IAM: Übergeben einer IAM-Rolle an einen bestimmten AWS-Service - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM: Übergeben einer IAM-Rolle an einen bestimmten AWS-Service

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Übergabe einer beliebigen IAM-Servicerolle an den Amazon-CloudWatch-Service erlaubt. Diese Richtlinie gewährt die Berechtigungen, die erforderlich sind, um diese Aktion programmgesteuert über die AWS-API oder -AWS CLI durchzuführen. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Eine Servicerolle ist eine IAM-Rolle, die einen AWS-Service als Auftraggeber angibt, der die Rolle übernehmen kann. Auf diese Weise kann der Service die Rolle übernehmen und in Ihrem Namen auf Ressourcen eines anderen Services zugreifen. Damit Amazon CloudWatch die Rolle, die Sie übergeben, übernehmen kann, müssen Sie den cloudwatch.amazonaws.com-Dienstauftraggeber als Auftraggeber in der Vertrauensrichtlinie Ihrer Rolle angeben. Der Dienstauftraggeber wird durch den Service definiert. Um den Dienstauftraggeber für einen Service zu ermitteln, lesen Sie die Dokumentation für diesen Service. Für einige Services finden Sie Informationen unter AWS Dienste, die mit IAM funktionieren und suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen. Suchen Sie nach amazonaws.com, um den Dienstauftraggeber anzuzeigen.

Weitere Informationen zum Übergeben einer Servicerolle an einen Service finden Sie unter Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kann.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}