Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können AWS Identity and Access Management (IAM)-Richtlinienvariablen als Platzhalter verwenden, wenn Sie beim Schreiben einer Richtlinie den genauen Wert einer Ressource oder eines Bedingungsschlüssels nicht kennen.
Anmerkung
Wenn AWS eine Variable nicht auflösen kann, kann dies dazu führen, dass die gesamte Anweisung ungültig ist. Wenn Sie beispielsweise die Variable aws:TokenIssueTime verwenden, wird diese nur dann in einen Wert aufgelöst, wenn der Anforderer für die Authentifizierung temporäre Anmeldeinformationen (eine IAM-Rolle) verwendet hat. Um zu verhindern, dass Variablen ungültige Anweisungen verursachen, verwenden Sie den ... IfExists-Bedingungsoperator.
Themen
Einführung
In IAM-Richtlinien ermöglichen Ihnen viele Aktionen, einen Namen für die speziellen Ressourcen bereitzustellen, für die Sie den Zugriff steuern möchten. Die folgende Richtlinie erlaubt Benutzern beispielsweise das Auflisten, Lesen und Schreiben von Objekten im S3-Bucket amzn-s3-demo-bucket für marketing-Projekte.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
"Condition": {"StringLike": {"s3:prefix": ["marketing/*"]}}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/marketing/*"]
}
]
}In manchen Fällen kennen Sie vielleicht den genauen Namen der Ressource nicht, wenn Sie die Richtlinie schreiben. Sie können die Richtlinie so verallgemeinern, dass sie für viele Benutzer funktioniert, ohne dass eine eindeutige Kopie der Richtlinie für jeden Benutzer erstellt werden muss. Anstatt für jeden Benutzer eine eigene Richtlinie zu erstellen, empfehlen wir Ihnen, eine einzelne Gruppenrichtlinie zu erstellen, die für jeden Benutzer in dieser Gruppe funktioniert.
Verwenden von Variablen in Richtlinien
Sie können dynamische Werte innerhalb von Richtlinien definieren, indem Sie Richtlinienvariablen verwenden, die Platzhalter in einer Richtlinie festlegen.
Variablen werden mit einem $-Präfix gefolgt von einem Paar geschweifter Klammern ({ }) markiert, die den Variablennamen des Werts aus der Anfrage enthalten.
Wenn die Richtlinie ausgewertet wird, werden die Richtlinienvariablen mit Werten aus den bedingten Kontextschlüsseln ersetzt, die in der Anforderung übermittelt wurden. Variablen können in identitätsbasierten Richtlinien, Ressourcenrichtlinien, Dienstverwaltungsrichtlinien, Sitzungsrichtlinien und VPC-Endpunkt-Richtlinien verwendet werden. Identitätsbasierte Richtlinien, die als Berechtigungsgrenzen verwendet werden, unterstützen auch Richtlinienvariablen.
Globale Bedingungskontextschlüssel können als Variablen in Anfragen über alle AWS-Services verwendet werden. Servicespezifische Bedingungsschlüssel können bei der Interaktion mit AWS-Ressourcen auch als Variablen verwendet werden, sind jedoch nur verfügbar, wenn Anfragen an Ressourcen gestellt werden, die sie unterstützen. Eine Liste der für jeden AWS-Service und jede Ressource verfügbaren Kontextschlüssel finden Sie in der Service Authorization Reference. Unter bestimmten Umständen können Sie globale Bedingungskontextschlüssel nicht mit einem Wert füllen. Weitere Informationen zu den einzelnen Schlüsseln finden Sie unter AWSGlobale Bedingungskontextschlüssel.
Wichtig
-
Bei Schlüsselnamen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Beispiel:
aws:CurrentTimeist gleichbedeutend mitAWS:currenttime. -
Sie können jeden einwertigen Bedingungsschlüssel als Variable verwenden. Sie können einen mehrwertigen Bedingungsschlüssel nicht als Variable verwenden.
Das folgende Beispiel zeigt eine Richtlinie für eine IAM-Rolle oder einen IAM-Benutzer, die einen bestimmten Ressourcennamen durch eine Richtlinienvariable ersetzt. Sie können diese Richtlinie wiederverwenden, indem Sie den aws:PrincipalTag-Bedingungsschlüssel nutzen. Bei der Auswertung dieser Richtlinie lässt ${aws:PrincipalTag/team} die Aktionen nur zu, wenn der Bucket-Name mit einem Teamnamen aus dem team-Prinzipal-Tag endet.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
"Condition": {"StringLike": {"s3:prefix": ["${aws:PrincipalTag/team}/*"]}}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/${aws:PrincipalTag/team}/*"]
}
]
}Die Variable wird mithilfe des Präfix $, gefolgt von einem Paar geschweifter Klammern ({ }), gekennzeichnet. Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten. Die Werte, die Sie verwenden können, werden weiter unten auf dieser Seite besprochen.
Einzelheiten zu diesem globalen Bedingungsschlüssel finden Sie unter PrincipalTagaws/tag-key in der Liste der globalen Bedingungsschlüssel.
Anmerkung
Zur Verwendung der Richtlinienvariablen müssen Sie das Version-Element in eine Anweisung einfügen und die Version muss auf eine Version gesetzt werden, die Richtlinienvariablen unterstützt. Variablen wurden in Version 2012-10-17 eingeführt. Frühere Versionen der Richtliniensprache unterstützen Richtlinienvariablen nicht. Wenn Sie das Version-Element nicht einfügen und nicht auf ein geeignetes Versionsdatum festlegen, werden Variablen wie ${aws:username} als tatsächliche Zeichenfolgen in der Richtlinie behandelt.
Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion hingegen wird erstellt, wenn Sie in IAM eine kundenverwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien.
Eine Richtlinie, die es einem Prinzipal ermöglicht, Objekte aus dem /David-Pfad eines S3-Buckets abzurufen, sieht wie folgt aus:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": ["arn:aws:s3::amzn-s3-demo-bucket/David/*"]
}]
}Wenn diese Richtlinie dem Benutzer David zugewiesen ist, erhält dieser Benutzer Objekte aus seinem eigenen S3-Bucket. Sie müssten jedoch für jeden Benutzer eine eigene Richtlinie erstellen, die den Namen des Benutzers enthält. Anschließend müssten Sie die einzelnen Richtlinien an die jeweiligen Benutzer anfügen.
Durch die Verwendung einer Richtlinienvariablen können Sie Richtlinien erstellen, die wiederverwendet werden können. Mit der folgenden Richtlinie kann ein Benutzer Objekte aus einem Amazon-S3-Bucket abrufen, wenn der Tag-Schlüsselwert für aws:PrincipalTag mit dem in der Anfrage übergebenen Tag-Schlüssel-Wert owner übereinstimmt.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowUnlessOwnedBySomeoneElse",
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": ["*"],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/owner": "${aws:PrincipalTag/owner}"
}
}
}
]
}Wenn Sie eine Richtlinienvariable anstelle eines solchen Benutzers verwenden, müssen Sie nicht für jeden einzelnen Benutzer eine eigene Richtlinie erstellen. Im folgenden Beispiel ist die Richtlinie einer IAM-Rolle zugeordnet, die von Produktmanagern mithilfe temporärer Sicherheitsanmeldeinformationen übernommen wird. Wenn ein Benutzer eine Anfrage zum Hinzufügen eines Amazon-S3-Objekts stellt, ersetzt IAM den dept-Tag-Wert aus der aktuellen Anfrage durch die ${aws:PrincipalTag}-Variable und wertet die Richtlinie aus.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowOnlyDeptS3Prefix",
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/${aws:PrincipalTag/dept}/*"],
}
]
}Tags als Richtlinienvariablen
Bei einigen AWS-Services können Sie eigene benutzerdefinierte Attribute an Ressourcen anfügen, die von diesen Services erstellt werden. Sie können beispielsweise Tags auf Amazon S3-Buckets oder IAM-Benutzer anwenden. Diese Tags sind Schlüssel-Wert-Paare. Sie definieren den Tag-Schlüsselnamen und den Wert, der diesem Schlüsselnamen zugeordnet ist. Beispielsweise können Sie ein Tag mit einem department-Schlüssel und einem Human Resources-Wert erstellen. Weitere Informationen zum Markieren von IAM-Entitäten finden Sie unter Tags für AWS Identity and Access Management-Ressourcen. Informationen über das Markieren von Ressourcen, die von anderen AWS-Services erstellt wurden, finden Sie in der Dokumentation des jeweiligen Services. Informationen zur Verwendung des Tag-Editors finden Sie unter Arbeiten mit dem Tag-Editor im AWS Management Console-Leitfaden.
Sie können IAM-Ressourcen markieren, um das Entdecken, Organisieren und Nachverfolgen Ihrer IAM-Ressourcen zu vereinfachen. Sie können IAM-Identitäten auch markieren, um den Zugriff auf Ressourcen oder auf die Markierung zu kontrollieren. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.
Wo Richtlinienvariablen verwendet werden können
Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden.
Ressourcen-Element
Sie können eine Richtlinienvariable im Resource-Element verwenden, jedoch nur im Ressourcenbereich des ARN. Dieser Teil des ARN erscheint nach dem 5. Doppelpunkt (:). Sie können keine Variable verwenden, um Teile des ARN vor dem 5. Doppelpunkt zu ersetzen, z. B. den Service oder das Konto. Weitere Informationen zum ARN-Format finden Sie unter IAM-ARNs.
Um einen Teil eines ARN durch einen Tag-Wert zu ersetzen, umgeben Sie das Präfix und den Schlüsselnamen mit ${ }. Das folgende Resource-Element bezieht sich beispielsweise nur auf einen Bucket, dessen Name mit dem Wert im Abteilungs-Tag des anfordernden Benutzers übereinstimmt.
"Resource":
["arn:aws::s3:::amzn-s3-demo-bucket/${aws:PrincipalTag/department}"]
Viele AWS-Ressourcen verwenden ARNs, die einen vom Benutzer erstellten Namen enthalten. Die folgende IAM-Richtlinie stellt sicher, dass nur vorgesehene Benutzer mit übereinstimmenden access-project-, access-project- und access-environment-Tag-Werten ihre Ressourcen ändern können. Darüber hinaus können sie durch die Verwendung von *-Platzhalterübereinstimmungen benutzerdefinierte Suffixe für Ressourcennamen zulassen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessBasedOnArnMatching",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:DeleteTopic"],
"Resource": ["arn:aws:sns:*:*:${aws:PrincipalTag/access-project}-${aws:PrincipalTag/access-application}-${aws:PrincipalTag/access-environment}-*"
]
}
]
} Condition-Element
Sie können eine Richtlinienvariable für Condition-Werte in jeder Bedingung verwenden, die die String-Operatoren oder die ARN-Operatoren beinhaltet. String-Operatoren beinhalten StringEquals, StringLike und StringNotLike. ARN-Operatoren beinhalten ArnEquals und ArnLike. Sie können eine Richtlinienvariable nicht mit anderen Operatoren wie Numeric, Date, Boolean, Binary, IP Address oder Null verwenden. Weitere Hinweise zu Bedingungsoperatoren finden Sie unter IAM-JSON-Richtlinienelemente: Bedingungsoperatoren.
Beim Referenzieren eines Tags in einem Condition-Elementausdruck verwenden Sie das entsprechende Präfix und den Schlüsselnamen als Bedingungsschlüssel. Verwenden Sie dann den Wert, den Sie testen möchten, im Bedingungswert.
Das folgende Richtlinienbeispiel ermöglicht Benutzern beispielsweise vollständigen Zugriff, jedoch nur, wenn dem Benutzer das Tag costCenter zugeordnet ist. Das Tag muss auch einen Wert von entweder 12345 oder 67890 haben. Wenn das Tag keinen Wert oder einen anderen Wert hat, schlägt die Anforderung fehl.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:*user*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:ResourceTag/costCenter": [ "12345", "67890" ]
}
}
}
]
}Richtlinienvariablen ohne Wert
Wenn Richtlinienvariablen auf einen Bedingungskontextschlüssel verweisen, der keinen Wert hat oder in einem Autorisierungskontext für eine Anforderung nicht vorhanden ist, ist der Wert effektiv Null. Es gibt keinen gleichen oder ähnlichen Wert. Bedingungskontextschlüssel sind im Autorisierungskontext möglicherweise nicht vorhanden, wenn:
-
Sie servicespezifische Bedingungskontextschlüssel in Anfragen an Ressourcen verwenden, die diesen Bedingungsschlüssel nicht unterstützen.
-
Tags für IAM-Prinzipale, Sitzungen, Ressourcen oder Anfragen nicht vorhanden sind.
-
Andere Umstände, wie sie für jeden globalen Bedingungskontextschlüssel in AWS Kontextschlüssel für globale Bedingungen aufgeführt sind.
Wenn Sie eine Variable ohne Wert im Bedingungselement einer IAM-Richtlinie verwenden, und ein IAM-JSON-Richtlinienelemente: Bedingungsoperatoren wie StringEquals oder StringLike nicht übereinstimmen, wird die Richtlinienanweisung nicht wirksam.
Invertierte Bedingungsoperatoren wie StringNotEquals oder StringNotLike entsprechen einem Nullwert oder stimmen mit ihm überein, da der Wert des Bedingungsschlüssels, anhand dessen sie testen, nicht dem tatsächlichen Nullwert entspricht oder diesem entspricht.
Im folgenden Beispiel muss aws:principaltag/Team gleich s3:ExistingObjectTag/Team sein, um den Zugriff zu gewähren. Der Zugriff wird ausdrücklich verweigert, wenn aws:principaltag/Team nicht festgelegt ist. Wenn eine Variable, die im Autorisierungskontext keinen Wert hat, als Teil des Resource- oder NotResource-Elements einer Richtlinie verwendet wird, entspricht die Ressource, die eine Richtlinienvariable ohne Wert enthält, keiner Ressource.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:ExistingObjectTag/Team": "${aws:PrincipalTag/Team}"
}
}
}
]
}Anforderungsinformationen, die Sie für Richtlinienvariablen verwenden können
Sie können das Condition-Element einer JSON-Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Wenn Sie eine Richtlinienvariable verwenden, ersetzt AWS anstelle der Variablen in Ihrer Richtlinie einen Wert aus dem Anforderungskontextschlüssel.
Auftraggeber-Schlüsselwerte
Die Werte für aws:username, aws:userid und aws:PrincipalType hängen davon ab, welche Art von Auftraggeber die Anforderung ausgelöst hat. Die Anforderung kann beispielsweise über die Anmeldeinformationen eines IAM-Benutzers, einer IAM-Rolle oder des Root-Benutzer des AWS-Kontoss erfolgen. In der folgenden Tabelle sind die Werte für diese Schlüssel für verschiedene Auftraggebertypen .
| Auftraggeber | aws:username |
aws:userid |
aws:PrincipalType |
|---|---|---|---|
| Root-Benutzer des AWS-Kontos | (Nicht vorhanden) | AWS-Konto ID | Account |
| IAM-Benutzer | IAM-Benutzername |
Eindeutige ID | User |
| Verbundbenutzer | (Nicht vorhanden) | Konto:Vom-Aufrufer-angegebener-Name |
FederatedUser |
| OIDC-Verbundbenutzer Informationen über Richtlinienschlüssel, die verfügbar sind, wenn Sie den Web-Identitätsverbund verwenden, finden Sie unter Verfügbare Schlüssel für den AWS OIDC Verbund. |
(Nicht vorhanden) |
Hierbei ist |
AssumedRole |
| SAML-Verbundbenutzer Informationen über Richtlinienschlüssel, die verfügbar sind, wenn Sie den SAML-Verbund verwenden, finden Sie unter Eindeutige Identifizierung von Benutzern im SAML-basierten Verbund. |
(Nicht vorhanden) |
wobei |
AssumedRole |
| Angenommene Rolle | (Nicht vorhanden) |
Hierbei ist |
AssumedRole |
| Eine einer Amazon EC2-Instance zugeordnete Rolle | (Nicht vorhanden) |
Hierbei ist |
AssumedRole |
| Anonymer Anrufer (nur Amazon SQS, Amazon SNS und Amazon S3) | (Nicht vorhanden) | anonymous |
Anonymous |
Beachten Sie für die Elemente in dieser Tabelle Folgendes:
-
Nicht vorhanden bedeutet, dass der Wert nicht in den aktuellen Anforderungsinformationen vorhanden ist und jeder Versuch, ihn zuzuordnen, fehlschlägt und dafür sorgt, dass die Anforderung abgelehnt wird.
-
Rollen-IDist ein eindeutiger Bezeichner, der jeder Rolle bei der Erstellung zugeordnet wird. Sie können diese Rollen-ID mit dem AWS CLI-Befehlaws iam get-role --role-nameanzeigen:rolename -
Vom-Aufrufer-angegebener-NameundVom-Aufrufer-angegebener-Rollennamesind Namen, die vom aufrufenden Prozess (wie etwa einer Anwendung oder einem Service) übergeben werden, wenn er einen Aufruf tätigt, um temporäre Anmeldeinformationen zu erhalten. -
EC2-Instance-IDist ein Wert, der der Instance zugeordnet wird, wenn sie gestartet und auf der Seite Instances der Amazon EC2-Konsole angezeigt wird. Sie können auch die Instance-ID anzeigen, indem Sie den AWS CLI-Befehl ausführen:aws ec2 describe-instances
In Anforderungen für Verbundbenutzer verfügbare Informationen
Verbundbenutzer sind Benutzer, die über ein anderes System als IAM authentifiziert werden. Beispielsweise kann ein Unternehmen eine Anwendung zur internen Verwendung haben, die Aufrufe an AWS tätigt. Es könnte unpraktisch sein, jedem Unternehmensbenutzer, der die Anwendung verwendet, eine IAM-Identität zu geben. Das Unternehmen kann stattdessen eine Proxy-Anwendung (Middle-Tier) verwenden, die eine einzige IAM-Identität aufweist, oder das Unternehmen könnte einen SAML-Identitätsanbieter nutzen. Die Proxy-Anwendung oder der SAML-Identitätsanbieter authentifiziert einzelne Benutzer, die das Unternehmensnetzwerk verwenden. Eine Proxy-Anwendung kann dann ihre IAM-Identität verwenden, um temporäre Sicherheitsanmeldeinformationen für einzelne Benutzer abzurufen. Ein SAML-Identitätsanbieter kann faktisch Identitätsinformationen gegen temporäre AWS-Sicherheitsanmeldeinformationen austauschen. Die temporären Anmeldeinformationen können dann für den Zugriff auf AWS-Ressourcen verwendet werden.
Ebenso können Sie eine Anwendung für ein mobiles Gerät erstellen, in dem die Anwendung auf AWS-Ressourcen zugreifen muss. In diesem Fall können Sie den OIDC-Verbund verwenden, wobei die Anwendung den Benutzer mithilfe eines bekannten Identitätsanbieters authentifiziert, wie Login mit Amazon, Amazon Cognito, Facebook oder Google. Die Anwendung kann dann die Authentifizierungsinformationen des Benutzers von diesen Anbietern verwenden, um temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS-Ressourcen abzurufen.
Die empfohlene Art und Weise, den OIDC-Verbund zu verwenden, besteht darin, Amazon Cognito und die AWS-Mobile-SDKs zu nutzen. Weitere Informationen finden Sie hier:
Sonderzeichen
Es gibt einige spezielle vordefinierte Richtlinienvariablen, die feste Werte haben. Diese bieten Ihnen die Möglichkeit, Zeichen darzustellen, die sonst eine besondere Bedeutung haben. Wenn diese Sonderzeichen Teil der Zeichenfolge sind, die Sie versuchen zusammenzubringen, und Sie sie einfach einfügen, würden sie fehlinterpretiert werden. Beispielsweise würde das Einfügen eines Sternchens (*) in die Zeichenfolge als Platzhalter interpretiert werden, der für andere Zeichen steht, und nicht tatsächlich als *. In solchen Fällen können Sie die folgenden vordefinierten Richtlinienvariablen verwenden:
-
${*} – zu verwenden, wenn Sie ein * (Sternchen) benötigen
-
${?} – zu verwenden, wenn Sie ein ? (Fragezeichen) benötigen
-
${$} – zu verwenden, wenn Sie ein $ (Dollarzeichen) benötigen
Diese vordefinierten Richtlinienvariablen können in einer beliebigen Zeichenfolge verwendet werden, in der Sie reguläre Richtlinien nutzen können.
Festlegen von Standardwerten
Um einer Variablen einen Standardwert hinzuzufügen, umgeben Sie den Standardwert mit einfachen Anführungszeichen (' '), und trennen Sie den Variablentext und den Standardwert durch Komma und Leerzeichen (, ) enthalten.
Zum Beispiel, wenn ein Prinzipal mit team=yellow gekennzeichnet ist, können sie auf ExampleCorp's-Amazon-S3-Bucket namens amzn-s3-demo-bucket-yellow zugreifen. Eine Richtlinie mit dieser Ressource ermöglicht es Teammitgliedern, auf ihren Team-Bucket zuzugreifen, nicht jedoch auf die anderer Teams. Für Benutzer ohne Team-Tags wird der Standardwert von company-wide für den Bucket-Namen eingestellt. Diese Benutzer können nur auf amzn-s3-demo-bucket-company-wideBucket zugreifen, wo umfassende Informationen anzeigt werden können, z. B. Anweisungen für den Beitritt zu einem Team.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"
Weitere Informationen
Weitere Informationen zu Richtlinien finden Sie in den folgenden Themen:
