Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre IAM Identity Center-Ressourcen
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf die Ressourcen werden durch Berechtigungsrichtlinien geregelt. Um Zugriff zu gewähren, kann ein Kontoadministrator Berechtigungen für IAM-Identitäten (d. h. Benutzer, Gruppen und Rollen) hinzufügen. Einige Dienste (z. B. AWS Lambda) unterstützen auch das Hinzufügen von Berechtigungen zu Ressourcen.
Anmerkung
Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.
Themen
Ressourcen und Operationen von IAM Identity Center
In IAM Identity Center sind die primären Ressourcen Anwendungsinstanzen, Profile und Berechtigungssätze.
Grundlegendes zum Eigentum an Ressourcen
Ein Ressourcenbesitzer ist derjenige AWS-Konto , der eine Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist derjenige AWS-Konto der Hauptentität (das Konto, ein Benutzer oder eine IAM-Rolle), die die Anfrage authentifiziert, mit der die Ressource erstellt wird. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
-
Wenn der eine IAM Identity Center-Ressource Root-Benutzer des AWS-Kontos erstellt, z. B. eine Anwendungsinstanz oder einen Berechtigungssatz, sind Sie AWS-Konto der Eigentümer dieser Ressource.
-
Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von IAM Identity Center-Ressourcen gewähren, kann der Benutzer dann IAM Identity Center-Ressourcen erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Ressourcen.
-
Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von IAM Identity Center-Ressourcen erstellen, kann jeder, der diese Rolle übernehmen kann, IAM Identity Center-Ressourcen erstellen. Ihnen AWS-Konto, zu der die Rolle gehört, gehören die IAM Identity Center-Ressourcen.
Verwalten des Zugriffs auf Ressourcen
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
Anmerkung
In diesem Abschnitt wird die Verwendung von IAM im Kontext von IAM Identity Center beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.
An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. IAM Identity Center unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
Identitätsbasierte Richtlinien (IAM-Richtlinien)
Sie können IAM-Identitäten Berechtigungen hinzufügen. Sie können z. B. Folgendes tun:
-
Ordnen Sie einem Benutzer oder einer Gruppe in Ihrer Gruppe eine Berechtigungsrichtlinie zu AWS-Konto — Ein Kontoadministrator kann mithilfe einer Berechtigungsrichtlinie, die einem bestimmten Benutzer zugeordnet ist, diesem Benutzer Berechtigungen zum Hinzufügen einer IAM Identity Center-Ressource, z. B. einer neuen Anwendung, gewähren.
-
Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne List. Diese Aktionen zeigen Informationen über eine IAM Identity Center-Ressource an, z. B. eine Anwendungsinstanz oder einen Berechtigungssatz. Beachten Sie, dass das Platzhalterzeichen (*) im Resource Element angibt, dass die Aktionen für alle IAM Identity Center-Ressourcen zulässig sind, die dem Konto gehören.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" } ] }
Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit IAM Identity Center finden Sie unter. Beispiele für identitätsbasierte Richtlinien für IAM Identity Center Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.
Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. IAM Identity Center unterstützt keine ressourcenbasierten Richtlinien.
Spezifizierung von Richtlinienelementen: Aktionen, Auswirkungen, Ressourcen und Prinzipien
Für jede IAM Identity Center-Ressource (sieheRessourcen und Operationen von IAM Identity Center) definiert der Service eine Reihe von API-Vorgängen. Um Berechtigungen für diese API-Operationen zu gewähren, definiert IAM Identity Center eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Zur Durchführung einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
-
Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt.
-
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die Berechtigung gewährt dem Benutzer beispielsweise die
sso:DescribePermissionsPoliciesErlaubnis, den IAM IdentityDescribePermissionsPoliciesCenter-Vorgang auszuführen. -
Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
-
Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). IAM Identity Center unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.
Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, die erfüllt werden müssen, damit die Richtlinie in Kraft tritt. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Es gibt keine spezifischen Bedingungsschlüssel für IAM Identity Center. Es gibt jedoch AWS Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Schlüssel finden Sie unter Verfügbare globale Bedingungsschlüssel im IAM-Benutzerhandbuch.
