Dies ist der AWS CDK v2-Entwicklerhandbuch. Das ältere CDK v1 wurde am 1. Juni 2022 in die Wartung aufgenommen und der Support wurde am 1. Juni 2023 eingestellt.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Eine Berechtigungsgrenze ist eine erweiterte AWS Identity and Access Management (IAM-) Funktion, mit der Sie die maximalen Berechtigungen festlegen können, die eine IAM-Entität, z. B. ein Benutzer oder eine Rolle, haben kann. Mithilfe von Berechtigungsgrenzen können Sie die Aktionen einschränken, die IAM-Entitäten ausführen können, wenn sie die verwenden. AWS Cloud Development Kit (AWS CDK)
Weitere Informationen zu Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.
Wann sollten Berechtigungsgrenzen mit dem verwendet werden AWS CDK
Erwägen Sie die Anwendung von Berechtigungsgrenzen, wenn Sie Entwickler in Ihrer Organisation daran hindern müssen, bestimmte Aktionen mit dem auszuführen AWS CDK. Wenn es in Ihrer AWS Umgebung beispielsweise bestimmte Ressourcen gibt, die Entwickler nicht ändern sollen, können Sie eine Berechtigungsgrenze erstellen und anwenden.
Wie wendet man Berechtigungsgrenzen an mit dem AWS CDK
Erstellen Sie die Berechtigungsgrenze
Zunächst erstellen Sie die Berechtigungsgrenze, indem Sie eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie verwenden, um die Grenze für eine IAM-Entität (Benutzer oder Rolle) festzulegen. Diese Richtlinie schränkt die maximalen Berechtigungen für den Benutzer oder die Rolle ein. Anweisungen zum Erstellen von Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.
Berechtigungsgrenzen legen die maximalen Berechtigungen fest, die eine IAM-Entität haben kann, gewähren jedoch keine eigenständigen Berechtigungen. Sie müssen Berechtigungsgrenzen zusammen mit IAM-Richtlinien verwenden, um die richtigen Berechtigungen für Ihre Organisation effektiv einzuschränken und zu gewähren. Sie müssen außerdem verhindern, dass IAM-Entitäten die von Ihnen festgelegten Grenzen umgehen können. Ein Beispiel finden Sie im IAM-Benutzerhandbuch unter Delegieren von Verantwortung an andere mithilfe von Rechtegrenzen.
Wenden Sie die Berechtigungsgrenze beim Bootstrapping an
Nachdem Sie die Berechtigungsgrenze erstellt haben, können Sie sie für die erzwingen, AWS CDK indem Sie sie beim Bootstrapping anwenden.
Verwenden Sie die --custom-permissions-boundary Option und geben Sie den Namen der anzuwendenden Berechtigungsgrenze an. Im Folgenden finden Sie ein Beispiel, das eine Berechtigungsgrenze mit dem Namen anwendetcdk-permissions-boundary:
$cdk bootstrap --custom-permissions-boundarycdk-permissions-boundary
Standardmäßig verwendet das CDK die in der Bootstrap-Vorlage definierte CloudFormationExecutionRole IAM-Rolle, um Berechtigungen für die Durchführung von Bereitstellungen zu erhalten. Durch Anwenden der benutzerdefinierten Berechtigungsgrenze beim Bootstrapping wird die Berechtigungsgrenze an diese Rolle angehängt. Die Berechtigungsgrenze legt dann die maximale Anzahl von Berechtigungen fest, die Entwickler in Ihrer Organisation bei der Verwendung von ausführen können. AWS CDK Weitere Informationen zu dieser Rolle finden Sie unterBeim Bootstrapping erstellte IAM-Rollen.
Wenn Sie Berechtigungsgrenzen auf diese Weise anwenden, werden sie auf die spezifische Umgebung angewendet, in der Sie das Bootstrapping durchführen. Um dieselbe Berechtigungsgrenze für mehrere Umgebungen zu verwenden, müssen Sie beim Bootstrapping die Berechtigungsgrenze für jede Umgebung anwenden. Sie können auch unterschiedliche Berechtigungsgrenzen für verschiedene Umgebungen anwenden.
Weitere Informationen
Weitere Informationen zu Berechtigungsgrenzen finden Sie im AWS Sicherheitsblog unter Wann und wo Sie IAM-Berechtigungsgrenzen verwenden
