Beispiele für identitätsbasierte Richtlinien für AWS Service Catalog - AWS Service Catalog
Konsolenzugriff für EndbenutzerProduktzugriff für EndbenutzerBeispielrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für AWS Service Catalog

Konsolenzugriff für Endbenutzer

Die Richtlinien AWSServiceCatalogEndUserFullAccess und AWSServiceCatalogEndUserReadOnlyAccess gewähren den Zugriff auf die AWS Service Catalog -Endbenutzerkonsolenansicht. Wenn ein Benutzer, der über eine dieser Richtlinien verfügt AWS Management Console, AWS Service Catalog in der Ansicht der Endbenutzer-Konsole die Produkte auswählt, zu deren Start er berechtigt ist.

Bevor Endbenutzer ein Produkt, auf das Sie Zugriff gewähren, erfolgreich starten können, müssen Sie ihnen zusätzliche IAM-Berechtigungen gewähren, damit sie jede der zugrunde liegenden AWS Ressourcen in der AWS CloudFormation Produktvorlage verwenden können. AWS Service Catalog Wenn eine Produktvorlage beispielsweise Amazon Relational Database Service (Amazon RDS) enthält, müssen Sie den Benutzern Amazon RDS-Berechtigungen zum Starten des Produkts gewähren.

Weitere Informationen darüber, wie Sie Endbenutzern ermöglichen, Produkte auf den Markt zu bringen und gleichzeitig die geringsten Zugriffsberechtigungen für Ressourcen durchzusetzen, finden Sie unter. AWS AWS Service Catalog Einschränkungen verwenden

Wenn Sie die Richtlinie AWSServiceCatalogEndUserReadOnlyAccess anwenden, verfügen Ihre Benutzer zwar über Zugriff auf die Endbenutzerkonsolenansicht, nicht jedoch über die Berechtigungen, die zum Starten von Produkten und zum Verwalten von bereitgestellten Produkten erforderlich sind. Sie können diese Berechtigungen mithilfe von IAM direkt einem Endbenutzer gewähren. Wenn Sie jedoch den Zugriff von Endbenutzern auf AWS Ressourcen einschränken möchten, sollten Sie die Richtlinie einer Startrolle zuordnen. Anschließend wenden Sie die Startrolle auf eine Startbeschränkung für das Produkt an. AWS Service Catalog Weitere Informationen zum Anwenden einer Startrolle und zu Startrolleneinschränkungen sowie ein Startrollenbeispiel finden Sie unter AWS Service Catalog Einschränkungen beim Start.

Anmerkung

Wenn Sie Benutzern IAM-Berechtigungen für AWS Service Catalog Administratoren gewähren, wird stattdessen die Ansicht der Administratorkonsole angezeigt. Gewähren Sie diese Berechtigungen Endbenutzern nur, wenn sie Zugriff auf die Administratorkonsolenansicht haben sollen.

Produktzugriff für Endbenutzer

Bevor Endbenutzer ein Produkt verwenden können, auf das Sie Zugriff gewähren, müssen Sie ihnen zusätzliche IAM-Berechtigungen gewähren, damit sie jede der zugrunde liegenden AWS Ressourcen in der AWS CloudFormation Vorlage eines Produkts verwenden können. Wenn eine Produktvorlage beispielsweise Amazon Relational Database Service (Amazon RDS) enthält, müssen Sie den Benutzern Amazon RDS-Berechtigungen zum Starten des Produkts gewähren.

Wenn Sie die Richtlinie AWSServiceCatalogEndUserReadOnlyAccess anwenden, verfügen Ihre Benutzer zwar über Zugriff auf die Endbenutzerkonsolenansicht, nicht jedoch über die Berechtigungen, die zum Starten von Produkten und zum Verwalten von bereitgestellten Produkten erforderlich sind. Sie können diese Berechtigungen direkt einem Endbenutzer in IAM gewähren. Wenn Sie jedoch den Zugriff von Endbenutzern auf AWS Ressourcen einschränken möchten, sollten Sie die Richtlinie an eine Startrolle anhängen. Anschließend wenden Sie die Startrolle auf eine Startbeschränkung für das Produkt an. AWS Service Catalog Weitere Informationen zum Anwenden einer Startrolle und zu Startrolleneinschränkungen sowie ein Startrollenbeispiel finden Sie unter AWS Service Catalog Einschränkungen beim Start.

Beispielrichtlinien für die Verwaltung bereitgestellter Produkte

Sie können Ihre benutzerdefinierte Richtlinien erstellen, um die Sicherheitsanforderungen Ihrer Organisation zu erfüllen. Die folgenden Beispiele beschreiben, wie Sie die Zugriffsebene für jede Aktion mit Support auf Benutzer-, Rollen- und Kontoebene anpassen. Sie können Benutzern den Zugriff zum Anzeigen, Aktualisieren, Beenden und Verwalten von bereitgestellten Produkten gewähren, die nur von dem entsprechenden Benutzer oder auch von anderen im Rahmen ihrer Rolle oder des Kontos erstellt wurden, bei dem sie angemeldet sind. Dieser Zugriff ist hierarchisch: Wenn Sie Zugriff auf Kontoebene gewähren, erhalten Sie auch Zugriff auf Rollen- und Benutzerebene, während das Hinzufügen von Zugriff auf Rollenebene ebenfalls Zugriff auf Benutzerebene gewährt, jedoch keinen Zugriff auf Kontoebene. Sie können diese in der Richtlinien-JSON unter Verwendung eines Condition-Blocks als accountLevel, roleLevel oder userLevel angeben.

Diese Beispiele gelten auch für Zugriffsebenen für AWS Service Catalog API-Schreiboperationen: UpdateProvisionedProduct und und TerminateProvisionedProduct und Lesevorgänge: DescribeRecordScanProvisionedProducts, undListRecordHistory. Die API-Operationen ScanProvisionedProducts und ListRecordHistory verwenden AccessLevelFilterKey als Eingabe. Die Werte dieses Schlüssels entsprechen den hier beschriebenen Condition-Blockebenen (accountLevel entspricht einem AccessLevelFilterKey-Wert von „Account“, roleLevel entspricht „Role“, und userLevel entspricht „User“). Weitere Informationen finden Sie im Service Catalog Developer Guide.

Vollständiger Administratorzugriff auf bereitgestellte Produkte

Mit der folgenden Richtlinie wird vollständiger Lese- und Schreibzugriff auf bereitgestellte Produkte und Datensätze im Katalog auf Kontoebene erlaubt. 

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*",
         "Condition": {
            "StringEquals": {
               "servicecatalog:accountLevel": "self"
            }
         }
      }
   ]
}

Diese Richtlinie entspricht der Funktion der folgenden Richtlinie:

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*"
      }
   ]
}

Das Nichtangeben eines Condition Blocks in einer Richtlinie für AWS Service Catalog wird genauso behandelt wie die Angabe eines "servicecatalog:accountLevel" Zugriffs. Beachten Sie, dass der accountLevel-Zugriff roleLevel- und userLevel-Zugriff umfasst.

Zugriff durch Endbenutzer auf bereitgestellte Produkte

Mit der folgenden Richtlinie wird der Zugriff auf Lese- und Schreibvorgänge auf die bereitgestellten Produkte oder verknüpfte Datensätze beschränkt, die der aktuelle Benutzer erstellt hat.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }

Teilweiser Administratorzugriff auf bereitgestellte Produkte

Wenn die beiden unten genannten Richtlinie auf denselben Benutzer angewendet werden, handelt es sich um einen eingeschränkten Administratorzugriff, der vollständigen Lesezugriff und beschränkten Schreibzugriff umfasst. Das bedeutet, dass der Benutzer zwar alle bereitgestellten Produkte oder zugehörigen Datensätze innerhalb des Katalogkontos sehen kann, jedoch keine Aktionen für bereitgestellte Produkte oder einen Datensätze ausführen kann, die nicht im Besitz dieses Benutzers sind.

Die erste Richtlinie erlaubt den Benutzerzugriff auf Schreibvorgänge für die bereitgestellten Produkte, die vom aktuellen Benutzer erstellt wurden, aber nicht für bereitgestellte Produkte, die von anderen Benutzern erstellt wurden. Die zweite Richtlinie fügt vollständigen Zugriff auf Lesevorgänge für bereitgestellte Produkte, die von allen (Benutzer, Rolle oder Konto) erstellt wurden, hinzu. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ScanProvisionedProducts"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:accountLevel": "self"
                }
            }
        }
    ]
 }