Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren

Richtlinien definieren Berechtigungen für Identitäten oder Ressourcen in AWS. Mithilfe der API, oder AWS können Sie in IAM vom AWS-Managementkonsole Kunden verwaltete Richtlinien erstellen. AWS CLI Vom Kunden verwaltete Richtlinien sind eigenständige Richtlinien, die Sie in Ihrem eigenen AWS-Konto verwalten. Anschließend können Sie die Richtlinien den Identitäten (Benutzern, Gruppen und Rollen) in Ihrem hinzufügen. AWS-Konto

Eine identitätsbasierte Richtlinie ist eine Richtlinie, die einer Identität in IAM angefügt ist. Identitätsbasierte Richtlinien können verwaltete Richtlinien, vom Kunden AWS verwaltete Richtlinien und Inline-Richtlinien umfassen. AWS verwaltete Richtlinien werden von erstellt und verwaltet AWS, und Sie können sie verwenden, aber nicht verwalten. Eine Inline-Richtlinie ist eine Richtlinie, die Sie erstellen und direkt in eine IAM-Benutzergruppe, einen IAM-Benutzer oder eine IAM-Rolle einbetten. Inline-Richtlinien können nicht für andere Identitäten wiederverwendet oder außerhalb der Identität verwaltet werden, in der sie vorhanden sind. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Im Allgemeinen ist es besser, vom Kunden verwaltete Richtlinien anstelle von Inline-Richtlinien oder AWS verwalteten Richtlinien zu verwenden. AWS Verwaltete Richtlinien bieten in der Regel umfassende administrative oder schreibgeschützte Berechtigungen. Gewähren Sie für die höchste Sicherheit die geringsten Berechtigungen, d. h. nur die Berechtigungen, die für die Ausführung bestimmter Aufgaben erforderlich sind.

Wenn Sie IAM-Richtlinien erstellen oder bearbeiten, AWS kann es automatisch eine Richtlinienvalidierung durchführen, sodass Sie eine effektive Richtlinie mit den geringsten Rechten erstellen können. In der AWS-Managementkonsole identifiziert IAM JSON-Syntaxfehler, während IAM Access Analyzer zusätzliche Richtlinienprüfungen mit Empfehlungen bietet, mit denen Sie Ihre Richtlinien weiter verfeinern können. Weitere Informationen zur Richtlinienvalidierung finden Sie unter IAM-Richtlinien-Validierung. Weitere Informationen zu den Richtlinienvalidierungen von IAM Access Analyzer Richtlinien und Empfehlungen erhalten Sie unter Richtlinienvalidierung von IAM Access Analyzer.

Sie können die AWS API, oder verwenden AWS-Managementkonsole AWS CLI, um vom Kunden verwaltete Richtlinien in IAM zu erstellen. Weitere Informationen zur Verwendung von CloudFormation Vorlagen zum Hinzufügen oder Aktualisieren von Richtlinien finden Sie in der Referenz zum AWS Identity and Access Management Ressourcentyp im CloudFormation Benutzerhandbuch.

Themen