Übersicht über die Zugriffsverwaltung: Berechtigungen und Richtlinien - AWS Identitäts- und Zugriffsverwaltung
Richtlinien und KontenRichtlinien und BenutzerRichtlinien und GruppenVerbundbenutzer und -rollenIdentitätsbasierte und ressourcenbasierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Zugriffsverwaltung: Berechtigungen und Richtlinien

Mithilfe der Zugriffsverwaltung von AWS Identity and Access Management (IAM) können Sie definieren, welche Aktionen eine Auftraggeber-Entität in einem Konto ausführen darf. Eine Auftraggeber-Entität ist eine Person oder eine Anwendung, die mithilfe einer IAM-Entität (Benutzer oder Rolle) authentifiziert wird. Zugriffsverwaltung wird oft als Autorisierung bezeichnet. Sie verwalten den Zugriff in AWS, indem Sie Richtlinien erstellen und diese an IAM-Identitäten (Benutzer, Benutzergruppen oder Rollen) oder AWS-Ressourcen anfügen. Eine Richtlinie ist ein Objekt in AWS, das, wenn es einer Identität oder Ressource zugeordnet wird, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Auftraggeber eine IAM-Entität (Benutzer oder Rolle) verwendet, um eine Anforderung zu stellen. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Berechtigungen und Richtlinien in IAM.

Richtlinien und Konten

Wenn Sie ein einzelnes Konto in AWS verwalten, dann definieren Sie die Berechtigungen innerhalb dieses Kontos mit Hilfe von Richtlinien. Wenn Sie Berechtigungen über mehrere Konten hinweg verwalten, ist es schwieriger, Berechtigungen für Ihre Benutzer zu verwalten. Sie können IAM-Rollen, ressourcenbasierte Richtlinien oder Zugriffssteuerungslisten (Access Control Lists, ACLs) für kontoübergreifende Berechtigungen verwenden. Wenn Sie jedoch mehrere eigene Konten besitzen, empfehlen wir stattdessen die Nutzung des AWS Organizations-Service, um diese Berechtigungen zu verwalten. Weitere Informationen finden Sie unter Was ist AWS Organizations? im Leitfaden von Organizations.

Richtlinien und Benutzer

IAM-Benutzer sind Identitäten im Service. Wenn Sie einen IAM-Benutzer anlegen, kann er auf nichts in Ihrem Konto zugreifen, bis Sie ihm die Erlaubnis geben. Sie erteilen einem Benutzer Berechtigungen, indem Sie eine identitätsbasierte Richtlinie erstellen, bei der es sich um eine Richtlinie handelt, die mit dem Benutzer oder einer Gruppe, zu der der Benutzer gehört, verknüpft ist. Das folgende Beispiel zeigt eine JSON-Richtlinie, die dem Benutzer gestattet, alle Amazon DynamoDB-Aktionen (dynamodb:*) in der Books-Tabelle im 123456789012-Konto in der Region us-east-2 auszuführen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}

Nachdem Sie diese Richtlinie Ihrem IAM-Benutzer hinzugefügt haben, hat der Benutzer nur diese DynamoDB-Berechtigungen. Die meisten Benutzer haben mehrere Richtlinien, die gemeinsam die Berechtigungen für diesen Benutzer darstellen.

Aktionen oder Ressourcen, die nicht explizit erlaubt sind, werden standardmäßig verweigert. Wenn beispielsweise die oben genannte Richtlinie die einzige Richtlinie ist, die an einen Benutzer angefügt ist, darf dieser Benutzer nur DynamoDB-Aktionen in der Tabelle Books ausführen. Aktionen in allen anderen Tabellen sind verboten. Ebenso darf der Benutzer keine Aktionen in Amazon EC2, Amazon S3 oder in einem anderen AWS-Dienst durchführen. Der Grund dafür ist, dass Berechtigungen zum Arbeiten mit diesen Services nicht in der Richtlinie enthalten sind.

Richtlinien und Gruppen

Sie können IAM-Benutzer in IAM-Gruppen einteilen und einer Gruppe eine Richtlinie anfügen. In diesem Fall haben einzelne Benutzer weiterhin ihre eigenen Anmeldeinformationen, aber alle Benutzer in einer Gruppe verfügen über die Berechtigungen, die an die Gruppe angefügt sind. Verwenden Sie Gruppen für eine einfachere Verwaltung von Berechtigungen und befolgen Sie unsere Bewährte Methoden für die Sicherheit in IAM.

Benutzer können in Gruppen eingeteilt werden. Auf diese Weise ist es einfacher, Berechtigungen zu verwalten, da Benutzer die Berechtigungen haben, die einer Gruppe angefügt wurden.

Benutzern oder Gruppen können mehrere Richtlinien angefügt sein, die unterschiedliche Berechtigungen gewähren. In diesem Fall werden die Berechtigungen der Benutzer basierend auf der Kombination von Richtlinien berechnet. Aber das Grundprinzip gilt weiterhin: Wenn dem Benutzer keine explizite Berechtigung für eine Aktion und eine Ressource gewährt wurde, verfügt der Benutzer nicht über diese Berechtigungen.

Verbundbenutzer und -rollen

Verbundene Benutzer haben keine dauerhaften Identitäten in Ihrem AWS-Konto, wie IAM-Benutzer sie haben. Um verbundenen Benutzern Berechtigungen zuzuweisen, können Sie eine Entität erstellen, die als Rolle bezeichnet wird, und Berechtigungen für die Rolle definieren. Wenn ein verbundener Benutzer sich bei AWS anmeldet, wird dem Benutzer die Rolle zugeordnet und ihm werden die Berechtigungen gewährt, die in der Rolle definiert sind. Weitere Informationen finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund).

Identitätsbasierte und ressourcenbasierte Richtlinien

Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine IAM-Identität anfügen können, wie z. B. IAM-Benutzer, -Rollen oder -Gruppen. Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine Ressource wie z. B. einen Amazon S3-Bucket oder eine IAM-Rollenvertrauensrichtlinie anfügen.

Identitätsbasierte Richtlinien steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können weiter kategorisiert werden:

  • Verwaltete Richtlinien – Dies sind eigenständige, identitätsbasierte Richtlinien, die Sie an mehrere Benutzer, Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Sie können zwei Arten von verwalteten Richtlinien verwalten:

    • AWS-verwaltete Richtlinien –Verwaltete Richtlinien, die von AWS erstellt und verwaltet werden. Wenn Sie noch nicht mit der Verwendung von Richtlinien vertraut sind, empfehlen wir, dass Sie zuerst mit den von AWS verwalteten Richtlinien beginnen.

    • Vom Kunden verwaltete Richtlinien – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Vom Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als durch AWS verwaltete Richtlinien. Sie können eine IAM-Richtlinie im visuellen Editor oder durch direkte Erstellung des JSON-Richtliniendokuments erstellen, bearbeiten und validieren. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien und Bearbeiten von IAM-Richtlinien.

  • Inline-Richtlinien – Dies sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen einzelnen Benutzer, einer Gruppe oder einer Rolle integrieren. In den meisten Fällen empfehlen wir nicht die Verwendung von Inline-Richtlinien.

Ressourcenbasierte Richtlinien steuern, welche Aktionen ein bestimmter Auftraggeber mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Auftraggeber in einer ressourcenbasierten Richtlinie angeben.

Der IAM-Service unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als Rollen-Vertrauensrichtlinie bezeichnet wird, die einer IAM-Rolle zugewiesen ist. Da eine IAM-Rolle sowohl eine Identität als auch eine Ressource ist, die ressourcenbasierte Richtlinien unterstützt, müssen Sie sowohl eine Vertrauensrichtlinie als auch eine identitätsbasierte Richtlinie einer IAM-Rolle anfügen. Vertrauensrichtlinien definieren, welche Auftraggeber-Entitäten (Konten, Benutzer, Rollen und verbundene Benutzer) die Rolle übernehmen können. Informationen darüber, inwieweit sich IAM-Rollen von anderen ressourcenbasierten Richtlinien unterscheiden, finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.

Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.