Erstellen einer Richtlinie und Anfügen der Richtlinie an einen Benutzer

Wenn Sie einem Benutzer den Aufruf des API-Verwaltungsservice oder API-Ausführungsservice ermöglichen möchten, müssen Sie eine IAM-Richtlinie erstellen, die den Zugriff auf die API-Gateway-Entitäten kontrolliert.

So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie

Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie in der Navigationsleiste auf der linken Seite auf Policies (Richtlinien).

Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.
Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.
Wählen Sie den Tab JSON.

Geben Sie folgendes JSON-Richtliniendokument ein:


{
  "Version": "2012-10-17",
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    },
    {
      "Effect" : "Allow",
      "Action" : [
        "action-statement"
      ],
      "Resource" : [
        "resource-statement"
      ]
    }
  ]
}

Wählen Sie Review policy (Richtlinie prüfen) aus.

Anmerkung
Sie können jederzeit zwischen den Registerkarten Visual editor (Visueller Editor) und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder auf der Registerkarte Visueller Editor die Option Richtlinie überprüfen auswählen, strukturiert IAM möglicherweise Ihre Richtlinie neu, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Richtlinienrestrukturierung im IAM-Benutzerhandbuch.
Geben Sie auf der Seite Review policy (Richtlinie überprüfen) unter Name einen Namen und unter Description (Beschreibung) eine optionale Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie unter Summary die Richtlinienzusammenfassung, um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann Create policy aus, um Ihre Eingaben zu speichern.

Ersetzen Sie in dieser Anweisung action-statement und resource-statement nach Bedarf. Fügen Sie weitere Anweisungen hinzu, um die Amazon API Gateway-Entitäten anzugeben, die der Benutzer verwalten darf, die Methoden, die er aufrufen darf, oder beides. Standardmäßig hat der Benutzer keine Berechtigungen, es sei denn, es gibt eine entsprechende explizite Allow-Anweisung.

Sie haben soeben eine IAM-Richtlinie erstellt. Sie hat keine Wirkung, bis Sie sie anfügen.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center (successor to AWS Single Sign-On):

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Fügen Sie ein IAM-Richtliniendokument wie folgt an eine IAM-Gruppe an:

Wählen Sie im Haupt-Navigationsbereich Groups aus.
Wählen Sie die Registerkarte Permissions unter der gewählten Gruppe aus.
Wählen Sie Attach policy aus.
Wählen Sie das zuvor von Ihnen erstellte Richtliniendokument aus und klicken Sie auf Attach policy.

Damit API Gateway andere AWS-Services in Ihrem Namen aufrufen kann, erstellen Sie eine IAM-Rolle vom Typ Amazon API Gateway.

So erstellen Sie eine Rolle vom Typ „Amazon API Gateway“:

Wählen Sie im Haupt-Navigationsbereich Roles aus.
Klicken Sie auf Create New Role.
Geben Sie einen Namen für Role name ein und wählen Sie dann Next Step aus.
Wählen Sie unter Rollentyp auswählen, in AWS-Service-Rollen neben Amazon API Gateway die Option Select aus.
Wählen Sie unter Attach Policy (Richtlinie anhängen) eine verfügbare verwaltete IAM-Berechtigungsrichtlinie (z. B. AmazonAPIGatewayPushToCloudWatchLog) aus, wenn Sie möchten, dass API Gateway Metriken in CloudWatch protokolliert. Wählen Sie dann Next Step (Nächster Schritt) aus.
Stellen Sie unter Trusted Entities sicher, dass apigateway.amazonaws.com als Eintrag aufgelistet wird, und wählen Sie dann Create Role aus.
Wählen Sie in der neu erstellten Rolle die Registerkarte Permissions und klicken Sie auf Attach Policy.
Wählen Sie das zuvor von Ihnen erstellte IAM-Richtliniendokument aus und klicken Sie auf Attach Policy (Richtlinie anhängen).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM-Richtlinienbeispiele für API-Ausführungsberechtigungen

Verwenden von VPC-Endpunktrichtlinien für private-APIs