Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Cloud Map - AWS Cloud Map
Erforderliche Berechtigungen für die Verwendung der AWS Cloud Map -KonsoleZum Erstellen eines AWS Cloud Map Dienstes sind Berechtigungen erforderlich

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Cloud Map

Dieses Thema enthält Beispiele für identitätsbasierte Richtlinien, die zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anhängen und so Berechtigungen zur Ausführung von Aktionen an Ressourcen gewähren kann. AWS Cloud Map

Wichtig

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen für die Verwaltung des Zugriffs auf Ihre Ressourcen erläutert werden. AWS Cloud Map Weitere Informationen finden Sie unter Verwaltung der Zugriffsberechtigungen für Ihre AWS Cloud Map Ressourcen.

Das folgende Beispiel zeigt eine Berechtigungsrichtlinie, die einem Benutzer die Berechtigung zum Registrieren, Abmelden und Registrieren von Service-Instances gewährt. Der Abschnitt Sid (die Anweisungs-ID) ist optional:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

Die Richtlinie gewährt Berechtigungen für Aktionen, die erforderlich sind, Service-Instances zu registrieren und zu verwalten. Die Route 53-Berechtigung ist erforderlich, wenn Sie öffentliche oder private DNS-Namespaces verwenden, da Route 53-Datensätze und Zustandsprüfungen AWS Cloud Map erstellt, aktualisiert und gelöscht werden, wenn Sie Instances registrieren und deregistrieren. Das Platzhalterzeichen (*) in Resource gewährt Zugriff auf alle AWS Cloud Map Instances und Route 53-Datensätze und Zustandsprüfungen, die dem aktuellen Konto gehören. AWS

Eine Liste der Aktionen mit den anzugebenden ARNs, mit denen ihnen Berechtigungen erteilt oder entzogen werden, finden Sie unter AWS Cloud Map Referenz zu API-Berechtigungen.

Erforderliche Berechtigungen für die Verwendung der AWS Cloud Map -Konsole

Um vollen Zugriff auf die AWS Cloud Map Konsole zu gewähren, gewähren Sie die Berechtigungen in der folgenden Berechtigungsrichtlinie: 

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

Gründe, warum die Berechtigungen erforderlich sind

servicediscovery:*

Ermöglicht das Ausführen aller AWS Cloud Map Aktionen.

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

Lassen Sie uns gehostete Zonen AWS Cloud Map verwalten, wenn Sie öffentliche und private DNS-Namespaces erstellen und löschen.

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

Lassen Sie uns die Zustandsprüfungen AWS Cloud Map verwalten, wenn Sie bei der Erstellung eines Service Amazon Route 53-Zustandsprüfungen einbeziehen.

ec2:DescribeVpcs und ec2:DescribeRegions

Lassen Sie uns private gehostete Zonen AWS Cloud Map verwalten.

Zum Erstellen eines AWS Cloud Map Dienstes sind Berechtigungen erforderlich

Wenn Sie eine Berechtigungsrichtlinie hinzufügen, die es einer IAM-Identität ermöglicht, einen AWS Cloud Map Service zu erstellen, müssen Sie den Amazon-Ressourcennamen (ARN) sowohl des AWS Cloud Map Namespace als auch des Services im Ressourcenfeld angeben. Der ARN umfasst die Region, die Konto-ID und die Namespace-ID. Da Sie noch nicht wissen, wie die Service-ID des Dienstes lautet, empfehlen wir die Verwendung eines Platzhalters. Im Folgenden finden Sie ein Beispiel für einen Richtlinienausschnitt.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:CreateService"
         ],
         "Resource":[
            "arn:aws:servicediscovery:region:111122223333:namespace/ns-p32123EXAMPLE",
            "arn:aws:servicediscovery:region:111122223333:service/*"
         ]
      }
   ]
}