Übersicht über die Zugriffsrichtliniensprache für Amazon API Gateway - Amazon API Gateway
Allgemeine Elemente einer Zugriffsrichtlinie

Übersicht über die Zugriffsrichtliniensprache für Amazon API Gateway

Diese Seite beschreibt die grundlegenden Elemente, die in den Ressourcenrichtlinien für Amazon API Gateway verwendet werden.

Ressourcenrichtlinien werden mit derselben Syntax wie IAM-Richtlinien spezifiziert. Vollständige Informationen zur Richtliniensprache finden Sie unter Übersicht der IAM-Richtlinien und AWS Identity and Access Management-Richtlinienverweis im IAM-Benutzerhandbuch.

Informationen darüber, wie ein AWS Service entscheidet, ob eine bestimmte Anforderung zugelassen oder abgelehnt werden soll, finden Sie unter Ermitteln, ob eine Anforderung zugelassen oder verweigert wird.

Allgemeine Elemente einer Zugriffsrichtlinie

In ihrer einfachsten Form enthält eine Ressourcenrichtlinie die folgenden Elemente:

  • Ressourcen – APIs sind die Amazon API Gateway-Ressourcen, für die Sie Berechtigungen zulassen oder verweigern können. In einer Richtlinie identifizieren Sie die Ressource mithilfe eines Amazon-Ressourcennamens (ARN). Sie können außerdem eine abgekürzte Syntax verwenden, die API Gateway beim Speichern einer Ressourcenrichtlinie automatisch auf den vollständigen ARN erweitert. Weitere Informationen hierzu finden Sie unter Beispiele für API Gateway-Ressourcenrichtlinien.

    Informationen zum Format des vollständigen Resource-Elements finden Sie unter Ressourcenformat für Berechtigungen zur Ausführung der API in API Gateway.

  • Aktionen – Für jede Ressource unterstützt Amazon API Gateway eine Reihe von Operationen. Sie identifizieren Ressourcenoperationen, die Sie zulassen (oder ablehnen) können, indem Sie Aktionsschlüsselwörter verwenden.

    Beispielsweise kann der Benutzer mit der execute-api:Invoke-Berechtigung die API nach einer Clientanforderung aufrufen.

    Informationen zum Format des Action-Elements finden Sie unter Aktionsformat für Berechtigungen zur Ausführung der API in API Gateway.

  • Auswirkung – Zeigt die Auswirkung, wenn der Benutzer die bestimmten Aktion anfordert – entweder Allow oder Deny. Sie können den Zugriff auf eine Ressource auch explizit verweigern. Damit können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

    Anmerkung

    "Implizit verweigern" ist identisch mit "Standardmäßig verweigern".

    Eine "implizite Verweigerung" unterscheidet sich von einer "expliziten Verweigerung". Weitere Informationen finden Sie unter Der Unterschied zwischen standardmäßiger und expliziter Zugriffsverweigerung.

  • Prinzipal – das Konto oder der Benutzer, das oder der Zugriff auf die Aktionen und Ressourcen in der Anweisung hat. In einer Ressourcenrichtlinie ist der Prinzipal der Benutzer oder das Konto, der bzw. das die Berechtigung erhält.

Die folgende Beispiel-Ressourcenrichtlinie zeigt die zuvor genannten allgemeinen Richtlinienelemente. Die Richtlinie gewährt Zugriff auf alle APIs unter der angegebenen Konto-ID in der angegebenen Region für jeden Benutzer, dessen Quell-IP-Adresse im Adressblock 123.4.5.6/24 enthalten ist. Die Richtlinie verweigert den Zugriff auf die API, wenn die Quell-IP des Benutzers nicht innerhalb des Bereichs liegt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}