**Hinweis zum Ende des Supports**: Am 20. Februar 2026 AWS wird der Support für den Amazon Chime Chime-Service eingestellt. Nach dem 20. Februar 2026 können Sie nicht mehr auf die Amazon Chime-Konsole oder die Amazon Chime Chime-Anwendungsressourcen zugreifen. [Weitere Informationen finden Sie im Blogbeitrag.](https://aws.amazon.com/blogs/messaging-and-targeting/update-on-support-for-amazon-chime/) **Hinweis:** Dies hat keine Auswirkungen auf die Verfügbarkeit des [Amazon Chime SDK-Service](https://aws.amazon.com/chime/chime-sdk/).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Chime
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Chime gelten, finden Sie unter [AWS-Services in Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Chime anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Chime konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS AWS-Services nutzen können, mit denen Sie Ihre Amazon Chime Chime-Ressourcen überwachen und sichern können.
**Topics**
+ [Identitäts- und Zugriffsmanagement für Amazon Chime](security-iam.md)
+ [So funktioniert Amazon Chime mit IAM](security_iam_service-with-iam.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](confused-deputy.md)
+ [Ressourcenbasierte Richtlinien von Amazon Chime](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf Amazon Chime Chime-Tags](#security_iam_service-with-iam-tags)
+ [Amazon Chime IAM-Rollen](#security_iam_service-with-iam-roles)
+ [Beispiele für identitätsbasierte Richtlinien von Amazon Chime](security_iam_id-based-policy-examples.md)
+ [Problembehandlung Amazon Chime Chime-Identität und Zugriff](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon Chime](using-service-linked-roles.md)
+ [Protokollierung und Überwachung in Amazon Chime](monitoring-overview.md)
+ [Konformitätsprüfung für Amazon Chime](compliance.md)
+ [Resilienz in Amazon Chime](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Chime](infrastructure-security.md)
+ [Grundlegendes zu automatischen Updates von Amazon Chime](chime-auto-update.md)
# Identitäts- und Zugriffsmanagement für Amazon Chime
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Chime Chime-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung Amazon Chime Chime-Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Chime mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien von Amazon Chime](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS Konto (Root-Benutzer)
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### AWS verwaltete Richtlinien für Amazon Chime
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, von AWS verwaltete Richtlinien zu verwenden, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken häufige Anwendungsfälle ab und sind in Ihrem AWS -Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Chime mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Chime zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Chime verfügbar sind. *Einen allgemeinen Überblick darüber, wie Amazon Chime und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Identitätsbasierte Richtlinien von Amazon Chime](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcen](#security_iam_service-with-iam-id-based-policies-resources)
+ [Beispiele](#security_iam_service-with-iam-id-based-policies-examples)
## Identitätsbasierte Richtlinien von Amazon Chime
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Chime unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
### Bedingungsschlüssel
Amazon Chime stellt keine servicespezifischen Zustandsschlüssel zur Verfügung. Eine Liste aller globalen AWS -Bedingungsschlüssel finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
## Ressourcen
Amazon Chime unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht.
## Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Chime finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon Chime](security_iam_id-based-policy-examples.md)
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem mit dem verwirrten Stellvertreter ist ein Problem der Informationssicherheit, das auftritt, wenn eine Entität, die nicht berechtigt ist, eine Aktion auszuführen, eine Entität mit mehr Rechten zur Ausführung der Aktion aufruft. Auf diese Weise können böswillige Akteure Befehle ausführen oder Ressourcen ändern, zu deren Ausführung oder Zugriff sie sonst nicht berechtigt wären. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Das Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Szenario mit verwirrtem Stellvertreter führen. *Ein dienstübergreifender Identitätswechsel tritt auf, wenn ein Dienst (der *anrufende Dienst) einen anderen Dienst (den angerufenen Dienst*) anruft.* Ein böswilliger Akteur kann den anrufenden Dienst verwenden, um Ressourcen in einem anderen Dienst zu ändern, indem er Berechtigungen verwendet, über die er normalerweise nicht verfügen würde.
AWS bietet Dienstprinzipalen verwalteten Zugriff auf Ressourcen in Ihrem Konto, um Sie beim Schutz Ihrer Ressourcen zu unterstützen. Wir empfehlen die Verwendung des Kontextschlüssels „`aws:SourceAccount`Global Condition“ in Ihren Ressourcenrichtlinien. Diese Schlüssel schränken die Berechtigungen ein, die Amazon Chime einem anderen Service für diese Ressource gewährt.
Das folgende Beispiel zeigt eine S3-Bucket-Richtlinie, die den `aws:SourceAccount` globalen Bedingungskontextschlüssel im konfigurierten `CallDetailRecords` S3-Bucket verwendet, um das Problem mit dem verwirrten Stellvertreter zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonChimeAclCheck668426",
"Effect": "Allow",
"Principal": {
"Service": "chime.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::your-cdr-bucket"
},
{
"Sid": "AmazonChimeWrite668426",
"Effect": "Allow",
"Principal": {
"Service": "chime.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-cdr-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "112233446677"
}
}
}
]
}
```
------
## Ressourcenbasierte Richtlinien von Amazon Chime
Amazon Chime unterstützt keine ressourcenbasierten Richtlinien.
## Autorisierung basierend auf Amazon Chime Chime-Tags
Amazon Chime unterstützt weder das Markieren von Ressourcen noch die Steuerung des Zugriffs auf der Grundlage von Tags.
## Amazon Chime IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Amazon Chime verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon Chime unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
[Mit Diensten verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen es AWS Diensten, auf Ressourcen in anderen Diensten zuzugreifen, die Aktionen in Ihrem Namen ausführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM-Konto angezeigt, und die Dienste sind Eigentümer der Rollen. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon Chime unterstützt serviceverknüpfte Rollen. Einzelheiten zum Erstellen oder Verwalten von serviceverknüpften Amazon Chime Chime-Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für Amazon Chime](using-service-linked-roles.md)
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Amazon Chime unterstützt keine Servicerollen.
# Beispiele für identitätsbasierte Richtlinien von Amazon Chime
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Amazon Chime Chime-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Chime Chime-Konsole](#security_iam_id-based-policy-examples-console)
+ [Erlauben Sie Benutzern vollen Zugriff auf Amazon Chime](#security_iam_id-based-policy-examples-full-access)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Benutzern den Zugriff auf Benutzerverwaltungsaktionen erlauben](#security_iam_id-based-policy-examples-user-management)
+ [AWS verwaltete Richtlinie: AmazonChimeVoiceConnectorServiceLinkedRolePolicy](#cvc-linked-role-policy)
+ [Amazon Chime Chime-Updates für AWS verwaltete Richtlinien](#security-iam-awsmanpol-updates)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Chime Chime-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Chime Chime-Konsole
Um auf die Amazon Chime Chime-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Chime Chime-Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten weiterhin die Amazon Chime Chime-Konsole verwenden können, fügen Sie den Entitäten auch die folgende AWS verwaltete **AmazonChimeReadOnly**Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im*IAM-Benutzerhandbuch*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"chime:List*",
"chime:Get*",
"chime:SearchAvailablePhoneNumbers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
## Erlauben Sie Benutzern vollen Zugriff auf Amazon Chime
Die folgende AWS verwaltete **AmazonChimeFullAccess**Richtlinie gewährt einem IAM-Benutzer vollen Zugriff auf Amazon Chime Chime-Ressourcen. Die Richtlinie gewährt dem Benutzer Zugriff auf alle Amazon Chime-Operationen sowie auf andere Vorgänge, die Amazon Chime in Ihrem Namen ausführen muss.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"chime:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:PutResourcePolicy",
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes"
],
"Resource": [
"arn:aws:sns:*:*:ChimeVoiceConnector-Streaming*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:GetQueueAttributes",
"sqs:CreateQueue"
],
"Resource": [
"arn:aws:sqs:*:*:ChimeVoiceConnector-Streaming*"
]
}
]
}
```
------
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet die Erlaubnis, diese Aktion auf der Konsole oder programmgesteuert mithilfe der API oder durchzuführen. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Benutzern den Zugriff auf Benutzerverwaltungsaktionen erlauben
Verwenden Sie die AWS verwaltete **AmazonChimeUserManagement**Richtlinie, um Benutzern Zugriff auf Benutzerverwaltungsaktionen in der Amazon Chime Chime-Konsole zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"chime:ListAccounts",
"chime:GetAccount",
"chime:GetAccountSettings",
"chime:UpdateAccountSettings",
"chime:ListUsers",
"chime:GetUser",
"chime:GetUserByEmail",
"chime:InviteUsers",
"chime:InviteUsersFromProvider",
"chime:SuspendUsers",
"chime:ActivateUsers",
"chime:UpdateUserLicenses",
"chime:ResetPersonalPIN",
"chime:LogoutUser",
"chime:ListDomains",
"chime:GetDomain",
"chime:ListDirectories",
"chime:ListGroups",
"chime:SubmitSupportRequest",
"chime:ListDelegates",
"chime:ListAccountUsageReportData",
"chime:GetMeetingDetail",
"chime:ListMeetingEvents",
"chime:ListMeetingsReportData",
"chime:GetUserActivityReportData",
"chime:UpdateUser",
"chime:BatchUpdateUser",
"chime:BatchSuspendUser",
"chime:BatchUnsuspendUser",
"chime:AssociatePhoneNumberWithUser",
"chime:DisassociatePhoneNumberFromUser",
"chime:GetPhoneNumber",
"chime:ListPhoneNumbers",
"chime:GetUserSettings",
"chime:UpdateUserSettings",
"chime:CreateUser",
"chime:AssociateSigninDelegateGroupsWithAccount",
"chime:DisassociateSigninDelegateGroupsFromAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonChimeVoiceConnectorServiceLinkedRolePolicy
Das `AmazonChimeVoiceConnectorServiceLinkedRolePolicy` ermöglicht Amazon Chime Voice Connectors, Medien auf Amazon Kinesis Video Streams zu streamen, Streaming-Benachrichtigungen bereitzustellen und Sprache mithilfe von Amazon Polly zu synthetisieren. Diese Richtlinie gewährt dem Amazon Chime Voice Connector-Service die Erlaubnis, auf die Amazon Kinesis Video Streams von Kunden zuzugreifen, Benachrichtigungsereignisse an den Amazon Simple Notification Service und Amazon Simple Queue Service zu senden und Amazon Polly zur Sprachsynthese zu verwenden, wenn die Sprachanwendungen und -aktionen des Amazon Chime SDK verwendet werden. `Speak` `SpeakAndGetDigits` Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Richtlinien für Amazon Chime SDK](https://docs.aws.amazon.com/chime-sdk/latest/ag/using-service-linked-roles-stream.html) im *Amazon Chime* SDK-Administratorhandbuch.
## Amazon Chime Chime-Updates für AWS verwaltete Richtlinien
In der folgenden Tabelle sind die Aktualisierungen der Amazon Chime IAM-Richtlinie aufgeführt und beschrieben.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| `AmazonChimeVoiceConnectorServiceLinkedRolePolicy` – Aktualisierung auf eine bestehende Richtlinie | Amazon Chime Voice Connectors hat neue Berechtigungen hinzugefügt, mit denen Sie Amazon Polly zur Sprachsynthese verwenden können. Diese Berechtigungen sind erforderlich, um die `SpeakAndGetDigits` Aktionen `Speak` und in Amazon Chime SDK Voice Applications verwenden zu können. | 15. März 2022 |
| `AmazonChimeVoiceConnectorServiceLinkedRolePolicy` – Aktualisierung auf eine bestehende Richtlinie | Amazon Chime Voice Connector hat neue Berechtigungen hinzugefügt, um den Zugriff auf Amazon Kinesis Video Streams zu ermöglichen und Benachrichtigungsereignisse an SNS und SQS zu senden. Diese Berechtigungen sind erforderlich, damit Amazon Chime Voice Connectors Medien auf Amazon Kinesis Video Streams streamen und Streaming-Benachrichtigungen bereitstellen kann. | 20. Dezember 2021 |
| Änderung der bestehenden Richtlinie. [IAM-Benutzer oder -Rollen mit der Chime SDK-Richtlinie erstellen](https://docs.aws.amazon.com/chime/latest/dg/iam-users-roles.html). | Amazon Chime hat neue Aktionen hinzugefügt, um die erweiterte Validierung zu unterstützen. Eine Reihe von Aktionen wurde hinzugefügt, um das Auflisten und Markieren von Teilnehmern und Besprechungsressourcen sowie das Starten und Beenden der Besprechungstranskription zu ermöglichen. | 23. September 2021 |
| Amazon Chime hat begonnen, Änderungen zu verfolgen | Amazon Chime hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 23. September 2021 |
# Problembehandlung Amazon Chime Chime-Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Chime und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Chime durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Chime Chime-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Chime durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `chime:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: chime:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `chime:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam durchzuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Chime übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Chime auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Chime Chime-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Chime diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Chime mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für Amazon Chime
Amazon Chime verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Chime verknüpft ist. Servicebezogene Rollen sind von Amazon Chime vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon Chime effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Chime definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Chime seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Die Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre Amazon Chime Chime-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.
Weitere Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Yes (Ja) **in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [Rollen mit gemeinsam genutzten Alexa for Business Business-Geräten verwenden](using-service-linked-roles-a4b.md)
+ [Rollen mit Live-Transkription verwenden](using-service-linked-roles-transcription.md)
+ [Rollen mit Amazon Chime SDK-Medien-Pipelines verwenden](using-service-linked-roles-media-pipeline.md)
# Rollen mit gemeinsam genutzten Alexa for Business Business-Geräten verwenden
Die Informationen in den folgenden Abschnitten erläutern, wie Sie dienstbezogene Rollen verwenden und Amazon Chime Zugriff auf die Alexa for Business Business-Ressourcen in Ihrem AWS Konto gewähren können.
**Topics**
+ [Servicebezogene Rollenberechtigungen für Amazon Chime](#service-linked-role-permissions-a4b)
+ [Eine serviceverknüpfte Rolle für Amazon Chime erstellen](#create-service-linked-role-a4b)
+ [Bearbeiten einer serviceverknüpften Rolle für Amazon Chime](#edit-service-linked-role-a4b)
+ [Löschen einer serviceverknüpften Rolle für Amazon Chime](#delete-service-linked-role-a4b)
+ [Unterstützte Regionen für serviceverknüpfte Amazon Chime Chime-Rollen](#slr-regions-a4b)
## Servicebezogene Rollenberechtigungen für Amazon Chime
Amazon Chime verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForAmazonChime**— Ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von Amazon Chime verwendet oder verwaltet werden, wie z. B. gemeinsam genutzte Alexa for Business Business-Geräte.
Die AWSService RoleForAmazonChime servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `chime.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es Amazon Chime, die folgende Aktion für die angegebene Ressource durchzuführen:
+ Aktion: `iam:CreateServiceLinkedRole` für `arn:aws:iam::*:role/aws-service-role/chime.amazonaws.com/AWSServiceRoleForAmazonChime`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon Chime erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Alexa for Business für ein gemeinsam genutztes Gerät in Amazon Chime in der AWS-Managementkonsole, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Chime die serviceverknüpfte Rolle für Sie.
Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem **Amazon Chime Chime-Anwendungsfall** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine serviceverknüpfte Rolle mit dem Servicenamen. `chime.amazonaws.com` Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für Amazon Chime
Amazon Chime erlaubt Ihnen nicht, die AWSService RoleForAmazonChime serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Chime
Wenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen.
**Anmerkung**
Wenn Amazon Chime die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Amazon Chime Chime-Ressourcen zu löschen, die von der AWSService RoleForAmazonChime (Konsole) verwendet werden**
+ Schalten Sie Alexa for Business für alle gemeinsam genutzten Geräte in Ihrem Amazon Chime Chime-Konto aus.
1. Öffnen Sie die Amazon Chime Chime-Konsole unter [https://chime.aws.amazon.com/](https://chime.aws.amazon.com).
1. Wählen Sie **Benutzer**, **Freigegebene Geräte** aus.
1. Wählen Sie ein Gerät aus.
1. Wählen Sie **Aktionen**.
1. Wählen **Sie Alexa for Business deaktivieren.**
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForAmazonChime serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Amazon Chime Chime-Rollen
Amazon Chime unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Amazon Chime Chime-Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/chime.html#chime_region) Kontingente.
# Rollen mit Live-Transkription verwenden
In den folgenden Abschnitten wird erklärt, wie Sie eine servicebezogene Rolle für die Amazon Chime Chime-Live-Transkription erstellen und verwalten. Weitere Informationen zum Live-Transkriptionsservice finden Sie unter [Verwenden der Live-Transkription mit dem Amazon Chime SDK](https://docs.aws.amazon.com/chime/latest/dg/meeting-transcription.html).
**Topics**
+ [Dienstbezogene Rollenberechtigungen für Nova Act](#service-linked-role-permissions-transcription)
+ [Eine serviceverknüpfte Rolle für Nova Act erstellen](#create-service-linked-role-transcription)
+ [Bearbeiten einer serviceverknüpften Rolle für Nova Act](#edit-slr)
+ [Löschen einer serviceverknüpften Rolle für Nova Act](#delete-slr)
+ [Unterstützte Regionen für mit dem Amazon Chime Service verknüpfte Rollen](#slr-regions-transcription)
## Dienstbezogene Rollenberechtigungen für Nova Act
Nova Act verwendet eine servicebezogene Rolle mit dem Namen **AWSServiceRoleForAmazonChimeTranscription— Erlaubt Amazon Chime, in Ihrem Namen auf Amazon Transcribe und Amazon Transcribe Medical zuzugreifen**.
Die AWSService RoleForAmazonChimeTranscription servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `transcription.chime.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es Amazon Chime, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `transcribe:StartStreamTranscription` für `all AWS resources`
+ Aktion: `transcribe:StartMedicalStreamTranscription` für `all AWS resources`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Nova Act erstellen
Sie verwenden die IAM-Konsole, um eine serviceverknüpfte Rolle mit dem Anwendungsfall **Chime** Transcription zu erstellen.
**Anmerkung**
Sie benötigen IAM-Administratorrechte, um diese Schritte ausführen zu können. Wenn Sie dies nicht tun, wenden Sie sich an einen Systemadministrator.
**So erstellen Sie die Rolle**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der IAM-Konsole **Rollen** und anschließend Rolle **erstellen** aus.
1. Wählen Sie den Rollentyp **AWS-Service**, dann **Chime** und dann **Chime** Transcription.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Weiter** aus.
1. **Bearbeiten Sie die Beschreibung nach Bedarf und wählen Sie dann Rolle erstellen aus.**
Sie können auch die AWS CLI oder die AWS API verwenden, um eine serviceverknüpfte Rolle mit dem Namen transcription.chime.amazonaws.com zu erstellen.
Führen Sie in der CLI diesen Befehl aus:`aws iam create-service-linked-role --aws-service-name transcription.chime.amazonaws.com`.
Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Leitfaden*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für Nova Act
Amazon Chime erlaubt es Ihnen nicht, die AWSService RoleForAmazonChimeTranscription serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch IAM verwenden, um die Beschreibung der Rolle zu bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Nova Act
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForAmazonChimeTranscription serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für mit dem Amazon Chime Service verknüpfte Rollen
Amazon Chime unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Amazon Chime-Endpunkte und Kontingente und](https://docs.aws.amazon.com/general/latest/gr/chime.html#chime_region) [Verwenden von Amazon Chime SDK-Medienregionen](https://docs.aws.amazon.com/chime/latest/dg/chime-sdk-meetings-regions.html).
# Rollen mit Amazon Chime SDK-Medien-Pipelines verwenden
In den folgenden Abschnitten wird erklärt, wie Sie eine serviceverknüpfte Rolle für Amazon Chime SDK Media Pipelines erstellen und verwalten.
**Topics**
+ [Servicebezogene Rollenberechtigungen für Amazon Chime SDK-Medien-Pipelines](#slr-permissions)
+ [Eine serviceverknüpfte Rolle für Amazon Chime SDK-Medien-Pipelines erstellen](#create-slr)
+ [Bearbeiten einer serviceverknüpften Rolle für Amazon Chime SDK-Medien-Pipelines](#edit-slr)
+ [Löschen einer serviceverknüpften Rolle für Amazon Chime SDK-Medien-Pipelines](#delete-slr)
+ [Unterstützte Regionen für serviceverknüpfte Rollen im Amazon Chime SDK Media Pipelines](#slr-regions)
## Servicebezogene Rollenberechtigungen für Amazon Chime SDK-Medien-Pipelines
Amazon Chime verwendet die servicebezogene Rolle namens **AWSServiceRoleForAmazonChimeSDKMediaPipelines** — Ermöglicht Amazon Chime SDK-Medien-Pipelines, in Ihrem Namen auf Amazon Chime SDK-Meetings zuzugreifen.
Die serviceverknüpfte AWSService RoleForAmazonChime SDKMedia Pipeline-Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `mediapipelines.chime.amazonaws.com`
Die Rolle ermöglicht es Amazon Chime, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `chime:CreateAttendee` für `all AWS resources`
+ Aktion: `chime:DeleteAttendee` für `all AWS resources`
+ Aktion: `chime:GetMeeting` für `all AWS resources`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon Chime SDK-Medien-Pipelines erstellen
Sie verwenden die IAM-Konsole, um eine serviceverknüpfte Rolle mit dem **Amazon Chime SDK Media Pipelines\$1** Anwendungsfall zu erstellen.
**Anmerkung**
Sie benötigen IAM-Administratorrechte, um diese Schritte ausführen zu können. Wenn Sie dies nicht tun, wenden Sie sich an einen Systemadministrator.
**So erstellen Sie die Rolle**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der IAM-Konsole **Rollen** und anschließend Rolle **erstellen** aus.
1. Wählen Sie den Rollentyp **AWS Service**, dann Chime und dann **Chime** **SDK** Media Pipelines aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Weiter** aus.
1. **Bearbeiten Sie die Beschreibung nach Bedarf und wählen Sie dann Rolle erstellen.**
Sie können auch die AWS CLI oder die AWS API verwenden, um eine serviceverknüpfte Rolle mit dem Namen mediapipelines.chime.amazonaws.com zu erstellen.
AWS CLI Führen Sie `aws iam create-service-linked-role --aws-service-name mediapipelines.chime.amazonaws.com` im diesen Befehl aus:.
Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Leitfaden*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für Amazon Chime SDK-Medien-Pipelines
Amazon Chime erlaubt Ihnen nicht, die mit dem Service verknüpfte AWSService RoleForAmazonChime SDKMedia Pipeline-Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Chime SDK-Medien-Pipelines
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI serviceverknüpfte Pipeline-Rolle zu löschen. AWSService RoleForAmazonChime SDKMedia Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für serviceverknüpfte Rollen im Amazon Chime SDK Media Pipelines
Das Amazon Chime SDK unterstützt die Verwendung von serviceverknüpften Rollen in allen AWS Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Amazon Chime Chime-Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/chime.html#chime_region) Kontingente.
# Protokollierung und Überwachung in Amazon Chime
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon Chime und Ihren anderen AWS Lösungen. AWS bietet die folgenden Tools, um Amazon Chime zu überwachen, Probleme zu melden und gegebenenfalls automatische Maßnahmen zu ergreifen:
+ *Amazon CloudWatch* überwacht in Echtzeit Ihre AWS Ressourcen und die Anwendungen, auf denen Sie laufen AWS. Sie können Kennzahlen erfassen und verfolgen, benutzerdefinierte Dashboards erstellen und Alarme festlegen, die Sie benachrichtigen oder Maßnahmen ergreifen, wenn eine bestimmte Metrik einen von Ihnen festgelegten Schwellenwert erreicht. Sie können beispielsweise die CPU-Auslastung oder andere Kennzahlen Ihrer Amazon EC2 EC2-Instances CloudWatch verfolgen und bei Bedarf automatisch neue Instances starten. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon EventBridge* liefert nahezu in Echtzeit einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben. EventBridge ermöglicht automatisiertes ereignisgesteuertes Rechnen. Auf diese Weise können Sie Regeln schreiben, die auf bestimmte Ereignisse achten und automatisierte Aktionen in anderen AWS Diensten auslösen, wenn diese Ereignisse eintreten. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ Mit *Amazon CloudWatch Logs* können Sie Ihre Protokolldateien von Amazon EC2 EC2-Instances und anderen Quellen überwachen CloudTrail, speichern und darauf zugreifen. CloudWatch Logs können Informationen in den Protokolldateien überwachen und Sie benachrichtigen, wenn bestimmte Schwellenwerte erreicht werden. Sie können Ihre Protokolldaten auch in einem sehr robusten Speicher archivieren. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihres AWS Kontos getätigt wurden. Der Service gibt die Protokolldateien in einen Amazon S3-Bucket aus, den Sie zuvor angegeben haben. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Aufrufe erfolgten. Weitere Informationen finden Sie im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Überwachung von Amazon Chime mit Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Automatisieren von Amazon Chime mit EventBridge](automating-chime-with-cloudwatch-events.md)
+ [Protokollieren Amazon Chime Chime-API-Aufrufen mit AWS CloudTrail](cloudtrail.md)
# Überwachung von Amazon Chime mit Amazon CloudWatch
Sie können Amazon Chime mithilfe von Amazon Chime überwachen CloudWatch, das Rohdaten sammelt und zu lesbaren Metriken verarbeitet, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden 15 Monate gespeichert, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Webanwendung oder der Service ausgeführt werden. Sie können auch Alarme einrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitäten auslösen, wenn diese Grenzwerte erreicht werden. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
## CloudWatch Metriken für Amazon Chime
Amazon Chime sendet die folgenden Messwerte an CloudWatch.
Der `AWS/ChimeVoiceConnector` Namespace umfasst die folgenden Metriken für Telefonnummern, die Ihrem AWS Konto und Amazon Chime Voice Connectors zugewiesen sind.
| Metrik | Description |
| --- | --- |
| `InboundCallAttempts` | Die Anzahl der versuchten eingehenden Anrufe. Einheiten: Anzahl |
| `InboundCallFailures` | Die Anzahl der Fehler bei eingehenden Anrufen. Einheiten: Anzahl |
| `InboundCallsAnswered` | Die Anzahl der eingehenden Anrufe, die beantwortet werden. Einheiten: Anzahl |
| `InboundCallsActive` | Die Anzahl der eingehenden Anrufe, die derzeit aktiv sind. Einheiten: Anzahl |
| `OutboundCallAttempts` | Die Anzahl der versuchten ausgehenden Anrufe. Einheiten: Anzahl |
| `OutboundCallFailures` | Die Anzahl der Fehler bei ausgehenden Anrufen. Einheiten: Anzahl |
| `OutboundCallsAnswered` | Die Anzahl der ausgehenden Anrufe, die beantwortet werden. Einheiten: Anzahl |
| `OutboundCallsActive` | Die Anzahl der ausgehenden Anrufe, die derzeit aktiv sind. Einheiten: Anzahl |
| `Throttles` | Gibt an, wie oft Ihr Konto gedrosselt wird, wenn Sie versuchen, einen Anruf zu tätigen. Einheiten: Anzahl |
| `Sip1xxCodes` | Die Anzahl der SIP-Nachrichten mit Statuscodes der 1xx-Ebene. Einheiten: Anzahl |
| `Sip2xxCodes` | Die Anzahl der SIP-Nachrichten mit Statuscodes der 2xx-Ebene. Einheiten: Anzahl |
| `Sip3xxCodes` | Die Anzahl der SIP-Nachrichten mit Statuscodes der 3xx-Ebene. Einheiten: Anzahl |
| `Sip4xxCodes` | Die Anzahl der SIP-Nachrichten mit Statuscodes der 4xx-Ebene. Einheiten: Anzahl |
| `Sip5xxCodes` | Die Anzahl der SIP-Nachrichten mit Statuscodes der 5xx-Ebene. Einheiten: Anzahl |
| `Sip6xxCodes` | Die Anzahl der SIP-Nachrichten mit Statuscodes der 6xx-Ebene. Einheiten: Anzahl |
| `CustomerToVcRtpPackets` | Die Anzahl der RTP-Pakete, die vom Kunden an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `CustomerToVcRtpBytes` | Die Anzahl der Byte, die vom Kunden in RTP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `CustomerToVcRtcpPackets` | Die Anzahl der RTCP-Pakete, die vom Kunden an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `CustomerToVcRtcpBytes` | Die Anzahl der Byte, die vom Kunden in RTCP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `CustomerToVcPacketsLost` | Die Anzahl der Pakete, die bei der Übertragung vom Kunden zur Amazon Chime Voice Connector-Infrastruktur verloren gegangen sind. Einheiten: Anzahl |
| `CustomerToVcJitter` | Der durchschnittliche Jitter für Pakete, die vom Kunden an die Amazon Chime Voice Connector-Infrastruktur gesendet werden. Einheiten: Mikrosekunden |
| `VcToCustomerRtpPackets` | Die Anzahl der RTP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an den Kunden gesendet wurden. Einheiten: Anzahl |
| `VcToCustomerRtpBytes` | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTP-Paketen an den Kunden gesendet wurden. Einheiten: Anzahl |
| `VcToCustomerRtcpPackets` | Die Anzahl der RTCP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an den Kunden gesendet wurden. Einheiten: Anzahl |
| `VcToCustomerRtcpBytes` | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTCP-Paketen an den Kunden gesendet wurden. Einheiten: Anzahl |
| `VcToCustomerPacketsLost` | Die Anzahl der Pakete, die bei der Übertragung von der Amazon Chime Voice Connector-Infrastruktur zum Kunden verloren gegangen sind. Einheiten: Anzahl |
| `VcToCustomerJitter` | Der durchschnittliche Jitter für Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an den Kunden gesendet werden. Einheiten: Mikrosekunden |
| `RTTBetweenVcAndCustomer` | Die durchschnittliche Hin- und Rückflugzeit zwischen dem Kunden und der Amazon Chime Voice Connector-Infrastruktur. Einheiten: Mikrosekunden |
| `MOSBetweenVcAndCustomer` | Der geschätzte Mean Opinion Score (MOS) im Zusammenhang mit Sprachstreams zwischen dem Kunden und der Amazon Chime Voice Connector-Infrastruktur. Einheiten: Ergebnis zwischen 1,0 bis 4,4. Eine höhere Punktzahl weist auf eine besser wahrgenommene Audioqualität hin. |
| `RemoteToVcRtpPackets` | Die Anzahl der RTP-Pakete, die vom Remote-Ende an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `RemoteToVcRtpBytes` | Die Anzahl der Byte, die vom Remote-Ende in RTP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `RemoteToVcRtcpPackets` | Die Anzahl der RTCP-Pakete, die vom Remote-Ende an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `RemoteToVcRtcpBytes` | Die Anzahl der Byte, die vom Remote-Ende in RTCP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. Einheiten: Anzahl |
| `RemoteToVcPacketsLost` | Die Anzahl der Pakete, die bei der Übertragung vom Remote-Ende zur Amazon Chime Voice Connector-Infrastruktur verloren gegangen sind. Einheiten: Anzahl |
| `RemoteToVcJitter` | Der durchschnittliche Jitter für Pakete, die vom Remote-Ende an die Amazon Chime Voice Connector-Infrastruktur gesendet werden. Einheiten: Mikrosekunden |
| `VcToRemoteRtpPackets` | Die Anzahl der RTP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an das Remote-Ende gesendet wurden. Einheiten: Anzahl |
| `VcToRemoteRtpBytes` | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTP-Paketen an das Remote-Ende gesendet wurden. Einheiten: Anzahl |
| `VcToRemoteRtcpPackets` | Die Anzahl der RTCP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an das Remote-Ende gesendet wurden. Einheiten: Anzahl |
| `VcToRemoteRtcpBytes` | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTCP-Paketen an das Remote-Ende gesendet wurden. Einheiten: Anzahl |
| `VcToRemotePacketsLost` | Die Anzahl der Pakete, die bei der Übertragung von der Amazon Chime Voice Connector-Infrastruktur zum Remote-Ende verloren gegangen sind. Einheiten: Anzahl |
| `VcToRemoteJitter` | Der durchschnittliche Jitter für Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an das Remote-Ende gesendet werden. Einheiten: Mikrosekunden |
| `RTTBetweenVcAndRemote` | Die durchschnittliche Hin- und Rückflugzeit zwischen dem Remote-Ende und der Amazon Chime Voice Connector-Infrastruktur. Einheiten: Mikrosekunden |
| `MOSBetweenVcAndRemote` | Der geschätzte Mean Opinion Score (MOS) im Zusammenhang mit Sprachstreams zwischen dem Remote-End und der Amazon Chime Voice Connector-Infrastruktur. Einheiten: Einheiten: Ergebnis zwischen 1,0 bis 4,4. Eine höhere Punktzahl weist auf eine besser wahrgenommene Audioqualität hin. |
## CloudWatch Abmessungen für Amazon Chime
Die CloudWatch Abmessungen, die Sie mit Amazon Chime verwenden können, sind wie folgt aufgeführt.
| Dimension | Description |
| --- | --- |
| `VoiceConnectorId` | Die Kennung des Amazon Chime Voice Connectors, für den Metriken angezeigt werden sollen. |
| `Region` | Die AWS Region, die mit dem Ereignis verknüpft ist. |
## CloudWatch Logs für Amazon Chime
Sie können Amazon Chime Voice Connector-Metriken an CloudWatch Logs senden. Weitere Informationen finden Sie unter [Bearbeiten der Amazon Chime Voice Connector-Einstellungen](https://docs.aws.amazon.com/chime-sdk/latest/ag/edit-voicecon.html) im *Amazon Chime SDK-Administrationshandbuch*.
**Metrikprotokolle der Medienqualität**
Sie können sich dafür entscheiden, Messprotokolle zur Medienqualität für Ihren Amazon Chime Voice Connector zu erhalten. Wenn Sie dies tun, sendet Amazon Chime detaillierte Metriken pro Minute für alle Ihre Amazon Chime Voice Connector-Aufrufe an eine CloudWatch Logs-Protokollgruppe, die für Sie erstellt wurde. Der Name der Protokollgruppe lautet `/aws/ChimeVoiceConnectorLogs/${VoiceConnectorID}`. Die folgenden Felder sind in den Protokollen im JSON-Format enthalten.
| Feld | Description |
| --- | --- |
| voice\$1connector\$1id | Die Amazon Chime Voice Connector-ID, die den Anruf weiterleitet. |
| event\$1timestamp | Die Zeitpunkt, zu dem die Metriken emittiert werden, angegeben in Millisekunden seit der UNIX-Epoche (Mitternacht am 1. Januar 1970) in UTC. |
| call\$1id | Entspricht der Transaktions-ID. |
| from\$1sip\$1user | Der einleitende Benutzer des Anrufs. |
| from\$1country | Das einleitende Land des Anrufs. |
| to\$1sip\$1user | Der empfangende Benutzer des Anrufs. |
| to\$1country | Das empfangende Land des Anrufs. |
| Endpoint\$1id | Ein undurchsichtiger Bezeichner, der den anderen Endpunkt des Anrufs angibt. Mit CloudWatch Logs Insights verwenden. Weitere Informationen finden Sie unter [Analysieren von Protokolldaten mit CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*. |
| aws\$1region | Die AWS Region für den Anruf. |
| cust2vc\$1rtp\$1packets | Die Anzahl der RTP-Pakete, die vom Kunden an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| cust2vc\$1rtp\$1bytes | Die Anzahl der Byte, die vom Kunden in RTP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| cust2vc\$1rtcp\$1packets | Die Anzahl der RTCP-Pakete, die vom Kunden an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| cust2vc\$1rtcp\$1bytes | Die Anzahl der Byte, die vom Kunden in RTCP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| cust2vc\$1packets\$1lost | Die Anzahl der Pakete, die bei der Übertragung vom Kunden zur Amazon Chime Voice Connector-Infrastruktur verloren gegangen sind. |
| cust2vc\$1jitter | Der durchschnittliche Jitter für Pakete, die vom Kunden an die Amazon Chime Voice Connector-Infrastruktur gesendet werden. |
| vc2cust\$1rtp\$1packets | Die Anzahl der RTP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an den Kunden gesendet wurden. |
| vc2cust\$1rtp\$1bytes | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTP-Paketen an den Kunden gesendet wurden. |
| vc2cust\$1rtcp\$1packets | Die Anzahl der RTCP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an den Kunden gesendet wurden. |
| vc2cust\$1rtcp\$1bytes | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTCP-Paketen an den Kunden gesendet wurden. |
| vc2cust\$1packets\$1lost | Die Anzahl der Pakete, die bei der Übertragung von der Amazon Chime Voice Connector-Infrastruktur zum Kunden verloren gegangen sind. |
| vc2cust\$1jitter | Der durchschnittliche Jitter für Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an den Kunden gesendet werden. |
| rtt\$1btwn\$1vc\$1und\$1cust | Die durchschnittliche Hin- und Rückflugzeit zwischen dem Kunden und der Amazon Chime Voice Connector-Infrastruktur. |
| mos\$1btwn\$1vc\$1and\$1cust | Der geschätzte Mean Opinion Score (MOS) im Zusammenhang mit Sprachstreams zwischen dem Kunden und der Amazon Chime Voice Connector-Infrastruktur. |
| rem2vc\$1rtp\$1packets | Die Anzahl der RTP-Pakete, die vom Remote-Ende an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| rem2vc\$1rtp\$1bytes | Die Anzahl der Byte, die vom Remote-Ende in RTP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| rem2vc\$1rtcp\$1packets | Die Anzahl der RTCP-Pakete, die vom Remote-Ende an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| rem2vc\$1rtcp\$1bytes | Die Anzahl der Byte, die vom Remote-Ende in RTCP-Paketen an die Amazon Chime Voice Connector-Infrastruktur gesendet wurden. |
| rem2vc\$1packets\$1lost | Die Anzahl der Pakete, die bei der Übertragung vom Remote-Ende zur Amazon Chime Voice Connector-Infrastruktur verloren gegangen sind. |
| rem2vc\$1jitter | Der durchschnittliche Jitter für Pakete, die vom Remote-Ende an die Amazon Chime Voice Connector-Infrastruktur gesendet werden. |
| vc2rem\$1rtp\$1packets | Die Anzahl der RTP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an das Remote-Ende gesendet wurden. |
| vc2rem\$1rtp\$1bytes | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTP-Paketen an das Remote-Ende gesendet wurden. |
| vc2rem\$1rtcp\$1packets | Die Anzahl der RTCP-Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an das Remote-Ende gesendet wurden. |
| vc2rem\$1rtcp\$1bytes | Die Anzahl der Byte, die von der Amazon Chime Voice Connector-Infrastruktur in RTCP-Paketen an das Remote-Ende gesendet wurden. |
| vc2rem\$1packets\$1lost | Die Anzahl der Pakete, die bei der Übertragung von der Amazon Chime Voice Connector-Infrastruktur zum Remote-Ende verloren gegangen sind. |
| vc2rem\$1jitter | Der durchschnittliche Jitter für Pakete, die von der Amazon Chime Voice Connector-Infrastruktur an das Remote-Ende gesendet werden. |
| rtt\$1btwn\$1vc\$1and\$1rem | Die durchschnittliche Hin- und Rückflugzeit zwischen dem Remote-Ende und der Amazon Chime Voice Connector-Infrastruktur. |
| mos\$1btwn\$1vc\$1and\$1rem | Der geschätzte Mean Opinion Score (MOS) im Zusammenhang mit Sprachstreams zwischen dem Remote-End und der Amazon Chime Voice Connector-Infrastruktur. |
**SIP-Nachrichtenprotokolle**
Sie können sich dafür entscheiden, SIP-Nachrichtenprotokolle für Ihren Amazon Chime Voice Connector zu erhalten. Wenn Sie dies tun, erfasst Amazon Chime eingehende und ausgehende SIP-Nachrichten und sendet sie an eine CloudWatch Logs-Protokollgruppe, die für Sie erstellt wurde. Der Name der Protokollgruppe lautet `/aws/ChimeVoiceConnectorSipMessages/${VoiceConnectorID}`. Die folgenden Felder sind in den Protokollen im JSON-Format enthalten.
| Feld | Description |
| --- | --- |
| voice\$1connector\$1id | Die Amazon Chime Voice Connector-ID. |
| aws\$1region | Die AWS Region, die mit dem Ereignis verknüpft ist. |
| event\$1timestamp | Der Zeitpunkt, zu dem die Nachricht erfasst wird, in Millisekunden seit der UNIX-Epoche (Mitternacht am 1. Januar 1970) in UTC. |
| call\$1id | Die Amazon Chime Voice Connector-Anruf-ID. |
| sip\$1message | Die vollständige SIP-Nachricht, die erfasst wird. |
# Automatisieren von Amazon Chime mit EventBridge
EventBridge Mit Amazon können Sie Ihre AWS Services automatisieren und automatisch auf Systemereignisse wie Probleme mit der Anwendungsverfügbarkeit oder Ressourcenänderungen reagieren. Weitere Informationen zu den Besprechungsereignissen finden Sie unter [Besprechungsereignisse](https://docs.aws.amazon.com/chime/latest/dg/using-events.html) im *Amazon Chime Developer Guide*.
Wenn Amazon Chime Ereignisse generiert, werden sie EventBridge zur *bestmöglichen Zustellung* an gesendet, d. h. Amazon Chime versucht, alle Ereignisse an zu senden EventBridge, aber in seltenen Fällen kann es vorkommen, dass ein Ereignis nicht zugestellt wird. Weitere Informationen finden Sie unter [Events from AWS services](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html) im * EventBridge Amazon-Benutzerhandbuch*.
**Anmerkung**
Wenn Sie Daten verschlüsseln müssen, müssen Sie Amazon S3-Managed Keys verwenden. Wir unterstützen keine serverseitige Verschlüsselung mit Kunden-Masterschlüsseln, die AWS im Key Management Service gespeichert sind.
## Automatisieren von Amazon Chime Voice Connectors mit EventBridge
Zu den Aktionen, die für Amazon Chime Voice Connectors automatisch ausgelöst werden können, gehören:
+ Eine Funktion aufrufen AWS Lambda
+ Eine Amazon Elastic Container Service-Aufgabe starten
+ Weiterleiten des Ereignisses an Amazon Kinesis Video Streams
+ Aktivierung einer Zustandsmaschine AWS Step Functions
+ Benachrichtigen eines Amazon SNS-Themas oder einer Amazon SQS-Warteschlange
Einige Beispiele für die Verwendung EventBridge mit Amazon Chime Voice Connectors sind:
+ Aktivierung einer Lambda-Funktion zum Herunterladen von Audio für einen Anruf, nachdem der Anruf beendet wurde.
+ Starten einer Amazon ECS-Aufgabe, um die Echtzeit-Transkription zu aktivieren, nachdem ein Anruf gestartet wurde.
Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
## Amazon Chime Voice Connector Streaming-Ereignisse
Amazon Chime Voice Connectors unterstützen das Senden von Ereignissen an den EventBridge Zeitpunkt, an dem die in diesem Abschnitt beschriebenen Ereignisse eintreten.
### Das Streaming mit Amazon Chime Voice Connector wird gestartet
Amazon Chime Voice Connectors senden dieses Ereignis, wenn das Medienstreaming zu Kinesis Video Streams beginnt.
**Example Ereignisdaten**
Im Folgenden finden Sie Beispieldaten für dieses Ereignis.
```
{
"version": "0",
"id": "12345678-1234-1234-1234-111122223333",
"detail-type": "Chime VoiceConnector Streaming Status",
"source": "aws.chime",
"account": "111122223333",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": [],
"detail": {
"callId": "1112-2222-4333",
"direction": "Outbound",
"fromNumber": "+12065550100",
"inviteHeaders": {
"from": "\"John\" ;tag=abcdefg",
"to": "",
"call-id": "1112-2222-4333",
"cseq": "101 INVITE",
"contact": ";",
"content-type": "application/sdp",
"content-length": "246"
},
"isCaller": false,
"mediaType": "audio/L16",
"sdp": {
"mediaIndex": 0,
"mediaLabel": "1"
},
"siprecMetadata": "<&xml version=\"1.0\" encoding=\"UTF-8\"&>;\r\n",
"startFragmentNumber": "1234567899444",
"startTime": "yyyy-mm-ddThh:mm:ssZ",
"streamArn": "arn:aws:kinesisvideo:us-east-1:123456:stream/ChimeVoiceConnector-abcdef1ghij2klmno3pqr4-111aaa-22bb-33cc-44dd-111222/111122223333",
"toNumber": "+13605550199",
"transactionId": "12345678-1234-1234",
"voiceConnectorId": "abcdef1ghij2klmno3pqr4",
"streamingStatus": "STARTED",
"version": "0"
}
}
```
### Das Streaming mit Amazon Chime Voice Connector wird beendet
Amazon Chime Voice Connectors senden dieses Ereignis, wenn das Medienstreaming zu Kinesis Video Streams endet.
**Example Ereignisdaten**
Im Folgenden finden Sie Beispieldaten für dieses Ereignis.
```
{
"version": "0",
"id": "12345678-1234-1234-1234-111122223333",
"detail-type": "Chime VoiceConnector Streaming Status",
"source": "aws.chime",
"account": "111122223333",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": [],
"detail": {
"streamingStatus": "ENDED",
"voiceConnectorId": "abcdef1ghij2klmno3pqr4",
"transactionId": "12345678-1234-1234",
"callId": "1112-2222-4333",
"direction": "Inbound",
"fromNumber": "+12065550100",
"inviteHeaders": {
"from": "\"John\" ;tag=abcdefg",
"to": "",
"call-id": "1112-2222-4333",
"cseq": "101 INVITE",
"contact": "",
"content-type": "application/sdp",
"content-length": "246"
},
"isCaller": false,
"mediaType": "audio/L16",
"sdp": {
"mediaIndex": 0,
"mediaLabel": "1"
},
"siprecMetadata": "<&xml version=\"1.0\" encoding=\"UTF-8\"&>\r\n",
"startFragmentNumber": "1234567899444",
"startTime": "yyyy-mm-ddThh:mm:ssZ",
"endTime": "yyyy-mm-ddThh:mm:ssZ",
"streamArn": "arn:aws:kinesisvideo:us-east-1:123456:stream/ChimeVoiceConnector-abcdef1ghij2klmno3pqr4-111aaa-22bb-33cc-44dd-111222/111122223333",
"toNumber": "+13605550199",
"version": "0"
}
}
```
### Streaming-Updates für Amazon Chime Voice Connector
Amazon Chime Voice Connectors senden dieses Ereignis, wenn das Medienstreaming zu Kinesis Video Streams aktualisiert wird.
**Example Ereignisdaten**
Im Folgenden finden Sie Beispieldaten für dieses Ereignis.
```
{
"version": "0",
"id": "12345678-1234-1234-1234-111122223333",
"detail-type": "Chime VoiceConnector Streaming Status",
"source": "aws.chime",
"account": "111122223333",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": [],
"detail": {
"callId": "1112-2222-4333",
"updateHeaders": {
"from": "\"John\" ;;tag=abcdefg",
"to": "",
"call-id": "1112-2222-4333",
"cseq": "101 INVITE",
"contact": "",
"content-type": "application/sdp",
"content-length": "246"
},
"siprecMetadata": "<&xml version=\"1.0\" encoding=\"UTF-8\"&>\r\n",
"streamingStatus": "UPDATED",
"transactionId": "12345678-1234-1234",
"version": "0",
"voiceConnectorId": "abcdef1ghij2klmno3pqr4"
}
}
```
### Amazon Chime Voice Connector-Streaming schlägt fehl
Amazon Chime Voice Connectors senden dieses Ereignis, wenn das Medienstreaming zu Kinesis Video Streams fehlschlägt.
**Example Ereignisdaten**
Im Folgenden finden Sie Beispieldaten für dieses Ereignis.
```
{
"version": "0",
"id": "12345678-1234-1234-1234-111122223333",
"detail-type": "Chime VoiceConnector Streaming Status",
"source": "aws.chime",
"account": "111122223333",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": [],
"detail": {
"streamingStatus":"FAILED",
"voiceConnectorId":"abcdefghi",
"transactionId":"12345678-1234-1234",
"callId":"1112-2222-4333",
"direction":"Inbound",
"failTime":"yyyy-mm-ddThh:mm:ssZ",
"failureReason": "Internal failure",
"version":"0"
}
}
```
# Protokollieren Amazon Chime Chime-API-Aufrufen mit AWS CloudTrail
Amazon Chime ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Chime ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Amazon Chime als Ereignisse, einschließlich Aufrufe von der Amazon Chime-Konsole und von Codeaufrufen an Amazon Chime. APIs Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Amazon Chime. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Chime gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Amazon Chime Chime-Informationen in CloudTrail
CloudTrail ist für Ihr AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn API-Aufrufe von der Amazon Chime Chime-Verwaltungskonsole aus getätigt werden, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon Chime, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie ein Trail in der Konsole anlegen, gilt dieser für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle Amazon Chime Chime-Aktionen werden von der [https://docs.aws.amazon.com/chime/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/chime/latest/APIReference/Welcome.html) protokolliert CloudTrail und sind in dieser dokumentiert. Beispielsweise generieren Aufrufe der `ResetPersonalPIN` Abschnitte`CreateAccount`, `InviteUsers` und Einträge in den CloudTrail Protokolldateien. Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.
+ Ob die Anfrage mit temporären Sicherheitsanmeldedaten für eine Rolle oder für einen Verbundbenutzer gestellt wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Grundlegendes zu Amazon Chime Chime-Protokolldateieinträgen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Einträge für Amazon Chime werden durch die Ereignisquelle **chime.amazonaws.com** identifiziert.
Wenn Sie Active Directory für Ihr Amazon Chime Chime-Konto konfiguriert haben, finden Sie weitere Informationen unter [Protokollieren von AWS Directory Service API-Aufrufen mithilfe von CloudTrail](https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html). Hier wird beschrieben, wie Sie nach Problemen suchen, die sich auf die Anmeldefähigkeit Ihrer Amazon Chime Chime-Benutzer auswirken könnten.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für Amazon Chime:
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":" AAAAAABBBBBBBBEXAMPLE",
"arn":"arn:aws:iam::123456789012:user/Alice ",
"accountId":"0123456789012",
"accessKeyId":"AAAAAABBBBBBBBEXAMPLE",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2017-07-24T17:57:43Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"AAAAAABBBBBBBBEXAMPLE",
"arn":"arn:aws:iam::123456789012:role/Joe",
"accountId":"123456789012",
"userName":"Joe"
}
}
} ,
"eventTime":"2017-07-24T17:58:21Z",
"eventSource":"chime.amazonaws.com",
"eventName":"AddDomain",
"awsRegion":"us-east-1",
"sourceIPAddress":"72.21.198.64",
"userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36",
"errorCode":"ConflictException",
"errorMessage":"Request could not be completed due to a conflict",
"requestParameters":{
"domainName":"example.com",
"accountId":"11aaaaaa1-1a11-1111-1a11-aaadd0a0aa00"
},
"responseElements":null,
"requestID":"be1bee1d-1111-11e1-1eD1-0dc1111f1ac1",
"eventID":"00fbeee1-123e-111e-93e3-11111bfbfcc1",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
# Konformitätsprüfung für Amazon Chime
Externe Prüfer bewerten die Sicherheit und Konformität von AWS Services im Rahmen mehrerer AWS Compliance-Programme wie SOC, PCI, FedRAMP und HIPAA.
Informationen darüber, ob ein in den Geltungsbereich bestimmter Compliance-Programme AWS-Service fällt, finden Sie unter AWS-Services Umfang nach Compliance-Programm unter [Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/)AWS-Services . Wählen Sie aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in Amazon Chime
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet Amazon Chime verschiedene Funktionen zur Unterstützung Ihrer Datenstabilität und Backup-Anforderungen. Weitere Informationen finden Sie unter [Amazon Chime Voice Connector-Gruppen verwalten und Amazon Chime Voice Connector-Medien](https://docs.aws.amazon.com/chime-sdk/latest/ag/voice-connector-groups.html) [an Kinesis streamen](https://docs.aws.amazon.com/chime-sdk/latest/ag/start-kinesis-vc.html) im *Amazon Chime* SDK-Administrationshandbuch.
# Infrastruktursicherheit in Amazon Chime
Als verwalteter Service ist Amazon Chime durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Chime zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Grundlegendes zu automatischen Updates von Amazon Chime
Amazon Chime bietet verschiedene Möglichkeiten, seine Clients zu aktualisieren. Die Methode variiert, je nachdem, ob Ihre Benutzer Amazon Chime in einem Browser, auf Ihrem Desktop oder auf einem Mobilgerät ausführen.
Die Amazon Chime Chime-Webanwendung — [https://app.chime.aws](https://app.chime.aws) — wird immer mit den neuesten Funktionen und Sicherheitsupdates geladen.
Der Amazon Chime Chime-Desktop-Client sucht immer dann nach Updates, wenn ein Benutzer „Beenden“ oder **„****Abmelden**“ wählt. Dies gilt für Windows- und MacOS-Computer. Wenn Benutzer den Client ausführen, sucht er alle drei Stunden nach Updates. Benutzer können auch nach Updates suchen, indem sie im **Windows-Hilfemenü oder im macOS **Amazon Chime-Menü** die Option Nach Updates suchen** wählen.
Wenn der Desktop-Client ein Update erkennt, fordert Amazon Chime die Benutzer auf, es zu installieren, sofern sie sich nicht in einem laufenden Meeting befinden. Benutzer nehmen an einem *laufenden Meeting* teil, wenn:
+ Sie nehmen an einer Besprechung teil.
+ Sie wurden zu einem Treffen eingeladen, das noch nicht abgeschlossen ist.
Amazon Chime fordert sie auf, die neueste Version zu installieren, und gibt ihnen einen 15-Sekunden-Countdown, damit sie die Installation verschieben können. Wählen Sie **Später testen,** um das Update zu verschieben.
Wenn Benutzer ein Update verschieben und sie nicht an einem laufenden Meeting teilnehmen, sucht der Client nach drei Stunden nach dem Update und fordert sie erneut auf, es zu installieren. Die Installation beginnt, wenn der Countdown endet.
**Anmerkung**
Auf einem macOS-Computer müssen Benutzer „**Jetzt neu starten**“ wählen, um mit dem Update zu beginnen.
**Auf einem Mobilgerät** — Die mobilen Amazon Chime Chime-Anwendungen verwenden die vom App Store und Google Play bereitgestellten Aktualisierungsoptionen, um die neueste Version des Amazon Chime Chime-Clients bereitzustellen. Sie können Updates auch über Ihr Mobilgeräte-Managementsystem verteilen. In diesem Thema wird davon ausgegangen, dass Sie wissen, wie.