Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Dienste, die mit IAM funktionieren
Die unten aufgeführten AWS Dienste sind alphabetisch gruppiert und enthalten Informationen darüber, welche IAM-Funktionen sie unterstützen:
-
Dienst — Sie können den Namen eines Dienstes wählen, um die AWS Dokumentation zur IAM-Autorisierung und zum Zugriff für diesen Dienst anzuzeigen.
-
Aktionen – Sie können einzelne Aktionen in einer Richtlinie angeben. Wenn der Service dieses Feature nicht unterstützt, wird All actions (Alle Aktionen) im visuellen Editor ausgewählt. In einem JSON-Richtliniendokument müssen Sie
*imAction-Element verwenden. Eine Liste der Aktionen in den einzelnen Diensten finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. -
Berechtigungen auf Ressourcenebene – Sie können mit ARNs einzelne Ressourcen in der Richtlinie angeben. Wenn der Service dieses Feature nicht unterstützt, wird All resources (Alle Ressourcen) im visuellen Richtlinieneditor ausgewählt. In einem JSON-Richtliniendokument müssen Sie
*imResource-Element verwenden. Einige Aktionen, wie z. B.List*-Aktionen, unterstützen die Angabe eines ARN nicht, da sie darauf ausgelegt sind, mehrere Ressourcen zurückzugeben. Wenn ein Service dieses Feature für einige Ressourcen unterstützt, für andere aber nicht, wird in der Tabelle durch Partial darauf hingewiesen. Weitere Informationen dazu finden Sie in der Dokumentation zu dem jeweiligen Service. -
Ressourcenbasierte Richtlinien – Sie können ressourcenbasierte Richtlinien an eine Ressource innerhalb des Service anfügen. Ressourcenbasierte Richtlinien enthalten ein
Principal-Element zur Angabe der IAM-Identitäten, die auf diese Ressource zugreifen können. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien. -
ABAC (Authorisierung basierend auf Tags) – Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Bedingungsschlüssel
aws:ResourceTag/,key-nameaws:RequestTag/oderkey-nameaws:TagKeysverwenden. Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service Ja. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert Teilweise. Weitere Informationen zur Definition von Berechtigungen auf der Basis von Attributen wie Tags finden Sie unter Was ist ABAC für AWS?. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe Attributbasierte Zugriffskontrolle (ABAC) verwenden. -
Temporäre Anmeldeinformationen — Sie können kurzfristige Anmeldeinformationen verwenden, die Sie erhalten, wenn Sie sich mit IAM Identity Center anmelden, die Rollen in der Konsole wechseln oder die Sie mithilfe AWS STS der AWS API AWS CLI oder generieren. Sie können nur auf Services mit dem Wert Nein zugreifen, während Sie Ihre langfristigen IAM-Benutzeranmeldeinformationen verwenden. Dies beinhaltet einen Benutzernamen und ein Passwort oder Ihre Benutzerzugriffsschlüssel. Weitere Informationen finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.
-
Serviceverknüpfte Rollen – Eine serviceverknüpfte Rolle ist ein spezieller Typ von Servicerolle, die dem Service die Berechtigung erteilt, in Ihrem Namen auf Ressourcen in anderen Services zuzugreifen. Wählen Sie den Link Ja oder Teilweise, um die Dokumentation für Services anzuzeigen, die diese Rollen unterstützen. In dieser Spalte wird nicht angegeben, ob der Service Standardservicerollen verwendet. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen.
-
Weitere Informationen – Wenn ein Service ein Feature nicht vollständig unterstützt, finden Sie in den Fußnoten Informationen zu eventuellen Einschränkungen und Links zu verwandten Informationen.
Services, die mit IAM funktionieren
Weitere Informationen
Amazon CloudFront
CloudFront hat keine dienstbezogenen Rollen, Lambda @Edge jedoch schon. Weitere Informationen finden Sie unter Service-Linked Roles for Lambda @Edge im Amazon CloudFront Developer Guide.
AWS CloudTrail
CloudTrail unterstützt ressourcenbasierte Richtlinien nur für CloudTrail Kanäle, die für CloudTrail Lake-Integrationen mit Ereignisquellen außerhalb von verwendet werden. AWS
CloudTrail unterstützt die Tag-basierte Zugriffskontrolle für CloudTrail Lake-Ereignisdatenspeicher und -Kanäle. CloudTrail unterstützt keine tagbasierten Zugriffskontrollen für Wanderwege.
Amazon CloudWatch
CloudWatch Rollen, die mit Services verknüpft sind AWS Management Console, können nicht mit der Funktion Alarmaktionen erstellt werden und unterstützen nur die Funktion Alarmaktionen.
AWS CodeBuild
CodeBuild unterstützt die kontenübergreifende gemeinsame Nutzung von Ressourcen mithilfe von. AWS RAM
CodeBuild unterstützt ABAC für projektbasierte Aktionen.
AWS Config
AWS Config unterstützt Berechtigungen auf Ressourcenebene für die Datenaggregation und Regeln für mehrere Konten in mehreren Regionen. AWS Config Eine Liste der unterstützten Ressourcen finden Sie im Bereich Datenaggregation über mehrere Konten und Regionen und im Bereich AWS Config -Regeln im AWS Config -API-Handbuch.
AWS Database Migration Service
Sie können Richtlinien erstellen und ändern, die mit AWS KMS Verschlüsselungsschlüsseln verknüpft sind, die Sie zur Verschlüsselung von Daten erstellen, die auf unterstützte Zielendpunkte migriert wurden. Die unterstützten Ziel-Endpunkte enthalten Amazon Redshift und Amazon S3. Weitere Informationen finden Sie unter Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten und Erstellen von AWS KMS Schlüsseln zur Verschlüsselung von Amazon S3 S3-Zielobjekten im AWS Database Migration Service Benutzerhandbuch.
Amazon Elastic Compute Cloud
Serviceverknüpfte Rollen von Amazon EC2 können nur für die folgenden Features verwendet werden: Spot-Instance-Anforderungen, Spot-Flotten-Anforderungen, Amazon-EC2-Flotten, und Schneller Start für Windows-Instances.
Amazon Elastic Container Service
Nur einige Amazon-ECS-Aktionen unterstützen Berechtigungen auf Ressourcenebene.
AWS Elemental MediaPackage
MediaPackage unterstützt dienstbezogene Rollen für die Veröffentlichung von Kundenzugriffsprotokollen, CloudWatch aber nicht für andere API-Aktionen.
AWS Identity and Access Management
IAM unterstützt nur eine Art ressourcenbasierte Richtlinie, die als Rollen-Vertrauensrichtlinie bezeichnet wird, die einer IAM-Rolle zugewiesen ist. Weitere Informationen finden Sie unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen.
IAM unterstützt die Tag-basierte Zugriffskontrolle nur für die meisten IAM-Ressourcen. Weitere Informationen finden Sie unter Markieren von IAM-Ressourcen.
Nur einige der API-Aktionen für IAM können mit temporären Anmeldeinformationen aufgerufen werden. Weitere Informationen finden Sie unter Vergleich Ihrer API-Optionen.
AWS IoT
Geräte, mit AWS IoT denen verbunden ist, werden mithilfe von X.509-Zertifikaten oder Amazon Cognito Identities authentifiziert. Sie können AWS IoT Richtlinien an ein X.509-Zertifikat oder Amazon Cognito Identity anhängen, um zu kontrollieren, wofür das Gerät autorisiert ist. Weitere Informationen finden Sie unter Sicherheits- und Identitätsmethoden für AWS IoT im AWS IoT Developer Guide
AWS Lambda
Lambda unterstützt attributbasierte Zugriffssteuerung (ABAC) für API-Aktionen, die eine Lambda-Funktion als erforderliche Ressource verwenden. Layers, Zuordnungen von Ereignisquellen und Konfigurationsressourcen für Codesignaturen werden nicht unterstützt.
Lambda verfügt im Gegensatz zu Lambda@Edge nicht über serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Service-Linked Roles for Lambda @Edge im Amazon CloudFront Developer Guide.
Amazon Lightsail
Lightsail unterstützt teilweise Berechtigungen auf Ressourcenebene und ABAC. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Lightsail.
Amazon Managed Streaming for Apache Kafka (MSK)
Sie können eine Clusterrichtlinie an einen Amazon MSK-Cluster anhängen, der für Multi-VPC-Konnektivität konfiguriert wurde.
AWS Network Manager
AWS Cloud WAN unterstützt auch serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Service-verknüpfte AWS Cloud-WAN-Rollen im Amazon VPC AWS Cloud WAN-Leitfaden.
Amazon Relational Database Service
Amazon Aurora ist eine vollständig verwaltete, mit MySQL und PostgreSQL kompatible relationale Datenbank-Engine. Sie können Aurora MySQL oder Aurora PostgreSQL als die DB-Engine-Option auswählen, wenn Sie über Amazon RDS neue Datenbankserver einrichten. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung mit Amazon Aurora im Amazon-Aurora-Benutzerhandbuch.
Amazon Rekognition
Ressourcenbasierte Richtlinien werden nur für das Kopieren von Modellen von Amazon Rekognition Custom Labels unterstützt.
AWS Resource Groups
Benutzer können eine Rolle mit einer Richtlinie übernehmen, die Ressourcengruppen-Operationen zulässt.
Amazon SageMaker
Stellen im Zusammenhang mit Dienstleistungen sind derzeit für SageMaker Studio- und SageMaker Schulungsjobs verfügbar.
AWS Security Token Service
AWS STS verfügt nicht über „Ressourcen“, ermöglicht es jedoch, den Zugriff auf ähnliche Weise für Benutzer einzuschränken. Weitere Informationen finden Sie unter Verweigern des Zugriffs auf temporäre Sicherheitsanmeldeinformationen nach Name.
Nur einige API-Operationen AWS STS unterstützen das Aufrufen mit temporären Anmeldeinformationen. Weitere Informationen finden Sie unter Vergleich Ihrer API-Optionen.
Amazon Simple Email Service
Sie können nur Berechtigungen auf Ressourcenebene in Richtlinienanweisungen verwenden, die sich auf Aktionen beziehen, bei denen es um das Senden von E-Mails geht, beispielsweise ses:SendEmail oder ses:SendRawEmail. Bei Richtlinienanweisungen, die sich auf andere Aktionen beziehen, kann das Ressourcenelement nur * enthalten.
Temporäre Anmeldeinformationen werden nur vom Amazon-SES-API unterstützt. Die Amazon SES SMTP-Schnittstelle unterstützt keine SMTP-Anmeldeinformationen, die von temporären Anmeldeinformationen stammen.
Amazon Simple Storage Service
Amazon S3 unterstützt die Tag-basierte Autorisierung nur für Objekt-Ressourcen.
Amazon S3 unterstützt serviceverknüpfte Rollen für Amazon S3 Storage Lens.
AWS Trusted Advisor
Der API-Zugriff auf Trusted Advisor erfolgt über die AWS Support API und wird durch AWS Support IAM-Richtlinien gesteuert.
Amazon Virtual Private Cloud
In einer IAM-Benutzerrichtlinie können Sie die Berechtigungen nicht auf einem bestimmten Amazon-VPC-Endpunkt einschränken. Für jedes Action-Element, das die API-Aktion ec2:*VpcEndpoint* oder ec2:DescribePrefixLists enthält, muss ""Resource":
"*"" angegeben werden. Weitere Informationen finden Sie unter Identity and Access Management für VPC-Endpunkte und VPC-Endpunkt-Services im AWS PrivateLink -Leitfaden.
Amazon VPC unterstützt das Anfügen einer einzelnen Ressourcenrichtlinie zu einem VPC-Endpunkt, um den Zugriff über diesen Endpunkt einzuschränken. Weitere Informationen zur Verwendung ressourcenbasierter Richtlinien zum Steuern des Zugriffs auf Ressourcen von bestimmten Amazon-VPC-Endpunkten finden Sie unter Steuern des Zugriffs auf Services mithilfe von Endpunktrichtlinien im AWS PrivateLink -Handbuch.
Amazon VPC hat keine serviceverknüpften Rollen, tut es aber AWS Transit Gateway . Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für das Transit-Gateway im Amazon VPC-Leitfaden AWS Transit Gateway .
AWS X-Ray
X-Ray unterstützt nicht für alle Aktionen Berechtigungen auf Ressourcenebene.
X-Ray unterstützt Tag-basierte Zugriffskontrolle für Gruppen und Probenregeln.
