Richtlinienstruktur - AWS Batch
RichtliniensyntaxAktionen für AWS BatchAmazon-Ressourcennamen (ARNs) für AWS BatchTesten der Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinienstruktur

In den folgenden Themen wird die Struktur einer IAM-Richtlinie erläutert.

Richtliniensyntax

Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jede Anweisung ist folgendermaßen strukturiert.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

Eine Anweisung kann aus verschiedenen Elementen bestehen:

  • Effect: Der effect-Wert kann Allow oder Deny lauten. Standardmäßig haben Benutzer keine Berechtigung zur Verwendung von Ressourcen und API-Aktionen. Daher werden alle Anfragen abgelehnt. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis.

  • Aktion : Die Aktion ist die spezifische API-Aktion, für die Sie die Berechtigung erteilen oder verweigern. Anweisungen zur Angabe der Aktion finden Sie unter Aktionen für AWS Batch.

  • Resource: Die von einer Aktion betroffene Ressource. Bei einigen AWS Batch API-Aktionen können Sie bestimmte Ressourcen in Ihre Richtlinie aufnehmen, die von der Aktion erstellt oder geändert werden können. Um eine Ressource in der Anweisung anzugeben, verwenden Sie deren Amazon-Ressourcennamen (ARN). Weitere Informationen finden Sie unter Unterstützte Berechtigungen auf Ressourcenebene für AWS Batch-API-Aktionen und Amazon-Ressourcennamen (ARNs) für AWS Batch. Wenn die AWS Batch API-Operation derzeit keine Berechtigungen auf Ressourcenebene unterstützt, fügen Sie einen Platzhalter (*) ein, um anzugeben, dass alle Ressourcen von der Aktion betroffen sein können.

  • Condition: Bedingungen sind optional. Mit ihrer Hilfe können Sie bestimmen, wann Ihre Richtlinie wirksam ist.

Weitere Informationen zu Beispiel-IAM-Richtlinienanweisungen für AWS Batchfinden Sie unter Erstellen von AWS Batch IAM-Richtlinien.

Aktionen für AWS Batch

In einer IAM-Richtlinienanweisung können Sie jede API-Aktion von jedem Service, der IAM unterstützt, angeben. AWS BatchVerwenden Sie für das folgende Präfix mit dem Namen der API-Aktion: batch: (z. B. batch:SubmitJob und batch:CreateComputeEnvironment).

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie jede Aktion durch ein Komma.

"Action": ["batch:action1", "batch:action2"]

Sie können auch mehrere Aktionen angeben, indem Sie einen Platzhalter (*) einschließen. Sie können beispielsweise alle Aktionen mit einem Namen angeben, der mit dem Wort „Beschreiben“ beginnt.

"Action": "batch:Describe*"

Um alle AWS Batch API-Aktionen anzugeben, fügen Sie einen Platzhalter (*) ein.

"Action": "batch:*"

Eine Liste der AWS Batch Aktionen finden Sie unter Aktionen in der APIAWS Batch-Referenz zu .

Amazon-Ressourcennamen (ARNs) für AWS Batch

Jede IAM-Richtlinienanweisung gilt für die Ressourcen, die Sie mithilfe ihrer Amazon-Ressourcennamen (ARNs) angeben.

Ein Amazon-Ressourcenname (ARN) hat die folgende allgemeine Syntax:

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
Service nicht zulässig

Der Service (z. B. batch)

Region

Die AWS-Region für die Ressource (z. B. us-east-2).

Konto

Die AWS-Konto-ID ohne Bindestriche (z. B. 123456789012)

RessourcenTyp

Der Typ der Ressource (z. B. compute-environment)

resourcePath

Ein Pfad zur Identifizierung der Ressource. Sie können einen Platzhalter (*) in Ihren Pfaden verwenden.

AWS Batch API-Operationen unterstützen derzeit Berechtigungen auf Ressourcenebene für mehrere API-Operationen. Weitere Informationen finden Sie unter Unterstützte Berechtigungen auf Ressourcenebene für AWS Batch-API-Aktionen. Um alle Ressourcen anzugeben oder wenn eine bestimmte API-Aktion keine ARNs unterstützt, fügen Sie einen Platzhalter (*) in das -ResourceElement ein.

"Resource": "*"

Prüfen, ob Benutzer über die erforderlichen Berechtigungen verfügen

Bevor Sie eine IAM-Richtlinie in Produktion nehmen, stellen Sie sicher, dass sie Benutzern die Berechtigungen zur Verwendung der spezifischen API-Aktionen und -Ressourcen gewährt, die sie benötigen.

Erstellen Sie dazu zunächst zu Testzwecken einen Benutzer und fügen Sie die IAM-Richtlinie an den Testbenutzer an. Anschließend initiieren Sie mit dem Testbenutzer eine Anforderung. Anforderungen erfolgen über die Konsole oder die AWS CLI.

Anmerkung

Sie können Ihre Richtlinien auch mit dem IAM-Richtliniensimulator testen. Weitere Informationen zum Richtliniensimulator finden Sie unter Arbeiten mit dem IAM-Richtliniensimulator im IAM-Benutzerhandbuch.

Falls die Richtlinie dem Benutzer nicht die erwarteten Berechtigungen erteilt oder zu viele Berechtigungen gewährt, können Sie die Richtlinie entsprechend anpassen. Testen Sie so lange, bis Sie die gewünschten Ergebnisse erhalten.

Wichtig

Es kann einige Minuten dauern, bis Richtlinienänderungen wirksam werden. Daher empfehlen wir Ihnen, mindestens fünf Minuten zu warten, bevor Sie Ihre Richtlinienaktualisierungen testen.

Bei einer fehlgeschlagenen Autorisierungsprüfung gibt die Anforderung eine codierte Nachricht mit Diagnoseinformationen zurück. Sie können die Nachricht mit der Aktion DecodeAuthorizationMessage decodieren. Weitere Informationen finden Sie unter DecodeAuthorizationMessage in der AWS Security Token Service API-Referenz zu und decode-authorization-message in der AWS CLI -Befehlsreferenz.