Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen von Berechtigungssätzen
Sie können AWS-Konto den Zugriff mithilfe von Berechtigungssätzen in AWS IAM Identity Center verwalten. Ein Berechtigungssatz ist eine Vorlage, mit der Sie eine oder mehrere IAM-Richtlinien für mehrere AWS-Konten bereitstellen können. Wenn Sie einen Berechtigungssatz einem AWS-Konto zuweisen, erstellt IAM Identity Center eine IAM-Rolle und fügt der Rolle die IAM-Richtlinien an. Weitere Informationen finden Sie unter Berechtigungsrichtlinien erstellen und verwalten (Dokumentation von IAM Identity Center).
AWS empfiehlt, Berechtigungssätze zu erstellen, die den verschiedenen Personas in Ihrem Unternehmen zugeordnet sind.
Beispielsweise könnten Sie die folgenden Berechtigungssätze erstellen:
Die folgenden Berechtigungssätze sind Auszüge aus einer Vorlage. AWS CloudFormation Sie sollten diesen Code als Ausgangspunkt verwenden und ihn an Ihr Unternehmen anpassen. Weitere Informationen zu CloudFormation Vorlagen finden Sie unter Grundlagen von Vorlagen lernen (CloudFormation Dokumentation).
Fakturierungsberechtigungssatz
Das Finanzteam verwendet BillingAccessPermissionSet, um sich das AWS Billing Konsolen-Dashboard und AWS Cost Explorer die einzelnen Konten anzusehen.
BillingAccessPermissionSet: Type: "AWS::SSO::PermissionSet" Properties: Description: Access to Billing and Cost Explorer InstanceArn: !Sub "arn:${AWS::Partition}:sso:::instance/ssoins-instanceId" ManagedPolicies: - !Sub "arn:${AWS::Partition}:iam::aws:policy/job-function/Billing" Name: BillingAccess SessionDuration: PT8H RelayStateType: https://console.aws.amazon.com/billing/home
Entwicklerberechtigungssatz
Das Entwicklungsteam verwendet, DeveloperAccessPermissionSetum auf Konten zuzugreifen, die nicht für die Produktion bestimmt sind.
DeveloperAccessPermissionSet: Type: "AWS::SSO::PermissionSet" Properties: Description: Access to provision resources through CloudFormation InlinePolicy: !Sub |- { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:${AWS::Partition}:iam::*:role/CloudFormationRole", "Condition": { "StringEquals": { "aws:ResourceAccount": "${!aws:PrincipalAccount}", "iam:PassedToService": "cloudformation.${AWS::URLSuffix}" } } }, { "Effect": "Allow", "Action": [ "cloudformation:ContinueUpdateRollback", "cloudformation:CreateChangeSet", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:RollbackStack", "cloudformation:UpdateStack" ], "Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*", "Condition": { "ArnLike": { "cloudformation:RoleArn": "arn:${AWS::Partition}:iam::${!aws:PrincipalAccount}:role/CloudFormationRole" }, "Null": { "cloudformation:ImportResourceTypes": true } } }, { "Effect": "Allow", "Action": [ "cloudformation:CancelUpdateStack", "cloudformation:DeleteChangeSet", "cloudformation:DetectStackDrift", "cloudformation:DetectStackResourceDrift", "cloudformation:ExecuteChangeSet", "cloudformation:TagResource", "cloudformation:UntagResource", "cloudformation:UpdateTerminationProtection" ], "Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*" }, { "Effect": "Allow", "Action": [ "cloudformation:CreateUploadBucket", "cloudformation:ValidateTemplate", "cloudformation:EstimateTemplateCost" ], "Resource": "*" } ] } InstanceArn: !Sub "arn:${AWS::Partition}:sso:::instance/ssoins-instanceId" ManagedPolicies: - !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSServiceCatalogEndUserFullAccess" - !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSProtonDeveloperAccess" - !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSBillingReadOnlyAccess" - !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSSupportAccess" - !Sub "arn:${AWS::Partition}:iam::aws:policy/ReadOnlyAccess" Name: DeveloperAccess SessionDuration: PT8H
Produktionsberechtigungssatz
Das Entwicklungsteam verwendet ProductionPermissionSet, um auf Produktionskonten zuzugreifen. Dieser Berechtigungssatz hat eingeschränkten Nur-Lesezugriff.
ProductionPermissionSet: Type: "AWS::SSO::PermissionSet" Properties: Description: Access to production accounts InlinePolicy: !Sub |- { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:${AWS::Partition}:iam::*:role/CloudFormationRole", "Condition": { "StringEquals": { "aws:ResourceAccount": "${!aws:PrincipalAccount}", "iam:PassedToService": "cloudformation.${AWS::URLSuffix}" } } }, { "Effect": "Allow", "Action": "cloudformation:ContinueUpdateRollback", "Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*", "Condition": { "ArnLike": { "cloudformation:RoleArn": "arn:${AWS::Partition}:iam::${!aws:PrincipalAccount}:role/CloudFormationRole" } } }, { "Effect": "Allow", "Action": "cloudformation:CancelUpdateStack", "Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*" } ] } InstanceArn: !Sub "arn:${AWS::Partition}:sso:::instance/ssoins-instanceId" ManagedPolicies: - !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSBillingReadOnlyAccess" - !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSSupportAccess" - !Sub "arn:${AWS::Partition}:iam::aws:policy/job-function/ViewOnlyAccess" Name: ProductionAccess SessionDuration: PT2H
