Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mit dem Access Management-Teil von AWS Identity and Access Management (IAM) können Sie definieren, was eine Prinzipaleinheit in einem Konto tun kann. Eine Prinzipal-Entität ist eine Person oder Anwendung, die mithilfe einer IAM-Entität (IAM-Benutzer oder IAM-Rolle) authentifiziert wird. Zugriffsverwaltung wird oft als Autorisierung bezeichnet. Sie verwalten den Zugriff, AWS indem Sie Richtlinien erstellen und diese IAM-Identitäten (IAM-Benutzer, IAM-Gruppen oder IAM-Rollen) oder Ressourcen zuordnen. AWS Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Principal eine IAM-Entität (IAM-Benutzer oder IAM-Rolle) verwendet, um eine Anfrage zu stellen. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden als JSON-Dokumente gespeichert. AWS Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
Richtlinien und Konten
Wenn Sie ein einzelnes Konto in verwalten AWS, definieren Sie die Berechtigungen innerhalb dieses Kontos mithilfe von Richtlinien. Wenn Sie Berechtigungen für mehrere Konten verwalten, ist es schwieriger, die Berechtigungen für Ihre IAM-Benutzer zu verwalten. Sie können IAM-Rollen, ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) für kontoübergreifende Berechtigungen verwenden. Wenn Sie jedoch mehrere Konten besitzen, empfehlen wir Ihnen stattdessen, den AWS Organizations Dienst zu nutzen, der Sie bei der Verwaltung dieser Berechtigungen unterstützt. Weitere Informationen finden Sie unter Was ist AWS Organizations? im AWS Organizations Benutzerhandbuch.
Richtlinien und Benutzer
IAM-Benutzer sind Identitäten im AWS-Konto. Wenn Sie einen IAM-Benutzer anlegen, kann er auf nichts in Ihrem Konto zugreifen, bis Sie ihm die Erlaubnis geben. Sie gewähren einem IAM-Benutzer Berechtigungen, indem Sie eine identitätsbasierte Richtlinie erstellen. Dabei handelt es sich um eine Richtlinie, die dem IAM-Benutzer oder einer IAM-Gruppe, zu der der IAM-Benutzer gehört, zugeordnet ist. Das folgende Beispiel zeigt eine JSON-Richtlinie, die es dem IAM-Benutzer erlaubt, alle Amazon-DynamoDB-Aktionen (dynamodb:*) in der Books-Tabelle im 123456789012-Konto innerhalb der us-east-2-Region auszuführen.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
}
} Nachdem Sie diese Richtlinie Ihrem IAM-Benutzer zugeordnet haben, hat der Benutzer die Berechtigung, alle Aktionen in der Books-Tabelle Ihrer DynamoDB-Instance auszuführen. Die meisten IAM-Benutzer verfügen über mehrere Richtlinien, deren Kombination die Gesamtzahl ihrer gewährten Berechtigungen darstellt.
Aktionen oder Ressourcen, die durch eine Richtlinie nicht explizit zugelassen sind, werden standardmäßig verweigert. Wenn es sich bei der vorangehenden Richtlinie beispielsweise um die einzelne Richtlinie handelt, die einem Benutzer zugeordnet ist, kann dieser Benutzer DynamoDB-Aktionen für die Books-Tabelle ausführen, aber keine Aktionen für andere Tabellen. Ebenso darf der Benutzer keine Aktionen in Amazon EC2, Amazon S3 oder einem anderen AWS Dienst ausführen, da die Berechtigungen für die Arbeit mit diesen Diensten nicht in der Richtlinie enthalten sind.
Richtlinien und IAM-Gruppen
Sie können IAM-Benutzer in IAM-Gruppen organisieren und der IAM-Gruppe eine Richtlinie zuordnen. In diesem Fall verfügen einzelne IAM-Benutzer noch immer über ihre eigenen Anmeldeinformationen, aber alle IAM-Benutzer in der IAM-Gruppe verfügen über die der IAM-Gruppe zugeordneten Berechtigungen. Verwenden Sie IAM-Gruppen für eine einfachere Verwaltung von Berechtigungen.
IAM-Benutzern oder IAM-Gruppen können mehrere Richtlinien zugeordnet sein, die unterschiedliche Berechtigungen gewähren. In diesem Fall werden die effektiven Berechtigungen für den Prinzipal durch die Kombination der Richtlinien definiert. Wenn der Prinzipal über keine explizite Allow-Berechtigung für eine Aktion und eine Ressource verfügt, verfügt der Prinzipal nicht über diese Berechtigungen.
Verbundbenutzer und -rollen
Verbundene Benutzer haben keine dauerhaften AWS-Konto Identitäten wie IAM-Benutzer. Um verbundenen Benutzern Berechtigungen zuzuweisen, können Sie eine Entität erstellen, die als Rolle bezeichnet wird, und Berechtigungen für die Rolle definieren. Wenn sich ein Verbundbenutzer anmeldet AWS, wird der Benutzer der Rolle zugeordnet und erhält die in der Rolle definierten Berechtigungen. Weitere Informationen finden Sie unter Rollen für externe Identitätsanbieter (Verbund) erstellen.
Identitätsbasierte und ressourcenbasierte Richtlinien
Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine IAM-Identität anfügen können, wie z. B. IAM-Benutzer, -Rollen oder -Gruppen. Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine Ressource wie z. B. einen Amazon S3-Bucket oder eine IAM-Rollenvertrauensrichtlinie anfügen.
Identitätsbasierte Richtlinien steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können weiter kategorisiert werden:
-
Verwaltete Richtlinien — Eigenständige identitätsbasierte Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Sie können zwei Arten von verwalteten Richtlinien verwalten:
-
AWS verwaltete Richtlinien — Verwaltete Richtlinien, die von erstellt und verwaltet werden. AWS Wenn Sie mit der Verwendung von Richtlinien noch nicht vertraut sind, empfehlen wir Ihnen, zunächst AWS verwaltete Richtlinien zu verwenden.
-
Vom Kunden verwaltete Richtlinien – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Von Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als AWS verwaltete Richtlinien. Sie können eine IAM-Richtlinie im visuellen Editor oder durch direkte Erstellung des JSON-Richtliniendokuments erstellen, bearbeiten und validieren. Weitere Informationen erhalten Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren und IAM-Richtlinien bearbeiten.
-
-
Inline-Richtlinien – Dies sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen einzelnen Benutzer, einer Gruppe oder einer Rolle integrieren. In den meisten Fällen empfehlen wir nicht die Verwendung von Inline-Richtlinien.
Ressourcenbasierte Richtlinien steuern, welche Aktionen ein bestimmter Auftraggeber mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben.
Der IAM-Service unterstützt eine Art ressourcenbasierter Richtlinie, die als Rollenvertrauensrichtlinie bezeichnet wird und die Sie einer IAM-Rolle anfügen. Da es sich bei einer IAM-Rolle sowohl um eine Identität als auch um eine Ressource handelt, die ressourcenbasierte Richtlinien unterstützt, müssen Sie einer IAM-Rolle sowohl eine Vertrauensrichtlinie als auch eine identitätsbasierte Richtlinie anfügen. Vertrauensrichtlinien definieren, welche Auftraggeber-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Informationen darüber, inwieweit sich IAM-Rollen von anderen ressourcenbasierten Richtlinien unterscheiden, finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.
Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.
