IAMJSONpolitische Elemente: NotAction - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMJSONpolitische Elemente: NotAction

NotAction ist ein erweitertes Richtlinienelement, um eine explizite Übereinstimmung mit allen Aktionen herzustellen, mit Ausnahme der angegebenen Aktionsliste. Die Verwendung von NotAction kann zu einer kürzeren Richtlinie führen, da statt einer langen Liste von zugelassenen Aktionen lediglich einige wenige nicht zugelassenen Aktionen angegeben werden. Maßnahmen, NotAction die in angegeben sind, werden durch die Allow oder die Deny Wirkung in einer Grundsatzerklärung nicht beeinflusst. Dies bedeutet wiederum, dass alle nicht aufgelisteten einschlägigen Aktionen und Services zugelassen sind, wenn Sie die Anweisung Allow verwenden. Außerdem werden solche nicht aufgelisteten Aktionen und Services verweigert, wenn Sie die Anweisung Deny verwenden. Wenn Sie NotAction mit dem Resource-Element verwenden, schaffen Sie Raum für die Richtlinie. Auf diese Weise wird AWS bestimmt, welche Aktionen oder Dienste anwendbar sind. Weitere Informationen finden Sie in der folgenden Beispielrichtlinie.

NotAction mit Zulassen

Sie können das NotAction Element in einer Anweisung mit verwenden"Effect": "Allow", um Zugriff auf alle Aktionen in einem AWS Dienst zu gewähren, mit Ausnahme der unter angegebenen AktionenNotAction. Sie können sie mit dem Resource-Element verwenden, um Raum für die Richtlinie zu schaffen und die zugelassenen Aktionen auf die Aktionen zu beschränken, die für die angegebene Ressource ausgeführt werden können.

Das folgende Beispiel gestattet Benutzern den Zugriff auf die Amazon S3-Aktionen, die für jede S3-Ressource ausgeführt werden können, mit Ausnahme des Löschens eines Buckets. Dadurch können Benutzer den ListAllMyBuckets API S3-Vorgang nicht verwenden, da für diese Aktion die Ressource „*“ erforderlich ist. Diese Richtlinie lässt auch keine Aktionen in anderen Services zu, weil andere Service-Aktionen nicht auf die S3-Ressourcen anwendbar sind.

"Effect": "Allow", "NotAction": "s3:DeleteBucket", "Resource": "arn:aws:s3:::*",

Manchmal ist es sinnvoll, den Zugriff auf eine große Anzahl von Aktionen zu erlauben. Durch Verwendung des NotAction-Elements können Sie die Anweisung effektiv invertieren und so die Aktionsliste verkürzen. Da es beispielsweise so AWS viele Dienste gibt, möchten Sie möglicherweise eine Richtlinie erstellen, die es dem Benutzer ermöglicht, alles außer IAM Zugriffsaktionen zu tun.

Im folgenden Beispiel können Benutzer auf jede Aktion in jedem AWS Dienst zugreifen, mit Ausnahme vonIAM.

"Effect": "Allow", "NotAction": "iam:*", "Resource": "*"

Seien Sie vorsichtig bei der Verwendung der Elemente NotAction und "Effect": "Allow" in derselben Anweisung oder in einer anderen Anweisung innerhalb einer Richtlinie. NotAction stimmt mit allen Diensten und Aktionen überein, die nicht explizit aufgelistet oder auf die angegebene Ressource anwendbar sind und dazu führen könnten, dass Benutzer mehr Berechtigungen erhalten, als Sie beabsichtigt haben.

NotAction mit Verweigern

Sie können in einer Anweisung das Element NotAction mit "Effect": "Deny" verwenden, um den Zugriff auf alle aufgelisteten Ressourcen mit Ausnahme der im Element NotAction angegebenen Aktionen zu verweigern. Diese Kombination erteilt den aufgeführten Elementen keine Berechtigung, verweigert aber explizit den Zugriff auf die nicht aufgeführten Aktionen. Sie müssen unverändert die gewünschten Aktionen zulassen.

Das folgende bedingte Beispiel verweigert den Zugriff auf IAM Nichtaktionen, wenn der Benutzer nicht mitMFA. Wenn der Benutzer mit angemeldet istMFA, schlägt der "Condition" Test fehl und die endgültige "Deny" Anweisung hat keine Auswirkung. Beachten Sie jedoch, dass dem Benutzer dadurch kein Zugriff auf irgendwelche Aktionen gewährt würde. Es würde lediglich ausdrücklich alle anderen Aktionen außer IAM Aktionen verweigern.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyAllUsersNotUsingMFA", "Effect": "Deny", "NotAction": "iam:*", "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}} }] }

Eine Beispielrichtlinie, mit der der Zugriff auf Aktionen außerhalb bestimmter Regionen verweigert wird, mit Ausnahme von Aktionen aus bestimmten Services; siehe AWS: Verweigert den Zugriff auf AWS basierend auf der angeforderten Region.