Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispielrichtlinien zur Steuerung des Zugriffs auf die Amazon-EC2-Konsole
Sie können IAM-Richtlinien verwenden, um Benutzern die für die Arbeit mit Amazon EC2 erforderlichen Berechtigungen zu gewähren. step-by-stepAnweisungen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Für die Konsole werden zusätzliche API-Aktionen für bestimmte Features verwendet, was bei diesen Richtlinien zu unerwarteten Ergebnissen führen kann. Wenn ein Benutzer zum Beispiel über die Berechtigung verfügt, nur die `DescribeVolumes`-API-Aktion zu verwenden, schlägt sein Versuch fehl, Volumes in der Konsole anzusehen. In diesem Abschnitt werden Richtlinien vorgestellt, mit denen Benutzer mit bestimmten Teilen der Konsole arbeiten können. Weitere Informationen zum Erstellen von Richtlinien für die Amazon EC2 EC2-Konsole finden Sie im folgenden AWS Sicherheits-Blogbeitrag: [Benutzern die Erlaubnis erteilen, in der Amazon EC2 EC2-Konsole zu arbeiten](https://aws.amazon.com/blogs/security/granting-users-permission-to-work-in-the-amazon-ec2-console/).
Die folgenden Beispiele zeigen Richtlinienanweisungen, die Sie verwenden können, um Benutzern die Berechtigung zur Nutzung von Amazon EC2 zu gewähren. Ersetzen Sie jeden *user input placeholder* durch Ihre Informationen. Diese Richtlinien sind auf Anforderungen ausgelegt, die über die AWS-Managementkonsole erfolgen. Die Amazon-EC2-Konsole ruft möglicherweise mehrere API-Aktionen auf, um eine einzelne Ressource anzuzeigen. Das ist möglicherweise nicht offensichtlich, bis der Benutzer eine Aufgabe versucht und die Konsole einen Fehler anzeigt. Weitere Informationen finden Sie im folgenden AWS Sicherheits-Blogbeitrag: [Benutzern die Erlaubnis erteilen, in der Amazon EC2 EC2-Konsole zu arbeiten](https://aws.amazon.com/blogs/security/granting-users-permission-to-work-in-the-amazon-ec2-console/).
**Topics**
+ [Schreibgeschützter Zugriff](#ex-read-only)
+ [Verwenden des EC2 Launch Instance Wizard](#ex-launch-wizard)
+ [Arbeiten mit Sicherheitsgruppen](#ex-security-groups)
+ [Arbeiten mit Elastic-IP-Adressen](#ex-eip)
+ [Arbeiten mit Reserved Instances](#ex-reservedinstances)
Verwenden Sie einen Service wie AWS CloudTrail, um einfacher herauszufinden, welche API-Aktionen zum Ausführen von Aufgaben in der Konsole erforderlich sind. Wenn Ihre Richtlinie keine Berechtigung zum Erstellen oder Ändern einer bestimmten Ressource erteilt, zeigt die Konsole eine codierte Meldung mit Diagnoseinformationen an. Sie können die Nachricht mit der [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)API-Aktion für AWS STS oder mit dem [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)Befehl in der dekodieren. AWS CLI
## Beispiel: schreibgeschützter Zugriff
Damit Benutzer die Berechtigung haben, alle Ressourcen in der Amazon EC2-Konsole anzusehen, können Sie die gleiche Richtlinie wie im folgenden Beispiel verwenden: [Beispiel: schreibgeschützter Zugriff](ExamplePolicies_EC2.md#iam-example-read-only). Die Benutzer können keine Aktionen für diese Ressourcen ausführen und keine neuen Ressourcen erstellen, sofern ihnen keine andere Anweisung die Berechtigung dazu gewährt.
**Instanzen und AMIs Schnappschüsse anzeigen**
Alternativ haben Sie die Möglichkeit, schreibgeschützten Zugriff auf eine Untermenge von Ressourcen bereitzustellen. Ersetzen Sie hierfür den \$1-Platzhalter in der `ec2:Describe`-API-Aktion mit konkreten `ec2:Describe`-Aktionen für jede Ressource. Die folgende Richtlinie erlaubt Benutzern, alle Instances, AMIs und Snapshots in der Amazon EC2-Konsole anzusehen. Die `ec2:DescribeTags` Aktion ermöglicht es Benutzern, öffentliche AMIs Inhalte zu sehen. Die Konsole benötigt die Tagging-Informationen AMIs, um öffentlich angezeigt zu werden. Sie können diese Aktion jedoch entfernen, damit Benutzer nur private AMIs Inhalte anzeigen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeTags",
"ec2:DescribeSnapshots"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
Die Amazon EC2-`ec2:Describe*`-API-Aktionen unterstützen keine Berechtigungen auf Ressourcenebene. Es ist daher nicht möglich, zu steuern, welche einzelnen Ressourcen die Benutzer in der Konsole ansehen können. Aus diesem Grund ist in der obigen Anweisung der \$1-Platzhalter im `Resource`-Element erforderlich. Weitere Informationen dazu, welche ARNs Sie mit welchen Amazon EC2-API-Aktionen verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html).
**Instanzen und Metriken CloudWatch anzeigen**
Die folgende Richtlinie ermöglicht es Benutzern, Instances in der Amazon EC2 EC2-Konsole sowie CloudWatch Alarme und Metriken auf der Registerkarte **Überwachung** der Seite **Instances** anzuzeigen. Die Amazon EC2 EC2-Konsole verwendet die CloudWatch API, um die Alarme und Metriken anzuzeigen. Daher müssen Sie Benutzern die Erlaubnis erteilen`cloudwatch:DescribeAlarms`, die,, `cloudwatch:DescribeAlarmsForMetric` `cloudwatch:ListMetrics``cloudwatch:GetMetricStatistics`, und `cloudwatch:GetMetricData` Aktionen zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## Beispiel: Verwenden des EC2 Launch Instance Wizard
Der Launch Instance Wizard von Amazon EC2 ist eine Ansicht mit Optionen zum Konfigurieren und Starten einer Instance. Ihre Richtlinie muss die Berechtigung für die API-Aktionen enthalten, die den Benutzern ermöglichen, mit den Optionen des Assistenten zu arbeiten. Fehlt eine solche Berechtigung in der Richtlinie, werden einige Elemente im Assistenten nicht ordnungsgemäß geladen und die Benutzer können den Start nicht abschließen.
**Grundlegender Zugriff auf den Launch Instance Wizard**
Für einen erfolgreich abgeschlossenen Start müssen Sie den Benutzern die Berechtigung erteilen, die `ec2:RunInstances`-API-Aktion und mindestens die folgenden API-Aktionen zu verwenden:
+ `ec2:DescribeImages`: Zum Ansehen und Auswählen eines AMI.
+ `ec2:DescribeInstanceTypes`: Zum Anzeigen und Auswählen eines Instance-Typs.
+ `ec2:DescribeVpcs`: Zum Anzeigen der verfügbaren Versionen von Ruby.
+ `ec2:DescribeSubnets`: Zum Ansehen aller verfügbaren Subnetze für die ausgewählte VPC.
+ `ec2:DescribeSecurityGroups` oder `ec2:CreateSecurityGroup`: Zum Anzeigen und Auswählen einer vorhandenen Sicherheitsgruppe oder zum Erstellen einer neuen Sicherheitsgruppe.
+ `ec2:DescribeKeyPairs` oder `ec2:CreateKeyPair`: Um ein vorhandenes Schlüsselpaar auszuwählen oder ein neues Schlüsselpaar zu erstellen.
+ `ec2:AuthorizeSecurityGroupIngress`: Zum Hinzufügen von Regeln für eingehenden Datenverkehr.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeInstanceTypes",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateKeyPair"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "*"
}
]
}
```
------
Sie können den Benutzern mehr Optionen zur Verfügung stellen, indem Sie der Richtlinie weitere API-Aktionen hinzufügen, zum Beispiel:
+ `ec2:DescribeAvailabilityZones`: Zum Anzeigen und Auswählen einer spezifischen Availability Zone.
+ `ec2:DescribeNetworkInterfaces`:Zum Ansehen und Auswählen von vorhandenen Netzwerkschnittstellen für das ausgewählte Subnetz.
+ Zum Hinzufügen von Regeln für ausgehenden Datenverkehr zu VPC-Sicherheitsgruppen müssen die Benutzer für die `ec2:AuthorizeSecurityGroupEgress`-API-Aktion berechtigt sein. Zum Ändern oder Löschen von vorhandenen Regeln muss den Benutzern die Berechtigung erteilt werden, die relevante `ec2:RevokeSecurityGroup*`-API-Aktion zu verwenden.
+ `ec2:CreateTags`: Zum Markieren der Ressourcen, die von `RunInstances` erstellt werden. Weitere Informationen finden Sie unter [Berechtigung zum Markieren von Amazon-EC2-Ressourcen während der Erstellung erteilen](supported-iam-actions-tagging.md). Wenn die Benutzer keine Berechtigung zur Verwendung dieser Aktion haben und auf der Markierungsseite des Launch Instance Wizard versuchen, Tags anzuwenden, schlägt der Start fehl.
**Wichtig**
Das Angeben eines **Namens** beim Starten einer Instance erstellt ein Tag und erfordert die Aktion `ec2:CreateTags`. Seien Sie vorsichtig, wenn Sie Benutzern die Erlaubnis zur Verwendung der Aktion `ec2:CreateTags` erteilen, da dies Ihre Möglichkeit einschränkt, den `aws:ResourceTag`-Bedingungsschlüssel zu nutzen, um die Verwendung anderer Ressourcen einzuschränken. Wenn Sie Benutzern die Berechtigung zur Verwendung der Aktion `ec2:CreateTags` erteilen, können sie den Tag (Markierung) einer Ressource ändern, um diese Einschränkungen zu umgehen. Weitere Informationen finden Sie unter [Den Zugriff mithilfe des attributbasierten Zugriffs steuern](iam-policies-for-amazon-ec2.md#control-access-with-tags).
+ Um Systems-Manager-Parameter bei der Auswahl eines AMIs zu verwenden, müssen Sie `ssm:DescribeParameters` und `ssm:GetParameters` zu Ihrer Richtlinie hinzufügen. `ssm:DescribeParameters` gewährt Ihren Benutzern die Berechtigung, Systems-Manager-Parameter anzuzeigen und auszuwählen. `ssm:GetParameters` gewährt Ihren Benutzern die Berechtigung, die Werte der Systems-Manager-Parameter abzurufen. Sie können auch den Zugriff auf bestimmte Systems Manager-Parameter beschränken. Weitere Informationen finden Sie unter **Zugriff auf bestimmte Systems Manager-Parameter** weiter unten in diesem Abschnitt.
Die `Describe*`-API-Aktionen von Amazon EC2 unterstützen derzeit keine Berechtigungen auf Ressourcenebene. Es ist daher nicht möglich, einzuschränken, welche einzelnen Ressourcen die Benutzer im Launch Instance Wizard ansehen können. Sie können allerdings Berechtigungen auf Ressourcenebene auf die `ec2:RunInstances`-API-Aktion anwenden, um die Ressourcen zu begrenzen, die die Benutzer beim Starten einer Instance nutzen dürfen. Der Start schlägt fehl, wenn die Benutzer Optionen auswählen, für deren Verwendung sie nicht autorisiert sind.
**Zugriff auf einen bestimmten Instance-Typ, ein Subnetz und eine Region einschränken**
Die folgende Richtlinie ermöglicht es Benutzern, `t2.micro` Instances zu starten, die AMIs Eigentum von Amazon sind, und zwar nur in einem bestimmten Subnetz (`subnet-1a2b3c4d`). Benutzer können Starts nur in der angegebenen Region durchführen. Wenn Benutzer im Launch Instance Wizard eine andere Region, einen anderen Instance-Typ, ein anderes AMI oder ein anderes Subnetz auswählen, schlägt der Start fehl.
In der ersten Anweisung wird den Benutzern die Berechtigung erteilt, die Optionen im Launch Instance Wizard anzuzeigen oder neue zu erstellen, wie im Beispiel oben gezeigt. Dank der zweiten Anweisung haben die Benutzer die Berechtigung, die zum Starten einer Instance in einer VPC erforderlichen Ressourcen – Netzwerkschnittstelle, Volume, Schlüsselpaar, Sicherheitsgruppe und Subnetz – für die `ec2:RunInstances`-Aktion zu verwenden. Weitere Informationen zur Verwendung der `ec2:RunInstances`-Aktion finden Sie unter [Instanzen starten (RunInstances)](ExamplePolicies_EC2.md#iam-example-runinstances). Mit der dritten und vierten Anweisung wird den Benutzern die Berechtigung gewährt, die Instance- bzw. AMI-Ressourcen zu nutzen. Dabei muss allerdings die Instance eine `t2.micro`-Instance und Amazon oder bestimmte vertrauenswürdige und verifizierte Partner der Eigentümer des AMI sein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeInstanceTypes",
"ec2:DescribeKeyPairs",
"ec2:CreateKeyPair",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets", "ec2:DescribeSecurityGroups",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action":"ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-2:111122223333:network-interface/*",
"arn:aws:ec2:us-east-2:111122223333:volume/*",
"arn:aws:ec2:us-east-2:111122223333:key-pair/*",
"arn:aws:ec2:us-east-2:111122223333:security-group/*",
"arn:aws:ec2:us-east-2:111122223333:subnet/subnet-1a2b3c4d"
]
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-2:111122223333:instance/*"
],
"Condition": {
"StringEquals": {
"ec2:InstanceType": "t2.micro"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-2::image/ami-*"
],
"Condition": {
"StringEquals": {
"ec2:Owner": "amazon"
}
}
}
]
}
```
------
**Zugriff auf bestimmte Systems Manager-Parameter einschränken**
Die folgende Richtlinie gewährt Zugriff auf die Verwendung von Systems Manager-Parametern mit einem bestimmten Namen.
Die erste Anweisung gewährt Benutzern die Erlaubnis, Systems Manager-Parameter anzuzeigen, wenn sie im Launch Instance Wizard ein AMI auswählen. Die zweite Anweisung gibt Benutzern die Berechtigung, nur Parameter zu verwenden, die mit `prod-*` bezeichnet sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:us-east-2:123456123456:parameter/prod-*"
}
]
}
```
------
## Beispiel: Arbeiten mit Sicherheitsgruppen
**Anzeigen von Sicherheitsgruppen sowie Hinzufügen und Entfernen von Regeln**
Die folgende Richtlinie erteilt Benutzern die Berechtigung, Sicherheitsgruppen in der Amazon EC2-Konsole anzuzeigen, Regeln für ein- und ausgehenden Datenverkehr hinzuzufügen und zu entfernen und Regelbeschreibungen für vorhandene Sicherheitsgruppen, die über das `Department=Test`-Tag verfügen, aufzuführen und zu ändern.
In der ersten Anweisung erlaubt die `ec2:DescribeTags`-Aktion den Benutzern, Tags in der Konsole anzusehen. Damit wird es für die Benutzer einfacher, die Sicherheitsgruppen zu bestimmen, die sie bearbeiten dürfen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress"
],
"Resource": [
"arn:aws:ec2:us-east-2:111122223333:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": [
"arn:aws:ec2:us-east-2:111122223333:security-group-rule/*"
]
}
]}
```
------
**Arbeiten mit dem Dialogfeld Create Security Group (Sicherheitsgruppe erstellen)**
Sie können eine Richtlinie erstellen, die es den Benutzern ermöglicht, mit dem Dialogfeld **Create Security Group** in der Amazon EC2-Konsole zu arbeiten. Damit die Benutzer dieses Dialogfeld verwenden können, müssen sie mindestens über Berechtigungen für die folgenden API-Aktionen verfügen:
+ `ec2:CreateSecurityGroup`: Zum Erstellen einer neuen Sicherheitsgruppe.
+ `ec2:DescribeVpcs`: Um eine Liste der VPCs in der **VPC-Liste** vorhandenen Objekte anzuzeigen.
Mit diesen Berechtigungen können die Benutzer eine neue Sicherheitsgruppe erstellen, dieser aber keine Regeln hinzufügen. Für die Arbeit mit Regeln im Dialogfeld **Create Security Group** fügen Sie der Richtlinie die folgenden API-Aktionen hinzu:
+ `ec2:AuthorizeSecurityGroupIngress`: Zum Hinzufügen von Regeln für eingehenden Datenverkehr.
+ `ec2:AuthorizeSecurityGroupEgress`: Zum Hinzufügen von Regeln für ausgehenden Datenverkehr zu VPC-Sicherheitsgruppen.
+ `ec2:RevokeSecurityGroupIngress`: Zum Ändern oder Löschen vorhandener eingehender Regeln. Diese Aktion ist hilfreich, damit die Benutzer in der Konsole das Feature **Copy to new** verwenden können. Mit diesem Feature wird das Dialogfeld **Create Security Group** geöffnet und mit den gleichen Regeln vorausgefüllt, die in der ausgewählten vorhandenen Sicherheitsgruppe enthalten sind.
+ `ec2:RevokeSecurityGroupEgress`: Zum Ändern oder Löschen von Regeln für ausgehenden Datenverkehr für VPC-Sicherheitsgruppen. Dies ist nützlich, um Benutzern zu ermöglichen, die ausgehende Standardregel zu ändern oder zu löschen, die jeden ausgehenden Datenverkehr erlaubt.
+ `ec2:DeleteSecurityGroup`: Für den Fall, dass ungültige Regeln nicht gespeichert werden können. Die Konsole erstellt zuerst die Sicherheitsgruppe und fügt dann die angegebenen Regeln hinzu. Wenn die Regeln ungültig sind, schlägt die Aktion fehl und die Konsole versucht, die Sicherheitsgruppe zu löschen. Das Dialogfeld **Create Security Group** bleibt geöffnet, sodass die Benutzer die unwirksame Regel korrigieren und erneut versuchen können, die Sicherheitsgruppe zu erstellen. Die API-Aktion ist nicht erforderlich. Wenn aber ein Benutzer nicht über die Berechtigung zu ihrer Verwendung verfügt und versucht, eine Sicherheitsgruppe mit ungültigen Regeln zu erstellen, wird die Sicherheitsgruppe ohne jede Regel erstellt. Der Benutzer muss die Regeln danach hinzufügen.
+ `ec2:UpdateSecurityGroupRuleDescriptionsIngress`: Zum Hinzufügen oder Aktualisieren von Beschreibungen von Sicherheitsgruppenregeln für eingehenden Datenverkehr.
+ `ec2:UpdateSecurityGroupRuleDescriptionsEgress`: Zum Hinzufügen oder Aktualisieren von Beschreibungen von Sicherheitsgruppenregeln für ausgehenden Datenverkehr.
+ `ec2:ModifySecurityGroupRules`: Zum Modifizieren von Sicherheitsgruppenregeln.
+ `ec2:DescribeSecurityGroupRules`: Zum Auflisten von Sicherheitsgruppenregeln.
Die folgende Richtlinie erteilt Benutzern die Berechtigung, das Dialogfeld **Create Security Group** zu verwenden und für Sicherheitsgruppen, die mit einer bestimmten VPC (`vpc-1a2b3c4d`) verknüpft sind, Regeln für ein- und ausgehenden Datenverkehr zu erstellen. Benutzer können Sicherheitsgruppen für eine VPC erstellen, ihnen jedoch keine Regeln hinzufügen. Ebenso können die Benutzer vorhandenen Sicherheitsgruppen, die nicht mit der VPC verknüpft sind, keine Regeln hinzufüge `vpc-1a2b3c4d`. Den Benutzern wird außerdem die Berechtigung erteilt, alle Sicherheitsgruppen in der Konsole anzusehen. Damit wird es für die Benutzer einfacher, die Sicherheitsgruppen zu bestimmen, denen sie Regeln für eingehenden Datenverkehr hinzufügen können. Die Richtlinie gewährt den Benutzern zudem die Berechtigung zum Löschen von Sicherheitsgruppen, die mit der VPC `vpc-1a2b3c4d` verknüpft sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:CreateSecurityGroup",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress"
],
"Resource": "arn:aws:ec2:us-east-2:111122223333:security-group/*",
"Condition":{
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-2:111122223333:vpc/vpc-1a2b3c4d"
}
}
}
]
}
```
------
## Beispiel: Arbeiten mit Elastic-IP-Adressen
Damit Benutzer Elastic IP-Adressen in der Amazon EC2-Konsole ansehen können, müssen Sie ihnen die Berechtigung zum Verwenden der `ec2:DescribeAddresses`-Aktion gewähren.
Sie können Benutzern die Arbeit mit Elastic IP-Adressen ermöglichen, indem Sie der Richtlinie folgende Aktionen hinzufügen.
+ `ec2:AllocateAddress`: Zum Zuweisen einer Elastic IP-Adresse.
+ `ec2:ReleaseAddress`: Zum Freigeben einer Elastic IP-Adresse.
+ `ec2:AssociateAddress`: Zum Zuordnen einer Elastic IP-Adresse zu einer Instance oder Netzwerkschnittstelle.
+ `ec2:DescribeNetworkInterfaces` und `ec2:DescribeInstances`: Zum Arbeiten mit der Seite **Associate address**. Auf der Seite werden die verfügbaren Instances oder Netzwerkschnittstellen angezeigt, denen Sie eine Elastic IP-Adresse zuordnen können.
+ `ec2:DisassociateAddress`: Zum Aufheben der Zuordnung einer Elastic IP-Adresse zu einer Instance oder Netzwerkschnittstelle.
Die Richtlinie unten erlaubt den Benutzern, Elastic IP-Adressen anzusehen, zuzuordnen und mit Instances zu verknüpfen. Die Benutzer können die Elastic IP-Adressen nicht freigeben, nicht mit Netzwerkschnittstellen verknüpfen und keine Verknüpfungen aufheben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAddresses",
"ec2:AllocateAddress",
"ec2:DescribeInstances",
"ec2:AssociateAddress"
],
"Resource": "*"
}
]
}
```
------
## Beispiel: Arbeiten mit Reserved Instances
Mit der folgenden Richtlinie können Benutzer Reserved Instances in Ihrem Konto anzeigen und ändern sowie neue Reserved Instances in der AWS-Managementkonsole erwerben.
Diese Richtlinie ermöglicht es Benutzern, alle Reserved Instances sowie On-Demand-Instances im Konto anzuzeigen. Für einzelne Reserved Instances können keine Berechtigungen auf Ressourcenebene erteilt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeReservedInstances",
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeReservedInstancesOfferings"
],
"Resource": "*"
}
]
}
```
------
Die `ec2:DescribeAvailabilityZones`-Aktion ist erforderlich, um sicherzustellen, dass die Amazon EC2-Konsole Informationen zu den Availability Zones anzeigen kann, in denen Sie Reserved Instances kaufen können. Die `ec2:DescribeInstances`-Aktion ist nicht erforderlich, sorgt aber dafür, dass der Benutzer die Instance im Konto sehen kann und Reservierungen kauft, die den richtigen Anforderungen entsprechen.
Wenn Sie den Benutzerzugriff begrenzen möchten, passen Sie die API-Aktionen an. Zum Beispiel hat der Benutzer nach dem Entfernen von `ec2:DescribeInstances` und `ec2:DescribeAvailabilityZones` schreibgeschützten Zugriff.