Erstellen von Rollen und Anfügen von Richtlinien (Konsole) - AWS Identitäts- und Zugriffsverwaltung
Beispiel 1: Konfigurieren eines Benutzers als Datenbankadministrator (Konsole)Beispiel 2: Konfigurieren eines Benutzers als Netzwerkadministrator (Konsole)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Rollen und Anfügen von Richtlinien (Konsole)

Einige der zuvor aufgeführten Richtlinien ermöglichen die Konfiguration von AWS Diensten mit Rollen, die es diesen Diensten ermöglichen, Operationen in Ihrem Namen auszuführen. Die Auftragsfunktionsrichtlinien geben entweder genaue Rollennamen an, die Sie verwenden müssen, oder fügen zumindest ein Präfix an, das den ersten Teil des Namens, der verwendet werden kann, angibt. Führen Sie die Schritte in den folgenden Verfahren aus, um eine dieser Rollen zu erstellen.

Um eine Rolle für eine AWS-Service (IAM-Konsole) zu erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Klicken Sie im Navigationsbereich der IAM-Konsole auf Rollen, und wählen Sie dann Rolle erstellen.

  3. Wählen Sie für Vertrauenswürdige Entität die Option AWS-Service aus.

  4. Wählen Sie unter Service oder Anwendungsfall einen Service und anschließend den Anwendungsfall aus. Anwendungsfälle werden durch den Service definiert, damit die für den Service erforderliche Vertrauensrichtlinie enthalten ist.

  5. Wählen Sie Weiter aus.

  6. Bei Berechtigungsrichtlinien hängen die Optionen vom ausgewählten Anwendungsfall ab:

    • Wenn der Service die Berechtigungen für die Rolle definiert, können Sie keine Berechtigungsrichtlinien auswählen.

    • Wählen Sie aus einer begrenzten Anzahl von Berechtigungsrichtlinien.

    • Wählen Sie aus allen Berechtigungsrichtlinien.

    • Wählen Sie keine Berechtigungsrichtlinien aus, erstellen Sie die Richtlinien, nachdem die Rolle erstellt wurde, und fügen Sie die Richtlinien dann der Rolle an.

  7. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.

    1. Öffnen Sie den Abschnitt Berechtigungsgrenze festlegen und wählen Sie dann Eine Berechtigungsgrenze verwenden, um die maximalen Rollenberechtigungen zu steuern aus.

      IAM enthält eine Liste der AWS verwalteten und von Kunden verwalteten Richtlinien in Ihrem Konto.

    2. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

  8. Wählen Sie Weiter aus.

  9. Für den Rollennamen hängen die Optionen vom Service ab:

    • Wenn der Name der Rolle durch den Service definiert wird, können Sie den Namen der Rolle nicht bearbeiten.

    • Wenn der Service ein Präfix für den Rollennamen definiert, können Sie ein optionales Suffix eingeben.

    • Wenn der Service den Rollennamen nicht definiert, können Sie der Rolle einen Namen geben.

      Wichtig

      Beachten Sie beim Benennen einer Rolle Folgendes:

      • Rollennamen müssen innerhalb Ihres AWS-Konto Unternehmens eindeutig sein und können nicht von Fall zu Fall eindeutig sein.

        Erstellen Sie beispielsweise keine Rollen mit dem Namen PRODROLE und prodrole. Wenn ein Rollenname in einer Richtlinie oder als Teil einer ARN verwendet wird, muss die Groß-/Kleinschreibung des Rollennamens beachtet werden. Wenn ein Rollenname den Kunden jedoch in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Rollennamens nicht beachtet.

      • Sie können den Namen der Rolle nach ihrer Erstellung nicht mehr bearbeiten, da andere Entitäten möglicherweise auf die Rolle verweisen.

  10. (Optional) Geben Sie unter Beschreibung eine Beschreibung für die neue Rolle ein.

  11. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten Schritt 1: Vertrauenswürdige Entitäten auswählen oder Schritt 2: Berechtigungen hinzufügen die Option Bearbeiten.

  12. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Identifizierung, Organisation oder Suche nach der Rolle zu vereinfachen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tags für AWS Identity and Access Management Ressourcen im IAM-Benutzerhandbuch.

  13. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Beispiel 1: Konfigurieren eines Benutzers als Datenbankadministrator (Konsole)

Dieses Beispiel zeigt die Schritte zum Konfigurieren von Alice, einem IAM-Benutzer, als Datenbankadministrator. Verwenden Sie die Informationen in der ersten Zeile der Tabelle in diesem Abschnitt und erlauben Sie dem Benutzer, die Amazon RDS-Überwachung zu aktivieren. Sie hängen die DatabaseAdministratorRichtlinie an den IAM-Benutzer von Alice an, damit dieser die Amazon-Datenbankdienste verwalten kann. Diese Richtlinie erlaubt es Alice auch, eine Rolle namens rds-monitoring-role an den Amazon-RDS-Service zu übergeben, die es dem Service erlaubt, die Amazon-RDS-Datenbanken in ihrem Namen zu überwachen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie Policies (Richtlinien) aus, geben Sie database in das Suchfeld ein und drücken Sie die Eingabetaste.

  3. Wählen Sie das Optionsfeld für die DatabaseAdministratorRichtlinie aus, klicken Sie auf Aktionen und dann auf Anhängen.

  4. Wählen Sie in der Liste der Entitäten Alice und dann Attach policy (Richtlinie anfügen) aus. Alice kann jetzt AWS Datenbanken verwalten. Damit Alice diese Datenbanken jedoch überwachen kann, müssen Sie die Servicerolle konfigurieren.

  5. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles und wählen Sie dann Create role.

  6. Wählen Sie den Rollentyp AWS Service und dann Amazon RDS.

  7. Wählen Sie den Anwendungsfall Amazon RDS-Rolle für die verbesserte Überwachung.

  8. Amazon RDS definiert die Berechtigungen für Ihre Rolle. Wählen Sie Next: Review (Weiter: Prüfen), um fortzufahren.

  9. Der Rollenname muss einer der Namen sein, die in der DatabaseAdministrator Richtlinie angegeben sind, die Alice jetzt hat. Eine davon ist rds-monitoring-role. Geben Sie das für den Rollennamen ein.

  10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  11. Wählen Sie nach der Überprüfung der Details Create role (Rolle erstellen).

  12. Alice kann jetzt RDS Enhanced Monitoring im Abschnitt Monitoring der Amazon RDS-Konsole aktivieren. Zum Beispiel kann sie dies tun, wenn sie eine DB-Instance erstellt, eine Read Replica erstellt oder eine DB-Instance ändert. Sie müssen den Rollennamen, den sie erstellt haben (rds-monitoring-role), in das Feld „Überwachungsrolle“ eingeben, wenn sie Enable Enhanced Monitoring auf Ja setzen.

Beispiel 2: Konfigurieren eines Benutzers als Netzwerkadministrator (Konsole)

Dieses Beispiel zeigt die Schritte zum Konfigurieren von Jorge, einem IAM-Benutzer, als Netzwerkadministrator. Es verwendet die Informationen in der Tabelle in diesem Abschnitt, um es Jorge zu erlauben, den IP-Verkehr zu und von einer VPC zu überwachen. Es ermöglicht Jorge auch, diese Informationen in den Protokollen unter Logs zu erfassen. CloudWatch Sie fügen die NetworkAdministratorRichtlinie dem IAM-Benutzer von Jorge zu, damit dieser Netzwerkressourcen konfigurieren AWS kann. Diese Richtlinie ermöglicht es Jorge auch, eine Rolle, deren Name mit beginnt, flow-logs* an Amazon zu übergeben, EC2 wenn Sie ein Flow-Protokoll erstellen. In diesem Szenario gibt es im Gegensatz zu Beispiel 1 keinen vordefinierten Servicerollentyp, sodass Sie einige Schritte anders ausführen müssen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) aus, geben Sie network in das Suchfeld ein und drücken Sie die Eingabetaste.

  3. Wählen Sie das Optionsfeld neben der NetworkAdministratorRichtlinie aus, klicken Sie auf Aktionen und dann auf Anhängen.

  4. Aktivieren Sie in der Liste der Benutzer das Kontrollkästchen neben Jorge und wählen Sie dann Richtlinie anfügen aus. Jorge kann jetzt AWS Netzwerkressourcen verwalten. Um IP-Datenverkehr in Ihrer VPC überwachen zu können, müssen Sie die Servicerolle jedoch konfigurieren.

  5. Da die Servicerolle, die Sie erstellen müssen, keine vordefinierte verwaltete Richtlinie hat, müssen Sie diese zuerst erstellen. Wählen Sie im Navigationsbereich Policies und dann Create policy.

  6. Wählen Sie im Abschnitt Policy editor (Richtlinien-Editor) die Option JSON aus und kopieren Sie den Text aus dem folgenden JSON-Richtliniendokument. Fügen Sie den folgenden Text in das JSON-Eingabefeld ein.

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Weiter.

    Anmerkung

    Sie können jederzeit zwischen den Editoroptionen Visual und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oder im Visual-Editor Next (Weiter) wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter Umstrukturierung einer Richtlinie.

  8. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) als Richtliniennamen vpc-flow-logs-policy-for-service-role ein. Überprüfen Sie die Permissions defined in this policy (In dieser Richtlinie definierte Berechtigungen), um die durch Ihre Richtlinie erteilten Berechtigungen zu sehen, und wählen Sie dann zum Speichern Create policy (Richtlinie erstellen) aus.

    Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt und ist bereit.

  9. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles und wählen Sie dann Create role.

  10. Wählen Sie den Rollentyp AWS Service und dann Amazon aus EC2.

  11. Wählen Sie den EC2Amazon-Anwendungsfall.

  12. Wählen Sie auf der Seite Richtlinien zum Anhängen von Berechtigungen die Richtlinie aus, die Sie zuvor erstellt haben, vpc-flow-logs-policy- for-service-role, und klicken Sie dann auf Weiter: Überprüfen.

  13. Der Rollenname muss gemäß der NetworkAdministrator Richtlinie, über die Jorge jetzt verfügt, zugelassen sein. Es ist jeder Name zulässig, der mit flow-logs- beginnt. Geben Sie in diesem Beispiel flow-logs-for-jorge als Role name (Rollennamen) ein.

  14. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  15. Wählen Sie nach der Überprüfung der Details Create role (Rolle erstellen).

  16. Jetzt können Sie die Vertrauensrichtlinie konfigurieren, die für dieses Szenario erforderlich ist. Wählen Sie auf der Seite Rollen die flow-logs-for-jorgeRolle aus (den Namen, nicht das Kontrollkästchen). Wählen Sie auf der Detailseite für Ihre neue Rolle die Registerkarte Trust relationships (Vertrauensbeziehungen) und anschließend Edit trust relationship (Vertrauensbeziehung bearbeiten).

  17. Ändern Sie die Zeile "Service" in Folgendes, wobei Sie den Eintrag für ec2.amazonaws.com ersetzen:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge kann jetzt Flow-Logs für eine VPC oder ein Subnetz in der Amazon-Konsole erstellen. EC2 Wenn Sie das Flow-Protokoll erstellen, geben Sie die Rolle an. flow-logs-for-jorge Diese Rolle hat die Berechtigungen, das Protokoll zu erstellen und Daten hineinzuschreiben.