Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Batch
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für gelten AWS Batch, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud**: Ihr Verantwortungsumfang wird durch den AWS -Service bestimmt, den Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, einschließlich der Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden können AWS Batch. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS Batch , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer AWS Batch Ressourcen unterstützen.
**Topics**
+ [Identity and Access Management für AWS Batch](security-iam.md)
+ [AWS Batch IAM-Richtlinien, -Rollen und -Berechtigungen](IAM_policies.md)
+ [AWS Batch Rolle „IAM-Ausführung“](execution-IAM-role.md)
+ [Erstellen einer Virtual Private Cloud](create-public-private-vpc.md)
+ [Verwenden Sie einen Schnittstellenendpunkt für Access AWS Batch](vpc-interface-endpoints.md)
+ [Überprüfung der Einhaltung von Vorschriften für AWS Batch](compliance.md)
+ [Sicherheit der Infrastruktur in AWS Batch](infrastructure-security.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [AWS Batch API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md)
+ [Problembehandlung bei AWS Batch IAM](security_iam_troubleshoot.md)
# Identity and Access Management für AWS Batch
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Batch IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Batch funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS Batch](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für AWS Batch](security-iam-awsmanpol.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS Batch IAM](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Batch funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Batch](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Als bewährte Methode sollten menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Batch funktioniert mit IAM
Bevor Sie IAM zur Verwaltung des Zugriffs auf verwenden AWS Batch, sollten Sie sich darüber informieren, mit welchen IAM-Funktionen Sie arbeiten können. AWS Batch
**IAM-Funktionen, die Sie mit verwenden können AWS Batch**
| IAM-Feature | AWS Batch Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| Ressourcenbasierte Richtlinien | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| ACLs | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie AWS Batch und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für AWS Batch
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für AWS Batch
Beispiele für AWS Batch identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Batch](security_iam_id-based-policy-examples.md)
## Politische Maßnahmen für AWS Batch
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der AWS Batch Aktionen finden Sie unter [Definierte Aktionen von AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions) in der *Serviceautorisierungsreferenz*.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS Batch verwendet:
```
batch
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"batch:action1",
"batch:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "batch:Describe*"
```
Beispiele für AWS Batch identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Batch](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für AWS Batch
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der AWS Batch Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Resources Defined by AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Batch definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Richtlinien-Bedingungsschlüssel für AWS Batch
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der AWS Batch Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Definierte Aktionen von AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Attributbasierte Zugriffskontrolle (ABAC) mit AWS Batch
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Verwenden Sie temporäre Anmeldeinformationen mit AWS Batch
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für AWS Batch
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für AWS Batch
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Durch das Ändern der Berechtigungen für eine Servicerolle kann die AWS Batch Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, wenn AWS Batch eine Anleitung dazu gibt.
## Mit Diensten verknüpfte Rollen für AWS Batch
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für AWS Batch
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Batch -Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Batch, einschließlich des Formats von ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) in der Referenz zur *Serviceautorisierung*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS Batch](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Batch Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole AWS Batch
Um auf die AWS Batch Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Batch Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die AWS Batch Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Batch `ConsoleAccess` oder die `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS verwaltete Richtlinien für AWS Batch
Sie können AWS verwaltete Richtlinien verwenden, um die Verwaltung des Identitätszugriffs für Ihr Team und die bereitgestellten AWS Ressourcen zu vereinfachen. AWS verwaltete Richtlinien decken eine Vielzahl gängiger Anwendungsfälle ab, sind standardmäßig in Ihrem AWS Konto verfügbar und werden in Ihrem Namen verwaltet und aktualisiert. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Wenn Sie mehr Flexibilität benötigen, können Sie alternativ vom Kunden verwaltete IAM-Richtlinien erstellen. Auf diese Weise können Sie Ihrem Team bereitgestellte Ressourcen nur mit genau den Berechtigungen ausstatten, die es benötigt.
Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS Services verwalten und aktualisieren AWS verwaltete Richtlinien in Ihrem Namen. In regelmäßigen Abständen fügen AWS Dienste einer AWS verwalteten Richtlinie zusätzliche Berechtigungen hinzu. AWS verwaltete Richtlinien werden höchstwahrscheinlich aktualisiert, wenn eine neue Funktion gestartet oder ein neuer Vorgang verfügbar wird. Diese Updates wirken sich automatisch auf alle Identitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. Sie entfernen jedoch weder Berechtigungen noch beeinträchtigen sie Ihre bestehenden Berechtigungen.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: **BatchServiceRolePolicy**
Die **BatchServiceRolePolicy**verwaltete IAM-Richtlinie wird von der [`AWSServiceRoleForBatch`](using-service-linked-roles.md)serviceverknüpften Rolle verwendet. Auf diese Weise können AWS Batch Sie Aktionen in Ihrem Namen ausführen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS Batch](using-service-linked-roles.md).
Diese Richtlinie ermöglicht AWS Batch es, die folgenden Aktionen an bestimmten Ressourcen durchzuführen:
+ `autoscaling`— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen.
+ `ec2`— Ermöglicht AWS Batch die Kontrolle des Lebenszyklus von Amazon EC2 EC2-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot Fleet-Anfragen für einige EC2-Spot-Computerumgebungen.
+ `ecs`- Ermöglicht AWS Batch die Erstellung und Verwaltung von Amazon ECS-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung.
+ `eks`- Ermöglicht AWS Batch die Beschreibung der Amazon EKS-Cluster-Ressource für Validierungen.
+ `iam`- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an Amazon EC2, Amazon EC2 Auto Scaling und Amazon ECS.
+ `logs`— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.
Informationen zum JSON-Format für die Richtlinie finden Sie [BatchServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BatchServiceRolePolicy.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS verwaltete Richtlinie: **AWSBatchServiceRolePolicyForSageMaker**
[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md)ermöglicht AWS Batch es, Aktionen in Ihrem Namen durchzuführen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS Batch](using-service-linked-roles.md).
Diese Richtlinie ermöglicht AWS Batch es, die folgenden Aktionen an bestimmten Ressourcen durchzuführen:
+ `sagemaker`— Ermöglicht AWS Batch die Verwaltung von SageMaker KI-Schulungsaufträgen und anderen SageMaker KI-Ressourcen.
+ `iam:PassRole`— Ermöglicht AWS Batch die Übergabe von kundendefinierten Ausführungsrollen an SageMaker KI zur Auftragsausführung. Die Ressourcenbeschränkung ermöglicht die Übergabe von Rollen an SageMaker KI-Dienste.
Informationen zum JSON-Format für die Richtlinie finden Sie [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS verwaltete Richtlinie: **AWSBatchServiceRole**Richtlinie
Die genannte Richtlinie für Rollenberechtigungen **AWSBatchServiceRole** AWS Batch ermöglicht es, die folgenden Aktionen für bestimmte Ressourcen durchzuführen:
Die **AWSBatchServiceRole**verwaltete IAM-Richtlinie wird häufig von einer Rolle mit dem Namen verwendet **AWSBatchServiceRole**und umfasst die folgenden Berechtigungen. Nach den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien kann die von **AWSBatchServiceRole** verwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu. Diese AWS Batch verwaltete Richtlinie und Rolle können für die meisten Arten von Computerumgebungen verwendet werden, aber die Verwendung von servicebasierten Rollen wird bevorzugt, um eine weniger fehleranfällige, umfassendere und besser verwaltete Erfahrung zu erzielen.
+ `autoscaling`— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen.
+ `ec2`— Ermöglicht AWS Batch die Verwaltung des Lebenszyklus von Amazon EC2 EC2-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot Fleet-Anfragen für einige EC2-Spot-Computerumgebungen.
+ `ecs`- Ermöglicht AWS Batch die Erstellung und Verwaltung von Amazon ECS-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung.
+ `iam`- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an Amazon EC2, Amazon EC2 Auto Scaling und Amazon ECS.
+ `logs`— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.
Informationen zum JSON-Format für die Richtlinie finden Sie [AWSBatchServiceRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRole.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS verwaltete Richtlinie: **AWSBatchFullAccess**
Die **AWSBatchFullAccess**Richtlinie gewährt AWS Batch Aktionen uneingeschränkten Zugriff auf AWS Batch Ressourcen. Es gewährt auch Zugriff auf Beschreiben und Auflisten von Aktionen für Amazon EC2-, Amazon ECS-, Amazon EKS- und IAM-Services. CloudWatch Auf diese Weise können IAM-Identitäten, entweder Benutzer oder Rollen, AWS Batch verwaltete Ressourcen einsehen, die in ihrem Namen erstellt wurden. Schließlich ermöglicht diese Richtlinie auch, dass ausgewählte IAM-Rollen an diese Dienste übergeben werden.
Sie können eine Verbindung **AWSBatchFullAccess**zu Ihren IAM-Entitäten herstellen. AWS Batch ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS Batch in Ihrem Namen ausführen können.
Informationen zum JSON-Format für die Richtlinie finden Sie [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
## AWS Batch Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien AWS Batch seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS-Feed auf der Seite AWS Batch Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****Richtlinie hinzugefügt | Es wurde eine neue AWS verwaltete Richtlinie für die ** AWSBatchServiceRolePolicyForSageMaker**serviceverknüpfte Rolle hinzugefügt, die es ermöglicht, SageMaker KI in Ihrem Namen AWS Batch zu verwalten. | 31. Juli 2025 |
| ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****Richtlinie aktualisiert | Es wurde aktualisiert und bietet nun Unterstützung für die Beschreibung des Anforderungsverlaufs und der Amazon EC2 Auto Scaling Aktivitäten von Spot Fleet. | 05. Dezember 2023 |
| ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****Richtlinie hinzugefügt | Es wurde aktualisiert, um eine Erklärung hinzuzufügen IDs, AWS Batch Berechtigungen zu gewähren `ec2:DescribeSpotFleetRequestHistory` und`autoscaling:DescribeScalingActivities`. | 05. Dezember 2023 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**Richtlinie aktualisiert | Aktualisiert, um Unterstützung für die Beschreibung von Amazon EKS-Clustern hinzuzufügen. | 20. Oktober 2022 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**Richtlinie aktualisiert | Aktualisiert, um Unterstützung für das Auflisten und Beschreiben von Amazon EKS-Clustern hinzuzufügen. | 20. Oktober 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**Richtlinie aktualisiert | Aktualisiert, um Unterstützung für Amazon EC2 EC2-Kapazitätsreservierungsgruppen hinzuzufügen, die von AWS -Ressourcengruppen verwaltet werden. Weitere Informationen finden Sie unter [Arbeiten mit Kapazitätsreservierungsgruppen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html) im *Amazon EC2 EC2-Benutzerhandbuch*. | 18. Mai 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**und die **[AWSBatchServiceRole](using-service-linked-roles.md)**Richtlinien wurden aktualisiert | Es wurde aktualisiert, um Unterstützung für die Beschreibung des Status AWS Batch verwalteter Instances in Amazon EC2 hinzuzufügen, sodass fehlerhafte Instances ersetzt werden. | 6. Dezember 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**Richtlinie aktualisiert | Aktualisiert, um Unterstützung für Platzierungsgruppen-, Kapazitätsreservierungs-, Elastic GPU- und Elastic Inference Inference-Ressourcen in Amazon EC2 hinzuzufügen. | 26. März 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**Richtlinie hinzugefügt | Mit der **BatchServiceRolePolicy**verwalteten Richtlinie für die **AWSServiceRoleForBatch**dienstverknüpfte Rolle können Sie eine dienstverknüpfte Rolle verwenden, die von verwaltet wird. AWS Batch Mit dieser Richtlinie müssen Sie Ihre eigene Rolle für die Verwendung in Ihren Computerumgebungen nicht beibehalten. | 10. März 2021 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**- Fügen Sie die Berechtigung hinzu, um eine dienstbezogene Rolle hinzuzufügen | Fügen Sie IAM-Berechtigungen hinzu, damit die **AWSServiceRoleForBatch**dienstverknüpfte Rolle dem Konto hinzugefügt werden kann. | 10. März 2021 |
| AWS Batch hat begonnen, Änderungen zu verfolgen | AWS Batch hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 10. März 2021 |
# AWS Batch IAM-Richtlinien, -Rollen und -Berechtigungen
Standardmäßig sind Benutzer nicht berechtigt, AWS Batch Ressourcen zu erstellen oder zu ändern oder Aufgaben mithilfe der AWS Batch API, der AWS Batch Konsole oder der auszuführen AWS CLI. Damit Benutzer diese Aktionen ausführen können, erstellen Sie IAM-Richtlinien, die Benutzern Berechtigungen für die spezifischen Ressourcen und API-Operationen gewähren. Fügen Sie dann die Richtlinien den Benutzern oder Gruppen hinzu, für die diese Berechtigungen erforderlich sind.
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, erlaubt oder verweigert die Richtlinie die Berechtigungen zur Ausführung bestimmter Aufgaben für bestimmte Ressourcen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Berechtigungen und Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html). Weitere Informationen zum Verwalten und Erstellen von benutzerdefinierten IAM-Richtlinien finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch tätigt in Ihrem Namen Anrufe AWS-Services an andere. Daher AWS Batch müssen Sie sich mit Ihren Anmeldeinformationen authentifizieren. Genauer gesagt, AWS Batch authentifiziert sich, indem eine IAM-Rolle und -Richtlinie erstellt wird, die diese Berechtigungen bereitstellen. Anschließend ordnet sie die Rolle Ihren Computerumgebungen zu, wenn Sie sie erstellen. Weitere Informationen finden Sie unter [Amazon ECS-Instance-Rolle](instance_IAM_role.md) [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html), [Verwenden von dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) und [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Struktur der IAM-Richtlinien](iam-policy-structure.md)
+ [Ressource: Beispielrichtlinien für AWS Batch](ExamplePolicies_BATCH.md)
+ [Ressource: AWS Batch verwaltete Richtlinie](batch_managed_policies.md)
# Struktur der IAM-Richtlinien
In den folgenden Themen wird die Struktur einer IAM-Richtlinie erläutert.
**Topics**
+ [Richtliniensyntax](#policy-syntax)
+ [API-Aktionen für AWS Batch](#UsingWithbatch_Actions)
+ [Amazon-Ressourcennamen für AWS Batch](#batch_ARN_Format)
+ [Vergewissern Sie sich, dass Benutzer über die erforderlichen Berechtigungen verfügen](#check-required-permissions)
## Richtliniensyntax
Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jede Anweisung ist folgendermaßen strukturiert.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Es gibt vier Hauptelemente, aus denen sich eine Aussage zusammensetzt:
+ **Effect:** Der *effect*-Wert kann `Allow` oder `Deny` lauten. Standardmäßig sind Benutzer nicht berechtigt, Ressourcen und API-Aktionen zu verwenden. Daher werden alle Anfragen abgelehnt. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis.
+ **Aktion**: Die *Aktion* ist die spezifische API-Aktion, für die Sie die Erlaubnis erteilen oder verweigern. Anweisungen zur Spezifizierung der *Aktion* finden Sie unter[API-Aktionen für AWS Batch](#UsingWithbatch_Actions).
+ **Resource**: Die von einer Aktion betroffene Ressource. Bei einigen AWS Batch API-Aktionen können Sie bestimmte Ressourcen in Ihre Richtlinie aufnehmen, die durch die Aktion erstellt oder geändert werden können. Um eine Ressource in der Anweisung anzugeben, verwenden Sie deren Amazon-Ressourcennamen (ARN). Weitere Informationen erhalten Sie unter [Unterstützte Berechtigungen auf Ressourcenebene für API-Aktionen AWS Batch](batch-supported-iam-actions-resources.md) und [Amazon-Ressourcennamen für AWS Batch](#batch_ARN_Format). Wenn der AWS Batch API-Vorgang derzeit keine Berechtigungen auf Ressourcenebene unterstützt, fügen Sie einen Platzhalter (\$1) hinzu, um anzugeben, dass alle Ressourcen von der Aktion betroffen sein können.
+ **Condition**: Bedingungen sind optional. Mit ihrer Hilfe können Sie bestimmen, wann Ihre Richtlinie wirksam ist.
Weitere Informationen zu beispielhaften IAM-Richtlinienanweisungen für finden Sie unter. AWS Batch[Ressource: Beispielrichtlinien für AWS Batch](ExamplePolicies_BATCH.md)
## API-Aktionen für AWS Batch
In einer IAM-Richtlinienanweisung können Sie jede API-Aktion von jedem Service, der IAM unterstützt, angeben. Verwenden Sie für AWS Batch das folgende Präfix mit dem Namen der API-Aktion: `batch:` (zum Beispiel `batch:SubmitJob` und`batch:CreateComputeEnvironment`).
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie jede Aktion durch ein Komma.
```
"Action": ["batch:action1", "batch:action2"]
```
Sie können auch mehrere Aktionen angeben, indem Sie einen Platzhalter (\$1) angeben. Sie können beispielsweise alle Aktionen mit einem Namen angeben, der mit dem Wort „Describe“ beginnt.
```
"Action": "batch:Describe*"
```
Um alle AWS Batch API-Aktionen anzugeben, fügen Sie einen Platzhalter (\$1) hinzu.
```
"Action": "batch:*"
```
Eine Liste der AWS Batch Aktionen finden Sie unter [Aktionen](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) in der *AWS Batch API-Referenz.*
## Amazon-Ressourcennamen für AWS Batch
Jede IAM-Richtlinienerklärung gilt für die Ressourcen, die Sie mit ihren Amazon-Ressourcennamen (ARNs) angeben.
Ein Amazon-Ressourcenname (ARN) hat die folgende allgemeine Syntax:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*Service nicht zulässig*
Der Service (z. B. `batch`)
*Region*
Der AWS-Region für die Ressource (zum Beispiel`us-east-2`).
*Konto*
Die AWS-Konto ID ohne Bindestriche (z. B.`123456789012`).
*RessourcenTyp*
Der Typ der Ressource (z. B. `compute-environment`)
*resourcePath*
Ein Pfad zur Identifizierung der Ressource. Sie können in Ihren Pfaden einen Platzhalter (\$1) verwenden.
AWS Batch API-Operationen unterstützen derzeit Berechtigungen auf Ressourcenebene für mehrere API-Operationen. Weitere Informationen finden Sie unter [Unterstützte Berechtigungen auf Ressourcenebene für API-Aktionen AWS Batch](batch-supported-iam-actions-resources.md). Um alle Ressourcen anzugeben oder falls eine bestimmte API-Aktion dies nicht unterstützt ARNs, fügen Sie dem Element einen Platzhalter (\$1) hinzu. `Resource`
```
"Resource": "*"
```
## Vergewissern Sie sich, dass Benutzer über die erforderlichen Berechtigungen verfügen
Bevor Sie eine IAM-Richtlinie in Betrieb nehmen, stellen Sie sicher, dass sie Benutzern die Berechtigungen zur Nutzung der spezifischen API-Aktionen und Ressourcen gewährt, die sie benötigen.
Erstellen Sie dazu zunächst einen Benutzer zu Testzwecken und hängen Sie die IAM-Richtlinie an den Testbenutzer an. Anschließend initiieren Sie mit dem Testbenutzer eine Anforderung. Anforderungen erfolgen über die Konsole oder die AWS CLI.
**Anmerkung**
Sie können Ihre Richtlinien auch mit dem [IAM Policy](https://policysim.aws.amazon.com/home/index.jsp?#) Simulator testen. Weitere Informationen zum Richtliniensimulator finden Sie unter [Arbeiten mit dem IAM Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) im *IAM-Benutzerhandbuch*.
Falls die Richtlinie dem Benutzer nicht die erwarteten Berechtigungen erteilt oder zu viele Berechtigungen gewährt, können Sie die Richtlinie entsprechend anpassen. Testen Sie so lange, bis Sie die gewünschten Ergebnisse erhalten.
**Wichtig**
Es kann einige Minuten dauern, bis Richtlinienänderungen wirksam werden. Daher empfehlen wir, dass Sie mindestens fünf Minuten verstreichen lassen, bevor Sie Ihre Richtlinienaktualisierungen testen.
Bei einer fehlgeschlagenen Autorisierungsprüfung gibt die Anforderung eine codierte Nachricht mit Diagnoseinformationen zurück. Sie können die Nachricht mit der Aktion `DecodeAuthorizationMessage` decodieren. Weitere Informationen finden Sie [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)in der *AWS -Security-Token-Service API-Referenz* und [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)in der *AWS CLI Befehlsreferenz*.
# Ressource: Beispielrichtlinien für AWS Batch
Sie können spezielle IAM-Richtlinien erstellen, um die Anrufe und Ressourcen einzuschränken, auf die Benutzer in Ihrem Konto Zugriff haben. Anschließend können Sie diese Richtlinien an Benutzer anhängen.
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, gewährt oder verweigert die Richtlinie dem Benutzer die Berechtigung für bestimmte Aufgaben auf bestimmten Ressourcen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Berechtigungen und Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html). Anweisungen zur Verwaltung und Erstellung benutzerdefinierter IAM-Richtlinien finden Sie unter IAM-Richtlinien [verwalten](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Die folgenden Beispiele zeigen Richtlinienanweisungen, mit denen Sie steuern können, welche Berechtigungen Benutzer haben. AWS Batch
**Topics**
+ [Schreibgeschützter Zugriff](iam-example-read-only.md)
+ [Ressource: Beschränken Sie Benutzer, Bild, Recht und Rolle](iam-example-job-def.md)
+ [Beschränken Sie die Einreichung von Jobs](iam-example-restrict-job-submission.md)
+ [Auf eine Job-Warteschlange beschränken](iam-example-restrict-job-queue.md)
+ [Aktion ablehnen, wenn alle Bedingungen den Zeichenfolgen entsprechen](iam-example-job-def-deny-all-image-logdriver.md)
+ [Ressource: Aktion verweigern, wenn Bedingungsschlüssel mit Zeichenketten übereinstimmen](iam-example-job-def-deny-any-image-logdriver.md)
+ [Verwenden Sie den `batch:ShareIdentifier` Bedingungsschlüssel](iam-example-share-identifier.md)
+ [Verwalten Sie SageMaker KI-Ressourcen mit AWS Batch](iam-example-full-access-service-environment.md)
+ [Beschränken Sie die Auftragsübermittlung anhand von Ressourcen-Tags](iam-example-restrict-job-submission-by-tags.md)
# Ressource: Schreibgeschützter Zugriff für AWS Batch
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, alle AWS Batch API-Aktionen zu verwenden, deren Name mit und beginnt. `Describe` `List`
Sofern ihnen nicht eine andere Erklärung die Erlaubnis dazu erteilt, sind Benutzer nicht berechtigt, Aktionen mit den Ressourcen durchzuführen. Standardmäßig wird ihnen die Erlaubnis verweigert, API-Aktionen zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Ressource: Beschränken Sie sich bei der Auftragseingabe auf POSIX-Benutzer, Docker-Image, Rechtestufe und Rolle
Die folgende Richtlinie ermöglicht es einem POSIX-Benutzer, seinen eigenen Satz von eingeschränkten Jobdefinitionen zu verwalten.
Verwenden Sie die erste und die zweite Anweisung, um jeden Jobdefinitionsnamen zu registrieren oder zu deregistrieren, dessen Namen ein Präfix vorangestellt ist. *JobDefA\$1*
Die erste Anweisung verwendet auch bedingte Kontextschlüssel zum Beschränken des POSIX-Benutzers, des privilegierten Status und der Container-Image-Werte innerhalb der `containerProperties` einer Auftragsdefinition. Weitere Informationen finden Sie unter [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) in der *AWS Batch -API-Referenz*. In diesem Beispiel können Jobdefinitionen nur registriert werden, wenn der POSIX-Benutzer auf gesetzt ist. `nobody` Das privilegierte Flag ist auf `false` gesetzt. Zuletzt wird das Bild `myImage` in einem Amazon ECR-Repository gespeichert.
**Wichtig**
Docker löst den `user` Parameter innerhalb des Container-Images für diesen Benutzer `uid` auf. In den meisten Fällen befindet sich dies in der `/etc/passwd` Datei im Container-Image. Diese Namensauflösung kann vermieden werden, indem direkte `uid` Werte sowohl in der Auftragsdefinition als auch in allen zugehörigen IAM-Richtlinien verwendet werden. Sowohl die AWS Batch API-Operationen als auch die bedingten `batch:User` IAM-Schlüssel unterstützen numerische Werte.
Verwenden Sie die dritte Anweisung, um eine Jobdefinition nur auf eine bestimmte Rolle zu beschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Ressource: Beschränken Sie sich bei der Auftragseingabe auf das Jobdefinitionspräfix
Verwenden Sie die folgende Richtlinie, um Jobs an jede Auftragswarteschlange mit einem beliebigen Jobdefinitionsnamen zu senden, der mit beginnt*JobDefA*.
**Wichtig**
Beim Festlegen des Zugriffs für das Absenden von Aufträgen auf Ressourcenebene müssen Sie die Ressourcentypen der Auftragswarteschlange und der Auftragsdefinition angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Ressource: Auf eine Job-Warteschlange beschränken
Verwenden Sie die folgende Richtlinie, um Jobs an eine bestimmte Auftragswarteschlange mit dem Namen **Queue1** mit einem beliebigen Auftragsdefinitionsnamen weiterzuleiten.
**Wichtig**
Beim Festlegen des Zugriffs für das Absenden von Aufträgen auf Ressourcenebene müssen Sie die Ressourcentypen der Auftragswarteschlange und der Auftragsdefinition angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Aktion ablehnen, wenn alle Bedingungen den Zeichenfolgen entsprechen
Die folgende Richtlinie verweigert den Zugriff auf den [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API-Vorgang, wenn sowohl der Bedingungsschlüssel `batch:Image` (Container-Image-ID) "*string1*" als auch der Bedingungsschlüssel `batch:LogDriver` (Container-Protokolltreiber) "" lautet*string2*. AWS Batch wertet Bedingungsschlüssel für jeden Container aus. Wenn sich ein Job über mehrere Container erstreckt, z. B. ein parallel Job mit mehreren Knoten, ist es möglich, dass die Container unterschiedliche Konfigurationen haben. Wenn mehrere Bedingungsschlüssel in einer Anweisung ausgewertet werden, werden sie mithilfe von `AND` Logik kombiniert. Wenn also einer der mehreren Bedingungsschlüssel nicht zu einem Container passt, wird der `Deny` Effekt nicht auf diesen Container angewendet. Vielmehr könnte ein anderer Container im selben Job verweigert werden.
Eine Liste der Bedingungsschlüssel für AWS Batch finden Sie unter [Bedingungsschlüssel für AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) in der *Service Authorization Reference*. Mit Ausnahme `batch:ShareIdentifier` von können alle `batch` Bedingungsschlüssel auf diese Weise verwendet werden. Der `batch:ShareIdentifier` Bedingungsschlüssel ist für einen Job definiert, nicht für eine Jobdefinition.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Ressource: Aktion verweigern, wenn Bedingungsschlüssel mit Zeichenketten übereinstimmen
Die folgende Richtlinie verweigert den Zugriff auf den [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API-Vorgang, wenn entweder der Bedingungsschlüssel `batch:Image` (Container-Image-ID) "*string1*" oder der Bedingungsschlüssel `batch:LogDriver` (Container-Protokolltreiber) "" lautet*string2*. Wenn sich ein Job über mehrere Container erstreckt, z. B. ein parallel Job mit mehreren Knoten, ist es möglich, dass die Container unterschiedliche Konfigurationen haben. Wenn mehrere Bedingungsschlüssel in einer Anweisung ausgewertet werden, werden sie mithilfe von `AND` Logik kombiniert. Wenn also einer der mehreren Bedingungsschlüssel nicht zu einem Container passt, wird der `Deny` Effekt nicht auf diesen Container angewendet. Vielmehr könnte ein anderer Container im selben Job verweigert werden.
Eine Liste der Bedingungsschlüssel für AWS Batch finden Sie unter [Bedingungsschlüssel für AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) in der *Service Authorization Reference*. Mit Ausnahme `batch:ShareIdentifier` von können alle `batch` Bedingungsschlüssel auf diese Weise verwendet werden. (Der `batch:ShareIdentifier` Bedingungsschlüssel ist für einen Job definiert, nicht für eine Jobdefinition.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Ressource: Verwenden Sie den `batch:ShareIdentifier` Bedingungsschlüssel
Verwenden Sie die folgende Richtlinie, um Jobs, die die `jobDefA` Auftragsdefinition verwenden, mit der `lowCpu` gemeinsamen ID an die `jobqueue1` Auftragswarteschlange zu senden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Verwalten Sie SageMaker KI-Ressourcen mit AWS Batch
Diese Richtlinie ermöglicht AWS Batch die Verwaltung von SageMaker KI-Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Ressource: Beschränken Sie die Einreichung von Jobs anhand von Ressourcen-Tags in der Jobdefinition und der Job-Warteschlange
Verwenden Sie die folgende Richtlinie, um Jobs nur einzureichen, wenn sowohl die Auftragswarteschlange das Tag `Environment=dev` als auch die Auftragsdefinition das Tag enthalten`Project=calc`. Diese Richtlinie zeigt, wie Ressourcen-Tags verwendet werden können, um den Zugriff auf AWS Batch Ressourcen während der Auftragsübermittlung zu kontrollieren.
**Wichtig**
Wenn Sie Jobs mit Richtlinien einreichen, die Ressourcen-Tags für Jobdefinitionen auswerten, müssen Sie Jobs im Revisionsformat der Jobdefinition (`job-definition:revision`) einreichen. Wenn Sie Jobs ohne Angabe einer Revision einreichen, werden die Jobdefinitions-Tags nicht ausgewertet, wodurch möglicherweise Ihre beabsichtigten Zugriffskontrollen umgangen werden. Das `*:*` Muster im Ressourcen-ARN legt fest, dass Einreichungen eine Überarbeitung enthalten müssen, um sicherzustellen, dass Tag-Richtlinien immer effektiv angewendet werden.
Diese Richtlinie verwendet zwei separate Anweisungen, da sie unterschiedliche Tag-Bedingungen auf verschiedene Ressourcentypen anwendet. Beim Festlegen des Zugriffs für das Absenden von Aufträgen auf Ressourcenebene müssen Sie die Ressourcentypen der Auftragswarteschlange und der Auftragsdefinition angeben.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Ressource: AWS Batch verwaltete Richtlinie
AWS Batch stellt eine verwaltete Richtlinie bereit, die Sie Benutzern zuordnen können. Diese Richtlinie gewährt die Erlaubnis zur Nutzung von AWS Batch Ressourcen und API-Vorgängen. Sie können diese Richtlinie direkt anwenden oder als Ausgangspunkt zur Erstellung eigener Richtlinien verwenden. Weitere Informationen zu den einzelnen API-Vorgängen, die in diesen Richtlinien erwähnt werden, finden Sie in der *AWS Batch API-Referenz* unter [Aktionen](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html).
## AWSBatchFullAccess
Diese Richtlinie ermöglicht vollen Administratorzugriff auf AWS Batch.
Informationen zum JSON-Format für die Richtlinie finden Sie [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
# AWS Batch Rolle „IAM-Ausführung“
Die Ausführungsrolle erteilt dem Amazon ECS-Container und den AWS Fargate Agenten die Erlaubnis, AWS API-Aufrufe in Ihrem Namen durchzuführen.
**Anmerkung**
Die Ausführungsrolle wird vom Amazon ECS-Container-Agenten Version 1.16.0 und höher unterstützt.
Die IAM-Ausführungsrolle ist je nach den Anforderungen Ihrer Aufgabe erforderlich. Sie können mehrere Ausführungsrollen für unterschiedliche Zwecke und Dienste haben, die mit Ihrem Konto verknüpft sind.
**Anmerkung**
Informationen zur Amazon ECS-Instance-Rolle finden Sie unter[Amazon ECS-Instance-Rolle](instance_IAM_role.md). Informationen zu Servicerollen finden Sie unter[Wie AWS Batch funktioniert mit IAM](security_iam_service-with-iam.md).
Amazon ECS stellt die `AmazonECSTaskExecutionRolePolicy` verwaltete Richtlinie bereit. Diese Richtlinie enthält die erforderlichen Berechtigungen für die oben beschriebenen allgemeinen Anwendungsfälle. Für die unten beschriebenen speziellen Anwendungsfälle kann es erforderlich sein, Ihrer Ausführungsrolle Inline-Richtlinien hinzuzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Unterstützte Berechtigungen auf Ressourcenebene für API-Aktionen AWS Batch
Der Begriff *Berechtigungen auf Ressourcenebene* bezieht sich auf die Möglichkeit, die Ressourcen anzugeben, für die Benutzer Aktionen ausführen dürfen. AWS Batch unterstützt teilweise Berechtigungen auf Ressourcenebene. Bei einigen AWS Batch Aktionen können Sie auf der Grundlage von Bedingungen, die erfüllt sein müssen, steuern, wann Benutzer diese Aktionen verwenden dürfen. Sie können die Steuerung auch auf der Grundlage der spezifischen Ressourcen vornehmen, die Benutzer verwenden dürfen. Zum Beispiel können Sie Benutzern die Berechtigungen dazu erteilen, Aufträge zu übergeben, jedoch nur an eine bestimmte Auftragswarteschlange und nur mit einer bestimmten Auftragsdefinition.
Einzelheiten zu den von AWS Batch definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)in der *Service Authorization Reference*.
# Tutorial: Erstellen Sie die IAM-Ausführungsrolle
Wenn Ihr Konto noch nicht über eine IAM-Ausführungsrolle verfügt, verwenden Sie die folgenden Schritte, um die Rolle zu erstellen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option ** AWS-Service**.
1. Wählen Sie für **Service oder Anwendungsfall** **Elastic Container Service** aus. Wählen Sie dann erneut **Elastic Container Service Task**.
1. Wählen Sie **Weiter** aus.
1. Suchen Sie nach **Richtlinien für Berechtigungen** nach **Amazon ECSTask ExecutionRolePolicy**.
1. Aktivieren Sie das Kontrollkästchen links neben der **ECSTaskExecutionRolePolicyAmazon-Richtlinie** und wählen Sie dann **Weiter** aus.
1. Geben Sie **als Rollenname den Text Rolle** **erstellen ein `ecsTaskExecutionRole` und wählen Sie dann Create role** aus.
# Tutorial: Überprüfen Sie die IAM-Ausführungsrolle
Gehen Sie wie folgt vor, um zu überprüfen, ob Ihr Konto bereits über die IAM-Ausführungsrolle verfügt, und fügen Sie gegebenenfalls die verwaltete IAM-Richtlinie hinzu.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Suchen Sie in der Liste der Rollen nach `ecsTaskExecutionRole`. Wenn Sie die Rolle nicht finden können, finden Sie weitere Informationen unter. [Tutorial: Erstellen Sie die IAM-Ausführungsrolle](create-execution-role.md) Wenn Sie die Rolle gefunden haben, wählen Sie die Rolle aus, um die angehängten Richtlinien einzusehen.
1. Stellen Sie auf der Registerkarte **Berechtigungen** sicher, dass die von **Amazon ECSTask ExecutionRolePolicy** verwaltete Richtlinie mit der Rolle verknüpft ist. Wenn die Richtlinie angehängt ist, ist Ihre Ausführungsrolle ordnungsgemäß konfiguriert. Andernfalls führen Sie die folgenden Teilschritte aus, um die Richtlinie zuzuweisen.
1. Wählen **Sie Berechtigungen hinzufügen** und anschließend **Richtlinien anhängen** aus.
1. Suchen Sie nach **Amazon ECSTask ExecutionRolePolicy**.
1. Markieren Sie das Kästchen links neben der **ECSTaskExecutionRolePolicyAmazon-Richtlinie** und wählen Sie **Richtlinien anhängen**.
1. Wählen Sie **Trust Relationships (Vertrauensbeziehungen)** aus.
1. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn das Vertrauensverhältnis mit der folgenden Richtlinie übereinstimmt, ist die Rolle korrekt konfiguriert. Wenn die Vertrauensstellung nicht übereinstimmt, wählen Sie **Vertrauensrichtlinie bearbeiten**, geben Sie Folgendes ein und wählen Sie **Richtlinie aktualisieren** aus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verwenden von serviceverknüpften Rollen für AWS Batch
AWS Batch verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
AWS Batch verwendet zwei verschiedene dienstbezogene Rollen:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Für AWS Batch Operationen, einschließlich Rechenumgebungen.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Für SageMaker KI-Workload-Management und Warteschlangen.
**Topics**
+ [Verwenden von Rollen für AWS Batch](using-service-linked-roles-batch-general.md)
+ [Verwendung von Rollen für AWS Batch mit KI SageMaker](using-service-linked-roles-batch-sagemaker.md)
# Verwenden von Rollen für AWS Batch
AWS Batch verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Batch erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Batch definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Batch kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
**Anmerkung**
Führen Sie einen der folgenden Schritte aus, um eine Servicerolle für eine AWS Batch Rechenumgebung anzugeben.
Verwenden Sie eine leere Zeichenfolge für die Servicerolle. Dadurch können AWS Batch Sie die Servicerolle erstellen.
Geben Sie die Servicerolle im folgenden Format an:`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Weitere Informationen finden Sie [Falscher Rollenname oder ARN](invalid_compute_environment.md#invalid_service_role_arn) im AWS Batch Benutzerhandbuch.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Batch Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen für AWS Batch
AWS Batch verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForBatch**— Ermöglicht AWS Batch das Erstellen und Verwalten von AWS Ressourcen in Ihrem Namen.
Die AWSService RoleForBatch dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `batch.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)ermöglicht es AWS Batch , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ `autoscaling`— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen.
+ `ec2`— Ermöglicht AWS Batch die Kontrolle des Lebenszyklus von Amazon EC2 EC2-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot Fleet-Anfragen für einige EC2-Spot-Computerumgebungen.
+ `ecs`- Ermöglicht AWS Batch die Erstellung und Verwaltung von Amazon ECS-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung.
+ `eks`- Ermöglicht AWS Batch die Beschreibung der Amazon EKS-Cluster-Ressource für Validierungen.
+ `iam`- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an Amazon EC2, Amazon EC2 Auto Scaling und Amazon ECS.
+ `logs`— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für AWS Batch
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Rechenumgebung in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, AWS Batch wird die dienstbezogene Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den AWS Batch Dienst vor dem 10. März 2021 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, AWS Batch haben Sie die AWSService RoleForBatch Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem AWS-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine Rechenumgebung erstellen, AWS Batch wird die serviceverknüpfte Rolle erneut für Sie erstellt.
## Bearbeitung einer serviceverknüpften Rolle für AWS Batch
AWS Batch erlaubt es Ihnen nicht, die AWSService RoleForBatch dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
**Damit eine IAM-Entität die Beschreibung der serviceverknüpften Rolle bearbeiten kann AWSService RoleForBatch **
Fügen Sie der Berechtigungsrichtlinie die folgende Anweisung hinzu. Dadurch kann die IAM-Entität die Beschreibung einer serviceverknüpften Rolle bearbeiten.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Löschen einer serviceverknüpften Rolle für AWS Batch
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Um einer IAM-Entität das Löschen der serviceverknüpften Rolle zu ermöglichen AWSService RoleForBatch **
Fügen Sie der Berechtigungsrichtlinie die folgende Anweisung hinzu. Dadurch kann die IAM-Entität eine dienstverknüpfte Rolle löschen.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle AWS Batch Computerumgebungen, die die Rolle verwenden, in allen AWS Regionen in einer einzigen Partition löschen.
**So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann den AWSService RoleForBatch Namen aus (nicht das Kontrollkästchen).
1. Wählen Sie auf der Seite **Summary** **Access Advisor** und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.
**Anmerkung**
Wenn Sie nicht wissen, ob die AWSService RoleForBatch Rolle verwendet AWS Batch wird, können Sie versuchen, die Rolle zu löschen. Wenn der Dienst die Rolle verwendet, kann die Rolle nicht gelöscht werden. Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
**Um AWS Batch Ressourcen zu entfernen, die von der AWSService RoleForBatch serviceverknüpften Rolle verwendet werden**
Sie müssen alle AWS Batch Rechenumgebungen, die die AWSService RoleForBatch Rolle verwenden, in allen AWS Regionen löschen, bevor Sie die AWSService RoleForBatch Rolle löschen können.
1. Öffnen Sie die AWS Batch Konsole unter [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Wählen Sie die zu verwendende Region in der Navigationsleiste aus.
1. Wählen Sie im Navigationsbereich **Datenverarbeitungs-Umgebungen** aus.
1. Wählen Sie die Rechenumgebung aus.
1. Wählen Sie **Disable ** (deaktivieren) aus. Warten Sie, bis der **Status** auf **DEAKTIVIERT** wechselt.
1. Wählen Sie die Rechenumgebung aus.
1. Wählen Sie **Löschen** aus. Bestätigen Sie, dass Sie die Rechenumgebung löschen möchten, indem **Sie Rechenumgebung löschen** wählen.
1. Wiederholen Sie die Schritte 1—7 für alle Rechenumgebungen, die die serviceverknüpfte Rolle verwenden, in allen Regionen.
### Löschen einer serviceverknüpften Rolle in IAM (Konsole)
Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Aktivieren Sie dann das Kontrollkästchen neben AWSServiceRoleForBatch, nicht den Namen oder die Zeile selbst.
1. Wählen Sie **Delete role (Rolle löschen)** aus.
1. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf einen AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie **Yes, Delete** aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
1. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen.
+ Wenn der Vorgang erfolgreich ist, wird die Rolle aus der Liste entfernt und eine Benachrichtigung des Erfolgs oben auf der Seite angezeigt.
+ Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen **View details** oder **View Resources** auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine.
+ Wenn die Aufgabe fehlschlägt und die Benachrichtigung keine Liste der Ressourcen enthält, gibt der Service möglicherweise diese Informationen nicht zurück. Informationen zum Bereinigen von Ressourcen für diesen Service finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer serviceverknüpften Rolle in IAM ()AWS CLI
Sie können IAM-Befehle von verwenden, um eine dienstverknüpfte AWS Command Line Interface Rolle zu löschen.
**So löschen Sie eine serviceverknüpfte Rolle (CLI)**
1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `deletion-task-id` aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Verwenden Sie den folgenden Befehl, um den Status der Löschaufgabe zu überprüfen:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Dienst kann alle Ressourcen zurückgeben, einige davon. Oder es meldet möglicherweise keine Ressourcen. Informationen zum Bereinigen der Ressourcen für einen Dienst, der keine Ressourcen meldet, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer dienstverknüpften Rolle in IAM (API)AWS
Sie können die IAM-API für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (API)**
1. Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) auf. Geben Sie in der Anfrage den AWSService RoleForBatch Rollennamen an.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `DeletionTaskId` aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
1. Um den Status der Löschung zu überprüfen, rufen Sie [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) auf. Geben Sie in der Anforderung die `DeletionTaskId` an.
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine. Informationen zum Bereinigen von Ressourcen für einen Service, der keine Ressourcen meldet, finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
## Unterstützte Regionen für AWS Batch serviceverknüpfte Rollen
AWS Batch unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Batch -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Verwendung von Rollen für AWS Batch mit KI SageMaker
AWS Batch verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Batch erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Batch definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Batch kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Batch Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen für AWS Batch
AWS Batch verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForAWSBatchWithSagemaker**— Ermöglicht es AWS Batch , SageMaker Schulungsjobs in Ihrem Namen in die Warteschlange zu stellen und zu verwalten.
Die AWSService RoleFor AWSBatch WithSagemaker dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `sagemaker-queuing.batch.amazonaws.com`
Die Richtlinie für Rollenberechtigungen AWS Batch ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ `sagemaker`— Ermöglicht AWS Batch die Verwaltung von SageMaker Schulungsjobs, die Transformation von Jobs und andere SageMaker KI-Ressourcen.
+ `iam:PassRole`— Ermöglicht AWS Batch die Übergabe von kundendefinierten Ausführungsrollen an SageMaker KI zur Auftragsausführung. Die Ressourcenbeschränkung ermöglicht die Übergabe von Rollen an SageMaker KI-Dienste.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für AWS Batch
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Serviceumgebung mithilfe von `CreateServiceEnvironment` in AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, AWS Batch wird die serviceverknüpfte Rolle für Sie erstellt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie mit, eine Serviceumgebung erstellen`CreateServiceEnvironment`, AWS Batch wird die dienstverknüpfte Rolle erneut für Sie erstellt.
Informationen zum JSON-Format für die Richtlinie finden Sie [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
## Bearbeitung einer serviceverknüpften Rolle für AWS Batch
AWS Batch erlaubt es Ihnen nicht, die AWSService RoleFor AWSBatch WithSagemaker dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für AWS Batch
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle Dienstumgebungen, die die Rolle verwenden, in allen AWS Regionen auf einer einzigen Partition löschen.
**So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann den AWSService RoleFor AWSBatch WithSagemaker Namen aus (nicht das Kontrollkästchen).
1. Wählen Sie auf der Seite **Summary** **Access Advisor** und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.
**Anmerkung**
Wenn Sie nicht wissen, ob die AWSService RoleFor AWSBatch WithSagemaker Rolle verwendet AWS Batch wird, können Sie versuchen, die Rolle zu löschen. Wenn der Dienst die Rolle verwendet, kann die Rolle nicht gelöscht werden. Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
**Um AWS Batch Ressourcen zu entfernen, die von der AWSService RoleFor AWSBatch WithSagemaker serviceverknüpften Rolle verwendet werden**
Sie müssen alle Auftragswarteschlangen von allen Serviceumgebungen trennen. Anschließend müssen Sie alle Serviceumgebungen löschen, die die AWSService RoleFor AWSBatch WithSagemaker Rolle in allen AWS Regionen verwenden, bevor Sie die Rolle löschen können. AWSService RoleFor AWSBatch WithSagemaker
1. Öffnen Sie die AWS Batch Konsole unter. [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/)
1. Wählen Sie die zu verwendende Region in der Navigationsleiste aus.
1. Wählen Sie im Navigationsbereich **Umgebungen** und dann **Serviceumgebungen** aus.
1. Wählen Sie alle **Serviceumgebungen** aus.
1. Wählen Sie **Disable ** (deaktivieren) aus. Warten Sie, bis der **Status** auf **DEAKTIVIERT** wechselt.
1. Wählen Sie die Serviceumgebung aus.
1. Wählen Sie **Löschen** aus. Bestätigen Sie, dass Sie die Serviceumgebung löschen möchten, indem **Sie Serviceumgebung löschen** wählen.
1. Wiederholen Sie die Schritte 1—7 für alle Serviceumgebungen, die die serviceverknüpfte Rolle verwenden, in allen Regionen.
### Löschen einer serviceverknüpften Rolle in IAM (Konsole)
Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Aktivieren Sie dann das Kontrollkästchen neben AWSService RoleFor AWSBatchWithSagemaker, nicht den Namen oder die Zeile selbst.
1. Wählen Sie **Delete role (Rolle löschen)** aus.
1. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf einen AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie **Yes, Delete** aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
1. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen.
+ Wenn der Vorgang erfolgreich ist, wird die Rolle aus der Liste entfernt und eine Benachrichtigung des Erfolgs oben auf der Seite angezeigt.
+ Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen **View details** oder **View Resources** auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine.
+ Wenn die Aufgabe fehlschlägt und die Benachrichtigung keine Liste der Ressourcen enthält, gibt der Service möglicherweise diese Informationen nicht zurück. Informationen zum Bereinigen von Ressourcen für diesen Service finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer serviceverknüpften Rolle in IAM ()AWS CLI
Sie können IAM-Befehle von verwenden, um eine dienstverknüpfte AWS Command Line Interface Rolle zu löschen.
**So löschen Sie eine serviceverknüpfte Rolle (CLI)**
1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `deletion-task-id` aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Verwenden Sie den folgenden Befehl, um den Status der Löschaufgabe zu überprüfen:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Dienst kann alle Ressourcen zurückgeben, einige davon. Oder es meldet möglicherweise keine Ressourcen. Informationen zum Bereinigen der Ressourcen für einen Dienst, der keine Ressourcen meldet, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer dienstverknüpften Rolle in IAM (API)AWS
Sie können die IAM-API für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (API)**
1. Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) auf. Geben Sie in der Anfrage den AWSService RoleFor AWSBatch WithSagemaker Rollennamen an.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `DeletionTaskId` aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
1. Um den Status der Löschung zu überprüfen, rufen Sie [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) auf. Geben Sie in der Anforderung die `DeletionTaskId` an.
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine. Informationen zum Bereinigen von Ressourcen für einen Service, der keine Ressourcen meldet, finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
## Unterstützte Regionen für AWS Batch serviceverknüpfte Rollen
AWS Batch unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Batch -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Amazon ECS-Instance-Rolle
AWS Batch Rechenumgebungen sind mit Amazon ECS-Container-Instances gefüllt. Sie führen den Amazon ECS-Container-Agenten lokal aus. Der Amazon ECS-Container-Agent ruft in Ihrem Namen verschiedene AWS API-Operationen auf. Daher benötigen Container-Instances, auf denen der Agent ausgeführt wird, eine IAM-Richtlinie und eine IAM-Rolle, damit diese Services erkennen, dass der Agent Ihnen gehört. Sie müssen eine IAM-Rolle und ein Instance-Profil erstellen, damit die Container-Instances sie beim Start verwenden können. Andernfalls können Sie keine Rechenumgebung erstellen und Container-Instances darin starten. Diese Anforderung gilt für Container-Instances, die mit oder ohne das von Amazon bereitgestellte Amazon ECS-optimierte AMI gestartet wurden. Weitere Informationen finden Sie unter [Amazon ECS-Instance-Rolle](#instance_IAM_role) im *Entwicklerhandbuch für Amazon Elastic Container Service*.
**Topics**
+ [Überprüfen Sie die Amazon ECS-Instance-Rolle Ihres Kontos](batch-check-ecsinstancerole.md)
# Überprüfen Sie die Amazon ECS-Instance-Rolle Ihres Kontos
Die Amazon ECS-Instance-Rolle und das Instance-Profil werden in der ersten Ausführung der Konsole automatisch für Sie erstellt. Sie können jedoch diesen Schritten folgen, um zu überprüfen, ob Ihr Konto bereits über die Amazon ECS-Instance-Rolle und das Instance-Profil verfügt. In den folgenden Schritten wird auch beschrieben, wie Sie die verwaltete IAM-Richtlinie anhängen.
**Tutorial: Suchen Sie `ecsInstanceRole` in der IAM-Konsole nach**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Suchen Sie in der Liste der Rollen nach `ecsInstanceRole`. Wenn die Rolle nicht existiert, gehen Sie wie folgt vor, um die Rolle zu erstellen.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.
1. Wählen Sie für **allgemeine Anwendungsfälle** **EC2** aus.
1. Wählen Sie **Weiter** aus.
1. Suchen **Sie für Berechtigungsrichtlinien** nach **Amazon EC2 ContainerServicefor EC2 Role**.
1. Aktivieren Sie das Kontrollkästchen neben **Amazon EC2 ContainerServicefor EC2 Role** und wählen Sie dann **Weiter**.
1. Geben Sie unter **Role Name (Rollenname)** den Namen `ecsInstanceRole` ein und wählen Sie **Create role (Rolle erstellen)** aus.
**Anmerkung**
Wenn Sie die verwenden AWS-Managementkonsole , um eine Rolle für Amazon EC2 zu erstellen, erstellt die Konsole ein Instance-Profil mit demselben Namen wie die Rolle.
Alternativ können Sie die verwenden, AWS CLI um die `ecsInstanceRole` IAM-Rolle zu erstellen. Im folgenden Beispiel wird eine IAM-Rolle mit einer Vertrauensrichtlinie und einer AWS verwalteten Richtlinie erstellt.
**Tutorial: Erstellen Sie eine IAM-Rolle und ein Instanzprofil ()AWS CLI**
1. Erstellen Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Textdatei mit dem Namen`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Verwenden Sie den Befehl [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html), um die `ecsInstanceRole` Rolle zu erstellen. Geben Sie den Speicherort der Vertrauensrichtlinien-Datei im Parameter an`assume-role-policy-document`.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Verwenden Sie den [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)Befehl, um ein benanntes Instanzprofil zu erstellen`ecsInstanceRole`.
**Anmerkung**
Sie müssen Rollen und Instanzprofile als separate Aktionen in der AWS CLI AWS AND-API erstellen.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Verwenden Sie den Befehl [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html), um die `ecsInstanceRole` Rolle zum `ecsInstanceRole` Instanzprofil hinzuzufügen.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Verwenden Sie den [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)Befehl, um die `AmazonEC2ContainerServiceforEC2Role` AWS verwaltete Richtlinie an die `ecsInstanceRole` Rolle anzuhängen.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Rolle der Amazon EC2-Spotflotte
Wenn Sie eine verwaltete Rechenumgebung erstellen, die Amazon EC2 Spot Fleet Instances verwendet, müssen Sie die `AmazonEC2SpotFleetTaggingRole` Richtlinie erstellen. Diese Richtlinie erteilt Spot Fleet die Erlaubnis, Instances in Ihrem Namen zu starten, zu kennzeichnen und zu beenden. Legen Sie die Rolle in Ihrer Spot-Flottenanforderung fest. Sie müssen außerdem über die Rollen **AWSServiceRoleForEC2Spot** und **AWSServiceRoleForEC2SpotFleet**serviceverknüpfte Rollen für Amazon EC2 Spot und Spot Fleet verfügen. Verwenden Sie die folgende Anleitung, um all diese Rollen zu erstellen. Weitere Informationen finden Sie unter [Verwenden von dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) und [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Erstellen Sie Amazon EC2-Spot-Flottenrollen in der AWS-Managementkonsole](spot-fleet-roles-console.md)
+ [Erstellen Sie Amazon EC2-Spot-Flottenrollen mit dem AWS CLI](spot-fleet-roles-cli.md)
# Erstellen Sie Amazon EC2-Spot-Flottenrollen in der AWS-Managementkonsole
**So erstellen Sie die serviceverknüpfte `AmazonEC2SpotFleetTaggingRole` IAM-Rolle für Amazon EC2 Spot Fleet**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. **Wählen Sie für **Access Management die Option** Rollen,**
1. Wählen Sie für **Rollen** die Option **Rolle erstellen** aus.
1. **Wählen Sie unter Vertrauenswürdige Entität** auswählen für **Vertrauenswürdigen Entitätstyp** die Option aus **AWS-Service**.
1. Wählen **Sie für Anwendungsfälle für andere AWS-Services** die Option **EC2** und dann **EC2 — Spot Fleet** Tagging aus.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie unter **Berechtigungsrichtlinien** für den **Richtliniennamen den Wert**. `AmazonEC2SpotFleetTaggingRole`
1. Wählen Sie **Weiter** aus.
1. **Überprüfen und erstellen Sie für Name**:
1. Geben Sie **unter Rollenname** einen Namen ein, um die Rolle zu identifizieren.
1. Geben Sie unter **Beschreibung** eine kurze Erklärung für die Richtlinie ein.
1. (Optional) **Wählen Sie für Schritt 1: Vertrauenswürdige Entitäten** auswählen und **Bearbeiten** aus, um den Code zu ändern.
1. (Optional) Wählen Sie für **Schritt 2: Berechtigungen hinzufügen** die Option **Bearbeiten** aus, um den Code zu ändern.
1. (Optional) Wählen **Sie unter Tags hinzufügen** die Option **Tag hinzufügen** aus, um der Ressource Tags hinzuzufügen.
1. Wählen Sie **Rolle erstellen** aus.
**Anmerkung**
In der Vergangenheit gab es zwei verwaltete Richtlinien für die Amazon EC2 Spot Fleet-Rolle.
**Amazon EC2 SpotFleetRole**: Dies ist die ursprünglich verwaltete Richtlinie für die Spot-Flottenrolle. Wir empfehlen jedoch nicht mehr, sie zusammen mit zu verwenden AWS Batch. Diese Richtlinie unterstützt kein Spot-Instance-Tagging in Rechenumgebungen, das für die Verwendung der `AWSServiceRoleForBatch` serviceverknüpften Rolle erforderlich ist. Wenn Sie zuvor eine Spot-Flottenrolle mit dieser Richtlinie erstellt haben, wenden Sie die neue empfohlene Richtlinie auf diese Rolle an. Weitere Informationen finden Sie unter [Spot-Instances wurden bei der Erstellung nicht markiert](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: Diese Rolle bietet alle erforderlichen Berechtigungen, um Amazon EC2-Spot-Instances zu taggen. Verwenden Sie diese Rolle, um Spot-Instance-Tagging in Ihren AWS Batch Computerumgebungen zu ermöglichen.
# Erstellen Sie Amazon EC2-Spot-Flottenrollen mit dem AWS CLI
**So erstellen Sie die **Amazon EC2 SpotFleetTaggingRole** IAM-Rolle für Ihre Spot-Flotte-Rechenumgebungen**
1. Führen Sie den folgenden Befehl mit dem AWS CLI aus.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Um die von **Amazon EC2 SpotFleetTaggingRole** verwaltete IAM-Richtlinie an Ihre **EC2SpotFleetTaggingRoleAmazon-Rolle** anzuhängen, führen Sie den folgenden Befehl mit dem AWS CLI aus.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**So erstellen Sie die serviceverknüpfte `AWSServiceRoleForEC2Spot` IAM-Rolle für Amazon EC2 Spot**
**Anmerkung**
Wenn die serviceverknüpfte `AWSServiceRoleForEC2Spot` IAM-Rolle bereits existiert, wird Ihnen eine Fehlermeldung angezeigt, die der folgenden ähnelt.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Führen Sie den folgenden Befehl mit dem aus. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**So erstellen Sie die serviceverknüpfte `AWSServiceRoleForEC2SpotFleet` IAM-Rolle für Amazon EC2 Spot Fleet**
**Anmerkung**
Wenn die serviceverknüpfte `AWSServiceRoleForEC2SpotFleet` IAM-Rolle bereits existiert, wird eine Fehlermeldung angezeigt, die der folgenden ähnelt.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Führen Sie den folgenden Befehl mit dem aus. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge IAM-Rolle
Amazon EventBridge liefert nahezu in Echtzeit einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben. AWS Batch Jobs sind als EventBridge Ziele verfügbar. Mit einfachen, schnell eingerichteten Regeln können Sie Ereignisse zuordnen und in Reaktion darauf AWS Batch -Aufträge ausführen. Bevor Sie AWS Batch Jobs mit EventBridge Regeln und Zielen einreichen können, EventBridge müssen Sie über die erforderlichen Berechtigungen verfügen, um AWS Batch Jobs in Ihrem Namen auszuführen.
**Anmerkung**
Wenn Sie in der EventBridge Konsole eine Regel erstellen, die eine AWS Batch Warteschlange als Ziel angibt, können Sie diese Rolle erstellen. Ein Beispiel-Walkthrough finden Sie unter [AWS Batch Jobs als EventBridge Ziele](batch-cwe-target.md). Sie können die EventBridge Rolle manuell mithilfe der IAM-Konsole erstellen. Anweisungen finden Sie im IAM-Benutzerhandbuch unter [Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
Die Vertrauensstellung für Ihre EventBridge IAM-Rolle muss dem `events.amazonaws.com` Dienstprinzipal die Möglichkeit geben, die Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Stellen Sie sicher, dass die mit Ihrer EventBridge IAM-Rolle verknüpfte Richtlinie `batch:SubmitJob` Berechtigungen für Ihre Ressourcen zulässt. Im folgenden Beispiel wird die `AWSBatchServiceEventTargetRole` verwaltete Richtlinie zur Bereitstellung dieser Berechtigungen bereitgestellt. AWS Batch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------
# Erstellen einer Virtual Private Cloud
Rechenressourcen in Ihren Datenverarbeitungsumgebungen benötigen externen Netzwerkzugriff, um mit AWS Batch Amazon ECS-Serviceendpunkten kommunizieren zu können. Möglicherweise haben Sie jedoch Jobs, die Sie in privaten Subnetzen ausführen möchten. Um die Flexibilität zu haben, Jobs entweder in einem öffentlichen oder privaten Subnetz auszuführen, erstellen Sie eine VPC, die sowohl öffentliche als auch private Subnetze hat.
Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses Thema enthält einen Link zum Amazon VPC-Assistenten und eine Liste der auszuwählenden Optionen.
## Erstellen einer VPC
Informationen zum Erstellen einer Amazon VPC finden Sie unter [Create a VPC only](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) im *Amazon VPC-Benutzerhandbuch*. Ermitteln Sie anhand der folgenden Tabelle, welche Optionen Sie auswählen sollten.
| Option | Wert |
| --- | --- |
| Zu erstellende Ressourcen | Nur VPC |
| Name | Geben Sie optional einen Namen für Ihre VPC ein. |
| IPv4 CIDR-Block | IPv4 Manuelle CIDR-Eingabe Die CIDR-Blockgröße muss eine Größe zwischen /16 und /28. haben. |
| IPv6 CIDR-Block | Kein IPv6 CIDR-Block |
| Tenancy | Standard |
Weitere Informationen über Amazon VPC finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) im *Amazon VPC-Benutzerhandbuch*.
## Nächste Schritte
Nachdem Sie Ihre VPC erstellt haben, sollten Sie die folgenden nächsten Schritte in Betracht ziehen:
+ Erstellen von Sicherheitsgruppen für Ihre öffentlichen und privaten Ressourcen, wenn diese eingehenden Netzwerkzugriff benötigen. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups) im *Amazon-VPC-Benutzerhandbuch*.
+ Erstellen Sie eine AWS Batch verwaltete Rechenumgebung, die Rechenressourcen in Ihre neue VPC einführt. Weitere Informationen finden Sie unter [Erstellen Sie eine Rechenumgebung](create-compute-environment.md). Wenn Sie den Assistenten zum Erstellen einer Rechenumgebung in der AWS Batch Konsole verwenden, können Sie die VPC angeben, die Sie gerade erstellt haben, und die öffentlichen oder privaten Subnetze, in denen Sie Ihre Instances starten möchten.
+ Erstellen Sie eine AWS Batch Job-Warteschlange, die Ihrer neuen Rechenumgebung zugeordnet ist. Weitere Informationen finden Sie unter [Eine Job-Warteschlange erstellen](create-job-queue.md).
+ Erstellen einer Auftragsdefinition für die Ausführung Ihrer Aufträge. Weitere Informationen finden Sie unter [Erstellen Sie eine Auftragsdefinition mit einem Knoten](create-job-definition.md).
+ Übermitteln eines Auftrags mit Ihrer Auftragsdefinition in die neue Auftragswarteschlange. Dieser Job landet in der Rechenumgebung, die Sie mit Ihrer neuen VPC und Subnetzen erstellt haben. Weitere Informationen finden Sie unter [Tutorial: Einen Job einreichen](submit_job.md).
# Verwenden Sie einen Schnittstellenendpunkt für Access AWS Batch
Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und AWS Batch herzustellen. Sie können darauf zugreifen, AWS Batch als ob es in Ihrer VPC wäre, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen für den Zugriff AWS Batch keine öffentlichen IP-Adressen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für AWS Batch bestimmt ist.
*Weitere Informationen finden Sie im [Handbuch unter Interface VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
# Überlegungen zu AWS Batch
Bevor Sie einen Schnittstellenendpunkt für einrichten AWS Batch, lesen Sie sich die [Eigenschaften und Einschränkungen der Schnittstellenendpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) im *AWS PrivateLink Handbuch durch*.
AWS Batch unterstützt Aufrufe aller API-Aktionen über den Schnittstellenendpunkt.
Bevor Sie Schnittstellen-VPC-Endpoints für einrichten AWS Batch, sollten Sie die folgenden Überlegungen beachten:
+ Jobs, die den Starttyp Fargate-Ressourcen verwenden, benötigen nicht die Schnittstellen-VPC-Endpunkte für Amazon ECS. Möglicherweise benötigen Sie jedoch Schnittstellen-VPC-Endpunkte für Amazon ECR AWS Batch, Secrets Manager oder Amazon CloudWatch Logs, die in den folgenden Punkten beschrieben werden.
+ Um Jobs auszuführen, müssen Sie die Schnittstellen-VPC-Endpunkte für Amazon ECS erstellen. Weitere Informationen finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) im *Amazon Elastic Container Service Developer Guide*.
+ Damit Ihre Jobs private Images von Amazon ECR abrufen können, müssen Sie die Schnittstellen-VPC-Endpunkte für Amazon ECR erstellen. Weitere Informationen finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) im *Amazon Elastic Container-Registry-Benutzerhandbuch*.
+ Damit Ihre Jobs sensible Daten aus Secrets Manager abrufen können, müssen Sie die VPC-Schnittstellen-Endpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter [Verwenden von Secrets Manager mit VPC-Endpunkten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) im *AWS Secrets Manager -Benutzerhandbuch*.
+ Wenn Ihre VPC kein Internet-Gateway hat und Ihre Jobs den `awslogs` Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, müssen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs erstellen. Weitere Informationen finden Sie unter [Using CloudWatch Logs with Interface VPC Endpoints](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
+ Jobs, die die EC2-Ressourcen verwenden, erfordern, dass die Container-Instances, auf denen sie gestartet werden, Version `1.25.1` oder höher des Amazon ECS-Container-Agenten ausführen. Weitere Informationen finden Sie unter [Amazon ECS Linux Container Agent-Versionen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-versions.html) im *Amazon Elastic Container Service Developer Guide*.
+ VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an AWS Batch ausgeben möchten.
+ VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) im *Amazon VPC-Benutzerhandbuch*.
+ Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.
+ AWS Batch unterstützt im Folgenden keine VPC-Schnittstellenendpunkte: AWS-Regionen
+ Asien-Pazifik (Osaka) (`ap-northeast-3`)
+ Asien-Pazifik (Jakarta) (`ap-southeast-3`)
# Erstellen Sie einen Schnittstellenendpunkt für AWS Batch
Sie können einen Schnittstellenendpunkt für die AWS Batch Verwendung entweder der Amazon VPC-Konsole oder der AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen Schnittstellenendpunkt für die AWS Batch Verwendung der folgenden Servicenamen:
+ **com.amazonaws.** *region***.stapel**
+ **com.amazonaws.** *region***.batch-fips (Informationen zu FIPS-konformen Endgeräten finden** *Sie unter Endpunkte und Kontingente*[)AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html)
Beispiel:
```
com.amazonaws.us-east-2.batch
```
```
com.amazonaws.us-east-2.batch-fips
```
In der Partition ist das Format anders: `aws-cn`
```
cn.com.amazonaws.region.batch
```
Beispiel:
```
cn.com.amazonaws.cn-northwest-1.batch
```
## Private DNS-Namen für AWS Batch Schnittstellenendpunkte
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie bestimmte DNS-Namen für die Verbindung verwenden. Wir bieten folgende Optionen: AWS Batch
+ **Stapel.** *region***.amazonaws.com**
+ **Stapel.** *region***.api.aws**
Für FIPS-konforme Endpunkte:
+ **Batch-FIPS.** *region***.api.aws**
+ **fips.batch.** *region***.amazonaws.com** *wird nicht unterstützt*
*Weitere Informationen finden Sie im Leitfaden unter [Zugreifen auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint).AWS PrivateLink *
# Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollständigen Zugriff AWS Batch über den Schnittstellenendpunkt. Um den Zugriff auf AWS Batch von Ihrer VPC aus zu steuern, hängen Sie eine benutzerdefinierte Endpunktrichtlinie an den Schnittstellenendpunkt an.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Principals, die Aktionen ausführen können (AWS-Konten, Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.
**Beispiel: VPC-Endpunktrichtlinie für Aktionen AWS Batch**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten AWS Batch Aktionen.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"batch:SubmitJob",
"batch:ListJobs",
"batch:DescribeJobs"
],
"Resource":"*"
}
]
}
```
# Überprüfung der Einhaltung von Vorschriften für AWS Batch
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Sicherheit der Infrastruktur in AWS Batch
Als verwalteter Dienst AWS Batch ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS Batch über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen, AWS Batch unterstützt jedoch ressourcenbasierte Zugriffsrichtlinien, die Einschränkungen auf der Grundlage der Quell-IP-Adresse beinhalten können. Sie können auch AWS Batch Richtlinien verwenden, um den Zugriff von bestimmten Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte AWS Batch Ressource effektiv nur von der spezifischen VPC innerhalb des AWS Netzwerks isoliert.
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. Bei AWS dienstübergreifendem Identitätswechsel kann es zu einem Problem mit dem verwirrten Stellvertreter kommen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS Batch Ressource einen anderen Dienst gewähren. Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der Wert von `aws:SourceArn` muss die Ressource sein, die AWS Batch gespeichert wird.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`.
Die folgenden Beispiele zeigen, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel verwenden können, AWS Batch um das Problem mit dem verwirrten Stellvertreter zu vermeiden.
## Beispiel: Rolle für den Zugriff auf nur eine Rechenumgebung
Die folgende Rolle kann nur für den Zugriff auf eine Rechenumgebung verwendet werden. Der Jobname muss als angegeben werden`*`, da die Job-Warteschlange mehreren Rechenumgebungen zugeordnet werden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
## Beispiel: Rolle für den Zugriff auf mehrere Rechenumgebungen
Die folgende Rolle kann für den Zugriff auf mehrere Rechenumgebungen verwendet werden. Der Jobname muss angegeben werden, `*` da die Job-Warteschlange mehreren Rechenumgebungen zugeordnet werden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/*",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
# AWS Batch API-Aufrufe protokollieren mit AWS CloudTrail
AWS Batch ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden AWS Batch. CloudTrail erfasst alle API-Aufrufe AWS Batch als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der AWS Batch Konsole und Codeaufrufen für die AWS Batch API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS Batch. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurde AWS Batch, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Batch Informationen in CloudTrail](service-name-info-in-cloudtrail.md)
+ [Referenz: Grundlegendes zu AWS Batch Protokolldateieinträgen](understanding-service-name-entries.md)
# AWS Batch Informationen in CloudTrail
CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn eine Aktivität in stattfindet AWS Batch, wird diese Aktivität zusammen mit anderen CloudTrail AWS Serviceereignissen im **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich der Ereignisse für AWS Batch, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle AWS Batch Aktionen werden von der https://docs.aws.amazon.com/batch/ neuesten APIReference Version protokolliert// CloudTrail und sind dort dokumentiert. Zum Beispiel werden durch Aufrufe der `[SubmitJob](https://docs.aws.amazon.com/batch/latest/APIReference/API_SubmitJob.html)`-, `[ListJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_ListJobs.html)`- und `[DescribeJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_DescribeJobs.html)`-Abschnitte Einträge in den CloudTrail -Protokolldateien generiert.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen Dienst gestellt wurde. AWS
Weitere Informationen finden Sie unter [CloudTrail userIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Referenz: Grundlegendes zu AWS Batch Protokolldateieinträgen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis ist eine einzelne Anforderung aus einer beliebigen Quelle und enthält Informationen zur angeforderten Aktion, zu Datum und Uhrzeit der Aktion, zu den Anforderungsparametern usw. CloudTrail-Protokolldateien stellen kein geordnetes Stack-Trace der öffentlichen API-Aufrufe dar. Daher werden sie nicht in einer bestimmten Reihenfolge angezeigt.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `[CreateComputeEnvironment](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)` Aktion demonstriert.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-12-20T00:48:46Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
}
}
},
"eventTime": "2017-12-20T00:48:46Z",
"eventSource": "batch.amazonaws.com",
"eventName": "CreateComputeEnvironment",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"computeResources": {
"subnets": [
"subnet-5eda8e04"
],
"tags": {
"testBatchTags": "CLI testing CE"
},
"desiredvCpus": 0,
"minvCpus": 0,
"instanceTypes": [
"optimal"
],
"securityGroupIds": [
"sg-aba9e8db"
],
"instanceRole": "ecsInstanceRole",
"maxvCpus": 128,
"type": "EC2"
},
"state": "ENABLED",
"type": "MANAGED",
"computeEnvironmentName": "Test"
},
"responseElements": {
"computeEnvironmentName": "Test",
"computeEnvironmentArn": "arn:aws:batch:us-east-1:012345678910:compute-environment/Test"
},
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```
# Problembehandlung bei AWS Batch IAM
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Batch und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Batch](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine AWS Batch Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Batch
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `batch:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: batch:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `batch:GetWidget` zugreifen zu können. Weitere Informationen zum Erteilen von Berechtigungen zur Weitergabe einer Rolle finden Sie unter [Einem Benutzer Berechtigungen zur Übergabe einer Rolle an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) erteilen.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS Batchübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS Batch auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine AWS Batch Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS Batch unterstützt werden, finden Sie unter. [Wie AWS Batch funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.