Fehlerbehebung bei IAM-Richtlinien - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei IAM-Richtlinien

Eine Richtlinie ist eine Entität in AWS die, wenn sie an eine Identität oder Ressource angehängt wird, ihre Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Auftraggeber, wie z. B. ein Benutzer, eine Anforderung stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Richtlinien werden in AWS als JSON-Dokumente gespeichert, die als identitätsbasierte Richtlinien an Auftraggeber oder als ressourcenbasierte Richtlinien an Ressourcen angefügt werden. Sie können eine identitätsbasierte Richtlinie an einen Auftraggeber (oder eine Identität) anfügen – z. B. eine IAM-Gruppe, einen Benutzer oder eine Rolle. Zu identitätsbasierten Richtlinien gehören verwaltete AWS-Richtlinien, kundenverwaltete Richtlinien und eingebundene Richtlinien. Sie können vom Kunden verwaltete Richtlinien in der AWS Management Console über die Editor-Optionen Visual oder JSON erstellen und bearbeiten. Wenn Sie eine Richtlinie in der AWS Management Console anzeigen, sehen Sie eine Übersicht der Berechtigungen, die über diese Richtlinie erteilt wurden. Sie können den visuellen Editor und die Richtlinienübersicht zur Diagnose und Behebung allgemeiner Fehler nutzen, die beim Verwalten von IAM-Richtlinien auftreten können.

Beachten Sie, dass alle IAM-Richtlinien mit einer Syntax gespeichert werden, die mit den Regeln der JavaScript Object Notation (JSON) beginnen. Sie müssen diese Syntax nicht verstehen, um Richtlinien erstellen und verwalten zu können. Sie können eine Richtlinie mithilfe des visuellen Editors in der AWS Management Console erstellen und bearbeiten. Weitere Informationen zur JSON-Syntax in IAM-Richtlinien finden Sie unter Grammatik der IAM-JSON-Richtliniensprache .

Fehlerbehebung bei IAM-Richtlinien

Fehlerbehebung mit dem visuellen Editor

Wenn Sie eine vom Kunden verwaltete Richtlinie erstellen oder ändern, können Sie die Informationen im Visual-Editor nutzen, um Fehler in Ihrer Richtlinie zu beheben. Ein Beispiel für die Verwendung des visuellen Editors zum Erstellen einer Richtlinie finden Sie unter Steuern des Zugriffs auf Identitäten.

Umstrukturierung einer Richtlinie

Wenn Sie eine Richtlinie erstellen, wird diese vor dem Speichern von AWS validiert, verarbeitet und umgewandelt. Wenn AWS die Richtlinie als Antwort auf eine Benutzerabfrage zurückgibt oder in der Konsole anzeigt, wird die Richtlinie von AWS in ein lesbares Format umgewandelt, ohne die durch die Richtlinie erteilten Berechtigungen zu ändern. Dies kann zu Abweichungen führen zwischen dem, was Sie im visuellen Editor oder auf der Registerkarte JSON sehen. Es können Berechtigungsblöcke des visuellen Editors hinzugefügt, entfernt und neu organisiert worden sein. Zudem wurde der Inhalt innerhalb eines Blocks möglicherweise optimiert. Auf der Registerkarte JSON können unbedeutende Leerzeichen entfernt und Elemente innerhalb von JSON-Zuordnungen neu sortiert werden. Darüber hinaus können AWS-Konto-IDs innerhalb von Prinzipal-Elementen durch den ARN vom Root-Benutzer des AWS-Kontos ersetzt werden. Aufgrund dieser möglichen Änderungen sollten Sie JSON-Richtliniendokumente nicht als Zeichenfolgen vergleichen.

Wenn Sie eine vom Kunden verwaltete Richtlinie in der AWS Management Console erstellen, können Sie sich dafür entscheiden, ausschließlich mit dem JSON-Editor zu arbeiten. Wenn Sie nie Änderungen im Visual-Editor durchführen und im JSON-Editor Next (Weiter) auswählen, ist die Wahrscheinlichkeit, dass die Richtlinie umstrukturiert wird, geringer. Wenn Sie jedoch eine Richtlinie einrichten und den Visual-Editor nutzen, um Änderungen durchzuführen, oder wenn Sie im Visual-Editor die Option Next (Weiter) auswählen, kann es sein, dass IAM die Richtlinie umstrukturiert, um dessen Anzeige im visuellen Editor zu optimieren.

Diese Umstrukturierung erfolgt nur in der Bearbeitungssitzung und wird nicht automatisch gespeichert.

Wenn Ihre Richtlinie während der Bearbeitungssitzung umstrukturiert wird, legt IAM basierend auf den folgenden Situationen fest, ob diese neue Version gespeichert wird:

Diese Editor-Option verwenden Wenn Sie Ihre Richtlinie bearbeiten Wählen Sie dann in dieser Registerkarte Next (Weiter) aus Wenn Sie Save changes (Änderungen speichern) auswählen
Visual Bearbeitet Visual Die Richtlinie wird neu strukturiert
Visual Bearbeitet JSON Die Richtlinie wird neu strukturiert
Visual Nicht bearbeitet Visual Die Richtlinie wird neu strukturiert
JSON Bearbeitet Visual Die Richtlinie wird neu strukturiert
JSON Bearbeitet JSON Die Richtlinienstruktur bleibt unverändert
JSON Nicht bearbeitet JSON Die Richtlinienstruktur bleibt unverändert

IAM strukturiert möglicherweise komplexe Richtlinien oder Richtlinien mit Berechtigungsblöcken oder Anweisungen um, die mehrere Services, Ressourcentypen oder Bedingungsschlüssel zulassen.

Auswählen eines Ressourcen-ARN im visuellen Editor

Wenn Sie mit dem visuellen Editor eine Richtlinie erstellen oder bearbeiten, müssen Sie zunächst einen Service und anschließend Aktionen dieses Services auswählen. Unterstützen die von Ihnen ausgewählten Services und Aktionen die Auswahl bestimmter Ressourcen, werden im visuellen Editor die unterstützten Ressourcentypen aufgeführt. Sie können Add ARN (ARN hinzufügen) auswählen, um Details zu Ihren Ressourcen bereitzustellen. Zum Hinzufügen eines ARNs für einen Ressourcentyp können Sie aus folgenden Optionen auswählen.

  • Use the ARN builder – Je nach Ressourcentyp sehen Sie möglicherweise unterschiedliche Felder für die ARN-Generierung. Sie können auch Any (Alle) auswählen, um Berechtigungen für die einzelnen Werte für die angegebene Einstellung bereitzustellen. Wenn Sie z. B. die Amazon EC2-Zugriffsebenengruppe Lesen ausgewählt haben, unterstützen die Aktionen in Ihrer Richtlinie den instance-Ressourcentyp. Sie müssen die Werte Region, Account (Konto) und InstanceId für Ihre Ressource angeben. Wenn Sie Ihre Konto-ID angeben, aber Any (Alle) für die Region und die Instance-ID auswählen, dann gewährt die Richtlinie Berechtigungen für alle Instances in Ihrem Konto.

  • ARN eingeben oder einfügen – Sie können Ressourcen anhand ihres Amazon-Ressourcennamens (ARN) angeben. Sie können einen Platzhalter (*) in einem beliebigen Feld des ARNs (zwischen zwei Doppelpunkten) einschließen. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Resource.

Verweigern von Berechtigungen im visuellen Editor

Standardmäßig lässt die Richtlinie, die Sie mit dem visuellen Editor erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie Switch to deny permissions (Zu Berechtigungen verweigern wechseln). Da Anforderungen standardmäßig verweigert werden, empfehlen wir, dass Sie im Sinne bewährter Methoden nur für jene Aktionen und Ressourcen Berechtigungen erteilen, für die ein Benutzer Zugriff benötigt. Sie sollten nur dann eine Anweisung erstellen, um Berechtigungen zu verweigern, wenn Sie eine von einer anderen Anweisung oder Richtlinie erteilte Berechtigung separat überschreiben möchten. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren. Weitere Informationen dazu, wie IAM die Richtlinienlogik auswertet, finden Sie unter Auswertungslogik für Richtlinien.

Anmerkung

Standardmäßig hat nur der Root-Benutzer des AWS-Kontos Zugriff auf alle Ressourcen in diesem Konto. Wenn Sie nicht als Stammbenutzer angemeldet sind, müssen Sie über Berechtigungen verfügen, die im Rahmen einer Richtlinie erteilt wurden.

Angeben mehrerer Services im visuellen Editor

Wenn Sie mit dem visuellen Editor eine Richtlinie erstellen, können Sie nur jeweils einen Service auswählen. Diese Methode hat sich bewährt, da der visuelle Editor Ihnen dann die Auswahl von Aktionen für diesen Service gestattet. Sie wählen dann aus den Ressourcen aus, die vom Service und den ausgewählten Aktionen unterstützt werden. Dies vereinfacht das Erstellen und die Problembehebung Ihrer Richtlinie.

Wenn Sie mit der JSON-Syntax vertraut sind, können Sie mit einem Platzhalter (*) mehrere Services manuell angeben. Geben Sie beispielsweise Code* ein, um Berechtigungen für alle Services bereitzustellen, die mit Code beginnen, beispielsweise CodeBuild und CodeCommit. Allerdings müssen Sie dann die Aktionen und Ressourcen-ARNs eingeben, um die Richtlinie zu vervollständigen. Wenn Sie darüber hinaus Ihre Richtlinien speichern, wird diese möglicherweise umstrukturiert, um jeden Service in einen separaten Berechtigungsblock einzuschließen.

Wenn Sie die JSON-Syntax (beispielsweise Platzhalter) für Services verwenden möchten, erstellen, bearbeiten und speichern Sie Ihre Richtlinie über die Editoroption JSON.

Reduzieren der Größe Ihrer Richtlinie im visuellen Editor

Wenn Sie mit dem visuellen Editor eine Richtlinie erstellen, erstellt IAM ein JSON-Dokument zum Speichern der Richtlinie. Sie können dieses Dokument anzeigen, indem Sie zur Editoroption JSON wechseln. Wenn das JSON-Dokument die zulässige Größe für eine Richtlinie überschreitet, zeigt der visuelle Editor eine Fehlermeldung an und Sie können Ihrer Richtlinie weder anzeigen noch speichern. Informationen zur IAM-Größenbeschränkung für verwaltete Richtlinien finden Sie unter IAM- und STS-Zeichenlimits.

Zur Reduzierung der Größe Ihrer Richtlinie im visuellen Editor bearbeiten Sie die Richtlinie oder verschieben Sie Berechtigungsblöcke in eine andere Richtlinie. Die Fehlermeldung enthält die Anzahl der Zeichen in Ihrem Richtliniendokument. Anhand dieser Informationen können Sie die Größe reduzieren.

Beheben von Problemen aufgrund nicht erkannter Services, Aktionen oder Ressourcentypen im visuellen Editor

Wenn Sie eine Richtlinie im visuellen Editor erstellen oder bearbeiten, wird möglicherweise eine Warnung angezeigt, aus der hervorgeht, dass Ihre Richtlinie einen nicht erkannten Service, eine nicht erkannte Aktion oder einen nicht erkannten Ressourcentyp enthält.

Anmerkung

IAM überprüft Servicenamen, Aktionen und Ressourcentypen für Services, die Richtlinienübersichten unterstützen. Ihre Richtlinienübersicht kann jedoch einen nicht vorhandenen Ressourcenwert oder eine nicht vorhandene Bedingung enthalten. Testen Sie die Richtlinien grundsätzlich mit dem Richtliniensimulator.

Wenn Ihre Richtlinie nicht erkannte Services, Aktionen oder Ressourcentypen enthält, ist einer der folgenden Fehler aufgetreten:

  • Vorversion-Service – Services, die sich in der Vorversion befinden, unterstützen den visuellen Editor nicht. Wenn Sie mit der Vorversion arbeiten, können Sie die Warnung ignorieren und fortfahren. Allerdings müssen Sie die Aktionen und Ressourcen-ARNs manuell eingeben, um Ihre Richtlinie zu vervollständigen. Alternativ können Sie die Editoroption JSON auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.

  • Benutzerdefinierter Service – Benutzerdefinierte Services unterstützen den visuellen Editor nicht. Wenn Sie einen benutzerdefinierten Service nutzen, können Sie die Warnung ignorieren und fortfahren. Allerdings müssen Sie die Aktionen und Ressourcen-ARNs manuell eingeben, um Ihre Richtlinie zu vervollständigen. Alternativ können Sie die Editoroption JSON auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.

  • Service unterstützt den visuellen Editor nicht – Wenn Ihre Richtlinie einen allgemein verfügbaren (GA) Service enthält, der den visuellen Editor nicht unterstützt, können Sie die Warnung ignorieren und fortfahren, müssen aber die Aktionen und Ressourcen-ARNs manuell eingeben, um Ihre Richtlinie zu vervollständigen. Alternativ können Sie die Editoroption JSON auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.

    Normalerweise handelt es sich bei verfügbaren Services um veröffentlichte Services und nicht um Vorversion- oder benutzerdefinierte Services. Wenn ein nicht erkannter Service allgemein verfügbar und der Name richtig geschrieben ist, unterstützt der Service den visuellen Editor nicht. Weitere Informationen zur Inanspruchnahme des Supports für den visuellen Editor oder der Richtlinienübersicht in Bezug auf einen allgemein verfügbaren GA-Service finden Sie unter Der Service unterstützt keine IAM-Richtlinienübersichten.

  • Aktion unterstützt den visuellen Editor nicht – Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, können Sie die Warnung ignorieren und fortfahren, müssen aber die Ressourcen-ARNs manuell eingeben, um Ihre Richtlinie zu vervollständigen. Alternativ können Sie die Editoroption JSON auswählen oder ein JSON-Richtliniendokument eingeben oder einfügen.

    Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, unterstützt der Service den visuellen Editor nicht vollständig. Weitere Informationen zur Inanspruchnahme des Supports für den visuellen Editor oder der Richtlinienübersicht in Bezug auf einen allgemein verfügbaren GA-Service finden Sie unter Der Service unterstützt keine IAM-Richtlinienübersichten.

  • Ressourcen-Typ unterstützt den visuellen Editor nicht – Wenn Ihre Richtlinie eine unterstützte Aktion mit einem nicht unterstützten Ressourcentyp enthält, können Sie die Warnung ignorieren und fortfahren. Allerdings kann IAM nicht bestätigen, dass Sie Ressourcen für all Ihre ausgewählten Aktionen eingeschlossen haben. Möglicherweise werden weitere Warnungen angezeigt.

  • Tippfehler – Wenn Sie manuell einen Service, eine Aktion oder eine Ressource im visuellen Editor eingeben, erstellen Sie möglicherweise eine Richtlinie, die einen Tippfehler enthält. Um dies zu vermeiden, empfehlen wir Ihnen, den visuellen Editor zu verwenden, indem Sie aus der Liste der Services und Aktionen auswählen und dann den Ressourcenabschnitt entsprechend den Aufforderungen ausfüllen. Wenn ein Service den visuellen Editor allerdings nicht vollständig unterstützt, müssen Sie ggf. Teile der Richtlinie manuell eingeben.

    Wenn Sie sicher sind, dass Ihre Richtlinie keinen der oben genannten Fehler enthält, handelt es sich möglicherweise um einen Tippfehler. Überprüfen Sie, ob Service-, Aktions- oder Ressourcentypen-Namen falsch geschrieben wurden. Beispielsweise können Sie s2 anstelle von s3 und ListMyBuckets anstelle von ListAllMyBuckets verwenden. Ein weiterer gewöhnlicher Aktionstippfehler ist die Einbeziehung von unnötigem Text in ARNs, wie z. B. arn:aws:s3: : :*, oder fehlende Doppelpunkte in Aktionen, wie z. B. iam.CreateUser. Sie können eine Richtlinie evaluieren, die möglicherweise Tippfehler enthält, indem Sie Next (Weiter) auswählen, um die Richtlinienübersicht anzuzeigen und sicherzustellen, dass die Richtlinie die von Ihnen beabsichtigten Berechtigungen erteilt.

Problembehandlung unter Verwendung von Richtlinienübersichten

Sie können Probleme diagnostizieren und beheben, die im Zusammenhang mit der Richtlinienübersicht auftreten.

Übersicht fehlender Richtlinien

Die IAM-Konsole enthält Tabellen mit Richtlinienübersichten, die die Zugriffsebene, Ressourcen und Bedingungen aufführt, die für die einzelnen Services in einer Richtlinie zugelassen oder verweigert werden. Richtlinien werden in drei Tabellen zusammengefasst: Richtlinienübersicht, Serviceübersicht und Aktionsübersicht. In der Tabelle Richtlinienübersicht werden die Services und die Übersichten der für die ausgewählte Richtlinie definierten Berechtigungen aufgelistet. Sie können die Zusammenfassung der Richtlinien für alle Richtlinien, die einer Entität zugeordnet sind, auf der Seite Policy details (Richtliniendetails) für diese Richtlinie einsehen. Sie können die Richtlinienübersicht für alle verwalteten Richtlinien auf der Seite Policies (Richtlinien) einsehen. Wenn AWS nicht in der Lage ist, eine Übersicht für eine Richtlinie zu erstellen, wird das JSON-Richtliniendokument anstelle der Übersicht angezeigt und Sie erhalten folgende Fehlermeldung:

A summary for this policy cannot be generated. (Eine Zusammenfassung für diese Richtlinie kann nicht erstellt werden.) You can still view or edit the JSON policy document. (Sie können das JSON-Richtliniendokument weiterhin anzeigen oder bearbeiten.)

Wenn Ihre Richtlinie keine Übersicht enthält, ist einer der folgenden Fehler aufgetreten:

  • Nicht unterstütztes Richtlinienelement – IAM unterstützt nicht die Erstellung von Richtlinienübersichten, die eines der folgenden Richtlinienelemente enthalten:

    • Principal

    • NotPrincipal

    • NotResource

  • Keine Richtlinienberechtigung – Wenn eine Richtlinie keine effektiven Berechtigungen erteilt, kann keine Richtlinienübersicht erstellt werden. Wenn eine Richtlinie beispielsweise ein einzelnes Statement mit dem Element "NotAction": "*" enthält, wird Zugriff auf alle Aktionen mit Ausnahme von "allen Aktionen" (*) gewährt. Das bedeutet, dass Deny- oder Allow-Zugriff auf nichts gewährt wird.

    Anmerkung

    Sie müssen bei der Verwendung dieser Richtlinienelemente wie NotPrincipal, NotAction und NotResource Vorsicht walten lassen. Weitere Informationen zur Verwendung von Richtlinienelementen finden Sie unter IAM-JSON-Richtlinienelementreferenz.

    Wenn Sie nicht übereinstimmende Services und Ressourcen angeben, erstellen Sie eine Richtlinie, die keine effektiven Berechtigungen gewährt. Dies kann der Fall sein, wenn Sie in einem Service Aktionen und Ressourcen aus einem anderen Service definieren. In diesem Fall erscheint die Richtlinienübersicht. Der einzige Hinweis darauf, dass ein Problem vorliegt, ist der Umstand, dass in der Ressourcen-Spalte eine Ressource eines anderen Services enthalten ist. Wenn diese Spalte eine nicht übereinstimmende Ressource enthält, sollten Sie Ihre Richtlinien auf Fehler überprüfen. Um Ihre Richtlinien besser zu verstehen, testen Sie sie stets mit dem Richtliniensimulator.

Die Richtlinienübersicht umfasst nicht erkannte Services, Aktionen oder Ressourcentypen.

In der IAM-Konsole, wenn in der Richtlinienübersicht ein Warnsymbol ( ) erscheint, kann die Richtlinie einen Service, eine Aktion oder einen Ressourcentyp enthalten, der bzw. die nicht erkannt wird. Weitere Informationen zu Warnungen innerhalb einer Richtlinienübersicht finden Sie unter Richtlinienübersicht (Liste der Services).

Anmerkung

IAM überprüft Servicenamen, Aktionen und Ressourcentypen für Services, die Richtlinienübersichten unterstützen. Ihre Richtlinienübersicht kann jedoch einen nicht vorhandenen Ressourcenwert oder eine nicht vorhandene Bedingung enthalten. Testen Sie die Richtlinien grundsätzlich mit dem Richtliniensimulator.

Wenn Ihre Richtlinie nicht erkannte Services, Aktionen oder Ressourcentypen enthält, ist einer der folgenden Fehler aufgetreten:

  • Vorversion-Service – Services, die sich in der Vorversion befinden und keine Richtlinienübersicht unterstützen.

  • Benutzerdefinierter Service – Richtlinienübersichten werden von benutzerdefinierten Services nicht unterstützt.

  • Service unterstützt keine Übersichten – Wenn Ihre Richtlinie einen allgemein verfügbaren (generally available – GA) Service umfasst, der keine Richtlinienübersichten unterstützt, wird der Service in den Abschnitt Unrecognized services (Nicht erkannte Services) der Richtlinienübersichtstabelle aufgenommen. Normalerweise handelt es sich bei verfügbaren Services um veröffentlichte Services und nicht um Vorversion- oder benutzerdefinierte Services. Wenn ein nicht erkannter Service allgemein verfügbar und der Name richtig geschrieben ist, unterstützt der Service keine IAM-Richtlinienübersichten. Weitere Informationen zur Unterstützungsanforderung von Richtlinienübersichten für allgemein verfügbare GA-Services finden Sie unter Der Service unterstützt keine IAM-Richtlinienübersichten.

  • Aktion unterstützt keine Übersichten – Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, wird die Aktion in den Abschnitt Unrecognized actions (Nicht erkannte Services) der Service-Übersichtstabelle aufgenommen. Weitere Informationen zu Warnungen innerhalb einer Serviceübersicht finden Sie unter Serviceübersicht (Liste der Aktionen).

  • Ressourcentyp unterstützt keine Übersichten – Wenn Ihre Richtlinie eine unterstützte Aktion mit einem nicht unterstützten Ressourcentyp enthält, wird die Ressource in den Abschnitt Unrecognized resource types (Nicht erkannte Servicetypen) der Service-Übersichtstabelle aufgenommen. Weitere Informationen zu Warnungen innerhalb einer Serviceübersicht finden Sie unter Serviceübersicht (Liste der Aktionen).

  • Tippfehler – AWS überprüft, ob der JSON syntaktisch korrekt ist und dass die Richtlinie keine Tippfehler oder andere Fehler als Teil von Richtlinienvalidierung.

Anmerkung

Als bewährte Methode empfehlen wir, IAM Access Analyzer zu verwenden, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten. Wir empfehlen, vorhandene Richtlinien zu öffnen und alle Richtlinienvalidierungen zu überprüfen und zu lösen.

Der Service unterstützt keine IAM-Richtlinienübersichten

Wenn ein allgemein verfügbarer Service (GA) oder eine Aktionen nicht von den IAM-Richtlinienübersichten oder dem visuellen Editor erkannt werden, werden diese Funktionen möglicherweise vom Service nicht unterstützt. Allgemein verfügbare Services sind veröffentlichte Services, keine Vorversion- oder benutzerdefinierte Services. Wenn ein nicht erkannter Service allgemein verfügbar und der Name richtig geschrieben ist, unterstützt der Service diese Funktionen nicht. Wenn Ihre Richtlinie einen unterstützten Service mit einer nicht unterstützten Aktion enthält, werden die IAM-Richtlinienübersichten nicht vollständig von diesem Service unterstützt.

So können Sie anfordern, dass von einem Service die Unterstützung der IAM-Richtlinienübersicht oder die des visuellen Editors hinzugefügt wird
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Suchen Sie die Richtlinie, die den nicht unterstützten Service enthält:

    • Wenn es sich um eine verwaltete Richtlinie handelt, wählen Sie im Navigationsbereich Policies (Richtlinien). Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.

    • Wenn es sich um eine Inlinerichtlinie handelt, die dem Benutzer zugeordnet ist, wählen Sie im Navigationsbereich Users (Benutzer). Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten. Erweitern Sie in der Richtlinientabelle des Benutzers den Header für die anzuzeigende Richtlinienübersicht.

  3. Wählen Sie auf der linken Seite der AWS Management Console-Fußzeile die Option Feedback. Geben Sie im Feld Feedback for IAM (Feedback für IAM) I request that the <ServiceName> service add support for IAM policy summaries and the visual editor ein. Wenn Sie möchten, dass Übersichten von mehreren Services unterstützt werden sollen, geben Sie ein I request that the <ServiceName1>, <ServiceName2>, and <ServiceName3> services add support for IAM policy summaries and the visual editor.

So können Sie die Unterstützung der IAM-Richtlinienübersicht für eine fehlende Aktion durch einen Service hinzufügen
  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Suchen Sie die Richtlinie, die den nicht unterstützten Service enthält:

    • Wenn es sich um eine verwaltete Richtlinie handelt, wählen Sie im Navigationsbereich Policies (Richtlinien). Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie anzeigen möchten.

    • Wenn es sich um eine Inlinerichtlinie handelt, die dem Benutzer zugeordnet ist, wählen Sie im Navigationsbereich Users (Benutzer). Wählen Sie in der Benutzerliste den Namen des Benutzers aus, dessen Richtlinie Sie anzeigen möchten. Wählen Sie in der Richtlinientabelle des Benutzers den Namen der anzuzeigenden Richtlinie aus, um die Richtlinienübersicht zu erweitern.

  3. Wählen Sie in der Richtlinienübersicht den Namen des Services aus, der eine nicht unterstützte Aktion enthält.

  4. Wählen Sie auf der linken Seite der AWS Management Console-Fußzeile die Option Feedback. Geben Sie im Feld Feedback for IAM (Feedback für IAM) I request that the <ServiceName> service add IAM policy summary and the visual editor support for the <ActionName> action ein. Wenn Sie mehr als eine nicht unterstützte Aktion melden möchten, geben Sie Folgendes ein I request that the <ServiceName> service add IAM policy summary and the visual editor support for the <ActionName1>, <ActionName2>, and <ActionName3> actions.

Um fehlende Aktionen eines anderen Services hinzuzufügen, wiederholen Sie die letzten drei Schritte.

Meine Richtlinie erteilt nicht die erwarteten Berechtigungen

Um einem Benutzer, einer Gruppe, Rolle oder Ressource Berechtigungen zuzuordnen, müssen Sie eine Richtlinie erstellen. Dabei handelt es sich um ein Dokument, das Berechtigungen definiert. Das Richtliniendokument umfasst die folgenden Elemente:

  • Effect – gibt an, ob die Richtlinie den Zugriff erlaubt oder verweigert

  • Action – die Liste der Aktionen, die durch die Richtlinie erlaubt oder verweigert werden

  • Resource – die Liste der Ressourcen, für die die Aktionen durchgeführt werden können

  • Condition (Optional) – die Bedingungen, unter denen die Richtlinie die Berechtigung erteilt

Weitere Informationen zu diesen und anderen Richtlinienelementen finden Sie unter IAM-JSON-Richtlinienelementreferenz.

Wenn Sie den Zugriff gewähren, muss Ihre Richtlinie eine Aktion mit einer unterstützten Ressource definieren. Wenn Ihre Richtlinie außerdem eine Bedingung umfasst, muss die Bedingung einen globalen Bedingungsschlüssel enthalten oder sich auf die Aktion beziehen. Informationen darüber, welche Ressourcen von einer Aktion unterstützt werden, finden Sie in der AWS-Dokumentation für Ihren Service. Informationen zu den Bedingungen, die von einer Aktion unterstützt werden, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services.

Um zu erfahren, ob Ihre Richtlinie eine Aktion, Ressource oder Bedingung definiert, die keine Berechtigungen gewährt, können Sie die Richtlinienzusammenfassung für Ihre Richtlinie über die IAM-Konsole unter https://console.aws.amazon.com/iam/ anzeigen. Sie können mit Richtlinienzusammenfassungen Probleme in Ihrer Richtlinie identifizieren und beheben.

Es gibt mehrere Gründe, warum ein Element möglicherweise keine Berechtigungen erteilt, obwohl es in der IAM-Richtlinie definiert wird:

Beispiele für Richtlinienzusammenfassungen einschließlich Warnungen finden Sie unter Richtlinienübersicht (Liste der Services).

Eine Aktion wurde ohne passende Ressource definiert.

Die nachstehende Richtlinie definiert alle ec2:Describe*-Aktionen sowie eine spezifische Ressource. Keine der ec2:Describe-Aktionen wird gewährt, da keine dieser Aktionen Berechtigungen auf Ressourcenebene unterstützt. Berechtigungen auf Ressourcenebene zeigen an, dass die Aktion Ressourcen mit ARNs im Resource-Element der Richtlinie unterstützt. Wenn eine Aktion keine Berechtigungen auf Ressourcenebene unterstützt, muss diese Anweisung in der Richtlinie einen Platzhalter (*) im Resource-Element verwenden. Informationen darüber, welche Services Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "arn:aws:ec2:us-east-2:ACCOUNT-ID:instance/*" }] }

Diese Richtlinie stellt keine Berechtigungen bereit und die Richtlinienzusammenfassung enthält den folgenden Fehler:

This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.

Um diese Richtlinie zu reparieren, müssen Sie * im Resource-Element verwenden.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }] }

Eine Ressource wurde ohne passende Aktion definiert.

Die nachstehende Richtlinie definiert einen Amazon S3-Bucket, enthält jedoch keine S3-Aktion, die auf diese Ressource angewendet werden kann. Diese Richtlinie gewährt auch Vollzugriff auf alle Amazon CloudFront-Aktionen.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "cloudfront:*", "Resource": [ "arn:aws:cloudfront:*", "arn:aws:s3:::examplebucket" ] }] }

Diese Richtlinie bietet Berechtigungen für alle CloudFront-Aktionen. Da die Richtlinie jedoch die S3-Ressource examplebucket definiert, ohne S3-Aktionen zu definieren, enthält die Richtlinienzusammenfassung die folgende Warnung:

This policy defines some actions, resources, or conditions that do not provide permissions. To grant access, policies must have an action that has an applicable resource or condition.

Um diese Richtlinie zu reparieren, damit sie S3-Bucket-Berechtigungen bereitstellt, müssen Sie S3-Aktionen definieren, die auf eine Bucket-Ressource angewendet werden können.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudfront:*", "s3:CreateBucket", "s3:ListBucket*", "s3:PutBucket*", "s3:GetBucket*" ], "Resource": [ "arn:aws:cloudfront:*", "arn:aws:s3:::examplebucket" ] }] }

Alternativ können Sie die S3-Ressource entfernen, um die Richtlinie so zu reparieren, dass nur CloudFront-Berechtigungen bereitgestellt werden.

Eine Bedingung wurde ohne passende Aktion definiert.

In der nachstehenden Richtlinie werden zwei Amazon S3-Aktionen für alle S3-Ressourcen definiert, wenn das S3-Präfix custom und die Versions-ID 1234 lautet. Der Bedingungsschlüssel s3:VersionId wird jedoch zum Markieren der Objektversion verwendet und wird von den definierten Bucket-Aktionen nicht unterstützt. Informationen zu den Bedingungen, die von einer Aktion unterstützt werden, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services und folgen Sie dem Link zur Dienstdokumentation für Bedingungsschlüssel.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucketVersions", "s3:ListBucket" ], "Resource": "*", "Condition": { "StringEquals": { "s3:prefix": [ "custom" ], "s3:VersionId": [ "1234" ] } } } ] }

Diese Richtlinie stellt Berechtigungen für die Aktionen s3:ListBucketVersions und s3:ListBucket bereit, wenn der Bucket-Name das Präfix custom enthält. Da die Bedingung s3:VersionId jedoch von keiner der definierten Aktionen unterstützt wird, enthält die Richtlinienzusammenfassung den folgenden Fehler:

This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.

Um diese Richtlinie so zu reparieren, dass sie die Markierung der S3-Objektversion verwendet, müssen Sie eine S3-Aktion definieren, die den Bedingungsschlüssel s3:VersionId unterstützt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucketVersions", "s3:ListBucket", "s3:GetObjectVersion" ], "Resource": "*", "Condition": { "StringEquals": { "s3:prefix": [ "custom" ], "s3:VersionId": [ "1234" ] } } } ] }

Diese Richtlinie stellt Berechtigungen für jede Aktion und Bedingung in der Richtlinie bereit. Die Richtlinie stellt jedoch noch keine Berechtigungen bereit, da es nicht vorkommt, dass eine einzige Aktion beide Bedingungen erfüllt. Stattdessen müssen Sie zwei separate Anweisungen erstellen, die jeweils nur Aktionen mit den Bedingungen enthält, auf die sie zutreffen.

Um diese Richtlinie zu reparieren, erstellen Sie zwei Anweisungen. Die erste Anweisung enthält die Aktionen, die die Bedingung s3:prefix unterstützen, und die zweite Anweisung enthält die Aktionen, die die Bedingung s3:VersionId unterstützen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucketVersions", "s3:ListBucket" ], "Resource": "*", "Condition": { "StringEquals": { "s3:prefix": "custom" } } }, { "Effect": "Allow", "Action": "s3:GetObjectVersion", "Resource": "*", "Condition": { "StringEquals": { "s3:VersionId": "1234" } } } ] }

Fehlerbehebung bei der Richtlinienverwaltung

Sie können Probleme diagnostizieren und beheben, die im Zusammenhang mit der Richtlinienverwaltung auftreten.

Anfügen oder Entfernen einer Richtlinie zu/von einem IAM-Konto

Einige von AWS verwaltete Richtlinien sind mit einem Service verknüpft. Diese Richtlinien werden nur mit einer serviceverknüpften Rolle für diesen Service verwendet. In der IAM-Konsole ist auf der Seite Policy details (Richtliniendetails) für eine Richtlinie ein Banner enthalten, um anzuzeigen, dass die Richtlinie mit einem Service verknüpft ist. Sie können diese Richtlinie zu einem Benutzer, einer Gruppe oder einer Rolle in IAM anfügen. Beim Erstellen einer serviceverknüpften Rolle wird diese Richtlinie automatisch zu der neuen Rolle angefügt. Da die Richtlinie erforderlich ist, können Sie sie nicht von der serviceverknüpften Rolle trennen.

Ändern von Richtlinien für Ihre IAM-Identitäten basierend auf ihrer Aktivität

Sie können Richtlinien für Ihre IAM-Identitäten (Benutzer, Gruppen und Rollen) basierend auf ihren Aktivitäten aktualisieren. Um dies zu tun, zeigen Sie die Ereignisse Ihres Kontos in CloudTrail Ereignisverlauf des Events. Die Ereignisprotokolle von CloudTrail enthalten detaillierte Ereignisinformationen, die Sie verwenden können, um die Berechtigungen der Richtlinie ändern. Möglicherweise stellen Sie fest, dass ein Benutzer oder eine Rolle versucht, eine Aktion in AWS auszuführen und dass diese Anforderung nicht zugelassen wird. In diesem Fall können Sie überlegen, dem Benutzer oder der Rolle die Berechtigung zum Ausführen dieser Aktion zu gewähren. Wenn dies der Fall ist, können Sie ihrer Richtlinie die Aktion und sogar den ARN der Ressource hinzufügen, auf die sie zuzugreifen versuchen. Wenn der Benutzer oder die Rolle über Berechtigungen verfügt, die er bzw. sie nicht verwendet, können Sie alternativ in Betracht ziehen, diese Berechtigungen aus ihrer Richtlinie zu entfernen. Stellen Sie sicher, dass Ihre Richtlinien die geringsten Rechte gewähren, die erforderlich sind, um nur die notwendigen Aktionen durchzuführen. Weitere Informationen zur Verwendung von CloudTrail finden Sie unter Anzeigen von CloudTrail -Ereignissen in der CloudTrail-Konsole im AWS CloudTrailLeitfaden.

Fehlerbehebung bei JSON-Richtliniendokumenten

Sie können Probleme diagnostizieren und beheben, die im Zusammenhang mit JSON-Richtliniendokumenten auftreten.

Validieren Ihrer Richtlinien

Wenn Sie eine JSON-Richtlinie erstellen oder bearbeiten, kann IAM eine Richtlinienvalidierung durchführen, um Ihnen beim Erstellen einer effektiven Richtlinie zu helfen. IAM identifiziert JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienüberprüfungen mit Empfehlungen zur weiteren Verfeinerung Ihrer Richtlinien bietet. Weitere Informationen zur Richtlinienvalidierung finden Sie unter Validieren von IAM-Richtlinien. Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer-Richtlinien und Empfehlungen erhalten Sie unter Richtlinienvalidierung von IAM Access Analyzer.

Ich habe keine Berechtigungen für die Richtlinienvalidierung im JSON-Editor

In der AWS Management Console wird möglicherweise die folgende Fehlermeldung angezeigt, wenn Sie keine Berechtigungen zum Anzeigen von IAM Access Analyzer-Richtlinienvalidierungsergebnissen haben:

You need permissions. You do not have the permissions required to perform this operation. Ask your administrator to add permissions.

Um diesen Fehler zu beheben, bitten Sie Ihren Administrator, diese access-analyzer:ValidatePolicy-Berechtigung für Sie hinzuzufügen.

Mehrere JSON-Richtlinienobjekte

Eine IAM-Richtlinie darf nur aus einem JSON-Objekt bestehen. Ein Objekt wird mithilfe von {}-Klammern definiert. Obwohl Sie andere Objekte innerhalb eines JSON-Objekts verschachteln können, indem Sie zusätzliche { }-Klammern in das äußere Paar einbetten, kann eine Richtlinie nur ein äußerstes Paar von { }-Klammern enthalten. Das folgende Beispiel ist falsch. Es enthält zwei Objekte auf oberster Ebene (Rot hervorgehoben):

{ "Version": "2012-10-17", "Statement": { "Effect":"Allow", "Action":"ec2:Describe*", "Resource":"*" } } { "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::my-bucket/*" } }

Mit der richtigen Schreibweise können Sie das vorgenannte Beispiel jedoch in eine korrekte Richtlinie umwandeln. Statt zwei vollständige Richtlinienobjekte mit jeweils eigenen Statement-Elementen zu nutzen, können Sie die beiden Blöcke in einem einzelnen Statement-Element zusammenfassen. Das Statement-Element weist ein Array mit zwei Objekten als Wert auf, wie im folgenden Beispiel gezeigt (in Fettdruck hervorgehoben):

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource":" *" }, { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::my-bucket/*" } ] }

Mehrere JSON-Anweisungselemente

Dieser Fehler kann zunächst als eine Variante des Fehlers aus dem vorherigen Abschnitt interpretiert werden. Syntaktisch handelt es sich jedoch um einen anderen Fehler. Im folgenden Beispiel befindet sich nur ein Richtlinienobjekt auf der obersten Ebene (durch die {}-Klammern definiert). Das Objekt enthält jedoch zwei Statement-Elemente.

Eine IAM-Richtlinie darf nur ein Statement-Element enthalten. Dies setzt sich aus dem Namen (Statement) links vom Doppelpunkt und dem Wert rechts vom Doppelpunkt zusammen. Der Wert eines Statement-Elements muss ein Objekt sein (durch {}-Klammern definiert). Es muss ein Effect-Element, ein Action-Element und ein Resource-Element enthalten. Das folgende Beispiel ist falsch, da das Richtlinienobjekt zwei Statement-Elemente enthält (in Rot hervorgehoben):

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::my-bucket/*" } }

Ein Wert-Objekt kann ein Array mehrerer Wert-Objekte sein. Um dieses Problem zu lösen, fassen Sie die zwei Statement-Elemente in einem Element mit einem Objekt-Array zusammen, wie im folgenden Beispiel gezeigt (in Fettdruck hervorgehoben):

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource":"*" }, { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::my-bucket/*" } ] }

Der Wert des Statement-Elements ist eine Objekt-Gruppe. Die Gruppe in diesem Beispiel besteht aus zwei Objekten. Jedes Objekt ist ein gültiger Wert für ein Statement-Element. Die Objekte in der Gruppe werden durch Kommas getrennt.

Mehrere Effect-, Action- oder Resource-Elemente in einem JSON-Anweisungselement

Auf der Wert-Seite des Statement-Namen/Wert-Paares darf das Objekt nur ein Effect-Element, ein Action-Element und ein Resource-Element enthalten. Das folgende Beispiel ist falsch, weil das Wert-Objekt des Effect zwei Statement-Elemente enthält:

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Effect": "Allow", "Action": "ec2:* ", "Resource": "*" } }
Anmerkung

Die Richtlinien-Engine lässt solche Fehler in neuen oder bearbeiteten Richtlinien nicht zu. Die Richtlinien-Engine lässt jedoch weiterhin Richtlinien zu, die vor der Aktualisierung der Engine gespeichert wurden. Das Fehlerverhalten von vorhandenen Richtlinien ist wie folgt:

  • Mehrere Effect-Elemente: Nur das letzte Effect-Element wird berücksichtigt. Alle anderen werden ignoriert.

  • Mehrere Action-Elemente: Alle Action-Elemente werden intern kombiniert und als eine einzige Liste behandelt.

  • Mehrere Resource-Elemente: Alle Resource-Elemente werden intern kombiniert und als eine einzige Liste behandelt.

Die Richtlinien-Engine gestattet es nicht, Richtlinien mit Syntax-Fehlern zu speichern. Sie müssen die Fehler in der Richtlinie korrigieren, um sie speichern zu können. Wir empfehlen, alle Empfehlungen für Richtlinienvalidierung für Ihre Richtlinien zu korrigieren.

Grundsätzlich besteht die Lösung darin, das falsche, überflüssige Element zu entfernen. Für Effect-Elemente ist dies ganz einfach: Wenn Sie im vorherigen Beispiel die Berechtigungen für Amazon EC2-Instances verweigern möchten, müssen Sie die Zeile "Effect": "Allow", aus der Richtlinie entfernen, wie nachfolgend dargestellt:

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "ec2:* ", "Resource": "*" } }

Wenn es sich jedoch bei dem duplizierten Element um Action oder Resource handelt, kann sich die Lösung schwieriger gestalten. Sie verfügen ggf. über mehrere Aktionen, die Sie zulassen (oder verweigern) möchten, oder Sie möchten ggf. die Berechtigung für den Zugriff auf mehrere Ressourcen kontrollieren. Das folgende Beispiel ist falsch, da es mehrere Resource-Elemente enthält (in Rot hervorgehoben):

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::my-bucket", "Resource": "arn:aws:s3:::my-bucket/*" } }

Jedes der erforderlichen Elemente in einem Wert-Paar-Objekt eines Statement-Elements darf nur einmal vorhanden sein. Die Lösung besteht darin, jeden Wert in einem Array anzuordnen. Das folgende Beispiel erläutert dies, indem die beiden Ressourcenelemente in ein Resource-Element überführt werden, das ein separates Array als Wertobjekt aufweist (in Fettdruck hervorgehoben):

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::my-bucket", "arn:aws:s3:::my-bucket/*" ] } }

Fehlendes JSON-Versionselement

Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Andererseits wird eine Richtlinienversion erstellt, wenn Sie in IAM eine benutzerdefinierte, verwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien.

Im Rahmen der Entwicklung der AWS-Funktionen werden neue Eigenschaften zu den IAM-Richtlinien zur Unterstützung dieser Funktionen hinzugefügt. Zuweilen geht eine Aktualisierung der Richtliniensyntax mit der Vergabe einer neuen Versionsnummer einher. Wenn Sie in Ihren Richtlinien neuere Funktionen der Richtlinienformulierung verwenden, müssen Sie der Richtlinien-Parsing-Engine mitteilen, welche Version Sie verwenden. Die standardmäßige Richtlinienversion lautet "2008-10-17". Wenn Sie eine später hinzugefügte Richtlinienfunktion verwenden möchten, müssen Sie die Versionsnummer angeben, die die gewünschte Funktion unterstützt. Wir empfehlen, immer die neueste Versionsnummer der Richtliniensyntax zu verwenden, zurzeit "Version": "2012-10-17". Die folgende Richtlinie ist beispielsweise falsch, da sie die Richtlinienvariable ${...} im ARN für eine Ressource verwendet. Es fehlt aber die Angabe einer Richtliniensyntaxversion, die Richtlinienvariablen (rot hervorgehoben) unterstützt:

{ "Statement": { "Action": "iam:*AccessKey*", "Effect": "Allow", "Resource": "arn:aws:iam::123456789012:user/${aws:username}" } }

Dieses Problem kann durch Hinzufügen eines Version-Elements am Anfang der Richtlinie mit dem Wert 2012-10-17, die erste IAM-API-Version, die Richtlinienvariablen unterstützt, behoben werden (in Fettdruck hervorgehoben):

{ "Version": "2012-10-17", "Statement": { "Action": "iam:*AccessKey*", "Effect": "Allow", "Resource": "arn:aws:iam::123456789012:user/${aws:username}" } }