So funktioniert Resource Explorer mit IAM - AWS Ressourcen Explorer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert Resource Explorer mit IAM

Bevor Sie IAM den Zugriff auf verwalten AWS Ressourcen Explorer, sollten Sie sich darüber im Klaren sein, welche IAM Funktionen mit Resource Explorer zur Verfügung stehen. Einen allgemeinen Überblick darüber, wie Resource Explorer und andere Tools AWS-Services funktionieren IAM AWS-Services , finden Sie IAM im IAMBenutzerhandbuch unter Funktionen mit Resource Explorer.

Wie jeder andere Browser benötigt auch Resource Explorer Berechtigungen AWS-Service, um seine Operationen für die Interaktion mit Ihren Ressourcen nutzen zu können. Für die Suche benötigen Benutzer die Berechtigung, die Details zu einer Ansicht abzurufen und mithilfe der Ansicht zu suchen. Um Indizes oder Ansichten zu erstellen oder sie oder andere Resource Explorer-Einstellungen zu ändern, benötigen Sie zusätzliche Berechtigungen.

Weisen Sie IAM identitätsbasierte Richtlinien zu, die diese Berechtigungen den entsprechenden Prinzipalen gewähren. IAM Resource Explorer bietet mehrere verwaltete Richtlinien, die allgemeine Berechtigungssätze vordefinieren. Sie können diese Ihren IAM Hauptbenutzern zuweisen.

Identitätsbasierte Richtlinien von Resource Explorer

Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen für bestimmte Ressourcen sowie die Bedingungen angeben, unter denen diese Aktionen zugelassen oder verweigert werden. Resource Explorer unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie in der Referenz zu den IAM JSON Richtlinienelementen im IAMBenutzerhandbuch.

Aktionen

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Richtlinienaktionen im Resource Explorer verwenden das resource-explorer-2 Dienstpräfix vor der Aktion. Um beispielsweise jemandem die Erlaubnis zu erteilen, mithilfe einer Ansicht zu suchen, fügen Sie beim Resource Search API Explorer-Vorgang die resource-explorer-2:Search Aktion in eine Richtlinie ein, die diesem Prinzipal zugewiesen ist. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Resource Explorer definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können. Diese entsprechen den Resource API Explorer-Vorgängen.

Um mehrere Aktionen in einer einzelnen Anweisung anzugeben, trennen Sie sie durch Beistriche, wie im folgenden Beispiel gezeigt.

"Action": [ "resource-explorer-2:action1", "resource-explorer-2:action2" ]

Sie können mehrere Aktionen mithilfe von Platzhalterzeichen (*) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:

"Action": "resource-explorer-2:Describe*"

Eine Liste der Resource Explorer-Aktionen finden Sie unter Aktionen Definiert von AWS Ressourcen Explorer in der AWS Service Authorization Reference.

Ressourcen

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Resource JSON Richtlinienelement gibt das Objekt oder die Objekte an, für die die Aktion gilt. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Es hat sich bewährt, eine Ressource mit ihrem Amazon-Ressourcennamen (ARN) anzugeben. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

"Resource": "*"

Anzeigen

Der primäre Resource Explorer-Ressourcentyp ist die Ansicht.

Die Ressource Resource Explorer-Ansicht hat das folgende ARN Format.

arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}

Das Resource ARN Explorer-Format wird im folgenden Beispiel gezeigt.

arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
Anmerkung

Das ARN Feld für eine Ansicht enthält am Ende eine eindeutige Kennung, um sicherzustellen, dass jede Ansicht einzigartig ist. Dadurch wird sichergestellt, dass eine IAM Richtlinie, die Zugriff auf eine alte, gelöschte Ansicht gewährt hat, nicht dazu verwendet werden kann, versehentlich Zugriff auf eine neue Ansicht zu gewähren, die zufällig denselben Namen wie die alte Ansicht hat. Jede neue Ansicht erhält am Ende eine neue, eindeutige ID, um sicherzustellen, dass ARNs sie niemals wiederverwendet werden.

Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs).

Sie verwenden IAM identitätsbasierte Richtlinien, die den IAM Prinzipalen zugewiesen sind, und geben die Ansicht als. Resource Auf diese Weise können Sie einer Gruppe von Prinzipalen Suchzugriff über eine Ansicht und einer anderen Gruppe von Prinzipalen Zugriff über eine völlig andere Ansicht gewähren.

Um beispielsweise einer einzelnen Ansicht, die ProductionResourcesView in einer IAM Richtlinienerklärung genannt wird, die Erlaubnis zu erteilen, rufen Sie zunächst den Amazon-Ressourcennamen (ARN) der Ansicht ab. Sie können die Seite „Ansichten“ in der Konsole verwenden, um die Details einer Ansicht anzuzeigen, oder den ListViews Vorgang aufrufen, um die gewünschte Ansicht vollständig ARN abzurufen. Fügen Sie es dann in eine Richtlinienerklärung ein, wie im folgenden Beispiel gezeigt, die die Erlaubnis erteilt, die Definition nur einer Ansicht zu ändern.

"Effect": "Allow", "Action": "UpdateView", "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"

Um die Aktionen für alle Ansichten zuzulassen, die zu einem bestimmten Konto gehören, verwenden Sie das Platzhalterzeichen (*) im entsprechenden Teil von. ARN Das folgende Beispiel gewährt Suchberechtigungen für alle Ansichten in einem angegebenen AWS-Region AND-Konto.

"Effect": "Allow", "Action": "Search", "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"

Einige Resource Explorer-AktionenCreateView, z. B., werden nicht für eine bestimmte Ressource ausgeführt, weil die Ressource, wie im folgenden Beispiel, noch nicht existiert. In solchen Fällen müssen Sie das Platzhalterzeichen (*) für die gesamte Ressource ARN verwenden.

"Effect": "Allow", "Action": "resource-explorer-2:CreateView" "Resource": "*"

Wenn Sie einen Pfad angeben, der mit einem Platzhalterzeichen endet, können Sie den CreateView Vorgang darauf beschränken, Ansichten zu erstellen, die nur den genehmigten Pfad enthalten. Das folgende Beispiel für eine Richtlinie zeigt, wie Sie es dem Prinzipal ermöglichen, Ansichten nur im Pfad view/ProductionViews/ zu erstellen.

"Effect": "Allow", "Action": "resource-explorer-2:CreateView" "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""

Index

Ein weiterer Ressourcentyp, mit dem Sie den Zugriff auf die Resource Explorer-Funktionen steuern können, ist der Index.

Die primäre Art, mit dem Index zu interagieren, besteht darin, den Resource Explorer in einer zu aktivieren, AWS-Region indem Sie einen Index in dieser Region erstellen. Danach erledigen Sie fast alles andere, indem Sie mit der Ansicht interagieren.

Mit dem Index können Sie unter anderem steuern, wer in jeder Region Ansichten erstellen kann.

Anmerkung

Nachdem Sie eine Ansicht erstellt haben, werden alle anderen Ansichtsaktionen nur für die ARN Ansicht und nicht für den Index IAM autorisiert.

Der Index enthält eine ARN, auf die Sie in einer Berechtigungsrichtlinie verweisen können. Ein Resource Explorer-Index ARN hat das folgende Format.

arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}

Sehen Sie sich das folgende Beispiel für einen Resource Explorer-Index anARN.

arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222

Bei einigen Resource Explorer-Aktionen wird die Authentifizierung anhand mehrerer Ressourcentypen überprüft. Der CreateViewVorgang autorisiert beispielsweise sowohl für den Index als auch für die Ansicht, so wie es nach ARN der Erstellung durch Resource Explorer der Fall sein wird. ARN Um Administratoren die Berechtigung zur Verwaltung des Resource Explorer-Dienstes "Resource": "*" zu erteilen, können Sie damit Aktionen für jede Ressource, jeden Index oder jede Ansicht autorisieren.

Alternativ können Sie einen Prinzipal so einschränken, dass er nur mit bestimmten Resource Explorer-Ressourcen arbeiten kann. Um beispielsweise Aktionen nur auf Resource Explorer-Ressourcen in einer bestimmten Region zu beschränken, können Sie eine ARN Vorlage hinzufügen, die sowohl dem Index als auch der Ansicht entspricht, aber nur eine einzige Region aufruft. Im folgenden Beispiel ARN entspricht der beiden Indizes oder Ansichten nur in der us-west-2 Region des angegebenen Kontos. Geben Sie die Region im dritten Feld von anARN, verwenden Sie jedoch im letzten Feld ein Platzhalterzeichen (*), um einem beliebigen Ressourcentyp zu entsprechen.

"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*

Weitere Informationen finden Sie unter Resources Defined by AWS Ressourcen Explorer in der AWS Service Authorization Reference. Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Definierte Aktionen von AWS Ressourcen Explorer.

Bedingungsschlüssel

Resource Explorer stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.

Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

Eine Liste der Bedingungsschlüssel, die Sie mit Resource Explorer verwenden können, finden Sie unter Bedingungsschlüssel für AWS Ressourcen Explorer in der AWS Service Authorization Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Definierte Aktionen von AWS Ressourcen Explorer.

Beispiele

Beispiele für identitätsbasierte Richtlinien von Resource Explorer finden Sie unter. AWS Ressourcen ExplorerBeispiele für identitätsbasierte -Richtlinien

Autorisierung auf der Grundlage von Resource Explorer-Tags

Sie können Tags an Resource Explorer-Ansichten anhängen oder Tags in einer Anfrage an Resource Explorer übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel resource-explorer-2:ResourceTag/key-name, aws:RequestTag/key-name, oder Bedingung aws:TagKeys verwenden. Weitere Informationen zum Taggen von Resource Explorer-Ressourcen finden Sie unterHinzufügen von Markern zu Ansichten zu Ansichten hinzu. Informationen zur Verwendung der Tag-basierten Autorisierung im Resource Explorer finden Sie unter. Mit Tag-basierter Autorisierung

Rollen im Resource Explorer IAM

Bei einer IAMRolle handelt es sich um einen Prinzipal innerhalb von Ihnen AWS-Konto , der über bestimmte Berechtigungen verfügt.

Verwenden temporärer Anmeldeinformationen mit Resource Explorer

Sie können temporäre Anmeldeinformationen verwenden, um sich bei einem Verbund anzumelden, eine IAM Rolle zu übernehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS Security Token Service (AWS STS) API -Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

Resource Explorer unterstützt die Verwendung temporärer Anmeldeinformationen.

Service-verknüpfte Rollen

Mit Diensten verknüpfte Rollen ermöglichen AWS-Services den Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Resource Explorer verwendet dienstverknüpfte Rollen, um seine Arbeit auszuführen. Einzelheiten zu dienstbezogenen Rollen in Resource Explorer finden Sie unter. Verwenden von serviceverknüpften Rollen für Resource Explorer