen Sie Änderungen speichern aus, um Ihre Änderungen zu speichern.

So bearbeiten Sie eine Richtlinie für die Richtlinienübersicht mit der JSON-Option

Öffnen Sie die Richtlinienübersicht wie in den vorherigen Verfahren erläutert.
Verwenden Sie die Schaltflächen Summary (Übersicht) und JSON, um die Richtlinienübersicht und dem JSON-Richtliniendokument zu vergleichen. Anhand dieser Informationen können Sie bestimmen, welche Zeilen im Richtliniendokument Sie ändern möchten.
Wählen Sie Edit (Bearbeiten) und anschließend die JSON-Option aus, um das JSON-Richtliniendokument zu bearbeiten.

Anmerkung
Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder in der Editoroption Visual Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

Wenn Sie die Seite Users (Benutzer) geöffnet haben und eine vom Kunden verwaltete Richtlinie bearbeiten möchten, die mit diesem Benutzer verknüpft ist, werden Sie zur Seite Policies (Richtlinien) weitergeleitet. Die vom Kunden verwalteten Richtlinien können nur auf der Seite Policies (Richtlinien) bearbeitet werden.
Bearbeiten Sie Ihre Richtlinie. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter. Wenn Sie noch immer ein Problem sehen, wählen Sie Previous (Zurück) aus, um zur Bearbeitungsseite zurückzukehren.
Wählen Sie Änderungen speichern aus, um Ihre Änderungen zu speichern.

Elemente einer Richtlinienübersicht

Im folgenden Beispiel einer Seite mit Richtliniendetails handelt es sich bei der SummaryAllElementsRichtlinie um eine verwaltete Richtlinie (vom Kunden verwaltete Richtlinie), die direkt an den Benutzer angehängt ist. Diese Richtlinie wird erweitert, um die Richtlinienübersicht einzublenden.

Abbildung des Dialogfelds für die Richtlinienübersicht

In der vorhergehenden Abbildung wird die Richtlinienübersicht auf der Seite Policies (Richtlinien) angezeigt:

Auf der Registerkarte Permissions (Berechtigungen) werden die in der Richtlinie definierten Berechtigungen angezeigt.
Wenn die Richtlinie nicht Berechtigungen für alle Aktionen, Ressourcen und Bedingungen erteilt, die in der Richtlinie definiert sind, wird oben auf der Seite ein Warn- oder Fehlerbanner angezeigt. Die Richtlinienübersicht enthält dann Details zu dem Problem. Informationen dazu, wie Richtlinienübersichten dabei helfen, Probleme mit den Berechtigungen, die durch Ihre Richtlinie erteilt werden, zu verstehen und zu beheben, finden Sie unter Meine Richtlinie erteilt nicht die erwarteten Berechtigungen.
Verwenden Sie die Schaltflächen Summary (Übersicht) und JSON, um zwischen der Richtlinienübersicht und dem JSON-Richtliniendokument zu wechseln.
Verwenden Sie das Feld Search (Suche), um die Liste der Services zu kürzen und nach einem bestimmten Service zu suchen.
In der erweiterten Ansicht werden zusätzliche Details der SummaryAllElementsRichtlinie angezeigt.

Die folgende Tabelle mit der Zusammenfassung der Richtlinie zeigt die erweiterte SummaryAllElementsRichtlinie auf der Seite mit den Richtliniendetails.

In der vorhergehenden Abbildung wird die Richtlinienübersicht auf der Seite Policies (Richtlinien) angezeigt:

Solche Services, die IAM erkennt, werden entsprechend in Gruppen eingeteilt, je nachdem, ob die Richtlinie die Verwendung des Services zulässt oder explizit verweigert. In diesem Beispiel umfasst die Richtlinie eine Deny Erklärung für den Amazon S3 S3-Service und Allow Kontoauszüge für die Billing CodeDeploy - und Amazon EC2-Services.
Service – In dieser Spalte werden die in der Richtlinie definierten Services aufgelistet und die Details für den jeweiligen Service angegeben. Jeder Servicename in der Richtlinienübersichtstabelle ist als Link zur Tabelle Serviceübersicht formatiert, die unter Serviceübersicht (Liste der Aktionen) erläutert wird. In diesem Beispiel werden Berechtigungen für die Amazon S3- CodeDeploy, Billing- und Amazon EC2-Services definiert.
Access Level (Zugriffsebene) – In dieser Spalte ist angegeben, ob die Aktionen in jeder Zugriffsebene (List, Read, Write, Permission Management und Tagging) über die in der Richtlinie definierten Berechtigungen Full oder Limited verfügen. Weitere Informationen und Beispiele für die Zugriffsebenenübersicht finden Sie unter Zugriffsebenen in Richtlinienzusammenfassungen verstehen.
- Full access (Voller Zugriff) – Dieser Eintrag gibt an, dass der Service Zugriff auf alle Aktionen in den für den Service verfügbaren vier Zugriffsebenen hat.
- Wenn der Eintrag nicht Full access (Voller Zugriff) enthält, hat der Service Zugriff nur auf einige, aber nicht auf alle Aktionen des Services. Der Zugriff wird dann durch die folgenden Beschreibungen für jede der Zugriffsebenenklassifizierungen (List, Read, Write, Permission Management und Tagging) definiert:
  
  Full (Voll): Die Richtlinie bietet Zugriff auf alle Aktionen in jeder der aufgeführten Zugriffsebenenklassifizierungen. In diesem Beispiel bietet die Richtlinie Zugriff auf alle Read-Fakturierungsaktionen.
  
  Limited (Beschränkt): Die Richtlinie bietet Zugriff auf eine oder mehrere Aktionen in jeder der aufgeführten Zugriffsebenenklassifizierungen, jedoch nicht auf alle Aktionen. In diesem Beispiel bietet die Richtlinie Zugriff auf einige Write-Fakturierungsaktionen.
Resource (Ressource) – In dieser Spalte werden die Ressourcen aufgelistet, die die Richtlinie für den jeweiligen Service definiert.
- Multiple (Mehrfach) – Die Richtlinie enthält mehr als eine Ressource in dem Service, jedoch nicht alle Ressourcen. In diesem Beispiel wird der Zugriff auf mehr als eine Amazon S3-Ressource explizit verweigert.
- All resources (Alle Ressourcen) – Die Richtlinie ist für alle Ressourcen in dem Service definiert. In diesem Beispiel ermöglicht es die Richtlinie, die angegebenen Aktionen für alle Fakturierungsressourcen auszuführen.
- Resource text – Die Richtlinie enthält eine Ressource in dem Service. In diesem Beispiel sind die aufgelisteten Aktionen nur für die DeploymentGroupName CodeDeploy Ressource zulässig. Je nach den Informationen, die der Service für IAM bereitstellt, wird eventuell ein ARN oder der definierte Ressourcentyp angezeigt.
  
  Anmerkung
  Diese Spalte kann eine Ressource aus einem anderen Service enthalten. Wenn die Richtlinienanweisung, die die Ressource umfasst, nicht über die Aktionen und Ressourcen aus demselben Service verfügt, enthält Ihre Richtlinie nicht übereinstimmende Ressourcen. Sie werden nicht von IAM über nicht übereinstimmende Ressourcen gewarnt, wenn Sie eine Richtlinie erstellen oder in der Richtlinienübersicht anzeigen. Wenn diese Spalte eine nicht übereinstimmende Ressource enthält, sollten Sie Ihre Richtlinien auf Fehler überprüfen. Um Ihre Richtlinien besser zu verstehen, testen Sie sie stets mit dem Richtliniensimulator.
Request condition (Anforderungsbedingung) – In dieser Spalte wird angegeben, ob die der Ressource zugeordneten Services oder Aktionen Bedingungen unterliegen.
- None (Keine) – Die Richtlinie enthält keine Bedingungen für den Service. In diesem Beispiel werden keine Bedingungen auf die verweigerten Aktionen im Amazon S3-Dienst angewendet.
- Condition text – Die Richtlinie enthält eine Bedingung für den Service. In diesem Beispiel sind die aufgeführten Billing-Aktionen nur dann zulässig, wenn die IP-Adresse der Quelle mit 203.0.113.0/24 übereinstimmt.
- Multiple (Mehrfach) – Die Richtlinie enthält mehrere Bedingungen für den Service. Zum Anzeigen der jeweiligen Bedingungen für die Richtlinie wählen Sie JSON aus, um das Richtliniendokument einzusehen.
Show remaining services (Die restlichen Services anzeigen) – Klicken Sie auf diese Schaltfläche, um die Tabelle zu erweitern und auch diejenigen Services anzuzeigen, die durch die Richtlinie nicht definiert sind. Diese Services werden in dieser Richtlinie implizit verweigert (oder standardmäßig verweigert). Eine Anweisung in einer anderen Richtlinie kann möglicherweise jedoch weiterhin die Verwendung des Services zulassen oder explizit verweigern. In der Richtlinienübersicht sind die Berechtigungen einer einzelnen Richtlinie zusammengefasst. Informationen darüber, wie der AWS Dienst entscheidet, ob eine bestimmte Anfrage zugelassen oder abgelehnt werden soll, finden Sie unterAuswertungslogik für Richtlinien.

Wenn eine Richtlinie oder ein Element in der Richtlinie keine Berechtigungen erteilt, zeigt IAM zusätzliche Warnungen und Informationen in der Richtlinienübersicht an. Die folgende Tabelle mit der Zusammenfassung der Richtlinien zeigt die erweiterten Dienste „Verbleibende Dienste anzeigen“ auf der Seite mit den SummaryAllElementsRichtliniendetails sowie die möglichen Warnungen.

In der Abbildung oben sehen Sie alle Services, die definierten Aktionen, Ressourcen oder Bedingungen ohne Berechtigungen enthalten:

Resource warnings (Ressourcenwarnungen) – Für Services, die keine Berechtigungen für alle enthaltenen Aktionen oder Ressourcen bereitstellen, wird eine der folgenden Warnungen in der Spalte Resource (Ressource) der Tabelle angezeigt:
- No resources are defined (Keine Ressourcen definiert). – Das bedeutet, dass der Service Aktionen definiert hat, aber die Richtlinie keine unterstützten Ressourcen enthält.
- One or more actions do not have an applicable resource (Eine oder mehrere Aktionen verfügen über keine geeignete Ressource). – Das bedeutet, dass der Service Aktionen definiert hat, aber dass einige dieser Aktionen nicht über eine unterstützte Ressource verfügen.
- Eine oder mehrere Ressourcen haben keine anwendbare Aktion. – Das bedeutet, dass der Service Ressourcen definiert hat, aber dass einige dieser Ressourcen nicht über eine unterstützte Aktion verfügen.
Wenn ein Service sowohl Aktionen enthält, die keine zugehörigen Ressourcen besitzen, als auch Ressourcen, die zugehörigen Ressourcen besitzen, wird nur die Warnung One or more resources do not have an applicable action (Eine oder mehrere Ressourcen haben keine anwendbare Aktion) angezeigt. Der Grund hierfür ist, dass bei der Anzeige der Serviceübersicht für den Service, Ressourcen, die auf keine Aktion angewendet werden, nicht angezeigt werden. Für die Aktion ListAllMyBuckets enthält diese Richtlinie die letzte Warnung, da die Aktion keine Berechtigungen auf Ressourcenebene und nicht den Bedingungsschlüssel s3:x-amz-acl unterstützt. Wenn Sie entweder das Problem mit der Ressource oder der Bedingung beheben, wird nur das verbleibende Problem in einer detaillierten Warnung angezeigt.
Request condition warnings (Anfordern von Bedingungswarnungen) – Für Services, die keine Berechtigungen für alle enthaltenen Bedingungen bereitstellen, wird eine der folgenden Warnungen in der Spalte Request condition (Bedingung anfordern) der Tabelle angezeigt:
- One or more actions do not have an applicable condition (Eine oder mehrere Aktionen haben keine anwendbare Bedingung.). – Das bedeutet, dass der Service Aktionen definiert hat, aber dass einige dieser Aktionen nicht über eine unterstützte Bedingung verfügen.
- One or more conditions do not have an applicable action (Eine oder mehrere Bedingungen haben keine anwendbare Aktion). – Das bedeutet, dass der Service Bedingungen definiert hat, aber dass einige dieser Bedingungen nicht über eine unterstützte Aktion verfügen.
Multiple | One or more actions do not have an applicable resource (Eine oder mehrere Aktionen verfügen über keine geeignete Ressource). – Die Deny-Anweisung für Amazon S3 umfasst mehr als eine Ressource. Außerdem enthält sie mehrere Aktionen – einige Aktionen unterstützen die Ressourcen, andere wiederum nicht. Informationen zu dieser Richtlinie finden Sie unter: SummaryAllElements ein JSON-Richtliniendokument. In diesem Fall enthält die Richtlinie alle Amazon S3-Aktionen. Es werden nur die Aktionen verweigert, die in einem Bucket oder Bucket-Objekt durchgeführt werden.
No resources are defined – Der Service verfügt über definierte Aktionen, aber in die Richtlinie sind keine unterstützten Ressourcen enthalten, sodass der Service keine Berechtigungen bereitstellt. In diesem Fall umfasst die Richtlinie CodeCommit Aktionen, aber keine CodeCommit Ressourcen.
DeploymentGroupName | string like | All, region | string like | us-west-2 | Eine oder mehrere Aktionen haben keine passende Ressource. – Der Service verfügt über eine definierte Aktion und mindestens eine weitere Aktion, die über keine unterstützende Ressource verfügt.
None | One or more conditions do not have an applicable action. (Eine oder mehrere Bedingungen haben keine anwendbare Aktion). – Der Service verfügt über mindestens einen Bedingungsschlüssel, der über keine unterstützende Aktion verfügt.

SummaryAllElements ein JSON-Richtliniendokument

Die SummaryAllElementsRichtlinie ist nicht dafür vorgesehen, dass Sie sie verwenden, um Berechtigungen in Ihrem Konto zu definieren. Sie soll stattdessen veranschaulichen, welche Fehler und Warnungen beim Anzeigen einer Richtlinienübersicht auftreten können.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::developer_bucket",
                "arn:aws:s3:::developer_bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Grundlegendes zu Richtlinien

Zugriffsebenen in Richtlinienübersichten