So funktioniert Amazon Monitron mit IAM - Amazon Monitron
Identitätsbasierte Richtlinien von Amazon MonitronRessourcenbasierte Richtlinien von Amazon MonitronAutorisierung basierend auf Amazon Monitron-TagsRollen bei Amazon Monitron IAMBeispiele für identitätsbasierte RichtlinienFehlerbehebung

Amazon Monitron wird ab dem 31. Oktober 2024 nicht mehr für Neukunden geöffnet sein. Wenn Sie den Service nutzen möchten, melden Sie sich vor diesem Datum an. Bestehende Kunden können den Service weiterhin wie gewohnt nutzen. Informationen zu Funktionen, die Amazon Monitron ähneln, finden Sie in unserem Blogbeitrag.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert Amazon Monitron mit IAM

Bevor Sie IAM den Zugriff auf Amazon Monitron verwalten, sollten Sie wissen, welche IAM Funktionen für Amazon Monitron verfügbar sind. Einen umfassenden Überblick darüber, wie Amazon Monitron und andere AWS Services zusammenarbeitenIAM, finden Sie unter AWS Services That Work with IAM im IAMBenutzerhandbuch.

Identitätsbasierte Richtlinien von Amazon Monitron

Verwenden IAM Sie identitätsbasierte Richtlinien, um zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen anzugeben, unter denen Aktionen zulässig oder verweigert werden. Amazon Monitron unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie unter IAMJSONPolicy Elements Reference im IAMBenutzerhandbuch.

Aktionen

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

In Amazon Monitron verwenden Richtlinienaktionen das folgende Präfix vor der Aktion:monitron:. Um beispielsweise jemandem die Erlaubnis zu erteilen, ein Projekt mit dem Amazon Monitron CreateProject Monitron-Betrieb zu erstellen, nehmen Sie die monitron:CreateProject Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Amazon Monitron definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.

Anmerkung

Für den deleteProject Vorgang benötigen Sie die AWS IAM Identity Center (SSO) -Berechtigungen zum Löschen. Ohne diese Berechtigungen wird das Projekt durch die Löschfunktion trotzdem entfernt. Die Ressourcen werden dadurch jedoch nicht entfernt, SSO und es kann sein, dass Sie am Ende nur noch vereinzelte Referenzen haben. SSO

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

"Action": [
      "monitron:action1",
      "monitron:action2"
]

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort List beginnen, einschließlich der folgenden Aktion:

"Action": "monitron:List*"

Ressourcen

Amazon Monitron unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht.

Bedingungsschlüssel

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.

Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

Amazon Monitron definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel im IAMBenutzerhandbuch.

Eine Liste der Amazon Monitron-Bedingungsschlüssel finden Sie unter Von Amazon Monitron definierte Aktionen im IAMBenutzerhandbuch. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Bedingungsschlüssel für Amazon Monitron.

Beispiele

Beispiele für identitätsbasierte Richtlinien von Amazon Monitron finden Sie unter. Beispiele für identitätsbasierte Richtlinien von Amazon Monitron

Ressourcenbasierte Richtlinien von Amazon Monitron

Amazon Monitron unterstützt keine ressourcenbasierten Richtlinien.

Autorisierung basierend auf Amazon Monitron-Tags

Sie können Tags bestimmten Arten von Amazon Monitron Monitron-Ressourcen zur Autorisierung zuordnen. Um den Zugriff anhand von Tags zu steuern, geben Sie Tag-Informationen im Bedingungselement einer Richtlinie mithilfe der aws:TagKeys Bedingungsschlüssel Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}, oder an.

Rollen bei Amazon Monitron IAM

Eine IAMRolle ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.

Temporäre Anmeldeinformationen mit Amazon Monitron verwenden

Sie können temporäre Anmeldeinformationen verwenden, um sich bei Federation anzumelden, eine IAM Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

Amazon Monitron unterstützt die Verwendung temporärer Anmeldeinformationen.

Serviceverknüpfte Rollen

Mit Services verknüpfte Rollen ermöglichen es AWS Services, auf Ressourcen in anderen Services zuzugreifen, um eine Aktion in Ihrem Namen durchzuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Amazon Monitron unterstützt serviceverknüpfte Rollen.

Servicerollen

Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

Amazon Monitron unterstützt Servicerollen.

Beispiele für identitätsbasierte Richtlinien von Amazon Monitron

Standardmäßig sind IAM Benutzer und Rollen nicht berechtigt, Amazon Monitron Monitron-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit dem AWS Management Console ausführen. Ein IAM Administrator muss den IAM Benutzern, Gruppen oder Rollen, für die sie erforderlich sind, Berechtigungen erteilen. Anschließend können diese Benutzer, Gruppen oder Rollen die spezifischen Operationen mit den angegebenen Ressourcen ausführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den IAM Benutzern oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter Richtlinien auf der JSON Registerkarte erstellen im IAMBenutzerhandbuch.

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Monitron Monitron-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

  • Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.

  • Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM

  • Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.

  • Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Überprüfen von Richtlinien mit IAM Access Analyzer.

  • Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Wenn Sie festlegen möchten, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Sicherer API Zugriff mit MFA im IAMBenutzerhandbuch.

Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM

Verwenden der Amazon Monitron Monitron-Konsole

Um Amazon Monitron über die Konsole einzurichten, schließen Sie bitte die Ersteinrichtung mit einem Benutzer mit hohen Rechten ab (z. B. einem Benutzer, dem die AdministratorAccess verwaltete Richtlinie angehängt ist).

Um nach der Ersteinrichtung auf die Amazon Monitron Monitron-Konsole für day-to-day Operationen zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Monitron Monitron-Ressourcen in Ihrem AWS Konto aufzulisten und anzuzeigen, und sie müssen eine Reihe von Berechtigungen im Zusammenhang mit IAM Identity Center beinhalten. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als diese erforderlichen Mindestberechtigungen, funktioniert die Konsole für Entitäten (IAMBenutzer oder Rollen) mit dieser Richtlinie nicht wie vorgesehen. Für grundlegende Funktionen der Amazon Monitron Monitron-Konsole müssen Sie die AmazonMonitronFullAccess verwaltete Richtlinie anhängen. Je nach den Umständen benötigen Sie möglicherweise auch zusätzliche Berechtigungen für die Organizations und den SSO Dienst. Wenden Sie sich an den AWS Support, wenn Sie weitere Informationen benötigen.

Beispiel: Alle Amazon Monitron Monitron-Projekte auflisten

Diese Beispielrichtlinie gewährt einem IAM Benutzer in Ihrem AWS Konto die Erlaubnis, alle Projekte in Ihrem Konto aufzulisten. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "monitron:ListProject"
            "Resource": "*"
        }
    ]
}

Beispiel: Amazon Monitron Monitron-Projekte anhand von Tags auflisten

Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon Monitron Monitron-Ressourcen anhand von Tags zu kontrollieren. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die das Auflisten von Projekten ermöglicht. Die Erlaubnis wird jedoch nur erteilt, wenn das Projekt-Tag den Wert von location hatSeattle. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion auf der Konsole erforderlich sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*"
       
            "Condition": {
                "StringEquals": {
                     "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter IAMJSONPolicy Elements: Condition im IAMBenutzerhandbuch.

Fehlerbehebung bei Amazon Monitron Identity and Access

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Monitron und IAM auftreten können.

Ich bin nicht berechtigt, eine Aktion in Amazon Monitron durchzuführen

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der mateojackson IAM Benutzer versucht, die Konsole zu verwenden, um Details zu einer fiktiven my-example-widget Ressource anzuzeigen, aber nicht über die fiktiven monitron:GetWidget Berechtigungen verfügt.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget

In diesem Fall muss die Richtlinie für den Benutzer mateojackson aktualisiert werden, damit er mit der monitron:GetWidget-Aktion auf die my-example-widget-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Monitron Monitron-Ressourcen ermöglichen

Sie können eine Rolle erstellen, die Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation für den Zugriff auf Ihre Ressourcen verwenden können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier: