AWS-Services, die mit IAM funktionieren - AWS Identity and Access Management

AWS-Services, die mit IAM funktionieren

Die unten aufgeführten AWS-Services sind nach AWS-Produktkategorien gruppiert. Es sind auch Informationen zu den IAM-Funktionen aufgeführt, die sie unterstützen:

  • Service – Sie können den Namen eines Services auswählen, um die AWS-Dokumentation zur IAM-Autorisierung und zum Zugriff für den betreffenden Service anzuzeigen.

  • Aktionen – Sie können einzelne Aktionen in einer Richtlinie angeben. Wenn der Service diese Funktion nicht unterstützt, wird All actions (Alle Aktionen) im visuellen Editor ausgewählt. In einem JSON-Richtliniendokument müssen Sie * im Action-Element verwenden. Eine Liste der Aktionen in den einzelnen Services finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services.

  • Berechtigungen auf Ressourcenebene – Sie können mit ARNs einzelne Ressourcen in der Richtlinie angeben. Wenn der Service diese Funktion nicht unterstützt, wird All resources (Alle Ressourcen) im visuellen Richtlinieneditor ausgewählt. In einem JSON-Richtliniendokument müssen Sie * im Resource-Element verwenden. Einige Aktionen, wie z. B. List*-Aktionen, unterstützen die Angabe eines ARN nicht, da sie darauf ausgelegt sind, mehrere Ressourcen zurückzugeben. Wenn ein Service diese Funktion für einige Ressourcen unterstützt, für andere aber nicht, wird in der Tabelle durch gelbe Zellen darauf hingewiesen. Weitere Informationen dazu finden Sie in der Dokumentation zu dem jeweiligen Service.

  • Ressourcenbasierte Richtlinien – Sie können ressourcenbasierte Richtlinien an eine Ressource innerhalb des Service anfügen. Ressourcenbasierte Richtlinien enthalten ein Principal-Element zur Angabe der IAM-Identitäten, die auf diese Ressource zugreifen können. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

  • Berechtigung basierend auf Tags – Sie können Ressourcen-Tags in der Bedingung einer Richtlinie verwenden, um den Zugriff auf eine Ressource im Service zu steuern. Sie tun dies unter Verwendung des globalen aws:ResourceTag-Bedingungsschlüssels oder service-spezifischer Tags, wie z. B. iam:ResourceTag. Weitere Informationen zur Definition von Berechtigungen auf der Basis von Attributen wie Tags finden Sie unter Wofür wird ABAC in verwendet AWS?.

  • Temporäre Anmeldeinformationen – Sie können kurzfristige Anmeldeinformationen verwenden, die Sie erhalten, wenn Sie sich mit SSO anmelden, Rollen in der Konsole wechseln oder die Sie mit AWS STS in der AWS CLI- oder AWS-API generieren. Sie können nur auf Dienste mit dem Wert Nein zugreifen, während Sie Ihre langfristigen IAM-Benutzeranmeldeinformationen verwenden. Dies beinhaltet einen Benutzernamen und ein Passwort oder Ihre Benutzerzugriffsschlüssel. Weitere Informationen finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.

  • Serviceverknüpfte Rollen – Eine serviceverknüpfte Rolle ist ein spezieller Typ von Servicerolle, die dem Service die Berechtigung erteilt, in Ihrem Namen auf Ressourcen in anderen Services zuzugreifen. Wählen Sie den Link Yes, um die Dokumentation für Services anzuzeigen, die diese Rollen unterstützen. In dieser Spalte wird nicht angegeben, ob der Service Standardservicerollen verwendet. Weitere Informationen finden Sie unter Verwenden von servicegebundenen Rollen.

  • Weitere Informationen – Wenn ein Service eine Funktion nicht vollständig unterstützt, finden Sie in den Fußnoten Informationen zu eventuellen Einschränkungen und Links zu verwandten Informationen.

Datenverarbeitungsservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS App Runner Ja Ja No Ja Ja Ja
AWS Batch Ja Teilweise No Ja Ja Ja
Amazon Elastic Compute Cloud (Amazon EC2) Ja Teilweise No Ja Ja Teilweise¹
Amazon EC2 Auto Scaling Ja Ja No Ja Ja Ja
EC2 Image Builder Ja Ja No Ja Ja Ja
Amazon EC2 Instance Connect Ja Ja No Teilweise Ja No
AWS Elastic Beanstalk Ja Teilweise No Ja Ja Ja
Amazon Elastic Inference Ja Ja No No Ja No
Elastic Load Balancing Ja Teilweise No Teilweise Ja Ja
AWS Lambda Ja Ja Ja No Ja Teilweise²
Amazon Lightsail Ja Teilweise³ No Teilweise³ Ja Ja
AWS Outposts Ja No No No Ja Ja
Papierkorb Ja Ja No Ja Ja No
AWS Serverless Application Repository Ja Ja Ja No Ja No

¹ Amazon EC2 serviceverknüpfte Rollen können nur für die folgenden Funktionen verwendet werden: Spot-Instance-Anfragen und Spot-Flotten-Anfragen.

⁴ AWS Lambda verfügt im Gegensatz zu Lambda@Edge nicht über serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Lambda@Edge im Amazon CloudFront Developer Guide.

³ Amazon Lightsail unterstützt teilweise Berechtigungen auf Ressourcenebene und Autorisierung auf der Basis von Tags. Weitere Informationen finden Sie unter Unterstützung für Berechtigungen auf Ressourcenebene und Autorisierung auf der Basis von Tags in Amazon Lightsail

Containerservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS App Runner Ja Ja No Ja Ja Ja
Amazon Elastic Container Registry (Amazon ECR) Ja Ja Ja Ja Ja Ja
Amazon Elastic Container Registry Öffentlich (Amazon ECR öffentlich) Ja Ja No Ja Ja No
Amazon Elastic Container Service (Amazon ECS) Ja Teilweise¹ No Ja Ja Ja
Amazon Elastic Kubernetes Service (Amazon EKS) Ja Ja No Ja Ja Ja

¹ Nur einige Amazon ECS-Aktionen unterstützen Berechtigungen auf Ressourcenebene.

Speicherservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Backup Ja Ja Ja Ja Ja Ja
AWS Backup Gateway Ja Ja No Ja Ja No
AWS Backup Speicher Ja Ja No No Ja No
Amazon Elastic Block Store (Amazon EBS) Ja Teilweise No Ja Ja No
AWS Elastic Disaster Recovery Ja Ja No Ja Ja No
Amazon Elastic File System (Amazon EFS) Ja Ja Ja Ja Ja Ja
Amazon FSx Ja Ja No Ja Ja Ja
Amazon S3 Glacier Ja Ja Ja Ja Ja No
AWS Import/Export Ja No No No Ja No
Amazon Simple Storage Service (Amazon S3) Ja Ja Ja Teilweise¹ Ja Teilweise²
Amazon Simple Storage Service (Amazon S3) auf AWS Outposts Ja Ja Ja Teilweise¹ Ja No
Amazon Simple Storage Service (Amazon S3) Object Lambda Ja Ja No No Ja No
AWS Snow Device Management Ja Ja No Ja Ja No
AWS Snowball Ja No No No Ja No
AWS Snowball Edge Ja No No No Ja No
AWS Storage Gateway Ja Ja No Ja Ja No

¹ Amazon S3 unterstützt die Tag-basierte Autorisierung nur für Objekt-Ressourcen.

² Amazon S3 unterstützt serviceverknüpfte Rollen für Amazon S3 Storage Lens.

Datenbankservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon DynamoDB Ja Ja No No Ja Ja
Amazon ElastiCache Ja Ja No Ja Ja Ja
Amazon Keyspaces (für Apache Cassandra) Ja Ja No Ja Ja Ja
Amazon MediaImport Ja No No No No No
Amazon MemoryDB for Redis Ja Ja No Ja Ja Ja
Amazon Neptune Ja Ja No No Ja Ja
AWS Performance Insights Ja Ja No No Ja No
Amazon Quantum Ledger Database (Amazon QLDB) Ja Ja No Ja Ja No
Amazon Redshift Ja Ja No Ja Ja Ja
Amazon Redshift-Daten-API Ja Ja No Ja Ja No
Amazon Relational Database Service (Amazon RDS) Ja Ja No Ja Ja Ja
Amazon RDS Daten-API Ja Ja No Ja Ja No
Amazon SimpleDB Ja Ja No No Ja No
AWS SQL Workbench Ja Ja No Ja Ja No
Amazon Timestream Ja Ja No Ja Ja No
Database Query Metadata Service Ja No No No Ja No

Services für Entwickler-Tools

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Cloud9 Ja Ja Ja Ja Ja Ja
AWS Cloud Control API Ja No No No Ja No
AWS CloudShell Ja Ja No No No No
AWS CodeArtifact Ja Ja Ja Ja Ja No
CodeBuild Ja Ja Ja¹ Teilweise² Ja No
CodeCommit Ja Ja No Ja Ja No
AWS CodeDeploy Ja Ja No Ja Ja No
CodePipeline Ja Teilweise No Ja Ja No
AWS CodeStar Ja Teilweise No Ja Ja No
AWS CodeStar-Verbindungen Ja Ja No Ja Ja No
AWS CodeStar Benachrichtigungen Ja Ja No Ja Ja Ja
AWS Fault Injection Simulator Ja Ja No Ja Ja Ja
AWS Microservice Extractor for .NET Ja No No No Ja No
AWS X-Ray Ja Teilweise³ No Teilweise⁴ Ja No

¹ CodeBuild unterstützt die kontenübergreifende gemeinsame Nutzung von Ressourcen über AWS RAM.

² CodeBuild unterstützt die Autorisierung auf Basis von Tags für projektbasierte Aktionen.

³ X-Ray unterstützt nicht für alle Aktionen Berechtigungen auf Ressourcenebene.

⁴ X-Ray unterstützt die Tag-basierte Zugriffskontrolle für Gruppen und Samplingregeln.

Sicherheits-, Identitäts- und Compliance-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Artifact Ja Ja No No Ja No
AWS Audit Manager Ja Ja No Ja Ja Ja
Amazon Cloud Directory Ja Ja No No Ja No
Amazon Cognito Ja Ja No Ja Ja Ja
Amazon Cognito Sync Ja Ja No No Ja Ja
Amazon-Cognito-Benutzerpools Ja Ja No Ja Ja Ja
Amazon Detective Ja Ja No Ja Ja No
AWS Directory Service Ja Ja No Ja Ja No
AWS Firewall Manager Ja Ja No Ja Ja Teilweise
Amazon GuardDuty Ja Ja No Ja Ja Ja
AWS Identity and Access Management (IAM) Ja Ja Teilweise¹ Teilweise² Teilweise³ No
AWS Identity and Access Management Access Analyzer Ja Ja No Ja Ja Teilweise
Amazon Inspector Classic Ja No No No Ja Ja
Amazon Inspector Ja Ja No Ja Ja Ja
Amazon Macie Ja Ja No Ja Ja Ja
Amazon Macie Classic Ja No No No Ja Ja
AWS Network Firewall Ja Ja No Ja Ja Ja
AWS Resource Access Manager (AWS RAM) Ja Ja No Ja Ja No
AWS Secrets Manager Ja Ja Ja Ja Ja No
AWS Security Hub Ja Ja No Ja Ja Ja
AWS Single Sign-On (AWS SSO) Ja Ja No Ja Ja Ja
AWS SSO Directory Ja No No No Ja No
AWS SSO Identity Store Ja No No No Ja No
AWS Security Token Service (AWS STS) Ja Teilweise⁴ No Ja Teilweise⁵ No
AWS Shield Ja Ja No Ja Ja Ja
AWS WAF Ja Ja No Ja Ja Ja
AWS WAF Classic Ja Ja No Ja Ja Ja
AWS WAF Regional Ja Ja No Ja Ja Ja

¹ IAM unterstützt nur eine Art ressourcenbasierte Richtlinie, die als Rollen-Vertrauensrichtlinie bezeichnet wird, die einer IAM-Rolle zugewiesen ist. Weitere Informationen finden Sie unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen.

² IAM unterstützt die Tag-basierte Zugriffskontrolle nur für die meisten IAM-Ressourcen. Weitere Informationen finden Sie unter Markieren von IAM-Ressourcen.

² Nur einige der API-Aktionen für IAM können mit temporären Anmeldeinformationen aufgerufen werden. Weitere Informationen finden Sie unter Vergleich Ihrer API-Optionen.

⁴ AWS STS hat keine "Ressourcen", ermöglicht aber die Zugriffsbeschränkung auf ähnliche Weise wie für Benutzer. Weitere Informationen finden Sie unter Verweigern des Zugriffs auf temporäre Sicherheitsanmeldeinformationen nach Name.

⁵ Nur einige der API-Operationen für AWS STS können mit temporären Anmeldeinformationen aufgerufen werden. Weitere Informationen finden Sie unter Vergleich Ihrer API-Optionen.

Kryptografie und PKI-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Certificate Manager Private Certificate Authority (ACM) Ja Ja Ja Ja Ja No
AWS Certificate Manager (ACM) Ja Ja No Ja Ja Ja
AWS CloudHSM Ja Ja No Ja Ja Ja
AWS Key Management Service (AWS KMS) Ja Ja Ja Ja Ja Ja
AWS Signer Ja Ja No Ja Ja No

Machine-Learning-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS BugBust Ja Ja No Ja Ja Ja
Amazon CodeGuru Profiler Ja Ja No Ja Ja Ja
Amazon CodeGuru Reviewer Ja Ja No Ja Ja Ja
Amazon Comprehend Ja Ja No Ja Ja No
Amazon Comprehend Medical Ja No No No Ja No
AWS DeepComposer Ja Ja No Ja Ja No
AWS DeepRacer Ja Ja No Ja Ja Ja
AWS Panorama Ja Ja No Ja Ja Ja
Amazon DevOps Guru Ja Ja No No Ja Ja
Amazon Forecast Ja Ja No Ja Ja No
Amazon Fraud Detector Ja Ja No Ja Ja No
Ground Truth Labeling Ja No No No Ja No
Amazon HealthLake Ja Ja No Ja Ja No
Amazon Kendra Ja Ja No Ja Ja No
Amazon Lex Ja Ja No Ja Ja Ja
Amazon Lex V2 Ja Ja Ja Ja Ja Ja
Amazon Lookout for Equipment Ja Ja No Ja Ja No
Amazon Lookout for Metrics Ja Ja No Ja Ja No
Amazon Lookout for Vision Ja Ja No Ja Ja No
Amazon Monitron Ja Ja No Ja Ja No
Amazon Machine Learning Ja Ja No Ja Ja No
Amazon Personalize Ja Ja No No Ja No
Amazon Polly Ja Ja No No Ja No
Amazon Rekognition Ja Ja No Ja Ja No
Amazon SageMaker Ja Ja No Ja Ja No
Amazon Textract Ja No No No Ja No
Amazon Transcribe Ja No No No Ja No
Amazon Translate Ja No No No Ja No

Management- und Governance-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Account Management Ja Ja No Ja Ja No
Application Auto Scaling Ja No No No Ja Ja
AWS AppConfig Ja Ja No Ja Ja No
AWS Auto Scaling Ja No No No Ja Ja
AWS Chatbot Ja Ja No No Ja Ja
AWS CloudFormation Ja Ja No Ja Ja No
AWS CloudTrail Ja Ja No No Ja Ja
Amazon CloudWatch Ja Ja No Ja Ja Teilweise¹
Amazon CloudWatch Application Insights Ja No No No Ja No
Amazon CloudWatch Evidently Ja Ja No Ja Ja No
Amazon CloudWatch Events Ja Ja No Ja Ja No
Amazon CloudWatch Logs Ja Ja Ja Ja Ja Ja
AWS CloudWatch RUM Ja Ja No Ja Ja No
Amazon CloudWatch Synthetics Ja Ja No Teilweise Ja No
AWS Compute Optimizer Ja No No No Ja Ja
AWS Config Ja Teilweise² No Ja Ja Ja
AWS Control Tower Ja No No No Ja No
Amazon Data Lifecycle Manager Ja Ja No Ja Ja No
AWS Health Ja Ja No No Ja No
AWS License Manager Ja Ja No Ja Ja Ja
Amazon Managed Grafana Ja Ja No No Ja No
Amazon Managed Service for Prometheus Ja Ja No Ja Ja No
AWS OpsWorks Ja Ja No No Ja No
AWS OpsWorks Konfigurationsmanagement Ja Ja No No Ja No
AWS Organizations Ja Ja No Ja Ja Ja
AWS Proton Ja Ja No Ja Ja No
AWS Resilience Hub Ja Ja No Ja Ja No
AWS Resource Groups Ja Ja No Ja Teilweise³ No
AWS Resource Groups Tagging API Ja No No No Ja No
AWS Service Catalog Ja Ja No Teilweise⁴ Ja Ja
Amazon Session Manager Message Gateway Service Ja No No No No No
AWS Systems Manager Ja Ja No Ja Ja Ja
AWS Systems Manager GUI Connect Ja No No No Ja No
AWS Systems Manager Incident Manager Ja Ja No No Ja Ja
AWS Systems Manager Incident Manager-Kontakte Ja Ja No No Ja No
AWS Tag-Editor Ja No No No Ja No
AWS Trusted Advisor Teilweise⁵ Ja No No Teilweise Ja
AWS Well-Architected Tool Ja Ja No Ja Ja No
Service Quotas Ja Ja No Ja Ja No

¹ Amazon CloudWatch serviceverknüpfte Rollen können nicht mithilfe der AWS Management Console erstellt werden und unterstützen nur die Funktion Alarm Actions (Alarmaktionen).

² AWS Config unterstützt Berechtigungen auf Ressourcenebene für Datenaggregationen und AWS Config-Regeln über mehrere Konten und Regionen hinweg. Eine Liste der unterstützten Ressourcen finden Sie im Bereich Multi-Account Multi-Region Data Aggregation (Datenaggregation über mehrere Konten und Regionen) und im Bereich AWS Config-Rules im AWS Config-API-Handbuch.

³ Benutzer können eine Rolle mit einer Richtlinie annehmen, die AWS Resource Groups-Operationen zulässt.

⁴ AWS Service Catalog unterstützt die Tag-basierte Zugriffskontrolle nur für Aktionen, die mit API-Operationen mit mindestens einer Ressource in der Eingabe übereinstimmen.

² Der API-Zugriff auf Trusted Advisor erfolgt über die AWS Support-API und wird von den AWS Support-IAM-Richtlinien kontrolliert.

Migrations- und Übertragungsservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Application Discovery Service Ja No No No Ja Ja
AWS Application Discovery Arsenal Ja No No No Ja No
AWS Application Migration Service Ja Ja No Ja Ja Ja
AWS Connector Service Ja No No No Ja No
AWS Transfer Family Ja Ja No Ja Ja No
AWS Database Migration Service Ja Ja Nein¹ Ja Ja No
AWS DataSync Ja Ja No Ja Ja No
AWS Migration Hub Ja Ja No No Ja Ja
AWS Migration Hub Refactor Spaces Ja Ja No Ja Ja Ja
AWS Migration Hub Strategy Recommendations Ja No No No Ja Ja
AWS Server Migration Service Ja No No No Ja Ja

¹ Sie können Richtlinien erstellen und ändern, die an AWS KMS-Verschlüsselungsschlüssel angefügt sind, die Sie zum Verschlüsseln von Daten erstellen, die in unterstützte Ziel-Endpunkte migriert wurden. Die unterstützten Ziel-Endpunkte enthalten Amazon Redshift und Amazon S3. Weitere Informationen finden Sie unterErstellen und Verwenden vonAWS KMSSchlüssel zum Verschlüsseln von Amazon Redshift Zieldaten und ErstellenAWS KMSSchlüssel zum Verschlüsseln von Amazon S3 Zielobjekten im AWS Database Migration Service-Leitfaden.

Services für Mobilgeräte

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Amplify Ja Ja No Ja Ja No
AWS Amplify Admin Ja Ja No No Ja No
AWS Amplify UI Builder Ja Ja No Ja Ja No
AWS appsync Ja Ja No Ja Ja No
AWS Device Farm Ja Ja No Ja Ja No
Amazon Location Ja Ja No Ja Ja No

Services für Netzwerke und zur Bereitstellung von Inhalten

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon API Gateway Ja Ja Ja Ja Ja Ja
Amazon API Gateway-Management Ja Ja No Ja Ja No
Amazon API Gateway-Management V2 Ja Ja No Ja Ja No

AWS App Mesh

Ja Ja No Ja Ja Ja

AWS App Mesh Vorschau

Ja Ja No No Ja Ja

Amazon CloudFront

Ja Ja No Ja Ja Teilweise³

AWS Cloud Map

Ja Ja No Ja Ja No
AWS Direct Connect Ja Ja No Ja Ja Ja
AWS Global Accelerator Ja Ja No Ja Ja Ja
Network Manager Ja Ja No Ja Ja Ja
Amazon Route 53 Ja Ja No No Ja No
Amazon Route 53-Domänen Ja No No No No No
Amazon Route 53 Recovery Cluster Ja Ja No No Ja No
Amazon Route 53 Recovery-Kontrollen Ja Ja No No Ja No
Amazon Route 53 Recovery-Bereitschaft Ja Ja No Ja Ja No
Amazon Route 53 Resolver Ja Ja No Ja Ja Ja
AWS Tiros API (für VPC Reachability Analyzer) Ja No No No No No
Amazon Virtual Private Cloud (Amazon VPC) Ja Teilweise¹ Teilweise² Ja Ja No

¹ In einer IAM-Benutzerrichtlinie können Sie die Berechtigungen nicht auf einem bestimmten Amazon VPC-Endpunkt einschränken. Für jedes Action-Element, das die API-Aktion ec2:*VpcEndpoint* oder ec2:DescribePrefixLists enthält, muss ""Resource": "*"" angegeben werden. Weitere Informationen finden Sie unter Kontrolle der Verwendung von Endpunkten im Amazon VPC Leitfaden.

² Amazon VPC unterstützt das Anfügen einer einzelnen Ressourcenrichtlinie zu einem VPC-Endpunkt, um den Zugriff über diesen Endpunkt einzuschränken. Weitere Informationen zur Verwendung von ressourcenbasierten Richtlinien zum Kontrollieren des Zugriffs auf Ressourcen über bestimmte Amazon VPC-Endpunkte finden Sie unter Verwendung von Endpunkt-Richtlinien im Amazon VPC Leitfaden.

⁴ Amazon CloudFront verfügt im Gegensatz zu Lambda@Edge nicht über serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Lambda@Edge im Amazon CloudFront Developer Guide.

Medienservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon Elastic Transcoder Ja Ja No No Ja No
AWS Elemental - Appliances und Software Ja Ja No Ja Ja No
AWS Elemental Appliances und Software-Aktivierungsservice Ja Ja No Ja Ja No
AWS Elemental MediaConnect Ja Ja No No Ja No
AWS Elemental MediaConvert Ja Ja No Ja Ja No
AWS Elemental MediaLive Ja Ja No Ja Ja No
AWS Elemental MediaPackage Ja Ja No Ja Ja No
AWS Elemental MediaPackage VOD Ja Ja No Ja Ja No
AWS Elemental MediaStore Ja Ja Ja No Ja No
AWS Elemental MediaTailor Ja Ja No Ja Ja Ja
AWS Elemental Support-Fälle Ja No No No Ja No
AWS Elemental Support-Inhalte Ja No No No Ja No
Amazon Interactive Video Service Ja Ja No Ja Ja Ja
Kinesis Video Streams Ja Ja No Ja Ja No
Amazon Nimble Studio Ja Ja No Ja Ja No

Analyseservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon Athena Ja Ja No Ja Ja No
Amazon CloudSearch Ja Ja No No Ja No
AWS Data Exchange Ja Ja No Ja Ja No
AWS Data Pipeline Ja No No Ja Ja No
Amazon OpenSearch Service Ja Ja Ja Ja Ja Ja
Amazon EMR Ja Ja No Ja Ja Ja
Amazon EMR auf EKS (EMR Container) Ja Ja No Ja Ja Ja
Amazon FinSpace Ja Ja No Ja Ja No
AWS Glue Ja Ja Ja Teilweise Ja No
AWS Glue DataBrew Ja Ja No Ja Ja No
Amazon Kinesis Data Analytics Ja Ja No Ja Ja No
Amazon Kinesis Data Analytics V2 Ja Ja No Ja Ja No
Amazon Kinesis Data Firehose Ja Ja No Ja Ja No
Amazon Kinesis Data Streams Ja Ja No No Ja No
AWS Lake Formation Ja No No No Ja Ja
Amazon Managed Streaming for Apache Kafka (MSK) Ja Ja No Ja Ja No
Amazon Managed Streaming for Kafka Connect Ja Ja No No Ja Ja
Apache Kafka-APIs für Amazon MSK-Cluster Ja Ja No Ja Ja No
Amazon Managed Workflows for Apache Airflow Ja Ja No Ja Ja No
Amazon QuickSight Ja Ja No Ja Ja No

Services für die Anwendungsintegration

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon AppFlow Ja Ja No Ja Ja No
Amazon EventBridge Ja Ja Ja Ja Ja No
Amazon EventBridge Schemas Ja Ja Ja Ja Ja No
Amazon MQ Ja Ja No Ja Ja Ja
Amazon Simple Notification Service (Amazon SNS) Ja Ja Ja No Ja No
Amazon Simple Queue Service (Amazon SQS) Ja Ja Ja No Ja No
AWS Step Functions Ja Ja No Ja Ja No
Amazon Simple Workflow Service (Amazon SWF) Ja Ja No Ja Ja No

Services für Geschäftsanwendungen

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Alexa for Business Ja Ja No Ja Ja No
Amazon Chime Ja Ja No Ja Ja Ja
Amazon Honeycode Ja Ja No No Ja No
Amazon WorkMail Ja Ja No Ja Ja Ja
Amazon WorkMail Message Flow Ja Ja No No Ja No

Satelliten-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Ground Station Ja Ja No Ja Ja No

Internet-of-Things-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS IoT Ja Ja Teilweise¹ Ja Ja No
AWS IoT 1-Click Ja Ja No Ja Ja No
AWS IoT Analytics Ja Ja No Ja Ja No
AWS IoT Core Device Advisor Ja Ja No Ja Ja No
AWS IoT Core für LoRaWAN Ja Ja No Ja Ja No
AWS IoT Device Tester Ja No No No Ja No
AWS IoT Events Ja Ja No Ja Ja No
Fleet Hub for AWS IoT Device Management Ja Ja No Ja Ja No
AWS IoT FleetWise Ja Ja No No Ja No
AWS IoT Greengrass Ja Ja No Ja Ja No
AWS IoT Greengrass V2 Ja Ja No Ja Ja No
AWS IoT RoboRunner Ja Ja No No Ja No
AWS IoT SiteWise Ja Ja No Ja Ja Ja
AWS IoT Things Graph Ja Ja No Ja Ja No
AWS IoT TwinMaker Ja Ja No Ja Ja No
FreeRTOS Ja Ja No Ja Ja No

¹ Mit AWS IoT verbundene Geräte werden mit X.509-Zertifikaten oder mit Amazon Cognito Identities authentifiziert. Sie können AWS IoT-IoT-Richtlinien an ein X.509-Zertifikat oder eine Amazon Cognito-Identität anfügen, um zu kontrollieren, was das Gerät ausführen darf. Weitere Informationen finden Sie unter Sicherheits- und Identitätsmethoden für AWS IoT im AWS IoTDeveloper Guide

Robotik-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
RoboMaker Ja Ja No Ja Ja Ja

Quantum Computing-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon Braket Ja Ja No Ja Ja Ja

Blockchain-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon Managed Blockchain Ja Ja No Ja Ja No

Services für Spieleentwicklung

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon GameLift Ja Ja No Ja Ja No

AR- und VR-Services

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon Sumerian Ja Ja No No Ja No

Services zur Kundenbindung

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS IQ Ja No No No Ja No
AWS IQ-Berechtigungen No No No No Ja No
AWS Support Ja No No No Ja Ja

Services zur Kundenbindung

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon AppIntegrations Ja Ja No Ja Ja No
Amazon Connect Ja Ja No Ja Ja Ja
Amazon Connect Customer Profiles Ja Ja No Ja Ja No
Amazon Connect Voice ID Ja Ja No Ja Ja No
Amazon Connect Wisdom Ja Ja No Ja Ja No
Ausgehende Kommunikation mit hohem Volumen Ja Ja No Ja Ja No
Amazon Pinpoint Ja Ja No Ja Ja No
Amazon Pinpoint-E-Mail-Service Ja Ja No Ja Ja No
Amazon Pinpoint-SMS- und Sprachnachrichten-Service Ja No No No Ja No
Amazon Simple Email Service (Amazon SES) v2 Ja Teilweise¹ Ja Ja Teilweise² No

¹ Sie können nur Berechtigungen auf Ressourcenebene in Richtlinienanweisungen verwenden, die sich auf Aktionen beziehen, bei denen es um das Senden von E-Mails geht, beispielsweise ses:SendEmail oder ses:SendRawEmail. Bei Richtlinienanweisungen, die sich auf andere Aktionen beziehen, kann das Ressourcenelement nur enthalten *.

² Temporäre Anmeldeinformationen werden nur vom Amazon SES-API unterstützt. Die Amazon SES SMTP-Schnittstelle unterstützt keine SMTP-Anmeldeinformationen, die von temporären Anmeldeinformationen stammen.

Endbenutzer-Datenverarbeitungsservices

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
Amazon AppStream Ja No No No Ja No
Amazon AppStream 2.0 Ja Ja No Ja Ja No
Amazon WAM Ja No No No Ja No
Amazon WorkDocs Ja No No No Ja No
Amazon WorkLink Ja Ja No Ja Ja Ja
Amazon WorkSpaces Ja Ja No Ja Ja No
Amazon WorkSpaces Application Manager Ja No No No Ja No
Amazon WorkSpaces Web Ja Ja No Ja Ja Ja

Services der Fakturierung und des Kostenmanagements

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Application Cost Profiler Service Ja No No No Ja No
AWS Billing and Cost Management Ja No No No Ja No
AWS Kosten- und Nutzungsbericht Ja Ja No No Ja No
AWS Cost Explorer Ja No No No Ja No
AWS Savings Plans Ja Ja No Ja Ja No

Weitere Ressourcen

Service Aktionen Berechtigungen auf Ressourcenebene Ressourcenbasierte Richtlinien Autorisierung auf der Basis von Markierungen Temporäre Anmeldeinformationen Service-verknüpfte Rollen
AWS Activate Ja No No No Ja No
AWS Budget Service Ja Ja No No No No
AWS Marketplace Ja No No No Ja Ja
AWS Marketplace Katalog Ja Ja No No Ja No
AWS Marketplace Commerce Analytics Service Ja No No No No No
AWS Marketplace Metering Service Ja No No No Ja No
AWS Marketplace Private Marketplace Ja No No No Ja No