Wie Berechtigungen und Richtlinien die Zugriffsverwaltung ermöglichen - AWS Identitäts- und Zugriffsverwaltung
Richtlinien und KontenRichtlinien und BenutzerRichtlinien und IAM GruppenVerbundbenutzer und -rollenIdentitätsbasierte und ressourcenbasierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie Berechtigungen und Richtlinien die Zugriffsverwaltung ermöglichen

Der Teil zur Zugriffsverwaltung von AWS Identity and Access Management (IAM) hilft Ihnen zu definieren, was eine Prinzipaleinheit in einem Konto tun kann. Eine Prinzipalentität ist eine Person oder Anwendung, die mithilfe einer IAM Entität (IAMBenutzer oder IAM Rolle) authentifiziert wurde. Zugriffsverwaltung wird oft als Autorisierung bezeichnet. Sie verwalten den Zugriff in, AWS indem Sie Richtlinien erstellen und diese an IAM Identitäten (IAMBenutzer, IAM Gruppen oder IAM Rollen) oder Ressourcen anhängen. AWS Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Principal eine IAM Entität (IAMBenutzer oder IAM Rolle) verwendet, um eine Anfrage zu stellen. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in AWS Form von JSON Dokumenten gespeichert. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in IAM.

Richtlinien und Konten

Wenn Sie ein einzelnes Konto in verwalten AWS, definieren Sie die Berechtigungen innerhalb dieses Kontos mithilfe von Richtlinien. Wenn Sie Berechtigungen für mehrere Konten verwalten, ist es schwieriger, die Berechtigungen für Ihre IAM Benutzer zu verwalten. Sie können IAM Rollen, ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) für kontoübergreifende Berechtigungen verwenden. Wenn Sie jedoch mehrere Konten besitzen, empfehlen wir Ihnen stattdessen, den AWS Organizations Dienst zu nutzen, der Sie bei der Verwaltung dieser Berechtigungen unterstützt. Weitere Informationen finden Sie unter Was ist AWS Organizations? im Organizations User Guide.

Richtlinien und Benutzer

IAMBenutzer sind Identitäten in der AWS-Konto. Wenn Sie einen IAM Benutzer erstellen, kann dieser auf nichts in Ihrem Konto zugreifen, bis Sie ihm die Erlaubnis geben. Sie erteilen einem IAM Benutzer Berechtigungen, indem Sie eine identitätsbasierte Richtlinie erstellen. Dabei handelt es sich um eine Richtlinie, die dem IAM Benutzer oder einer IAM Gruppe zugeordnet ist, zu der der IAM Benutzer gehört. Das folgende Beispiel zeigt eine JSON Richtlinie, die es dem IAM Benutzer ermöglicht, alle Amazon DynamoDB DynamoDB-Aktionen (dynamodb:*) für die Books Tabelle im 123456789012 Konto innerhalb der us-east-2 Region durchzuführen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}

Nachdem Sie diese Richtlinie an Ihren IAM Benutzer angehängt haben, ist der Benutzer berechtigt, alle Aktionen in der Books Tabelle Ihrer DynamoDB-Instanz auszuführen. Die meisten IAM Benutzer haben mehrere Richtlinien, die zusammen die Gesamtzahl der erteilten Berechtigungen darstellen.

Aktionen oder Ressourcen, die in einer Richtlinie nicht ausdrücklich zulässig sind, werden standardmäßig verweigert. Wenn es sich bei der vorherigen Richtlinie beispielsweise um die einzelne Richtlinie handelt, die einem Benutzer zugewiesen ist, kann dieser Benutzer DynamoDB-Aktionen für die Books Tabelle ausführen, kann jedoch keine Aktionen für andere Tabellen ausführen. Ebenso darf der Benutzer keine Aktionen in AmazonEC2, Amazon S3 oder einem anderen AWS Dienst ausführen, da die Berechtigungen für die Arbeit mit diesen Diensten nicht in der Richtlinie enthalten sind.

Richtlinien und IAM Gruppen

Sie können IAM Benutzer in IAMGruppen organisieren und der IAM Gruppe eine Richtlinie zuordnen. In diesem Fall haben einzelne IAM Benutzer immer noch ihre eigenen Anmeldeinformationen, aber alle IAM Benutzer in der IAM Gruppe verfügen über die der IAM Gruppe zugewiesenen Berechtigungen. Verwenden Sie IAM Gruppen für eine einfachere Verwaltung von Berechtigungen.

Dieses Diagramm zeigt, wie IAM Benutzer in IAM Gruppen organisiert werden können, um die Verwaltung von Berechtigungen zu vereinfachen, da jedem IAM Benutzer die der IAM Gruppe zugewiesenen Berechtigungen zugewiesen wurden.

IAMBenutzern oder IAM Gruppen können mehrere Richtlinien zugewiesen werden, die unterschiedliche Berechtigungen gewähren. In diesem Fall bestimmt die Kombination der Richtlinien die effektiven Berechtigungen für den Prinzipal. Wenn der Prinzipal nicht über ausdrückliche Allow Berechtigungen sowohl für eine Aktion als auch für eine Ressource verfügt, verfügt der Prinzipal nicht über diese Berechtigungen.

Verbundbenutzer und -rollen

Verbundbenutzer haben keine dauerhaften AWS-Konto Identitäten wie IAM Benutzer. Um verbundenen Benutzern Berechtigungen zuzuweisen, können Sie eine Entität erstellen, die als Rolle bezeichnet wird, und Berechtigungen für die Rolle definieren. Wenn sich ein Verbundbenutzer anmeldet AWS, wird der Benutzer der Rolle zugeordnet und erhält die in der Rolle definierten Berechtigungen. Weitere Informationen finden Sie unter Eine Rolle für einen externen Identitätsanbieter (Federation) erstellen.

Identitätsbasierte und ressourcenbasierte Richtlinien

Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie einer IAM Identität zuordnen, z. B. einem IAM Benutzer, einer Gruppe oder einer Rolle. Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie einer Ressource wie einem Amazon S3 S3-Bucket oder einer IAM Rollenvertrauensrichtlinie zuordnen.

Identitätsbasierte Richtlinien steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können weiter kategorisiert werden:

  • Verwaltete Richtlinien — Eigenständige identitätsbasierte Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Sie können zwei Arten von verwalteten Richtlinien verwalten:

    • AWS verwaltete Richtlinien — Verwaltete Richtlinien, die von erstellt und verwaltet werden. AWS Wenn Sie mit der Verwendung von Richtlinien noch nicht vertraut sind, empfehlen wir Ihnen, zunächst AWS verwaltete Richtlinien zu verwenden.

    • Vom Kunden verwaltete Richtlinien – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Von Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als AWS verwaltete Richtlinien. Sie können eine IAM Richtlinie im visuellen Editor oder direkt durch die Erstellung des JSON Richtliniendokuments erstellen, bearbeiten und validieren. Weitere Informationen erhalten Sie unter Definieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien und Bearbeiten von IAM-Richtlinien.

  • Inline-Richtlinien – Dies sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen einzelnen Benutzer, einer Gruppe oder einer Rolle integrieren. In den meisten Fällen empfehlen wir nicht die Verwendung von Inline-Richtlinien.

Ressourcenbasierte Richtlinien steuern, welche Aktionen ein bestimmter Auftraggeber mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Um den kontoübergreifenden Zugriff zu ermöglichen, können Sie in einer ressourcenbasierten Richtlinie ein ganzes Konto oder IAM Entitäten in einem anderen Konto als Hauptbenutzer angeben.

Der IAM Dienst unterstützt eine Art von ressourcenbasierter Richtlinie, die als Rollenvertrauensrichtlinie bezeichnet wird und die Sie einer IAM Rolle zuordnen. Da es sich IAM bei einer Rolle sowohl um eine Identität als auch um eine Ressource handelt, die ressourcenbasierte Richtlinien unterstützt, müssen Sie einer Rolle sowohl eine Vertrauensrichtlinie als auch eine identitätsbasierte Richtlinie zuordnen. IAM Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Informationen darüber, wie sich IAM Rollen von anderen ressourcenbasierten Richtlinien unterscheiden, finden Sie unter. Kontoübergreifender Ressourcenzugriff in IAM

Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.