Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management in Amazon Simple Workflow Service
Für den Zugriff auf Amazon SWF sind Anmeldeinformationen erforderlich, mit denen Sie Ihre Anfragen authentifizieren AWS können. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen verfügen, z. B. für das Abrufen von Ereignisdaten aus anderen AWS Ressourcen. In den folgenden Abschnitten erfahren Sie, wie Sie [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) und Amazon SWF verwenden können, um Ihre Ressourcen zu schützen, indem Sie den Zugriff darauf kontrollieren.
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon SWF SWF-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Zugriffskontrolle](#access-control-swf)
+ [Richtlinienmaßnahmen für Amazon SWF](#security_iam_service-with-iam-id-based-policies-actions)
+ [Richtlinienressourcen für Amazon SWF](#security_iam_service-with-iam-id-based-policies-resources)
+ [Schlüssel für Richtlinienbedingungen für Amazon SWF](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs bei Amazon SWF](#security_iam_service-with-iam-acls)
+ [ABAC mit Amazon SWF](#security_iam_service-with-iam-tags)
+ [Temporäre Anmeldeinformationen mit Amazon SWF verwenden](#security_iam_service-with-iam-roles-tempcreds)
+ [Serviceübergreifende Prinzipalberechtigungen für Amazon SWF](#security_iam_service-with-iam-principal-permissions)
+ [Servicerollen für Amazon SWF](#security_iam_service-with-iam-roles-service)
+ [Servicebezogene Rollen für Amazon SWF](#security_iam_service-with-iam-roles-service-linked)
+ [Identitätsbasierte Richtlinien für Amazon SWF](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien in Amazon SWF](#security_iam_service-with-iam-resource-based-policies)
+ [So funktioniert Amazon Simple Workflow Service mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
+ [Grundlegende Prinzipien](swf-dev-iam.basic.md)
+ [Amazon SWF IAM-Richtlinien](swf-dev-iam.policies.md)
+ [Übersicht über API-Befehle](swf-dev-iam.api.md)
+ [Tagbasierte Richtlinien](tag-based-policies.md)
+ [Amazon VPC-Endpunkte für Amazon SWF](swf-vpc-endpoints.md)
+ [Fehlerbehebung bei Identität und Zugriff auf Amazon Simple Workflow Service](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon Simple Workflow Service](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Simple Workflow Service mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
## Zugriffskontrolle
Sie können über gültige Anmeldeinformationen verfügen, um Ihre Anfragen zu authentifizieren, aber ohne die entsprechenden Berechtigungen können Sie keine Amazon SWF SWF-Ressourcen erstellen oder darauf zugreifen. Sie benötigen beispielsweise Berechtigungen zum Aufrufen AWS Lambda von Zielen für Amazon Simple Notification Service (Amazon SNS) und Amazon Simple Queue Service (Amazon SQS), die mit Ihren Amazon SWF SWF-Regeln verknüpft sind.
In den folgenden Abschnitten wird beschrieben, wie Sie Berechtigungen für Amazon SWF verwalten. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.
+ [Grundlegende Prinzipien](swf-dev-iam.basic.md)
+ [Amazon SWF IAM-Richtlinien](swf-dev-iam.policies.md)
+ [Richtlinien für Amazon SWF schreiben](swf-dev-iam.policies.md#swf-dev-iam.policies.examples)
## Richtlinienmaßnahmen für Amazon SWF
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Amazon SWF SWF-Aktionen finden Sie unter [Von Amazon Simple Workflow Service definierte Ressourcen in der Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-resources-for-iam-policies) *Authorization Reference*.
Richtlinienaktionen in Amazon SWF verwenden vor der Aktion das folgende Präfix:
```
swf
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"swf:action1",
"swf:action2"
]
```
Beispiele für identitätsbasierte Amazon SWF SWF-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Amazon SWF
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon SWF SWF-Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter [Von Amazon Simple Workflow Service definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-actions-as-permissions) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Simple Workflow Service definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-resources-for-iam-policies).
Beispiele für identitätsbasierte Amazon SWF SWF-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## Schlüssel für Richtlinienbedingungen für Amazon SWF
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon SWF SWF-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Simple Workflow Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Simple Workflow Service definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html#amazonsimpleworkflowservice-resources-for-iam-policies).
Beispiele für identitätsbasierte Amazon SWF SWF-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## ACLs bei Amazon SWF
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Amazon SWF
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit Amazon SWF verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für Amazon SWF
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon SWF
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Durch das Ändern der Berechtigungen für eine Servicerolle kann die Amazon SWF SWF-Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, wenn Amazon SWF Sie dazu anleitet.
## Servicebezogene Rollen für Amazon SWF
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
## Identitätsbasierte Richtlinien für Amazon SWF
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon SWF
Beispiele für identitätsbasierte Amazon SWF SWF-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien in Amazon SWF
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Simple Workflow Service mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon SWF zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für Amazon SWF verfügbar sind.
**IAM-Funktionen, die Sie mit Amazon Simple Workflow Service verwenden können**
| IAM-Feature | Amazon SWF SWF-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](swf-dev-iam.md#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](swf-dev-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](swf-dev-iam.md#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](swf-dev-iam.md#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](swf-dev-iam.md#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](swf-dev-iam.md#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](swf-dev-iam.md#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](swf-dev-iam.md#security_iam_service-with-iam-roles-service-linked) | Nein |
Einen allgemeinen Überblick darüber, wie Amazon SWF und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
# Beispiele für identitätsbasierte Richtlinien für Amazon Simple Workflow Service
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon SWF SWF-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon SWF definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Simple Workflow Service in der Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsimpleworkflowservice.html) *Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon SWF SWF-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon SWF SWF-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon SWF SWF-Konsole
Um auf die Amazon Simple Workflow Service-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon SWF SWF-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Amazon SWF-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die Amazon SWF `ConsoleAccess` - oder `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Grundlegende Prinzipien
Die Amazon SWF SWF-Zugriffskontrolle basiert hauptsächlich auf zwei Arten von Berechtigungen:
+ Ressourcenberechtigungen: Auf welche Amazon SWF SWF-Ressourcen ein Benutzer zugreifen kann.
Sie können Ressourcenberechtigungen nur für Domänen erteilen.
+ API-Berechtigungen: Welche Amazon SWF SWF-Aktionen ein Benutzer aufrufen kann.
Die einfachste Methode besteht darin, vollen Kontozugriff zu gewähren — jede Amazon SWF SWF-Aktion in einer beliebigen Domain aufzurufen — oder den Zugriff vollständig zu verweigern. IAM unterstützt jedoch einen detaillierteren Ansatz zur Zugriffskontrolle, der oft nützlicher ist. So können Sie beispielsweise:
+ Erlaubt einem Benutzer, jede Amazon SWF SWF-Aktion ohne Einschränkungen aufzurufen, jedoch nur in einer bestimmten Domain. Solch eine Richtlinie eignet sich, um Workflow-Anwendungen, die sich noch in der Entwicklung befinden, die Möglichkeit zu bieten, alle Aktionen zu verwenden, allerdings nur in einer "Sandbox"-Domäne.
+ einem Benutzer Zugriff auf alle Domänen zu gewähren, jedoch die Verwendung der API einzuschränken. Solch eine Richtlinie eignet sich, um einer "Auditor"-Anwendung die Berechtigung zu erteilen, die API in allen Domänen aufzurufen, ihr allerdings nur Lesezugriff zu gewähren.
+ einem Benutzer die Berechtigung erteilen, eine begrenzte Anzahl an Aktionen in bestimmten Domänen aufzurufen. Solch eine Richtlinie eignet sich, um einem Workflow-Starter die Berechtigung zu erteilen, nur die `StartWorkflowExecution`-Aktion in einer bestimmten Domäne aufzurufen.
Die Amazon SWF SWF-Zugriffskontrolle basiert auf den folgenden Prinzipien:
+ Entscheidungen zur Zugriffskontrolle basieren ausschließlich auf IAM-Richtlinien. Die gesamte Überprüfung und Bearbeitung von Richtlinien erfolgt über IAM.
+ Das Zugriffskontrollmodell verwendet eine deny-by-default Richtlinie. Jeder Zugriff, der nicht ausdrücklich erlaubt ist, wird verweigert.
+ Sie kontrollieren den Zugriff auf Amazon SWF SWF-Ressourcen, indem Sie den Akteuren des Workflows entsprechende IAM-Richtlinien zuordnen.
+ Ressourcenberechtigungen können nur für Domänen erteilt werden.
+ Sie können die Verwendung für einige Aktionen weiter einschränken, indem Sie einem oder mehreren Parametern Bedingungen hinzufügen.
+ Wenn Sie die Erlaubnis zur Nutzung erteilen [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html), können Sie Genehmigungen für die Liste der in dieser Aktion enthaltenen Entscheidungen erteilen.
Jede Entscheidung umfasst einen oder mehrere Parameter, ähnlich einem regulären API-Aufruf. Damit die Richtlinien so gut wie möglich zu lesen sind, können Sie die Berechtigungen für Entscheidungen so erteilen, als würde es sich dabei um API-Aufrufe handeln, einschließlich dem Hinzufügen von Bedingungen zu einigen Parametern. Diese Art von Berechtigungen werden als *Pseudo-API*-Berechtigungen bezeichnet.
Eine Zusammenfassung der regulären und Pseudo-API-Parameter, die durch Bedingungen eingeschränkt werden können, finden Sie unter [Übersicht über API-Befehle](swf-dev-iam.api.md).
# Amazon SWF IAM-Richtlinien
Eine IAM-Richtlinie enthält ein oder mehrere `Statement` Elemente, von denen jedes eine Reihe von Elementen enthält, die die Richtlinie definieren. Eine vollständige Liste der Elemente und eine allgemeine Erläuterung der Erstellung von Richtlinien finden Sie unter [The Access Policy Language](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage.html). Die Amazon SWF SWF-Zugriffskontrolle basiert auf den folgenden Elementen:
Auswirkung
(Erforderlich) Der Effekt der Anweisung: `deny` oder `allow`.
Sie müssen den Zugriff explizit zulassen. IAM verweigert den Zugriff standardmäßig.
Ressource
(Erforderlich) Die Ressource — eine Entität in einem AWS Dienst, mit der ein Benutzer interagieren kann —, für die sich die Anweisung bezieht.
Sie können Ressourcenberechtigungen nur für Domänen erteilen. Beispielsweise kann eine Richtlinie nur Zugriff auf bestimmte Domänen in Ihrem Konto erteilen. Um Berechtigungen für eine Domain auszudrücken, legen Sie `Resource` den Amazon-Ressourcennamen (ARN) der Domain fest, der das Format „arn:aws:swf::*Region*: *AccountID* /domain/“ hat. *DomainName* *Region*ist die AWS Region, *AccountID* ist die Konto-ID ohne Bindestriche und ist der Domainname. *DomainName*
Action
(Erforderlich) Die Aktion, für die sich die Aussage bezieht und auf die Sie sich beziehen, indem Sie das folgende Format verwenden*serviceId*:*action*. Stellen Sie für Amazon SWF *serviceID* auf ein`swf`. `swf:StartWorkflowExecution`Bezieht sich beispielsweise auf die [StartWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_StartWorkflowExecution.html)Aktion und wird verwendet, um zu steuern, welche Benutzer Workflows starten dürfen.
Wenn Sie die Nutzungsberechtigung erteilen [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html), können Sie auch den Zugriff auf die enthaltene Entscheidungsliste kontrollieren, indem Sie die Berechtigungen für die Pseudo-API `Action` zum Ausdruck bringen. Da IAM standardmäßig den Zugriff verweigert, muss die Entscheidung eines Entscheiders ausdrücklich zugelassen werden, andernfalls wird sie nicht akzeptiert. Mithilfe des `*`-Werts können Sie alle Entscheidungen erlauben.
Bedingung
(Optional) Drückt eine Einschränkung für einen oder mehrere Parameter einer Aktion aus. Hierdurch werden die zulässigen Werte eingeschränkt.
Amazon SWF SWF-Aktionen haben oft einen großen Umfang, den Sie mithilfe von IAM-Bedingungen reduzieren können. Um beispielsweise einzuschränken, auf welche Aufgabenlisten die [PollForActivityTask](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_PollForActivityTask.html)Aktion zugreifen darf, fügen Sie a hinzu `Condition` und geben mit der `swf:taskList.name` Taste die zulässigen Listen an.
Sie können für die folgenden Entitäten Einschränkungen hinzufügen.
+ Der Workflow-Typ. Der Name und die Version verfügen über separate Schlüssel.
+ Der Aktivitätstyp. Der Name und die Version verfügen über separate Schlüssel.
+ Aufgabenlisten.
+ Tags. Sie können für manche Aktionen mehrere Tags angeben. In diesem Fall verfügt jedes Tag über einen separaten Schlüssel.
Bei Amazon SWF handelt es sich bei den Werten ausschließlich um Zeichenketten, sodass Sie einen Parameter einschränken, indem Sie einen Zeichenkettenoperator wie`StringEquals`, verwenden, der den Parameter auf eine bestimmte Zeichenfolge beschränkt. Die regulären Zeichenfolgenoperatoren wie `StringEquals` erfordern es jedoch, dass alle Anfragen den Parameter enthalten. Wenn Sie den Parameter nicht ausdrücklich einschließen und kein Standardwert vorliegt, wie beispielsweise die während der Typenregistrierung bereitgestellte standardmäßige Aufgabenliste, wird der Zugriff verweigert.
Es empfiehlt sich häufig, Bedingungen als optional zu behandeln, so können Sie eine Aktion auch ohne den zugeordneten Parameter aufrufen. Beispielsweise könnten Sie einem Entscheider die Möglichkeit geben, eine Reihe von [RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)Entscheidungen zu spezifizieren, aber auch, nur eine davon für einen bestimmten Anruf anzugeben. In diesem Fall beschränken Sie die entsprechenden Parameter mithilfe des `StringEqualsIfExists`-Operators, der den Zugriff gewährt, wenn der Parameter der Bedingung entspricht, bei Abwesenheit des Parameters den Zugriff jedoch verweigert.
Eine vollständige Liste der einschränkbaren Parameter sowie der zugeordneten Schlüssel finden Sie unter [Übersicht über API-Befehle](swf-dev-iam.api.md).
Der folgende Abschnitt enthält Beispiele für die Erstellung von Amazon SWF SWF-Richtlinien. Weitere Informationen finden Sie unter [Zeichenfolgenbedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AccessPolicyLanguage_ConditionType).
## Richtlinien für Amazon SWF schreiben
Ein Workflow besteht aus mehreren *Akteuren* — Aktivitäten, Entscheidern usw. Sie können den Zugriff für jeden Akteur steuern, indem Sie eine entsprechende IAM-Richtlinie anhängen.
Mit der folgenden Aktion erhält der Akteur vollen Kontozugriff in allen Regionen:
+ **Aktion:** `swf:*`
+ **Ressource:** `arn:aws:swf:*:123456789012:/domain/*`
Sie können Platzhalter verwenden, damit ein einzelner Wert mehrere Ressourcen, Aktionen oder Regionen repräsentiert.
+ Der erste Platzhalter (`*`) im `Resource` Wert gibt an, dass die Ressourcenberechtigungen für alle **Regionen** gelten.
Um die Berechtigungen auf eine einzelne Region zu beschränken, ersetzen Sie den Platzhalter durch die entsprechende Regionszeichenfolge, z. B. us-east-1.
+ Der zweite Platzhalter (`*`) im `Resource`-Wert ermöglicht es dem Akteur, auf jede der zum Konto gehörenden Domänen innerhalb der angegebenen Regionen zuzugreifen.
+ Der Platzhalter (`*`) im `Action` Wert ermöglicht es dem Akteur, jede Amazon SWF SWF-Aktion aufzurufen.
Weitere Informationen zur Verwendung von Platzhaltern finden Sie unter [Beschreibungen der Elemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html).
### Domänenberechtigungen
Um die Arbeitsabläufe einer Abteilung auf eine bestimmte Domäne zu beschränken, könnten Sie einem Akteur eine Genehmigung erteilen, die es einem Akteur ermöglicht, jede Aktion auszurufen, jedoch nur für eine bestimmte Abteilung.
Um einem Akteur Zugriff auf mehr als eine Domäne zu gewähren, geben Sie für jede Domäne die ausdrückliche Genehmigung in Form einer Liste von Anweisungen aus:
+ **Aktion:** `swf:*`
+ **Ressource:** `arn:aws:swf:*:123456789012:/domain/department1`
+ **Ressource:** `arn:aws:swf:*:123456789012:/domain/department2`
Sie können einem Akteur erlauben, jede Amazon SWF SWF-Aktion in den `department2` Domänen `department1` und zu verwenden. Manchmal können Sie auch Platzhalter verwenden, um mehrere Domänen zu repräsentieren.
### API-Berechtigungen und -Einschränkungen
Sie steuern, welche **Aktionen** ein Akteur verwenden kann, indem Sie die Aktion im `Action` Element angeben.
Mit der folgenden Aktion kann ein Akteur Workflows nur aufrufen, `StartWorkflowExecution` um sie zu starten. Er kann keine anderen Aktionen verwenden.
+ **Aktion:** `swf:StartWorkflowExecution`
**Bedingungen**
Sie können optional die zulässigen Parameterwerte der Aktion mithilfe eines `Condition` Elements einschränken.
Um einzuschränken, welche Workflows ein Akteur starten kann, schränken Sie einen oder mehrere der `StartWorkflowExecution` Parameterwerte wie folgt ein:
```
"Condition" : {
"StringEquals" : {
"swf:workflowType.name" : "workflow1",
"swf:workflowType.version" : "version2"
}
}
```
Ein Akteur mit den vorherigen Einschränkungen kann nur `version2` von ausgeführt werden, `workflow1` und beide Parameter müssen in der Anforderung enthalten sein.
Sie können einen Parameter aber auch beschränken, ohne dass er in einer Anfrage enthalten sein muss, indem Sie einen `StringEqualsIfExists`-Operator verwenden. Gehen Sie dazu folgendermaßen vor:
```
"Condition" : {
"StringEqualsIfExists" : { "swf:taskList.name" : "task_list_name" }
}
```
Ein Akteur mit der vorherigen Richtlinie kann optional eine Aufgabenliste angeben, wenn er eine Workflow-Ausführung startet.
Sie können für manche Aktionen eine Reihe von Tags beschränken. Jedes Tag hat einen eigenen Schlüssel, mit `swf:tagList.member.0` dem Sie das erste Tag in der Liste einschränken, `swf:tagList.member.1` das zweite Tag in der Liste einschränken usw., bis zu einem Maximum von 5.
Sie müssen vorsichtig sein, wie Sie Taglisten einschränken. Beispielsweise wird die folgende Bedingung ***nicht*** empfohlen.
Die folgende Bedingung wird **nicht** empfohlen, da Sie damit optional entweder `some_ok_tag` oder angeben können`another_ok_tag`. Die Bedingung schränkt jedoch nur das **erste Element** der Tagliste ein. Die Liste könnte zusätzliche Elemente mit beliebigen Werten enthalten, die alle zulässig wären, weil die Bedingung keine Bedingungen für `swf:tagList.member.1``swf:tagList.member.2`, usw. erfüllt.
```
// Example to illustrate an insecure Condition
"Condition" : {
"StringEqualsIfExists" : {
"swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
}
}
```
Eine Möglichkeit, das vorherige Problem zu lösen, besteht darin, die Verwendung von Taglisten zu verbieten.
Die folgende Richtlinie stellt sicher, dass nur `some_ok_tag` oder `another_ok_tag` zulässig sind, da die Liste nur ein Element besitzen darf.
```
"Condition" : {
"StringEqualsIfExists" : {
"swf:tagList.member.0" : "some_ok_tag", "another_ok_tag"
},
"Null" : { "swf:tagList.member.1" : "true" }
}
```
### Pseudo-API-Berechtigungen und -Einschränkungen
Um die verfügbaren Entscheidungen einzuschränken`RespondDecisionTaskCompleted`, müssen Sie dem Akteur zunächst erlauben, anzurufen`RespondDecisionTaskCompleted`. Anschließend geben Sie die Berechtigungen für die entsprechenden Pseudo-API-Mitglieder mit derselben Syntax wie für die reguläre API wie folgt aus:
+ **Aussage 1**
**Ressource:** `arn:aws:swf:*:123456789012:/domain/*`
**Aktion:** `swf:RespondDecisionTaskCompleted`
+ **Aussage 2**
**Ressource:** `*`
**Aktion:** `swf:ScheduleActivityTask`
**Zustand**: ` "StringEquals" : { "swf:activityType.name" : "SomeActivityType" }`
Die erste `Statement` ermöglicht es dem Schauspieler, anzurufen`RespondDecisionTaskCompleted`. Die zweite Anweisung ermöglicht es dem Akteur, die `ScheduleActivityTask` Entscheidung zu nutzen, Amazon SWF anzuweisen, eine Aktivitätsaufgabe zu planen. Um alle Entscheidungen zuzulassen, ersetzen Sie „swf:ScheduleActivityTask" durch „swf: \$1“.
Sie können Bedingungsoperatoren verwenden, um Parameter wie bei der regulären API einzuschränken. Der `StringEquals` Operator im vorherigen Beispiel `Condition` ermöglicht es`RespondDecisionTaskCompleted`, eine Aktivitätsaufgabe für die `SomeActivityType` Aktivität zu planen, und er muss diese Aufgabe planen. Wenn Sie `RespondDecisionTaskCompleted` die Möglichkeit geben wollen, einen Parameterwert zu verwenden, dies aber nicht erforderlich sein soll, können Sie stattdessen den `StringEqualsIfExists`-Operator verwenden.
## AWS verwaltete Richtlinie: SimpleWorkflowFullAccess
Sie können die `SimpleWorkflowFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie bietet vollen Zugriff auf den Amazon SWF SWF-Konfigurationsservice.
## Einschränkungen des Servicemodells in Bezug auf IAM-Richtlinien
Bei der Erstellung von IAM-Richtlinien müssen Sie Einschränkungen des Servicemodells berücksichtigen. Es ist möglich, eine syntaktisch gültige IAM-Richtlinie zu erstellen, die eine ungültige Amazon SWF SWF-Anfrage darstellt. Eine Anforderung, die im Hinblick auf die Zugriffskontrolle zulässig ist, kann dennoch fehlschlagen, da es sich um eine ungültige Anforderung handelt.
Das Amazon SWF-Servicemodell erlaubt beispielsweise **nicht**, dass die `tagFilter` Parameter `typeFilter` und in derselben `[ListOpenWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListOpenWorkflowExecutions.html)` Anfrage verwendet werden. Die folgende Bedingung würde Aufrufe zulassen, die der Service ablehnt — indem er sie ausgibt `ValidationException` — als ungültige Anfrage:
```
"Condition" : {
"StringEquals" : {
"swf:typeFilter.name" : "workflow_name",
"swf:typeFilter.version" : "workflow_version",
"swf:tagFilter.tag" : "some_tag"
}
}
```
# Übersicht über API-Befehle
In diesem Abschnitt wird kurz beschrieben, wie Sie mithilfe von IAM-Richtlinien steuern können, wie ein Akteur jede API und Pseudo-API für den Zugriff auf Amazon SWF SWF-Ressourcen verwenden kann.
+ Sie können für alle Aktionen mit Ausnahme von `RegisterDomain` und `ListDomains` auf jede oder alle Domänen eines Kontos Zugriff gewähren, indem Sie die Berechtigungen für die Domänenressource erteilen.
+ Sie können jedem Mitglied einer regulären API Berechtigungen erteilen bzw. verweigern. Berechtigungen zum Aufrufen von `[RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)` können Sie jedem Mitglied einer Pseudo-API gewähren.
+ Sie können eine Bedingung verwenden, um die zulässigen Werte eines Parameters einzuschränken
Die folgenden Abschnitte listen die Parameter auf, die für die einzelnen Elemente einer regulären und einer Pseudo-API eingeschränkt werden können. Darüber hinaus finden Sie die zugeordneten Schlüssel sowie alle Einschränkungen, die Sie bei der Kontrolle über den Domänenzugriff beachten müssen.
## Normale API
Dieser Abschnitt listet die regulären API-Elemente auf und beschreibt kurz die Parameter, die eingeschränkt werden können sowie die zugeordneten Schlüssel. Er beschreibt auch alle Einschränkungen, die Sie bei der Kontrolle über den Domänenzugriff beachten müssen.
`[CountClosedWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountClosedWorkflowExecutions.html)`
+ `tagFilter.tag`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagFilter.tag`
+ `typeFilter.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.name`.
+ `typeFilter.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.version`.
**Anmerkung**
`CountClosedWorkflowExecutions` erfordert es, dass `typeFilter` und `tagFilter` sich gegenseitig ausschließen.
`[CountOpenWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountOpenWorkflowExecutions.html)`
+ `tagFilter.tag`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagFilter.tag`
+ `typeFilter.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.name`.
+ `typeFilter.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.version`.
**Anmerkung**
`CountOpenWorkflowExecutions` erfordert es, dass `typeFilter` und `tagFilter` sich gegenseitig ausschließen.
`[CountPendingActivityTasks](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountPendingActivityTasks.html)`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
`[CountPendingDecisionTasks](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_CountPendingDecisionTasks.html)`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
`[DeleteActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeleteActivityType.html)`
+ `activityType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.name`.
+ `activityType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.version`.
`[DeprecateActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeprecateActivityType.html)`
+ `activityType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.name`.
+ `activityType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.version`.
`[DeprecateDomain](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeprecateDomain.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[DeleteWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeleteWorkflowType.html)`
+ `workflowType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.name`.
+ `workflowType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.version`.
`[DeprecateWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DeprecateWorkflowType.html)`
+ `workflowType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.name`.
+ `workflowType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.version`.
`[DescribeActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeActivityType.html)`
+ `activityType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.name`.
+ `activityType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.version`.
`[DescribeDomain](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeDomain.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[DescribeWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeWorkflowExecution.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[DescribeWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_DescribeWorkflowType.html)`
+ `workflowType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.name`.
+ `workflowType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.version`.
`[GetWorkflowExecutionHistory](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_GetWorkflowExecutionHistory.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[ListActivityTypes](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListActivityTypes.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[ListClosedWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListClosedWorkflowExecutions.html)`
+ `tagFilter.tag`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagFilter.tag`
+ `typeFilter.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.name`.
+ `typeFilter.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.version`.
**Anmerkung**
`ListClosedWorkflowExecutions` erfordert es, dass `typeFilter` und `tagFilter` sich gegenseitig ausschließen.
`[ListDomains](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListDomains.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[ListOpenWorkflowExecutions](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListOpenWorkflowExecutions.html)`
+ `tagFilter.tag`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagFilter.tag`
+ `typeFilter.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.name`.
+ `typeFilter.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:typeFilter.version`.
**Anmerkung**
`ListOpenWorkflowExecutions` erfordert es, dass `typeFilter` und `tagFilter` sich gegenseitig ausschließen.
`[ListWorkflowTypes](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_ListWorkflowTypes.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[PollForActivityTask](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_PollForActivityTask.html)`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
`[PollForDecisionTask](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_PollForDecisionTask.html)`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
`[RecordActivityTaskHeartbeat](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RecordActivityTaskHeartbeat.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[RegisterActivityType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RegisterActivityType.html)`
+ `defaultTaskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:defaultTaskList.name`.
+ `name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:name`.
+ `version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:version`.
`[RegisterDomain](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RegisterDomain.html)`
+ `name`— Der Name der Domain, die registriert wird, ist als Ressource für diese Aktion verfügbar.
`[RegisterWorkflowType](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RegisterWorkflowType.html)`
+ `defaultTaskList.name`— Zeichenkettenbeschränkung. Der Schlüssel lautet `swf:defaultTaskList.name`.
+ `name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:name`.
+ `version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:version`.
`[RequestCancelWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RequestCancelWorkflowExecution.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[RespondActivityTaskCanceled](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondActivityTaskCanceled.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[RespondActivityTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondActivityTaskCompleted.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[RespondActivityTaskFailed](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondActivityTaskFailed.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)`
+ `decisions.member.N`— Indirekt durch Pseudo-API-Berechtigungen eingeschränkt. Details hierzu finden Sie unter [Pseudo-API](#swf-dev-iam.api.pseudo).
`[SignalWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_SignalWorkflowExecution.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`[StartWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_StartWorkflowExecution.html)`
+ `tagList.member.0`— Zeichenkettenbeschränkung. Der Schlüssel lautet `swf:tagList.member.0`
+ `tagList.member.1`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.1`
+ `tagList.member.2`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.2`
+ `tagList.member.3`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.3`
+ `tagList.member.4`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.4`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
+ `workflowType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.name`.
+ `workflowType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.version`.
**Anmerkung**
Sie können nicht mehr als fünf Tags einschränken.
`[TerminateWorkflowExecution](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_TerminateWorkflowExecution.html)`
+ Sie können die Parameter für diese Aktion nicht einschränken.
## Pseudo-API
In diesem Abschnitt werden Elemente der Pseudo-API aufgelistet, die die unter `[RespondDecisionTaskCompleted](https://docs.aws.amazon.com/amazonswf/latest/apireference/API_RespondDecisionTaskCompleted.html)` eingeschlossenen Entscheidungen repräsentieren. Wenn Sie die Berechtigung erteilt haben, `RespondDecisionTaskCompleted` zu verwenden, kann Ihre Richtlinie die Berechtigungen für die Elemente dieser API auf die gleiche Art und Weise erteilen wie für die reguläre API. Sie können die Elemente für einige Elemente der Pseudo-API weiter einschränken, indem Sie für einen oder mehrere Parameter Bedingungen einrichten. Dieser Abschnitt listet die Pseudo-API-Elemente auf und beschreibt kurz die Parameter, die eingeschränkt werden können sowie die zugeordneten Schlüssel.
**Anmerkung**
Die Schlüssel `aws:SourceIP`, `aws:UserAgent` und `aws:SecureTransport` stehen für die Pseudo-API nicht zur Verfügung. Wenn Ihre vorgesehene Sicherheitsrichtlinie diese Schlüssel benötigt, um den Zugriff auf die Pseudo-API zu kontrollieren, können Sie sie über die `RespondDecisionTaskCompleted`-Aktion verwenden.
`CancelTimer`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`CancelWorkflowExecution`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`CompleteWorkflowExecution`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`ContinueAsNewWorkflowExecution`
+ `tagList.member.0`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.0`
+ `tagList.member.1`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.1`
+ `tagList.member.2`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.2`
+ `tagList.member.3`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.3`
+ `tagList.member.4`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.4`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
+ `workflowTypeVersion`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowTypeVersion`.
**Anmerkung**
Sie können nicht mehr als fünf Tags einschränken.
`FailWorkflowExecution`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`RecordMarker`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`RequestCancelActivityTask`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`RequestCancelExternalWorkflowExecution`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`ScheduleActivityTask`
+ `activityType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.name`.
+ `activityType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:activityType.version`.
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
`SignalExternalWorkflowExecution`
+ Sie können die Parameter für diese Aktion nicht einschränken.
`StartChildWorkflowExecution`
+ `tagList.member.0`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.0`
+ `tagList.member.1`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.1`
+ `tagList.member.2`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.2`
+ `tagList.member.3`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.3`
+ `tagList.member.4`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:tagList.member.4`
+ `taskList.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:taskList.name`.
+ `workflowType.name`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.name`.
+ `workflowType.version`— Zeichenketteneinschränkung. Der Schlüssel lautet `swf:workflowType.version`.
**Anmerkung**
Sie können nicht mehr als fünf Tags einschränken.
`StartTimer`
+ Sie können die Parameter für diese Aktion nicht einschränken.
# Tagbasierte Richtlinien
Amazon SWF unterstützt Richtlinien, die auf Tags basieren. Sie könnten beispielsweise Amazon SWF-Domains, die ein Tag mit dem Schlüssel `environment` und dem Wert enthalten, `production` mit der folgenden Bedingung einschränken:
```
"Condition": {
"StringEquals": {"aws:ResourceTag/environment": "production"}
}
```
Weitere Informationen zum Markieren finden Sie unter:
+ [Schlagworte in Amazon SWF](swf-dev-adv-tags.md)
+ [Zugriffssteuerung mit IAM-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)
# Amazon VPC-Endpunkte für Amazon SWF
**Anmerkung**
AWS PrivateLink Support ist derzeit nur in den Regionen AWS Top Secret — Ost, AWS Secret Region und China verfügbar.
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine Verbindung zwischen Ihren Amazon VPC- und Amazon Simple Workflow Service-Workflows herstellen. Sie können diese Verbindung mit Ihren Amazon SWF SWF-Workflows verwenden, ohne das öffentliche Internet nutzen zu müssen.
Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen VPCs finden Sie im [Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/).
Um Ihre Amazon VPC mit Amazon SWF zu verbinden, müssen Sie zunächst einen *VPC-Schnittstellen-Endpunkt* definieren, über den Sie Ihre VPC mit anderen verbinden können. AWS-Services Der Endpunkt bietet eine zuverlässige, skalierbare Konnektivität, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon-VPC-Benutzerhandbuch*.
## Erstellen des Endpunkts
Sie können einen Amazon SWF SWF-Endpunkt in Ihrer VPC mit dem AWS-Managementkonsole, dem AWS Command Line Interface (AWS CLI), einem AWS SDK, der Amazon SWF SWF-API oder CloudFormation erstellen.
Informationen zum Erstellen und Konfigurieren eines Endpunkts über die Amazon-VPC-Konsole oder die AWS CLI finden Sie unter [Creating an Interface Endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) (Erstellen eines Schnittstellenendpunkts) im *Amazon-VPC-Benutzerhandbuch*.
**Anmerkung**
Wenn Sie einen Endpunkt erstellen, geben Sie Amazon SWF als den Service an, zu dem Ihre VPC eine Verbindung herstellen soll. In der Amazon VPC-Konsole variieren die Servicenamen je nach AWS Region. In der Region AWS Top Secret — East lautet der Servicename für Amazon SWF beispielsweise **com.amazonaws. us-iso-east-1.swf.**
Informationen zum Erstellen und Konfigurieren eines Endpunkts mithilfe CloudFormation von finden Sie in der VPCEndpoint Ressource [AWSEC2::::](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) im *CloudFormation Benutzerhandbuch*.
## Amazon VPC-Endpunktrichtlinien
Um den Konnektivitätszugriff auf Amazon SWF zu kontrollieren, können Sie beim Erstellen eines Amazon VPC-Endpunkts eine AWS Identity and Access Management (IAM-) Endpunktrichtlinie anhängen. Sie können komplexe IAM-Regeln erstellen, indem Sie mehrere Endpunktrichtlinien anhängen. Weitere Informationen finden Sie unter:
+ [Amazon Virtual Private Cloud Cloud-Endpunktrichtlinien für Amazon SWF](swf-vpc-iam.md)
+ [Kontrollieren des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)
# Amazon Virtual Private Cloud Cloud-Endpunktrichtlinien für Amazon SWF
Sie können eine Amazon VPC-Endpunktrichtlinie für Amazon SWF erstellen, in der Sie Folgendes angeben:
+ Der **Principal**, der Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Das folgende Beispiel fügt einer Richtlinie eine bestimmte IAM-Rolle hinzu:
```
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MyRole"
}
```
+ Weitere Informationen zum Erstellen von Endpunktrichtlinien finden Sie unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
+ Informationen darüber, wie Sie IAM verwenden können, um den Zugriff auf Ihre AWS und Amazon SWF SWF-Ressourcen zu kontrollieren, finden Sie unter[Identity and Access Management in Amazon Simple Workflow Service](swf-dev-iam.md).
# Fehlerbehebung bei Identität und Zugriff auf Amazon Simple Workflow Service
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon SWF und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon SWF durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon SWF SWF-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon SWF durchzuführen
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen einer Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um die Aktion durchführen zu können.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `swf:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: swf:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Mateo-Richtlinie aktualisiert werden, damit er mit der `swf:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon SWF übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon SWF auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon SWF SWF-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer mit anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon SWF diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Simple Workflow Service mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.