Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen
*Ressourcen* sind Objekte innerhalb eines Services. Zu den IAM-Ressourcen gehören Gruppen, Benutzer, Rollen und Richtlinien. Wenn Sie mit Root-Benutzer des AWS-Kontos Anmeldeinformationen angemeldet sind, gelten keine Einschränkungen bei der Verwaltung von IAM-Anmeldeinformationen oder IAM-Ressourcen. Allerdings müssen den IAM-Benutzern explizit Berechtigungen für die Verwaltung von Anmeldeinformationen oder IAM-Ressourcen erteilt werden. Sie können dies durch das Zuweisen einer identitätsbasierten Richtlinie zum Benutzer erledigen.
**Anmerkung**
Wenn wir in der gesamten AWS Dokumentation von einer IAM-Richtlinie sprechen, ohne eine der spezifischen Kategorien zu erwähnen, meinen wir damit eine identitätsbasierte, vom Kunden verwaltete Richtlinie. Details zu den Richtlinienkategorien finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).
## Berechtigungen für die Verwaltung von IAM-Identitäten
Die Berechtigungen, die für die Verwaltung von IAM-Gruppen, -Benutzern, -Rollen und -Anmeldeinformationen erforderlich sind, entsprechen in der Regel den API-Aktionen für die Aufgabe. Um z. B. IAM-Benutzer anzulegen, benötigen Sie die `iam:CreateUser`-Berechtigung, die der entsprechende API-Befehl hat: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Um einem IAM-Benutzer zu erlauben, andere IAM-Benutzer zu erstellen, können Sie diesem Benutzer zum Beispiel die folgende IAM-Richtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:CreateUser",
"Resource": "*"
}
}
```
------
In einer Richtlinie ist der Wert des Elements `Resource` von der Aktion abhängig und auf welche Ressourcen diese Aktion Einfluss nimmt. Im vorherigen Beispiel erteilt die Richtlinie dem Benutzer die Berechtigung, alle möglichen Benutzer zu erstellen (`*` ist ein Platzhalter, der mit allen Zeichenfolgen übereinstimmt). Im Gegensatz dazu verfügt eine Richtlinie, über die Benutzer nur ihre eigenen Zugriffsschlüssel ändern können (API-Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)), in der Regel über ein `Resource`-Element. In diesem Fall enthält der ARN eine Variable (`${aws:username}`), die sich, wie im folgenden Beispiel, in den Namen des aktuellen Benutzers auflöst:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListUsersForConsole",
"Effect": "Allow",
"Action": "iam:ListUsers",
"Resource": "arn:aws:iam::*:*"
},
{
"Sid": "ViewAndUpdateAccessKeys",
"Effect": "Allow",
"Action": [
"iam:UpdateAccessKey",
"iam:CreateAccessKey",
"iam:ListAccessKeys"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
Im vorherigen Beispiel ist `${aws:username}` eine Variable, die den Benutzernamen auf den aktuellen Benutzer auflöst. Weitere Informationen zu Richtlinienvariablen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](reference_policies_variables.md).
Mit einem Platzhalterzeichen (`*`) im Aktionsnamen können Sie oft das Erteilen von Berechtigungen für alle Aktionen einer bestimmten Aufgabe einfacher gestalten. Wenn Sie beispielsweise Benutzern die Berechtigung zur Durchführung aller IAM-Aktionen erteilen möchten, können Sie `iam:*` für die Aktion verwenden. Um den Benutzern zu erlauben, die Aktionen auszuführen, die sich nur auf die Berechtigung zur Durchführung von Zugriffsschlüsseln beziehen, können Sie `iam:*AccessKey*` im Element `Action` in einer Richtlinienanweisung verwenden. So erhält der Benutzer die Berechtigung zum Ausführen der Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html). (Wenn in future eine Aktion zu IAM hinzugefügt wird, deren Name "AccessKey" enthält, erhält der Benutzer durch die Verwendung von `iam:*AccessKey*` for das `Action` Element auch die Berechtigung für diese neue Aktion.) Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern ermöglicht, alle Aktionen auszuführen, die sich auf ihre eigenen Zugriffsschlüssel beziehen (`account-id`ersetzen Sie sie durch Ihre AWS-Konto ID):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*AccessKey*",
"Resource": "arn:aws:iam::111122223333:user/${aws:username}"
}
}
```
------
Für einige Aufgaben, wie z. B. das Löschen einer Gruppe, sind mehrere Aktionen erforderlich: Sie müssen zunächst die Benutzer aus der Gruppe entfernen, dann die Gruppenrichtlinien trennen oder löschen und schließlich die Gruppe löschen. Wenn Sie einem Benutzer die Berechtigung zum Löschen einer Gruppe erteilen möchten, müssen Sie sicherstellen, dass Sie ihm alle Berechtigung zur Ausführung der damit zusammenhängenden Aktionen erteilen.
## Berechtigungen für die Arbeit in der AWS-Managementkonsole
Die vorherigen Beispiele zeigen Richtlinien, die es einem Benutzer ermöglichen, die Aktionen mit dem [AWS CLI](https://aws.amazon.com/cli/)oder dem auszuführen [AWS SDKs](https://aws.amazon.com/tools/).
Während die Benutzer mit der Konsole arbeiten, stellt die Konsole Anfragen an IAM um Gruppen, Benutzer, Rollen und Richtlinien sowie einer Gruppe zugeordnete Richtlinien abzurufen. Die Konsole gibt auch Anfragen zum Abrufen von AWS-Konto Informationen und Informationen über den Principal aus. Der Auftraggeber ist der Benutzer, der in der Konsole Anforderungen stellt.
Im Allgemeinen müssen Sie für die Ausführung einer Aktion nur die passende Aktion in einer Richtlinie haben. Um einen Benutzer anzulegen, benötigen Sie die Berechtigung zum Aufrufen der Aktion `CreateUser`. Wenn Sie die Konsole verwenden, um eine Aktion auszuführen, müssen Sie über die Berechtigung zum Anzeigen, Auflisten, Abrufen oder anderweitigen Anzeigen einer Ressource in der Konsole verfügen. Dies ist notwendig, damit Sie durch die Konsole navigieren können, um die angegebene Aktion auszuführen. Wenn beispielsweise der Benutzer Jorge die Konsole zum Ändern seines eigenen Zugriffsschlüssel verwenden möchte, ruft er die IAM-Konsole auf und klickt auf **Users**. Diese Aktion bewirkt, dass die Konsole eine [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)-Anforderung stellt. Wenn Jorge nicht über die Berechtigung für die Aktion `iam:ListUsers` verfügt, verweigert die Konsole den Zugriff beim Versuch, die Benutzer aufzulisten. Daher kann Jorge nicht seinen eigenen Namen und Zugriffsschlüssel ermitteln, selbst wenn er Berechtigungen für die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) hat.
Wenn Sie Benutzern Berechtigungen zur Verwaltung von Gruppen, Benutzern, Rollen, Richtlinien und Anmeldeinformationen mit der erteilen möchten AWS-Managementkonsole, müssen Sie Berechtigungen für die Aktionen angeben, die die Konsole ausführt. Beispiele für Richtlinien, die Sie verwenden können, um einem Benutzer diese Berechtigungen zu erteilen, finden Sie unter [Beispielrichtlinien für die Verwaltung von IAM-Ressourcen](id_credentials_delegate-permissions_examples.md).
## Gewähren Sie Berechtigungen für mehrere Konten AWS
Sie können direkt in Ihrem eigenen Konto IAM-Benutzern Zugriff auf Ihre Ressourcen gewähren. Wenn Benutzer von einem anderen Konto aus Zugriff auf Ihre Ressourcen benötigen, können Sie eine IAM-Rolle erstellen, bei der es sich um eine Entität handelt, die Berechtigungen enthält, jedoch keinem bestimmten Benutzer zugeordnet ist. Benutzer von anderen Konten können dann die Rolle verwenden und entsprechend den Berechtigungen, die Sie der Rolle zugeordnet haben, auf Ressourcen zugreifen. Weitere Informationen finden Sie unter [Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](id_roles_common-scenarios_aws-accounts.md).
**Anmerkung**
Einige Services unterstützen ressourcenbasierte Richtlinien wie in [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md) beschrieben (wie Amazon S3, Amazon SNS und Amazon SQS). Für diese Services besteht eine Alternative zur Verwendung von Rollen darin, eine Richtlinie an die Ressource (Bucket, Thema oder Warteschlange) anzuhängen, die Sie freigeben möchten. Die ressourcenbasierte Richtlinie kann das AWS Konto angeben, das über Berechtigungen für den Zugriff auf die Ressource verfügt.
## Service-Berechtigungen für den Zugriff auf einen anderen Service
Viele AWS Dienste greifen auf andere AWS Dienste zu. Zum Beispiel mehrere AWS -Dienste, einschließlich Amazon EMR, Elastic Load Balancing und Amazon EC2 Auto Scaling, verwalten Amazon EC2-Instances. Andere AWS Dienste verwenden Amazon S3 S3-Buckets, Amazon SNS SNS-Themen, Amazon SQS-Warteschlangen usw.
Das Szenario für das Verwalten von Berechtigungen in diesen Fällen variiert je nach Service. Hier finden Sie einige Beispiele für die Art und Weise, wie Berechtigungen für verschiedene Services verarbeitet werden:
+ In Amazon EC2 Auto Scaling müssen Benutzer über die Berechtigung verfügen, Auto Scaling zu verwenden. Es muss ihnen jedoch nicht explizit die Berechtigung erteilt werden, Amazon EC2-Instances zu verwalten.
+ In legt eine IAM-Rolle fest AWS Data Pipeline, was eine Pipeline tun kann. Benutzer benötigen eine entsprechende Genehmigung, um die Rolle übernehmen zu können. (Detaillierte Informationen finden Sie unter [ Granting Permissions to Pipelines with IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) im *AWS Data Pipeline Developer Guide*.)
Einzelheiten zur ordnungsgemäßen Konfiguration von Berechtigungen, sodass ein AWS Dienst die von Ihnen beabsichtigten Aufgaben ausführen kann, finden Sie in der Dokumentation für den Dienst, den Sie aufrufen. Wie Sie eine Rolle für einen Service anlegen, erfahren Sie in [Erstellen Sie eine Rolle, um Berechtigungen an einen AWS Dienst zu delegieren](id_roles_create_for-service.md).
**Konfigurieren eines Service mit einer IAM-Rolle, sodass er in Ihrem Namen arbeitet**
Wenn Sie einen AWS Dienst so konfigurieren möchten, dass er in Ihrem Namen funktioniert, geben Sie in der Regel den ARN für eine IAM-Rolle an, die definiert, was der Dienst tun darf. AWS überprüft, ob Sie berechtigt sind, eine Rolle an einen Dienst zu übergeben. Weitere Informationen finden Sie unter [Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben](id_roles_use_passrole.md).
## Erforderliche Aktionen
Aktionen stellen die Dinge dar, die Sie mit einer Ressource machen können (z. B. Anzeigen, Anlegen, Bearbeiten und Löschen der Ressource). Aktionen werden von jedem AWS Dienst definiert.
Damit ein jemand eine Aktion ausführen kann, müssen Sie die erforderlichen Aktionen in eine Richtlinie aufnehmen, die für die aufrufende Identität oder die betroffene Ressource gilt. Im Allgemeinen müssen Sie, um die für die Ausführung einer Aktion erforderliche Berechtigung zu erteilen, diese Aktion in Ihre Richtlinie aufnehmen. Um beispielsweise einen Benutzer zu erstellen, müssen Sie die CreateUser Aktion zu Ihrer Richtlinie hinzufügen.
In einigen Fällen kann die eine Aktion erfordern, dass Sie zusätzliche Aktionen in Ihre Richtlinie aufnehmen. Um z. B. jemandem die Berechtigung zu geben, ein Verzeichnis in AWS Directory Service mit der `ds:CreateDirectory`-Operation zu erstellen, müssen Sie die folgenden Aktionen in ihre Richtlinie aufnehmen:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`
Wenn Sie eine Richtlinie mit dem visuellen Editor erstellen oder bearbeiten, erhalten Sie Warnungen und Aufforderungen, die Sie bei der Auswahl aller erforderlichen Aktionen für Ihre Richtlinie unterstützen.
Weitere Informationen zu den Berechtigungen, die zum Erstellen eines Verzeichnisses erforderlich sind AWS Directory Service, finden Sie unter [Beispiel 2: Erlauben Sie einem Benutzer, ein Verzeichnis zu erstellen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).
# Beispielrichtlinien für die Verwaltung von IAM-Ressourcen
Die nachfolgenden Beispiele enthalten IAM-Richtlinien, mithilfe derer Benutzer Aufgaben wie das Verwalten von IAM-Benutzern, -Gruppen und -Anmeldeinformationen verwalten können. Darunter fallen auch Richtlinien, die es Benutzern ermöglichen, ihre eigenen Passwörter, Zugriffsschlüssel und MFA-Geräte zu verwalten.
Beispiele für Richtlinien, mit denen Benutzer Aufgaben mit anderen AWS Services wie Amazon S3, Amazon EC2 und DynamoDB ausführen können, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md)
**Topics**
+ [Benutzern erlauben, die Gruppen, Benutzer, Richtlinien und weitere Informationen des Kontos zu Berichtszwecken anzuzeigen](#iampolicy-example-userlistall)
+ [Benutzern erlauben, Gruppenmitgliedschaften zu verwalten](#iampolicy-example-usermanagegroups)
+ [Benutzern erlauben, IAM-Benutzer zu verwalten](#creds-policies-users)
+ [Benutzern erlauben, eine Passwortrichtlinie für das Konto festzulegen](#creds-policies-set-password-policy)
+ [Benutzern erlauben, IAM-Berichte zu Anmeldeinformationen zu erstellen und abzurufen](#iampolicy-generate-credential-report)
+ [Erlauben aller IAM-Aktionen (Administratorzugriff)](#creds-policies-all-iam)
## Benutzern erlauben, die Gruppen, Benutzer, Richtlinien und weitere Informationen des Kontos zu Berichtszwecken anzuzeigen
Mit der folgenden Richtlinie kann der Benutzer jede IAM-Aktion aufrufen, die mit der Zeichenfolge `Get` oder `List` beginnt, und Berichte erstellen. Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Gewährt einen schreibgeschützten Zugriff auf die IAM-Konsole](reference_policies_examples_iam_read-only-console.md).
## Benutzern erlauben, Gruppenmitgliedschaften zu verwalten
Die folgende Richtlinie ermöglicht es dem Benutzer, die Mitgliedschaft der aufgerufenen Gruppe zu aktualisieren. *MarketingGroup* Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Ermöglicht das Verwalten der Mitgliedschaft einer Gruppe sowohl programmgesteuert als auch über die Konsole](reference_policies_examples_iam_manage-group-membership.md).
## Benutzern erlauben, IAM-Benutzer zu verwalten
Mit der folgenden Richtlinie wird Benutzern ermöglicht, alle Aufgaben auszuführen, die mit der Verwaltung von IAM-Benutzern zusammenhängen. Sie erhalten jedoch keine Berechtigungen für andere Entitäten wie Gruppen oder Richtlinien. Zu den zulässigen Aktionen gehören:
+ Erstellen von Benutzern (die Aktion [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html))
+ Löschen von Benutzern. Um diese Aufgabe ausführen zu können, sind alle nachfolgenden Berechtigungen erforderlich: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html).
+ Auflisten von Benutzern im Konto und in Gruppen (die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html))
+ Auflisten und Entfernen von Richtlinien für den Benutzer (die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html))
+ Umbenennen und Ändern des Pfads eines Benutzers (die Aktion [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). Das Element `Resource` muss einen ARN enthalten, der sowohl den Quell- als auch den Zielpfad enthält. Weitere Informationen zu Pfaden finden Sie unter [Anzeigenamen und -pfade](reference_identifiers.md#identifiers-friendly-names).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToPerformUserActions",
"Effect": "Allow",
"Action": [
"iam:ListPolicies",
"iam:GetPolicy",
"iam:UpdateUser",
"iam:AttachUserPolicy",
"iam:ListEntitiesForPolicy",
"iam:DeleteUserPolicy",
"iam:DeleteUser",
"iam:ListUserPolicies",
"iam:CreateUser",
"iam:RemoveUserFromGroup",
"iam:AddUserToGroup",
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:PutUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListUsers",
"iam:GetUser",
"iam:DetachUserPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
"Effect": "Allow",
"Action": [
"iam:GetAccount*",
"iam:ListAccount*"
],
"Resource": "*"
}
]
}
```
------
Mit einigen der Berechtigungen aus der vorhergegangenen Richtlinie wird Benutzern ermöglicht, Aufgaben in der AWS-Managementkonsole auszuführen. Benutzer, die benutzerbezogene Aufgaben nur über die [AWS CLI[AWS SDKs](https://aws.amazon.com/tools/)](https://aws.amazon.com/cli/), die oder die IAM-HTTP-Abfrage-API ausführen, benötigen möglicherweise keine bestimmten Berechtigungen. Wenn Benutzer beispielsweise bereits den ARN der Richtlinien kennen, deren Zuordnung zu einem Benutzer sie aufheben möchten, benötigen sie die Berechtigung `iam:ListAttachedUserPolicies` nicht. Welche Berechtigungen ein Benutzer genau benötigt, ist abhängig von den Aufgaben, die der Benutzer zur Verwaltung anderer Benutzer ausführen können muss.
Über die folgenden Berechtigungen erhalten Benutzer Zugriff auf Benutzeraufgaben über die AWS-Managementkonsole:
+ `iam:GetAccount*`
+ `iam:ListAccount*`
## Benutzern erlauben, eine Passwortrichtlinie für das Konto festzulegen
Sie können ausgewählten Benutzern die Berechtigung zum Abrufen und Aktualisieren der [Passwortrichtlinie](id_credentials_passwords_account-policy.md) Ihres AWS-Konto gewähren. Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Ermöglicht das Festlegen der Anforderungen an das Kontopasswort programmgesteuert und in der Konsole](reference_policies_examples_iam_set-account-pass-policy.md).
## Benutzern erlauben, IAM-Berichte zu Anmeldeinformationen zu erstellen und abzurufen
Sie können Benutzern die Erlaubnis erteilen, einen Bericht zu erstellen und herunterzuladen, in dem alle Benutzer in Ihrem Bericht aufgeführt sind. AWS-Konto Der Bericht enthält außerdem den Status der verschiedenen Anmeldeinformationen (z. B. Passwörter, Zugriffsschlüssel, MFA-Geräte und Signaturzertifikate). Weitere Informationen zu Berichten zu Anmeldeinformationen finden Sie unter [Generieren Sie Anmeldedatenberichte für Ihre AWS-Konto](id_credentials_getting-report.md). Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Generieren und Abrufen von -Berichten zu Anmeldeinformationen](reference_policies_examples_iam-credential-report.md).
## Erlauben aller IAM-Aktionen (Administratorzugriff)
Sie können ausgewählten Benutzern Administratorberechtigungen verliehen, um es ihnen zu ermöglichen, alle IAM-Aktionen einschließlich der Verwaltung von Passwörtern, Zugriffsschlüsseln, MFA-Geräten und Benutzerzertifikaten auszuführen. Mit der folgenden Beispielrichtlinie werden diese Berechtigungen verliehen.
**Warnung**
Wenn Sie einem Benutzer vollen Zugriff auf IAM gewähren, gibt es keine Begrenzung der Berechtigungen, die der Benutzer him/herself oder anderen gewähren kann. Der Benutzer kann neue IAM-Entitäten (Benutzer oder Rollen) erstellen und diesen Entitäten Vollzugriff auf alle Ressourcen in Ihrem AWS-Konto gewähren. Wenn Sie einem Benutzer Vollzugriff auf IAM gewähren, erhält dieser somit auch Vollzugriff auf alle Ressourcen in Ihrem AWS-Konto. Das bedeutet, er kann auch alle Ressourcen löschen. Gewähren Sie diese Berechtigungen nur ausgewählten Administratoren, und aktivieren Sie für diese Administratoren Multi-Factor Authentication (MFA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}
}
```
------