Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von IAM-Rollen mit Amplify-Anwendungen
<a name="add-IAM-roles"></a>

Eine IAM-Rolle ist eine IAM-Identität mit bestimmten Berechtigungen. Die Berechtigungen der Rolle bestimmen, was die Identität tun kann und was nicht. AWS Sie können in Ihrem IAM-Rollen erstellen AWS-Konto und diese verwenden, um Berechtigungen an Amplify Hosting zu delegieren. *Weitere Informationen zu Rollen finden Sie unter [IAM-Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).*

Sie können die folgenden Arten von IAM-Rollen verwenden, um Amplify Hosting die erforderlichen Berechtigungen zu gewähren, um Aktionen in Ihrem Namen auszuführen oder Rechencode auszuführen, der auf andere Ressourcen zugreift. AWS 

**IAM-Servicerolle**  
Amplify übernimmt diese Rolle, um Aktionen in Ihrem Namen durchzuführen. Diese Rolle ist für Anwendungen mit Backend-Ressourcen erforderlich.

**IAM SSR-Rechenrolle**  
Ermöglicht einer serverseitig gerenderten (SSR) Anwendung den sicheren Zugriff auf bestimmte Ressourcen. AWS 

**Rolle „IAM SSR-Protokolle“ CloudWatch **  
Wenn Sie eine SSR-App bereitstellen, benötigt die App eine IAM-Servicerolle, die Amplify annimmt, um Amplify den Zugriff auf Amazon Logs zu ermöglichen. CloudWatch 

**Topics**
+ [Hinzufügen einer Servicerolle mit Berechtigungen zur Bereitstellung von Backend-Ressourcen](amplify-service-role.md)
+ [Hinzufügen einer SSR-Compute-Rolle, um den Zugriff auf Ressourcen zu ermöglichen AWS](amplify-SSR-compute-role.md)
+ [Hinzufügen einer Servicerolle mit Berechtigungen für den Zugriff auf CloudWatch Protokolle](cloudwatch-logs-role.md)

# Hinzufügen einer Servicerolle mit Berechtigungen zur Bereitstellung von Backend-Ressourcen
<a name="amplify-service-role"></a>

Amplify benötigt Berechtigungen, um Backend-Ressourcen mit Ihrem Frontend bereitzustellen. Dazu verwenden Sie eine Servicerolle. Eine Servicerolle ist die AWS Identity and Access Management (IAM) -Rolle, die Amplify Hosting die Erlaubnis gibt, Backends in Ihrem Namen bereitzustellen, zu erstellen und zu verwalten.

Wenn Sie eine neue App erstellen, für die eine IAM-Servicerolle erforderlich ist, können Sie entweder Amplify Hosting erlauben, automatisch eine Servicerolle für Sie zu erstellen, oder Sie können eine IAM-Rolle auswählen, die Sie bereits erstellt haben. In diesem Abschnitt erfahren Sie, wie Sie eine Amplify-Servicerolle erstellen, die über Kontoverwaltungsrechte verfügt und explizit direkten Zugriff auf Ressourcen ermöglicht, die Amplify-Anwendungen für die Bereitstellung, Erstellung und Verwaltung von Backends benötigen.

## Eine Amplify-Servicerolle in der IAM-Konsole erstellen
<a name="create-service-role"></a>

**So erstellen Sie eine Servicerolle**

1.  [Öffnen Sie die IAM-Konsole](https://console.aws.amazon.com/iam/home?#/roles) **und wählen Sie in der linken Navigationsleiste **Rollen** und anschließend Rolle erstellen aus.**

1. Wählen Sie auf der Seite **Vertrauenswürdige Entitäten auswählen** die Option **AWS -Service** aus. **Wählen Sie als **Anwendungsfall** **Amplify — Backend Deployment** und dann Weiter aus.**

1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die Option **Next** (Weiter) aus.

1. Geben Sie auf der Seite **Name, Ansicht und Erstellung** für **Rollenname** einen aussagekräftigen Namen ein, z. B. **AmplifyConsoleServiceRole-AmplifyRole**

1. Akzeptieren Sie alle Standardeinstellungen und wählen Sie **Create role** aus.

1. Kehren Sie zur Amplify-Konsole zurück, um die Rolle an Ihre App anzuhängen.
   + Wenn Sie gerade dabei sind, eine neue App bereitzustellen, gehen Sie wie folgt vor:

     1. Aktualisieren Sie die Liste der Servicerollen.

     1. Wählen Sie die Rolle aus, die Sie gerade erstellt haben. In diesem Beispiel sollte sie wie **AmplifyConsoleServiceRole-** aussehenAmplifyRole.

     1. Wählen Sie **Weiter** und folgen Sie den Schritten, um Ihre App-Bereitstellung abzuschließen.
   + Wenn Sie bereits eine App haben, gehen Sie wie folgt vor:

     1. Wählen Sie im Navigationsbereich **App-Einstellungen** und dann **IAM-Rollen** aus.

     1. **Wählen Sie auf der Seite mit den **IAM-Rollen** im Abschnitt **Servicerolle** die Option Bearbeiten aus.**

     1. Wählen Sie auf der Seite „**Servicerolle**“ die Rolle aus, die Sie gerade erstellt haben, aus der Liste der **Servicerollen**.

     1. Wählen Sie **Speichern**.

1. Amplify hat jetzt die Erlaubnis, Backend-Ressourcen für Ihre App bereitzustellen.

## Bearbeiten Sie die Vertrauensrichtlinie einer Servicerolle, um zu verhindern, dass der Stellvertreter verwirrt wird
<a name="confused-deputy-prevention"></a>

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. Weitere Informationen finden Sie unter [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).

Derzeit erzwingt die standardmäßige Vertrauensrichtlinie für die `Amplify-Backend Deployment` Servicerolle die Schlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Kontextbedingungen, um zu verhindern, dass der Stellvertreter verwirrt wird. Wenn Sie jedoch zuvor eine `Amplify-Backend Deployment` Rolle in Ihrem Konto erstellt haben, können Sie die Vertrauensrichtlinie der Rolle aktualisieren, um diese Bedingungen hinzuzufügen, um vor verwirrtem Stellvertreter zu schützen.

Verwenden Sie das folgende Beispiel, um den Zugriff auf Apps in Ihrem Konto einzuschränken. Ersetzen Sie die Region und die Anwendungs-ID im Beispiel durch Ihre eigenen Informationen.

```
"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
```

Anweisungen zum Bearbeiten der Vertrauensrichtlinie für eine Rolle mithilfe von finden Sie unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) im *IAM-Benutzerhandbuch*. AWS-Managementkonsole

# Hinzufügen einer SSR-Compute-Rolle, um den Zugriff auf Ressourcen zu ermöglichen AWS
<a name="amplify-SSR-compute-role"></a>

Diese Integration ermöglicht es Ihnen, dem Amplify SSR Compute-Dienst eine IAM-Rolle zuzuweisen, damit Ihre serverseitig gerenderte (SSR) -Anwendung auf der Grundlage der Rollenberechtigungen sicher auf bestimmte AWS Ressourcen zugreifen kann. Beispielsweise können Sie den SSR-Rechenfunktionen Ihrer App den sicheren Zugriff auf andere AWS Dienste oder Ressourcen wie Amazon Bedrock einen Amazon S3 S3-Bucket ermöglichen, basierend auf den in der zugewiesenen IAM-Rolle definierten Berechtigungen.

Die IAM-SSR-Rechenrolle stellt temporäre Anmeldeinformationen bereit, sodass langlebige Sicherheitsanmeldedaten in Umgebungsvariablen nicht fest codiert werden müssen. Die Verwendung der IAM SSR Compute-Rolle entspricht den bewährten AWS Sicherheitsmethoden, d. h. der Gewährung von Berechtigungen mit den geringsten Rechten und der Verwendung von kurzfristigen Anmeldeinformationen, wenn möglich.

In den Anweisungen weiter unten in diesem Abschnitt wird beschrieben, wie Sie eine Richtlinie mit benutzerdefinierten Berechtigungen erstellen und die Richtlinie einer Rolle zuordnen. Wenn Sie die Rolle erstellen, müssen Sie eine benutzerdefinierte Vertrauensrichtlinie anhängen, die Amplify die Erlaubnis erteilt, die Rolle zu übernehmen. Wenn die Vertrauensbeziehung nicht korrekt definiert ist, wird beim Versuch, die Rolle hinzuzufügen, eine Fehlermeldung angezeigt. Die folgende benutzerdefinierte Vertrauensrichtlinie gewährt Amplify die Erlaubnis, die Rolle zu übernehmen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "amplify.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Sie können eine IAM-Rolle in Ihrer AWS-Konto mit einer vorhandenen SSR-Anwendung verknüpfen, indem Sie die Amplify-Konsole verwenden AWS SDKs, oder die. AWS CLI Die Rolle, die Sie zuordnen, wird automatisch dem Amplify SSR-Rechendienst zugeordnet und gewährt ihm die von Ihnen angegebenen Berechtigungen für den Zugriff auf andere AWS Ressourcen. Da sich die Anforderungen Ihrer Anwendung im Laufe der Zeit ändern, können Sie die zugeordnete IAM-Rolle ändern, ohne Ihre Anwendung erneut bereitstellen zu müssen. Dies bietet Flexibilität und reduziert Ausfallzeiten von Anwendungen.

**Wichtig**  
Sie sind dafür verantwortlich, Ihre Anwendung so zu konfigurieren, dass sie Ihre Sicherheits- und Compliance-Ziele erfüllt. Dazu gehört die Verwaltung Ihrer SSR-Compute-Rolle, die so konfiguriert sein sollte, dass sie über die Mindestberechtigungen verfügt, die zur Unterstützung Ihres Anwendungsfalls erforderlich sind. Weitere Informationen finden Sie unter [Verwaltung der Sicherheit von IAM SSR Compute-Rollen](#managing-compute-role-security).

## Erstellen einer SSR-Compute-Rolle in der IAM-Konsole
<a name="create-SSR-compute-role-IAM-console"></a>

Bevor Sie einer Amplify-Anwendung eine IAM SSR Compute-Rolle hinzufügen können, muss die Rolle bereits in Ihrer vorhanden sein. AWS-Konto In diesem Abschnitt erfahren Sie, wie Sie eine IAM-Richtlinie erstellen und sie einer Rolle zuordnen, die Amplify für den Zugriff auf bestimmte AWS Ressourcen übernehmen kann.

Wir empfehlen Ihnen, bei der Erstellung einer AWS IAM-Rolle die bewährten Methoden zur Gewährung von *Berechtigungen mit den geringsten* Rechten zu befolgen. Die IAM-SSR-Compute-Rolle wird nur von SSR-Rechenfunktionen aus aufgerufen und sollte daher nur die Berechtigungen gewähren, die für die Ausführung des Codes erforderlich sind.

Sie können das AWS-Managementkonsole, oder verwenden AWS CLI, um Richtlinien SDKs in IAM zu erstellen. *Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html).*

Die folgenden Anweisungen zeigen, wie Sie mit der IAM-Konsole eine IAM-Richtlinie erstellen, die die Berechtigungen definiert, die dem Amplify Compute-Dienst gewährt werden sollen.

**Um den JSON-Richtlinien-Editor der IAM-Konsole zum Erstellen einer Richtlinie zu verwenden**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.

1. Geben oder fügen Sie ein JSON-Richtliniendokument ein.

1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.

1. Geben Sie auf der Seite **Review and create** (Überprüfen und erstellen) unter **Name** einen Namen und unter **Description** (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.

1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

Nachdem Sie eine Richtlinie erstellt haben, folgen Sie den folgenden Anweisungen, um die Richtlinie einer IAM-Rolle zuzuordnen.

**Um eine Rolle zu erstellen, die Amplify-Berechtigungen für bestimmte AWS Ressourcen gewährt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich der Konsole auf **Roles (Rollen)** und wählen Sie dann **Create role (Rolle erstellen)**.

1. Wählen Sie den Rollentyp **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie).

1. Geben Sie im Abschnitt **Benutzerdefinierte Vertrauensrichtlinie** die benutzerdefinierte Vertrauensrichtlinie für die Rolle ein. Eine Rollenvertrauensrichtlinie ist erforderlich und definiert die Prinzipale, denen Sie vertrauen, dass sie die Rolle übernehmen. 

   Kopieren Sie die folgende Vertrauensrichtlinie und fügen Sie sie ein, um dem Amplify-Dienst die Erlaubnis zu erteilen, diese Rolle zu übernehmen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "amplify.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann **Next** (Weiter) aus.

1. Suchen Sie auf der Seite „**Berechtigungen hinzufügen**“ nach dem Namen der Richtlinie, die Sie im vorherigen Verfahren erstellt haben, und wählen Sie sie aus. Klicken Sie anschließend auf **Weiter**.

1. Geben Sie für **Rollenname** einen Rollennamen ein. Rollennamen müssen innerhalb Ihres Unternehmens eindeutig sein AWS-Konto. Sie werden nicht nach Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die **PRODROLE** bzw. **prodrole** heißen. Da andere AWS Ressourcen möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nicht bearbeiten, nachdem sie erstellt wurde.

1. (Optional) Geben Sie unter **Role description** (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

1. (Optional) Wählen Sie **Bearbeiten** im Abschnitt **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungen hinzufügen**, um die benutzerdefinierte Richtlinie und die Berechtigungen für die Rolle zu bearbeiten. 

1. Prüfen Sie die Rolle und klicken Sie dann auf **Rolle erstellen**.

## Hinzufügen einer IAM SSR Compute-Rolle zu einer Amplify-App
<a name="add-ssr-compute-role-to-app"></a>

Nachdem Sie in Ihrem eine IAM-Rolle erstellt haben AWS-Konto, können Sie sie einer App in der Amplify-Konsole zuordnen.

**Um einer App in der Amplify-Konsole eine SSR-Compute-Rolle hinzuzufügen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amplify-Konsole unter [https://console.aws.amazon.com/amplify/](https://console.aws.amazon.com/amplify/).

1. Wählen Sie auf der Seite **Alle Apps** den Namen der App aus, zu der Sie eine Rechenrolle hinzufügen möchten.

1. Wählen Sie im Navigationsbereich **App-Einstellungen** und dann **IAM-Rollen** aus.

1. Wählen **Sie im Abschnitt Rechenrolle** die Option **Bearbeiten** aus.

1. Suchen Sie in der Liste **Standardrolle** nach dem Namen der Rolle, die Sie anhängen möchten, und wählen Sie sie aus. In diesem Beispiel können Sie den Namen der Rolle wählen, die Sie im vorherigen Verfahren erstellt haben. Standardmäßig wird die Rolle, die Sie auswählen, allen Zweigen Ihrer App zugeordnet.

   Wenn die Vertrauensbeziehung der Rolle nicht korrekt definiert ist, erhalten Sie eine Fehlermeldung und Sie können die Rolle nicht hinzufügen.

1. (optional) Wenn sich Ihre Anwendung in einem öffentlichen Repository befindet und die automatische Branch-Erstellung verwendet oder Webvorschauen für Pull-Requests aktiviert sind, empfehlen wir nicht, eine Rolle auf App-Ebene zu verwenden. Ordnen Sie die Rolle Compute stattdessen nur Branches zu, die Zugriff auf bestimmte Ressourcen benötigen. Gehen Sie wie folgt vor, um das Standardverhalten auf App-Ebene zu überschreiben und einer bestimmten Branche eine Rolle zuzuweisen:

   1. Wählen Sie **unter Branch** den Namen des Branches aus, den Sie verwenden möchten.

   1. Wählen Sie **unter Rechenrolle** den Namen der Rolle aus, die dem Zweig zugeordnet werden soll.

1. Wählen Sie „**Speichern**“.

## Verwaltung der Sicherheit von IAM SSR Compute-Rollen
<a name="managing-compute-role-security"></a>

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Sie sind dafür verantwortlich, Ihre Anwendung so zu konfigurieren, dass sie Ihre Sicherheits- und Compliance-Ziele erfüllt. Dazu gehört die Verwaltung Ihrer SSR-Compute-Rolle, die so konfiguriert sein sollte, dass sie über die Mindestberechtigungen verfügt, die zur Unterstützung Ihres Anwendungsfalls erforderlich sind. Die Anmeldeinformationen für die von Ihnen angegebene SSR-Compute-Rolle sind sofort während der Laufzeit Ihrer SSR-Funktion verfügbar. Wenn Ihr SSR-Code diese Anmeldeinformationen entweder absichtlich, aufgrund eines Fehlers oder durch die Zulassung von Remote Code Execution (RCE) preisgibt, kann sich ein nicht autorisierter Benutzer Zugriff auf die SSR-Rolle und ihre Berechtigungen verschaffen.

Wenn eine Anwendung in einem öffentlichen Repository eine SSR-Compute-Rolle und automatische Branch-Erstellung oder Webvorschauen für Pull-Requests verwendet, müssen Sie sorgfältig verwalten, welche Branches auf die Rolle zugreifen können. Wir empfehlen, keine Rolle auf App-Ebene zu verwenden. Stattdessen sollten Sie eine Rechenrolle auf Filialebene anhängen. Auf diese Weise können Sie nur den Branchen Berechtigungen gewähren, die Zugriff auf bestimmte Ressourcen benötigen. 

Wenn die Anmeldeinformationen Ihrer Rolle offengelegt werden, ergreifen Sie die folgenden Maßnahmen, um jeglichen Zugriff auf die Anmeldeinformationen der Rolle zu entfernen.

1. **Widerrufen Sie alle Sitzungen**

   Anweisungen zum sofortigen Widerrufen aller Berechtigungen für die Anmeldeinformationen der Rolle finden Sie unter [Temporäre Sicherheitsanmeldeinformationen für die IAM-Rolle widerrufen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html).

1. **Löschen Sie die Rolle aus der Amplify-Konsole**

   Diese Aktion wird sofort wirksam. Sie müssen Ihre Anwendung nicht erneut bereitstellen. 

**Um eine Compute-Rolle in der Amplify-Konsole zu löschen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amplify-Konsole unter [https://console.aws.amazon.com/amplify/](https://console.aws.amazon.com/amplify/).

1. Wählen Sie auf der Seite **Alle Apps** den Namen der App aus, aus der Sie die Compute-Rolle entfernen möchten.

1. Wählen Sie im Navigationsbereich **App-Einstellungen** und dann **IAM-Rollen** aus.

1. Wählen **Sie im Abschnitt Rechenrolle** die Option **Bearbeiten** aus.

1. Um die **Standardrolle** zu löschen, wählen Sie das **X** rechts neben dem Namen der Rolle.

1. Wählen Sie **Speichern**.

# Hinzufügen einer Servicerolle mit Berechtigungen für den Zugriff auf CloudWatch Protokolle
<a name="cloudwatch-logs-role"></a>

Amplify sendet Informationen über Ihre SSR-Laufzeit an Amazon CloudWatch Logs in Ihrem. AWS-Konto Wenn Sie eine SSR-App bereitstellen, benötigt die App eine IAM-Dienstrolle, die Amplify übernimmt, wenn es andere Dienste in Ihrem Namen aufruft. Sie können entweder Amplify Hosting Compute erlauben, automatisch eine Servicerolle für Sie zu erstellen, oder Sie können eine Rolle angeben, die Sie erstellt haben.

Wenn Sie Amplify erlauben, eine IAM-Rolle für Sie zu erstellen, verfügt die Rolle bereits über die Berechtigungen zum Erstellen CloudWatch von Protokollen. Wenn Sie Ihre eigene IAM-Rolle erstellen, müssen Sie Ihrer Richtlinie die folgenden Berechtigungen hinzufügen, damit Amplify auf Amazon CloudWatch Logs zugreifen kann.

```
logs:CreateLogStream
logs:CreateLogGroup
logs:DescribeLogGroups
logs:PutLogEvents
```