Verwaltung der Zugriffsberechtigungen für Ihre AWS Cloud Map Ressourcen - AWS Cloud Map
ARNs für Ressourcen AWS Cloud MapGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf RessourcenAngeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und PrinzipaleBedingungen in einer IAM-Richtlinie angeben

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung der Zugriffsberechtigungen für Ihre AWS Cloud Map Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen über Administratoren finden Sie unter Bewährte Methoden für IAM im IAM Benutzerhandbuch.

Wenn Sie Berechtigungen erteilen, entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen Berechtigungen vergeben werden und welche Aktionen für die Benutzer zulässig sind.

ARNs für Ressourcen AWS Cloud Map

Sie können Berechtigungen auf Ressourcenebene für Namespaces und Services für ausgewählte Operationen gewähren oder verweigern. Weitere Informationen finden Sie unter AWS Cloud Map Referenz zu API-Berechtigungen.

Grundlegendes zum Eigentum an Ressourcen

Ein AWS Konto besitzt die Ressourcen, die in dem Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. das Root-Benutzerkonto, ein IAM-Benutzer oder eine IAM-Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert.

Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Root-Benutzerkonto-Anmeldeinformationen Ihres AWS Kontos verwenden, um einen HTTP-Namespace zu erstellen, ist Ihr AWS Konto der Eigentümer der Ressource.

  • Wenn Sie in Ihrem AWS Konto einen IAM-Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen eines HTTP-Namespace gewähren, kann der Benutzer einen HTTP-Namespace erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die HTTP-Namespace-Ressource.

  • Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen eines HTTP-Namespace erstellen, kann jeder, der die Rolle übernehmen kann, einen HTTP-Namespace erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die HTTP-Namespace-Ressource.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie gibt an, wer Zugriff auf welche Objekte hat. In diesem Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien für AWS Cloud Map erläutert. Allgemeine Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, und Richtlinien, die mit einer Ressource verknüpft sind, werden als ressourcenbasierte Richtlinien bezeichnet. AWS Cloud Map unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Ordnen Sie einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zu — Ein Kontoadministrator kann eine einem bestimmten Benutzer zugeordnete Berechtigungsrichtlinie verwenden, um diesem Benutzer Berechtigungen zum Erstellen von AWS Cloud Map Ressourcen zu erteilen.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einem Benutzer, der mit einem anderen AWS Konto erstellt wurde, die Berechtigung zur Ausführung von AWS Cloud Map Aktionen erteilen. Dazu ordnen Sie einer IAM-Rolle eine Berechtigungsrichtlinie zu und erlauben dann dem Benutzer in dem anderen Konto, die Rolle einzunehmen. Im folgenden Beispiel wird erklärt, wie dieser Vorgang für zwei AWS -Konten, Konto A und Konto B, funktioniert:

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und weist ihr eine Berechtigungsrichtlinie zu, die Berechtigungen zum Erstellen von oder für den Zugriff auf Ressourcen erteilt, die Konto A gehören.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu. Die Vertrauensrichtlinie identifiziert Konto B als Prinzipal, der die Rolle einnehmen darf.

    3. Anschließend kann der Administrator von Konto B Berechtigungen für Benutzer oder Gruppen in Konto B zuweisen, sodass diese die Rolle einnehmen können. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen bzw. darauf zugreifen.

    Weitere Informationen zur Vorgehensweise beim Delegieren von Berechtigungen an Benutzer aus einem anderen AWS -Konto finden Sie unter Access Management (Zugriffsverwaltung) im IAM-Benutzerhandbuch.

Mit der folgenden Beispielrichtlinie kann ein Benutzer die CreatePublicDnsNamespaceAktion ausführen, um einen öffentlichen DNS-Namespace für ein beliebiges AWS Konto zu erstellen. Die Amazon Route 53-Berechtigungen sind erforderlich, da beim Erstellen eines öffentlichen DNS-Namespace AWS Cloud Map auch eine von Route 53 gehostete Zone erstellt wird:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "servicediscovery:CreatePublicDnsNamespace",
            "route53:CreateHostedZone",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName"
         ],
         "Resource":"*"
      }
   ]
}

Wenn Sie möchten, dass die Richtlinie stattdessen für private DNS-Namespaces gilt, müssen Sie Berechtigungen zur Verwendung der Aktion erteilen. AWS Cloud Map CreatePrivateDnsNamespace Darüber hinaus erteilen Sie die Erlaubnis, dieselben Route 53-Aktionen wie im vorherigen Beispiel zu verwenden, da eine private, gehostete Route 53-Zone AWS Cloud Map erstellt wird. Sie erteilen außerdem die Erlaubnis, zwei Amazon EC2 EC2-Aktionen zu verwenden, DescribeVpcs undDescribeRegions:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "servicediscovery:CreatePrivateDnsNamespace",
            "route53:CreateHostedZone",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName"
         ],
         "Resource":"*"
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

Weitere Informationen zum Anhängen von Richtlinien an Identitäten für AWS Cloud Map finden Sie unter. Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Cloud Map Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon S3, unterstützen auch die Zuordnung von Berechtigungsrichtlinien zu Ressourcen. Sie können beispielsweise eine Richtlinie an einen S3-Bucket anhängen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Cloud Map unterstützt das Anhängen von Richtlinien an Ressourcen nicht.

Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale

AWS Cloud Map umfasst API-Aktionen (siehe AWS Cloud Map API-Referenz), die Sie für jede AWS Cloud Map Ressource verwenden können (sieheARNs für Ressourcen AWS Cloud Map). Sie können Benutzern oder verbundenen Benutzern Berechtigungen zur Durchführung beliebiger oder aller dieser Aktionen erteilen. Beachten Sie, dass einige API-Aktionen, z. B. das Erstellen eines öffentlichen DNS-Namespace, Berechtigungen zur Durchführung mehrerer Aktionen erfordern.

Grundlegende Richtlinienelemente:

  • Ressource – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter ARNs für Ressourcen AWS Cloud Map.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenaktionen an, die Sie zulassen oder verweigern möchten. Je nach Angabe Effect ermöglicht oder verweigert die servicediscovery:CreateHttpNamespace Berechtigung einem Benutzer beispielsweise die Möglichkeit, die AWS Cloud Map CreateHttpNamespaceAktion auszuführen.

  • Effekt – Dies ist die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer versucht, die jeweilige Aktion für die angegebene Ressource durchzuführen. Wenn Sie den Zugriff auf eine Aktion nicht ausdrücklich gestatten, wird er implizit verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). AWS Cloud Map bietet keine Unterstützung für ressourcenbasierte Richtlinien.

Weitere Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Liste der AWS Cloud Map API-Aktionen und der Ressourcen, für die sie gelten, finden Sie unterAWS Cloud Map Referenz zu API-Berechtigungen.

Bedingungen in einer IAM-Richtlinie angeben

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum angewendet wird, oder dass eine Richtlinie nur für einen bestimmten Namespace gilt.

Um Bedingungen auszudrücken, verwenden Sie vordefinierte Bedingungsschlüssel. AWS Cloud Map definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Weitere Informationen finden Sie unter den folgenden Themen: