Von AWS verwaltete Richtlinien für AWS Identity and Access Management und Access Analyzer - AWS Identity and Access Management
IAMReadOnlyAccessIAMUserChangePasswordIAMAccessAnalyzerFullAccessIAMAccessAnalyzerReadOnlyAccessAccessAnalyzerServiceRolePolicyIAMAuditRootUserCredentialsIAMCreateRootUserPasswordIAMDeleteRootUserCredentialsS3UnlockBucketPolicySQSUnlockQueuePolicyRichtlinienaktualisierungen

Von AWS verwaltete Richtlinien für AWS Identity and Access Management und Access Analyzer

Eine von AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Von AWS verwaltete Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit, damit Sie beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass von AWS verwaltete Richtlinien möglicherweise nicht die geringsten Berechtigungen für Ihre spezifischen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Die Berechtigungen, die in den von AWS verwalteten Richtlinien definiert sind, können nicht geändert werden. Wenn AWS-Berechtigungen aktualisiert, die in einer von AWS verwalteten Richtlinie definiert werden, wirkt sich das Update auf alle Prinzipalidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten eine von AWS verwaltete Richtlinie, wenn ein neuer AWS-Service gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

IAMReadOnlyAccess

Verwenden der IAMReadOnlyAccess verwalteten Richtlinie, um schreibgeschützten Zugriff auf IAM-Ressourcen zu gewähren. Diese Richtlinie gewährt die Berechtigung zum Abrufen und Auflisten aller IAM-Ressourcen. Sie ermöglicht das Anzeigen von Details und Aktivitätsberichten für Benutzer, Gruppen, Rollen, Richtlinien, Identitätsanbieter und MFA-Geräte. Sie umfasst nicht die Möglichkeit, Ressourcen zu erstellen oder zu löschen oder auf IAM Access Analyzer Ressourcen zuzugreifen. Zeigen Sie die Richtlinie für die vollständige Liste der Datenbank-Services und Aktionen an, die von dieser Richtlinie unterstützt werden.

IAMUserChangePassword

Verwenden Sie diese IAMUserChangePassword-IAM-Richtlinie, um Benutzern das Ändern ihres eigenen Konsolen-Passworts zu ermöglichen.

Sie konfigurieren Ihre IAM-Kontoeinstellungen und die Passwortrichtlinie, damit IAM-Benutzer ihr IAM-Kontopasswort ändern können. Wenn Sie diese Aktion zulassen, fügt IAM jedem Benutzer die Richtlinie an.

Informationen zur JSON-Richtlinie finden Sie unter IamUserChangePassword im Referenzhandbuch für verwaltete AWS-Richtlinien.

IAMAccessAnalyzerFullAccess

Verwenden Sie die verwaltete IAMAccessAnalyzerFullAccess-AWS-Richtlinie, um Ihren Administratoren den Zugriff auf IAM Access Analyzer zu ermöglichen.

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • IAM Access Analyzer – Ermöglicht vollständige Administratorberechtigungen für alle Ressourcen in IAM Access Analyzer.

  • Dienstverknüpfte Rolle erstellen – Ermöglicht dem Administrator das Erstellen einesService-verknüpfteIAM-RolleIn diesem Fall kann IAM Access Analyzer Ressourcen in anderen Services in Ihrem Namen analysieren. Mit dieser Berechtigung können Sie die dienstverknüpfte Rolle nur für die Verwendung durch IAM Access Analyzer erstellen.

  • AWS Organizations – Ermöglicht Administratoren die Verwendung von IAM Access Analyzer für eine Organisation in AWS Organizations. Nach der Aktivierung des vertrauenswürdigen Zugriffs für IAM Access Analyzer in AWS Organizations können die Mitglieder des Managementkontos die Ergebnisse in ihrer gesamten Organisation einsehen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Verwenden Sie die verwaltete Richtlinie IAMAccessAnalyzerReadOnlyAccess AWS, um den Nur-Lese-Zugriff auf IAM Access Analyzer zu erlauben.

So lassen Sie auch schreibgeschützten Zugriff auf IAM Access Analyzer für AWS Organizations, erstellen Sie eine vom Kunden verwaltete Richtlinie, die die Aktionen Beschreiben und Auflisten in der verwalteten IAMAccessAnalyzerFullAccess-AWS-Richtlinie.

Service Level-Berechtigungen

Diese Richtlinie gewährt schreibgeschützten Zugriff auf IAM Access Analyzer. In dieser Richtlinie sind keine anderen Dienstberechtigungen enthalten.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Sie können AccessAnalyzerServiceRolePolicy nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer dienstverknüpften Rolle verbunden, die es IAM Access Analyzer ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management und Access Analyzer.

Berechtigungsgruppierungen

Diese Richtlinie ermöglicht den Zugriff auf IAM Access Analyzer, um Ressourcen-Metadaten von mehreren zu analysieren AWS-Services.

  • Amazon DynamoDB – Gewährt Berechtigungen zum Anzeigen von DynamoDB-Streams und -Tabellen.

  • Amazon Elastic Compute Cloud – Ermöglicht Berechtigungen zur Beschreibung von IP-Adressen, Snapshots und VPCs.

  • Amazon Elastic Container Registry – Gewährt Berechtigungen zum Beschreiben von Image-Repositorys, Abrufen von Kontoeinstellungen und Abrufen von Registry- und Repository-Richtlinien.

  • Amazon Elastic File System – Ermöglicht Berechtigungen zur Anzeige der Beschreibung eines Amazon-EFS-Dateisystems und die Anzeige der Richtlinie auf Ressourcenebene für ein Amazon-EFS-Dateisystem.

  • AWS Identity and Access Management – Ermöglicht Berechtigungen zum Abrufen von Informationen zu einer angegebenen Rolle und zum Auflisten der IAM-Rollen mit einem angegebenen Pfad-Präfix. Gewährt Berechtigungen zum Abrufen von Informationen zu Benutzern, IAM-Gruppen, Anmeldeprofilen, Zugriffsschlüsseln und Daten zum letzten Service-Zugriff.

  • AWS Key Management Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu einem KMS-Schlüssel und seinen wichtigsten Richtlinien und Zuschüssen.

  • AWS Lambda – Ermöglicht Berechtigungen zur Anzeige von Informationen über Lambda-Aliase, Funktionen, Ebenen und Aliase.

  • AWS Organizations – Ermöglicht Berechtigungen für AWS Organizations und ermöglicht die Erstellung eines Analyzer innerhalb der AWS-Organisation als Vertrauenszone.

  • Amazon Relational Database Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu Snapshots des Amazon RDS DB und Snapshots des Amazon-RDS-DB-Clusters.

  • Amazon Simple Storage Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu Amazon-S3-Zugangspunkten, Buckets, Zugangspunkten für Amazon-S3-Verzeichnis-Buckets und Verzeichnis-Buckets.

  • AWS Secrets Manager – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu Geheimnissen und an Geheimnisse angefügten Ressourcenrichtlinien.

  • Amazon Simple Notification Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu einem Thema.

  • Amazon Simple Queue Service – Ermöglicht Berechtigungen zur Anzeige von detaillierten Informationen zu bestimmten Warteschlangen.

Informationen zur JSON-Richtlinie finden Sie unter AccessAnalyzerServiceRolePolicy im Referenzhandbuch für verwaltete AWS-Richtlinien.

IAMAuditRootUserCredentials

Verwenden Sie die verwaltete AWS-Richtlinie IAMAuditRootUserCredentials, um die Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe in ein AWS Organizations-Mitgliedskonto ausführen, um den Status der Root-Benutzer-Anmeldeinformationen eines Mitgliedskontos zu prüfen. Sie können einzelne Informationen zu den Anmeldeinformationen von Root-Benutzern auflisten oder abrufen, beispielsweise:

  • Ob ein Root-Benutzer-Kennwort vorhanden ist

  • Ob der Root-Benutzer einen Zugriffsschlüssel hat und wann er zuletzt verwendet wurde

  • Ob dem Root-Benutzer Signaturzertifikate zugeordnet sind

  • Mit Root-Benutzern verknüpfte MFA-Geräte

  • Liste des konsolidierten Status der Root-Benutzer-Anmeldeinformationen

Sie können IAMAuditRootUserCredentials nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an AssumeRoot angefügt, um privilegierte Aufgaben in einem Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices",
            "iam:GetAccountSummary",
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"  
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyAuditingCredentialsOnNonRootUserResource",
         "Action": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices" ,
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"     
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      } 
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • DenyAllOtherActionsOnAnyResource – Verweigert den Zugriff auf Anmeldeinformationen für alle Ressourcen.

  • DenyAuditingCredentialsOnNonRootUserResource – Verweigert den Zugriff auf Anmeldeinformationen für alle Nicht-Root-Benutzer-Ressourcen.

IAMCreateRootUserPassword

Verwenden Sie die verwaltete AWS-Richtlinie IAMCreateRootUserPassword, um den Umfang der Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe in einem AWS Organizations-Mitgliedskonto ausführen, um die Passwortwiederherstellung für ein Mitgliedskonto ohne Root-Benutzer-Anmeldeinformationen zu ermöglichen.

Sie können IAMCreateRootUserPassword nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an AssumeRoot angefügt, um privilegierte Aufgaben in einem Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyCreatingPasswordOnNonRootUserResource",
         "Action": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"   
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      }
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • DenyAllOtherActionsOnAnyResource – Verweigert den Zugriff auf das Abrufen oder Erstellen eines Passworts für alle Ressourcen.

  • DenyCreatingPasswordOnNonRootUserResource – Verweigert den Zugriff zum Abrufen oder Erstellen eines Passworts für alle Nicht-Root-Benutzer-Ressourcen.

IAMDeleteRootUserCredentials

Verwenden Sie die verwaltete AWS-Richtlinie IAMDeleteRootUserCredentials , um den Umfang der Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe in einem AWS Organizations-Mitgliedskonto ausführen, um die Root-Benutzer-Anmeldeinformationen einschließlich Passwort, Zugriffsschlüsseln und Signaturzertifikaten zu entfernen und MFA zu deaktivieren. Für diese privilegierte Aktion sind zusätzliche Berechtigungen erforderlich, sodass Sie die zuletzt verwendeten Anmeldeinformationen anzeigen, die zuletzt verwendeten Informationen für den Root-Benutzer des Mitgliedskontos überprüfen und die Berechtigungen für alle zu löschenden Root-Benutzer-Anmeldeinformationen auflisten können.

Sie können IAMDeleteRootUserCredentials nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an AssumeRoot angefügt, um privilegierte Aufgaben in einem Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "DenyAllOtherActionsOnAnyResource",
			"Effect": "Deny",
			"NotAction": [
				"iam:DeleteAccessKey",
				"iam:DeleteSigningCertificate",
				"iam:DeleteLoginProfile",
				"iam:DeactivateMFADevice",
				"iam:ListAccessKeys",
				"iam:ListSigningCertificates",
				"iam:GetLoginProfile",
				"iam:ListMFADevices",
				"iam:GetUser",
				"iam:GetAccessKeyLastUsed"
			],
						  
			"Resource": "*"
		},
		{
			"Sid": "DenyDeletingRootUserCredentialsOnNonRootUserResource",
			"Effect": "Deny",
			"Action": [
				"iam:DeleteAccessKey",
				"iam:DeleteSigningCertificate",
				"iam:DeleteLoginProfile",
				"iam:DeactivateMFADevice",
				"iam:ListAccessKeys",
				"iam:ListSigningCertificates",
				"iam:GetLoginProfile",
				"iam:ListMFADevices",
				"iam:GetUser",
				"iam:GetAccessKeyLastUsed"
			],
						  
			"NotResource": "arn:aws:iam::*:root"
		}
	]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • DenyAllOtherActionsOnAnyResource – Verweigert den Zugriff zum Abrufen oder Löschen von Anmeldeinformationen für alle Ressourcen.

  • DenyDeletingRootUserCredentialsOnNonRootUserResource – Verweigert den Zugriff zum Abrufen oder Löschen von Anmeldeinformationen für alle Nicht-Root-Benutzer-Ressourcen.

S3UnlockBucketPolicy

Verwenden Sie die verwaltete AWS-Richtlinie S3UnlockBucketPolicy, um den Umfang der Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe in einem AWS Organizations-Mitgliedskonto ausführen, um eine falsch konfigurierte Bucket-Richtlinie zu entfernen, die allen Prinzipalen den Zugriff auf einen Amazon-S3-Bucket verweigert.

Sie können S3UnlockBucketPolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an AssumeRoot angefügt, um privilegierte Aufgaben in einem Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyManagingBucketPolicyForNonRootCallers",
         "Action": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*",
         "Condition" : {
            "ArnNotLike" : {
               "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • DenyAllOtherActionsOnAnyResource – Verweigert den Zugriff auf Bucket-Richtlinien für alle Ressourcen.

  • DenyManagingBucketPolicyForNonRootCallers – Verweigert allen Nicht-Root-Benutzer-Ressourcen den Zugriff auf Bucket-Richtlinien.

SQSUnlockQueuePolicy

Verwenden Sie die verwaltete AWS-Richtlinie SQSUnlockQueuePolicy, um den Umfang der Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe in einem AWS Organizations-Mitgliedskonto ausführen, um eine ressourcenbasierte Richtlinie von Amazon Simple Queue Service zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.

Sie können SQSUnlockQueuePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an AssumeRoot angefügt, um privilegierte Aufgaben in einem Mitgliedskonto in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

Berechtigungsgruppierungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • DenyAllOtherActionsOnAnyResource – Verweigert den Zugriff auf Amazon-SQS-Aktionen für alle Ressourcen.

  • DenyGettingQueueAttributesOnNonOwnQueue – Verweigert den Zugriff auf Amazon-SQS-Warteschlangenattribute für Warteschlangen, die einem anderen Konto gehören.

  • DenyActionsForNonRootUser – Verweigert allen Nicht-Root-Benutzer-Ressourcen den Zugriff auf Amazon-SQS-Aktionen.

IAM-Access-Analyzer-Updates für verwaltete AWS-Richtlinien

Zeigen Sie Details zu Aktualisierungen von IAM- und AWS-verwalteten Richtlinien an, seit Beginn der Verfolgung dieser Änderungen durch den Service. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der IAM und Dokumentverlauf-Seite des IAM Access Analyzer.

Änderung Beschreibung Datum
iamUserChangePassword – Berechtigungen hinzugefügt IAM hat IAMUserChangePassword um Berechtigungen erweitert, um Benutzer zuzulassen, die innerhalb eines Pfades angegeben sind. 28. Mai 2025
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat iam:GetAccountAuthorizationDetails zu den Berechtigungen auf Serviceebene von AccessAnalyzerServiceRolePolicy hinzugefügt. 12. Mai 2025
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für Amazon-S3-Verzeichnis-Bucket-Zugangspunkten hinzugefügt. 31. März 2025
IamDeleteRootUserCredentials – Berechtigungen wurden entfernt IAM hat die iam:DeleteVirtualMFADevice-Berechtigung aus der verwalteten Richtlinie entfernt. 7. Januar 2025
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für die Berechtigung zum Abrufen von Informationen zu Amazon-ECR-Kontoeinstellungen und Registrierungsrichtlinien hinzugefügt. 10. Dezember 2024
IAMAuditRootUserCredentials – Verwaltete Richtlinie hinzugefügt IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations-Mitgliedskonten ausführen können. 14. November 2024
IAMCreateRootUserPassword – Verwaltete Richtlinie hinzugefügt IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations-Mitgliedskonten ausführen können. 14. November 2024
IAMDeleteRootUserCredentials – Verwaltete Richtlinie hinzugefügt IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations-Mitgliedskonten ausführen können. 14. November 2024
S3UnlockBucketPolicy – Verwaltete Richtlinie hinzugefügt IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations-Mitgliedskonten ausführen können. 14. November 2024
SQSUnlockQueuePolicy – Verwaltete Richtlinie hinzugefügt IAM hat verwaltete Richtlinien für die Zentrale Verwaltung des Root-Zugriffs für Mitgliedskonten hinzugefügt, um den Umfang privilegierter Aufgaben festzulegen, die Sie in AWS Organizations-Mitgliedskonten ausführen können. 14. November 2024
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für die Berechtigung zum Abrufen von Informationen über IAM-Benutzer- und Rollen-Tags hinzugefügt. 29. Oktober 2024
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für die Berechtigung zum Abrufen von Informationen zu IAM-Benutzer- und Rollenrichtlinien hinzugefügt. 30. Mai 2024
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für die Berechtigung zum Abrufen des aktuellen Status des öffentlichen Blockzugriffs für Amazon-EC2-Snapshots hinzugefügt. 23. Januar 2024
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für DynamoDB-Streams und -Tabellen hinzugefügt. 11. Januar 2024
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy Unterstützung für Amazon-S3-Verzeichnis-Buckets hinzugefügt. 1. Dezember 2023

IAMAccessAnalyzerReadOnlyAccess – Hinzugefügte Berechtigungen

Für IAM Access Analyzer gibt es neue Berechtigungen, mit denen Sie überprüfen können, ob Aktualisierungen Ihrer Richtlinien zusätzlichen Zugriff gewähren.

Diese Berechtigung wird von IAM Access Analyzer benötigt, um Richtlinienprüfungen für Ihre Richtlinien durchzuführen.

 26. November 2023
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen Bei IAM Access Analyzer gibt es jetzt Aktionen bei den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy, die die folgenden Aktionen unterstützen:

  • Auflisten von Entitäten für eine Richtlinie

  • Generieren von Informationen zum letzten Zugriff auf Services

  • Auflisten der wichtigsten Informationen über den Zugriffsschlüssel

 26. November 2023
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat Support für die folgenden Ressourcentypen zu den Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy hinzugefügt:

  • Amazon-EBS-Volume-Snapshots

  • Amazon-ECR-Repositorys

  • Amazon-EFS-Dateisysteme

  • Amazon-RDS-DB-Snapshots

  • Snapshots des Amazon-RDS-DB-Clusters

  • Amazon SNS-Themen

 25. Oktober 2022
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat die lambda:GetFunctionUrlConfig-Aktion für die Service-Level-Berechtigungen von AccessAnalyzerServiceRolePolicy hinzugefügt. 6. April 2022
AccessAnalyzerServiceRolePolicy – Hinzugefügte Berechtigungen IAM Access Analyzer hat neue Amazon S3 Aktionen hinzugefügt, um Metadaten zu analysieren, die mit regionübergreifenden Zugriffspunkten verknüpft sind. 2. September 2021

IAMAccessAnalyzerReadOnlyAccess – Hinzugefügte Berechtigungen

IAM Access Analyzer hat eine neue Aktion zur Erteilung von ValidatePolicy-Berechtigungen hinzugefügt, damit Sie die Richtlinienprüfungen für die Validierung verwenden können.

Diese Berechtigung wird von IAM Access Analyzer benötigt, um Richtlinienprüfungen für Ihre Richtlinien durchzuführen.

 16. März 2021

IAM Access Analyzer hat mit der Verfolgung von Änderungen begonnen

IAM Access Analyzer hat damit begonnen, Änderungen für die von AWS verwalteten Richtlinien zu verfolgen.

 1. März 2021