Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispielrichtlinien für die Verwaltung von IAM-Ressourcen
Die nachfolgenden Beispiele enthalten IAM-Richtlinien, mithilfe derer Benutzer Aufgaben wie das Verwalten von IAM-Benutzern, -Gruppen und -Anmeldeinformationen verwalten können. Darunter fallen auch Richtlinien, die es Benutzern ermöglichen, ihre eigenen Passwörter, Zugriffsschlüssel und MFA-Geräte zu verwalten.
Beispiele für Richtlinien, mit denen Benutzer Aufgaben mit anderen AWS Services wie Amazon S3, Amazon EC2 und DynamoDB ausführen können, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md)
**Topics**
+ [Benutzern erlauben, die Gruppen, Benutzer, Richtlinien und weitere Informationen des Kontos zu Berichtszwecken anzuzeigen](#iampolicy-example-userlistall)
+ [Benutzern erlauben, Gruppenmitgliedschaften zu verwalten](#iampolicy-example-usermanagegroups)
+ [Benutzern erlauben, IAM-Benutzer zu verwalten](#creds-policies-users)
+ [Benutzern erlauben, eine Passwortrichtlinie für das Konto festzulegen](#creds-policies-set-password-policy)
+ [Benutzern erlauben, IAM-Berichte zu Anmeldeinformationen zu erstellen und abzurufen](#iampolicy-generate-credential-report)
+ [Erlauben aller IAM-Aktionen (Administratorzugriff)](#creds-policies-all-iam)
## Benutzern erlauben, die Gruppen, Benutzer, Richtlinien und weitere Informationen des Kontos zu Berichtszwecken anzuzeigen
Mit der folgenden Richtlinie kann der Benutzer jede IAM-Aktion aufrufen, die mit der Zeichenfolge `Get` oder `List` beginnt, und Berichte erstellen. Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Gewährt einen schreibgeschützten Zugriff auf die IAM-Konsole](reference_policies_examples_iam_read-only-console.md).
## Benutzern erlauben, Gruppenmitgliedschaften zu verwalten
Die folgende Richtlinie ermöglicht es dem Benutzer, die Mitgliedschaft der aufgerufenen Gruppe zu aktualisieren. *MarketingGroup* Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Ermöglicht das Verwalten der Mitgliedschaft einer Gruppe sowohl programmgesteuert als auch über die Konsole](reference_policies_examples_iam_manage-group-membership.md).
## Benutzern erlauben, IAM-Benutzer zu verwalten
Mit der folgenden Richtlinie wird Benutzern ermöglicht, alle Aufgaben auszuführen, die mit der Verwaltung von IAM-Benutzern zusammenhängen. Sie erhalten jedoch keine Berechtigungen für andere Entitäten wie Gruppen oder Richtlinien. Zu den zulässigen Aktionen gehören:
+ Erstellen von Benutzern (die Aktion [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html))
+ Löschen von Benutzern. Um diese Aufgabe ausführen zu können, sind alle nachfolgenden Berechtigungen erforderlich: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html).
+ Auflisten von Benutzern im Konto und in Gruppen (die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) und [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html))
+ Auflisten und Entfernen von Richtlinien für den Benutzer (die Aktionen [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html))
+ Umbenennen und Ändern des Pfads eines Benutzers (die Aktion [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). Das Element `Resource` muss einen ARN enthalten, der sowohl den Quell- als auch den Zielpfad enthält. Weitere Informationen zu Pfaden finden Sie unter [Anzeigenamen und -pfade](reference_identifiers.md#identifiers-friendly-names).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUsersToPerformUserActions",
"Effect": "Allow",
"Action": [
"iam:ListPolicies",
"iam:GetPolicy",
"iam:UpdateUser",
"iam:AttachUserPolicy",
"iam:ListEntitiesForPolicy",
"iam:DeleteUserPolicy",
"iam:DeleteUser",
"iam:ListUserPolicies",
"iam:CreateUser",
"iam:RemoveUserFromGroup",
"iam:AddUserToGroup",
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:PutUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListUsers",
"iam:GetUser",
"iam:DetachUserPolicy"
],
"Resource": "*"
},
{
"Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
"Effect": "Allow",
"Action": [
"iam:GetAccount*",
"iam:ListAccount*"
],
"Resource": "*"
}
]
}
```
------
Mit einigen der Berechtigungen aus der vorhergegangenen Richtlinie wird Benutzern ermöglicht, Aufgaben in der AWS-Managementkonsole auszuführen. Benutzer, die benutzerbezogene Aufgaben nur über die [AWS CLI[AWS SDKs](https://aws.amazon.com/tools/)](https://aws.amazon.com/cli/), die oder die IAM-HTTP-Abfrage-API ausführen, benötigen möglicherweise keine bestimmten Berechtigungen. Wenn Benutzer beispielsweise bereits den ARN der Richtlinien kennen, deren Zuordnung zu einem Benutzer sie aufheben möchten, benötigen sie die Berechtigung `iam:ListAttachedUserPolicies` nicht. Welche Berechtigungen ein Benutzer genau benötigt, ist abhängig von den Aufgaben, die der Benutzer zur Verwaltung anderer Benutzer ausführen können muss.
Über die folgenden Berechtigungen erhalten Benutzer Zugriff auf Benutzeraufgaben über die AWS-Managementkonsole:
+ `iam:GetAccount*`
+ `iam:ListAccount*`
## Benutzern erlauben, eine Passwortrichtlinie für das Konto festzulegen
Sie können ausgewählten Benutzern die Berechtigung zum Abrufen und Aktualisieren der [Passwortrichtlinie](id_credentials_passwords_account-policy.md) Ihres AWS-Konto gewähren. Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Ermöglicht das Festlegen der Anforderungen an das Kontopasswort programmgesteuert und in der Konsole](reference_policies_examples_iam_set-account-pass-policy.md).
## Benutzern erlauben, IAM-Berichte zu Anmeldeinformationen zu erstellen und abzurufen
Sie können Benutzern die Erlaubnis erteilen, einen Bericht zu erstellen und herunterzuladen, in dem alle Benutzer in Ihrem Bericht aufgeführt sind. AWS-Konto Der Bericht enthält außerdem den Status der verschiedenen Anmeldeinformationen (z. B. Passwörter, Zugriffsschlüssel, MFA-Geräte und Signaturzertifikate). Weitere Informationen zu Berichten zu Anmeldeinformationen finden Sie unter [Generieren Sie Anmeldedatenberichte für Ihre AWS-Konto](id_credentials_getting-report.md). Informationen zum Anzeigen der Beispielrichtlinie finden Sie unter [IAM: Generieren und Abrufen von -Berichten zu Anmeldeinformationen](reference_policies_examples_iam-credential-report.md).
## Erlauben aller IAM-Aktionen (Administratorzugriff)
Sie können ausgewählten Benutzern Administratorberechtigungen verliehen, um es ihnen zu ermöglichen, alle IAM-Aktionen einschließlich der Verwaltung von Passwörtern, Zugriffsschlüsseln, MFA-Geräten und Benutzerzertifikaten auszuführen. Mit der folgenden Beispielrichtlinie werden diese Berechtigungen verliehen.
**Warnung**
Wenn Sie einem Benutzer vollen Zugriff auf IAM gewähren, gibt es keine Begrenzung der Berechtigungen, die der Benutzer him/herself oder anderen gewähren kann. Der Benutzer kann neue IAM-Entitäten (Benutzer oder Rollen) erstellen und diesen Entitäten Vollzugriff auf alle Ressourcen in Ihrem AWS-Konto gewähren. Wenn Sie einem Benutzer Vollzugriff auf IAM gewähren, erhält dieser somit auch Vollzugriff auf alle Ressourcen in Ihrem AWS-Konto. Das bedeutet, er kann auch alle Ressourcen löschen. Gewähren Sie diese Berechtigungen nur ausgewählten Administratoren, und aktivieren Sie für diese Administratoren Multi-Factor Authentication (MFA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}
}
```
------