Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel für Service-Kontrollrichtlinien für AWS Organizations und Resource Explorer
AWS Ressourcen Explorer unterstützt Service-Kontrollrichtlinien (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anfügen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten in einer Organisation unter dem -Element, an das Sie den SCP anfügen. SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen aller Konten Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Zugriffskontrollrichtlinien Ihrer Organisation AWS-Konten einhalten. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.
Voraussetzungen
Um SCPs zu verwenden, müssen Sie Folgendes ausführen:
-
Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie unter Aktivieren aller Funktionen in Ihrer Organisation im AWS Organizations Benutzerhandbuch.
-
Aktivieren Sie SCPs für die Verwendung in Ihrer Organisation. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren von Richtlinientypen im AWS Organizations -Benutzerhandbuch.
-
Erstellen Sie die SCPs, die Sie benötigen. Weitere Informationen zum Erstellen von SCPs finden Sie unter Erstellen und Aktualisieren von SCPs im AWS Organizations -Benutzerhandbuch.
Beispiel für Service-Kontrollrichtlinien
Das folgende Beispiel zeigt, wie Sie die attributbasierte Zugriffskontrolle (ABAC) verwenden können, um den Zugriff auf die administrativen Vorgänge von Resource Explorer zu steuern. Diese Beispielrichtlinie verweigert den Zugriff auf alle Resource-Explorer-Operationen mit Ausnahme der beiden Berechtigungen, die für die Suche erforderlich sind, resource-explorer-2:Search
und , es sei dennresource-explorer-2:GetView
, der IAM-Prinzipal, der die Anforderung stellt, ist mit gekennzeichnetResourceExplorerAdmin=TRUE
. Eine vollständigere Erläuterung der Verwendung von ABAC mit Resource Explorer finden Sie unter Mit Tag-basierter Autorisierung.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "resource-explorer-2:AssociateDefaultView", "resource-explorer-2:BatchGetView", "resource-explorer-2:CreateIndex", "resource-explorer-2:CreateView", "resource-explorer-2:DeleteIndex", "resource-explorer-2:DeleteView", "resource-explorer-2:DisassociateDefaultView", "resource-explorer-2:GetDefaultView", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListSupportedResourceTypes", "resource-explorer-2:ListTagsForResource", "resource-explorer-2:ListViews", "resource-explorer-2:TagResource", "resource-explorer-2:UntagResource", "resource-explorer-2:UpdateIndexType", "resource-explorer-2:UpdateView"" ], "Resource": [ "*" ], "Condition": { "StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"} } ] }