Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mithilfe des Zugriffsverwaltungsteils von AWS Identity and Access Management (IAM) können Sie definieren, was eine Prinzipal-Entität in einem Konto ausführen kann. Eine Prinzipal-Entität ist eine Person oder Anwendung, die mithilfe einer IAM-Entität (IAM-Benutzer oder IAM-Rolle) authentifiziert wird. Zugriffsverwaltung wird oft als Autorisierung bezeichnet. Sie verwalten den Zugriff in AWS, indem Sie Richtlinien erstellen und diese an IAM-Identitäten (IAM-Benutzer, IAM-Gruppen oder IAM-Rollen) oder AWS-Ressourcen anfügen. Eine Richtlinie ist ein Objekt in AWS, das bei Verknüpfung mit einer Identität oder Ressource deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal eine IAM-Entität (IAM-Benutzer oder IAM-Rolle) verwendet, um eine Anfrage zu stellen. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
Richtlinien und Konten
Wenn Sie ein einzelnes Konto in AWS verwalten, dann definieren Sie die Berechtigungen innerhalb dieses Kontos mit Hilfe von Richtlinien. Wenn Sie Berechtigungen für mehrere Konten verwalten, ist es schwieriger, die Berechtigungen für Ihre IAM-Benutzer zu verwalten. Sie können IAM-Rollen, ressourcenbasierte Richtlinien oder Zugriffssteuerungslisten (Access Control Lists, ACLs) für kontoübergreifende Berechtigungen verwenden. Wenn Sie jedoch mehrere eigene Konten besitzen, empfehlen wir stattdessen die Nutzung des AWS Organizations-Service, um diese Berechtigungen zu verwalten. Weitere Informationen finden Sie unter Was ist AWS Organizations? im Leitfaden von Organizations.
Richtlinien und Benutzer
IAM-Benutzer sind Identitäten im AWS-Konto. Wenn Sie einen IAM-Benutzer anlegen, kann er auf nichts in Ihrem Konto zugreifen, bis Sie ihm die Erlaubnis geben. Sie gewähren einem IAM-Benutzer Berechtigungen, indem Sie eine identitätsbasierte Richtlinie erstellen. Dabei handelt es sich um eine Richtlinie, die dem IAM-Benutzer oder einer IAM-Gruppe, zu der der IAM-Benutzer gehört, zugeordnet ist. Das folgende Beispiel zeigt eine JSON-Richtlinie, die es dem IAM-Benutzer erlaubt, alle Amazon-DynamoDB-Aktionen (dynamodb:*) in der Books-Tabelle im 123456789012-Konto innerhalb der us-east-2-Region auszuführen.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
}
} Nachdem Sie diese Richtlinie Ihrem IAM-Benutzer zugeordnet haben, hat der Benutzer die Berechtigung, alle Aktionen in der Books-Tabelle Ihrer DynamoDB-Instance auszuführen. Die meisten IAM-Benutzer verfügen über mehrere Richtlinien, deren Kombination die Gesamtzahl ihrer gewährten Berechtigungen darstellt.
Aktionen oder Ressourcen, die durch eine Richtlinie nicht explizit zugelassen sind, werden standardmäßig verweigert. Wenn es sich bei der vorangehenden Richtlinie beispielsweise um die einzelne Richtlinie handelt, die einem Benutzer zugeordnet ist, kann dieser Benutzer DynamoDB-Aktionen für die Books-Tabelle ausführen, aber keine Aktionen für andere Tabellen. Ebenso ist es dem Benutzer nicht gestattet, Aktionen in Amazon EC2, Amazon S3 oder einem anderen AWS-Service auszuführen, da die Richtlinie keine Berechtigungen für die Arbeit mit diesen Services enthält.
Richtlinien und IAM-Gruppen
Sie können IAM-Benutzer in IAM-Gruppen organisieren und der IAM-Gruppe eine Richtlinie zuordnen. In diesem Fall verfügen einzelne IAM-Benutzer noch immer über ihre eigenen Anmeldeinformationen, aber alle IAM-Benutzer in der IAM-Gruppe verfügen über die der IAM-Gruppe zugeordneten Berechtigungen. Verwenden Sie IAM-Gruppen für eine einfachere Verwaltung von Berechtigungen.
IAM-Benutzern oder IAM-Gruppen können mehrere Richtlinien zugeordnet sein, die unterschiedliche Berechtigungen gewähren. In diesem Fall werden die effektiven Berechtigungen für den Prinzipal durch die Kombination der Richtlinien definiert. Wenn der Prinzipal über keine explizite Allow-Berechtigung für eine Aktion und eine Ressource verfügt, verfügt der Prinzipal nicht über diese Berechtigungen.
Verbundbenutzer und -rollen
Verbundene Benutzer haben keine dauerhaften Identitäten in Ihrem AWS-Konto, wie IAM-Benutzer sie haben. Um verbundenen Benutzern Berechtigungen zuzuweisen, können Sie eine Entität erstellen, die als Rolle bezeichnet wird, und Berechtigungen für die Rolle definieren. Wenn ein verbundener Benutzer sich bei AWS anmeldet, wird dem Benutzer die Rolle zugeordnet und ihm werden die Berechtigungen gewährt, die in der Rolle definiert sind. Weitere Informationen finden Sie unter Rollen für externe Identitätsanbieter (Verbund) erstellen.
Identitätsbasierte und ressourcenbasierte Richtlinien
Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine IAM-Identität anfügen können, wie z. B. IAM-Benutzer, -Rollen oder -Gruppen. Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine Ressource wie z. B. einen Amazon S3-Bucket oder eine IAM-Rollenvertrauensrichtlinie anfügen.
Identitätsbasierte Richtlinien steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können weiter kategorisiert werden:
-
Verwaltete Richtlinien – Dies sind eigenständige, identitätsbasierte Richtlinien, die Sie an mehrere Benutzer, Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Sie können zwei Arten von verwalteten Richtlinien verwalten:
-
AWS-verwaltete Richtlinien –Verwaltete Richtlinien, die von AWS erstellt und verwaltet werden. Wenn Sie noch nicht mit der Verwendung von Richtlinien vertraut sind, empfehlen wir, dass Sie zuerst mit den von AWS verwalteten Richtlinien beginnen.
-
Vom Kunden verwaltete Richtlinien – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Vom Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als durch AWS verwaltete Richtlinien. Sie können eine IAM-Richtlinie im visuellen Editor oder durch direkte Erstellung des JSON-Richtliniendokuments erstellen, bearbeiten und validieren. Weitere Informationen erhalten Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren und IAM-Richtlinien bearbeiten.
-
-
Inline-Richtlinien – Dies sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen einzelnen Benutzer, einer Gruppe oder einer Rolle integrieren. In den meisten Fällen empfehlen wir nicht die Verwendung von Inline-Richtlinien.
Ressourcenbasierte Richtlinien steuern, welche Aktionen ein bestimmter Auftraggeber mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben.
Der IAM-Service unterstützt eine Art ressourcenbasierter Richtlinie, die als Rollenvertrauensrichtlinie bezeichnet wird und die Sie einer IAM-Rolle anfügen. Da es sich bei einer IAM-Rolle sowohl um eine Identität als auch um eine Ressource handelt, die ressourcenbasierte Richtlinien unterstützt, müssen Sie einer IAM-Rolle sowohl eine Vertrauensrichtlinie als auch eine identitätsbasierte Richtlinie anfügen. Vertrauensrichtlinien definieren, welche Auftraggeber-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Informationen darüber, inwieweit sich IAM-Rollen von anderen ressourcenbasierten Richtlinien unterscheiden, finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.
Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.
