Amazon Monitron steht Neukunden nicht mehr zur Verfügung. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Informationen zu Funktionen, die Amazon Monitron ähneln, finden Sie in unserem Blogbeitrag
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert Amazon Monitron mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Monitron zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Monitron verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon Monitron und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter AWS Services That Work with IAM im IAM-Benutzerhandbuch.
Themen
Identitätsbasierte Richtlinien von Amazon Monitron
Verwenden Sie identitätsbasierte IAM-Richtlinien, um zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen anzugeben, unter denen Aktionen zulässig oder verweigert werden. Amazon Monitron unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.
Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.
Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, die nur mit Genehmigung durchgeführt werden können und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.
Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
In Amazon Monitron verwenden Richtlinienaktionen das folgende Präfix vor der Aktion:monitron:. Um beispielsweise jemandem die Erlaubnis zu erteilen, ein Projekt mit dem Amazon Monitron CreateProject Monitron-Betrieb zu erstellen, nehmen Sie die monitron:CreateProject Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Amazon Monitron definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
Anmerkung
Für den deleteProject Vorgang benötigen Sie die AWS IAM Identity Center (SSO-) Berechtigungen zum Löschen. Ohne diese Berechtigungen wird das Projekt durch die Löschfunktion trotzdem entfernt. Die Ressourcen werden dadurch jedoch nicht aus SSO entfernt, und es kann sein, dass Sie am Ende nur noch vereinzelte Referenzen auf SSO haben.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": [ "monitron:action1", "monitron:action2" ]
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort List beginnen, einschließlich der folgenden Aktion:
"Action": "monitron:List*"
Ressourcen
Amazon Monitron unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht.
Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem IAM-Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen IAM-Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags im IAM-Benutzerhandbuch.
AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAM-Benutzerhandbuch.
Amazon Monitron definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Global Condition Context Keys im IAM-Benutzerhandbuch.
Eine Liste der Amazon Monitron-Bedingungsschlüssel finden Sie unter Von Amazon Monitron definierte Aktionen im IAM-Benutzerhandbuch. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Bedingungsschlüssel für Amazon Monitron.
Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Monitron finden Sie unter. Beispiele für identitätsbasierte Richtlinien von Amazon Monitron
Ressourcenbasierte Richtlinien von Amazon Monitron
Amazon Monitron unterstützt keine ressourcenbasierten Richtlinien.
Autorisierung basierend auf Amazon Monitron-Tags
Sie können Tags bestimmten Arten von Amazon Monitron Monitron-Ressourcen zur Autorisierung zuordnen. Um den Zugriff anhand von Tags zu steuern, geben Sie Tag-Informationen im Bedingungselement einer Richtlinie mithilfe der aws:TagKeys Bedingungsschlüssel Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}, oder an.
Amazon Monitron IAM-Rollen
Eine IAM-Rolle ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
Temporäre Anmeldeinformationen mit Amazon Monitron verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich mit dem Verbund anzumelden, eine IAM-Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie AssumeRoleoder GetFederationTokenaufrufen.
Amazon Monitron unterstützt die Verwendung temporärer Anmeldeinformationen.
Serviceverknüpfte Rollen
Mit Services verknüpfte Rollen ermöglichen es AWS Services, auf Ressourcen in anderen Services zuzugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon Monitron unterstützt serviceverknüpfte Rollen.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Amazon Monitron unterstützt Servicerollen.
Beispiele für identitätsbasierte Richtlinien von Amazon Monitron
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Amazon Monitron Monitron-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit dem ausführen. AWS Management Console Ein IAM-Administrator muss den IAM-Benutzern, -Gruppen oder -Rollen, für die sie erforderlich sind, Berechtigungen erteilen. Anschließend können diese Benutzer, Gruppen oder Rollen die spezifischen Operationen mit den angegebenen Ressourcen ausführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von Richtlinien auf der JSON-Registerkarte im IAM-Benutzerhandbuch.
Themen
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Monitron Monitron-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
-
Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
-
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
-
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
-
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
-
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Verwenden der Amazon Monitron Monitron-Konsole
Um Amazon Monitron über die Konsole einzurichten, schließen Sie bitte die Ersteinrichtung mit einem Benutzer mit hohen Rechten ab (z. B. einem Benutzer, dem die AdministratorAccess verwaltete Richtlinie angehängt ist).
Um nach der Ersteinrichtung auf die Amazon Monitron Monitron-Konsole für day-to-day Operationen zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Monitron Monitron-Ressourcen in Ihrem AWS Konto aufzulisten und anzuzeigen, und sie müssen eine Reihe von Berechtigungen im Zusammenhang mit IAM Identity Center beinhalten. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als diese erforderlichen Mindestberechtigungen, funktioniert die Konsole für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie nicht wie vorgesehen. Für grundlegende Funktionen der Amazon Monitron Monitron-Konsole müssen Sie die AmazonMonitronFullAccess verwaltete Richtlinie anhängen. Je nach den Umständen benötigen Sie möglicherweise auch zusätzliche Berechtigungen für die Organizations und den SSO-Dienst. Wenden Sie sich an den AWS Support, wenn Sie weitere Informationen benötigen.
Beispiel: Alle Amazon Monitron Monitron-Projekte auflisten
Diese Beispielrichtlinie gewährt einem IAM-Benutzer in Ihrem AWS Konto die Erlaubnis, alle Projekte in Ihrem Konto aufzulisten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "monitron:ListProject" "Resource": "*" } ] }
Beispiel: Amazon Monitron Monitron-Projekte anhand von Tags auflisten
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon Monitron Monitron-Ressourcen anhand von Tags zu kontrollieren. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die das Auflisten von Projekten ermöglicht. Die Erlaubnis wird jedoch nur erteilt, wenn das Projekt-Tag den Wert von location hatSeattle. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion auf der Konsole erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListProjectsInConsole", "Effect": "Allow", "Action": "monitron:ListProjects", "Resource": "*" "Condition": { "StringEquals": { "aws:ResourceTag/location": "Seattle" } } } ] }
Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Fehlerbehebung bei Amazon Monitron Identity and Access
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Monitron und IAM auftreten können.
Themen
Ich bin nicht berechtigt, eine Aktion in Amazon Monitron durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer mateojackson versucht, über die Konsole Details zu einer fiktiven my-example-widgetmonitron:-Berechtigungen verfügt.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidgeton resource:my-example-widget
In diesem Fall muss die Richtlinie für den Benutzer mateojackson aktualisiert werden, damit er mit der monitron:-Aktion auf die GetWidgetmy-example-widget
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Monitron Monitron-Ressourcen ermöglichen
Sie können eine Rolle erstellen, die Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation für den Zugriff auf Ihre Ressourcen verwenden können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
-
Informationen darüber, ob Amazon Monitron diese Funktionen unterstützt, finden Sie unterSo funktioniert Amazon Monitron mit IAM.
-
Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen.
-
Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie AWS-Konten im IAM-Benutzerhandbuch unter Gewähren des Zugriffs für Dritte.
-
Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund) im IAM-Benutzerhandbuch.
-
Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM im IAM-Benutzerhandbuch.
