Zugriff auf Ressourcen verwalten - AWS Control Tower
Informationen zu identitätsbasierten Richtlinien (IAM-Richtlinien)Ressourcenbasierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Ressourcen verwalten

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Control Tower beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Für Informationen über die Syntax und Beschreibungen von AWS -IAM-Richtlinien lesen Sie die IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Anmerkung

AWS Control Tower unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Themen

Informationen zu identitätsbasierten Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Hängen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto an — Um einem Benutzer Berechtigungen zur Erstellung einer AWS Control Tower Tower-Ressource zu gewähren, z. B. das Einrichten einer landing zone, können Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe anhängen, zu der der Benutzer gehört.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann ein Administrator für ein AWS Konto (Konto A) eine Rolle erstellen, die einem anderen Konto ( AWS Konto B) kontenübergreifende Berechtigungen gewährt, oder der Administrator kann eine Rolle erstellen, die einem anderen AWS Dienst Berechtigungen gewährt.

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt der Rolle, die Berechtigungen zur Verwaltung von Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.

    2. Der Administrator von Konto A ordnet der Rolle eine Vertrauensrichtlinie zu. Die Richtlinie identifiziert Konto B als den Prinzipal, der die Rolle übernehmen kann.

    3. Als Principal kann der Administrator von Konto B jedem Benutzer in Konto B die Erlaubnis erteilen, die Rolle zu übernehmen. Durch die Übernahme der Rolle können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen.

    4. Um einem AWS Dienst die Fähigkeit (Berechtigungen) zu gewähren, die Rolle zu übernehmen, kann es sich bei dem Principal, den Sie in der Vertrauensrichtlinie angeben, um einen AWS Dienst handeln.

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Control Tower unterstützt keine ressourcenbasierten Richtlinien.