Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriff auf Ressourcen verwalten
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Control Tower beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Für Informationen über die Syntax und Beschreibungen von [AWS -IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) lesen Sie die *IAM-Richtlinienreferenz im IAM-Benutzerhandbuch*.
Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als *ressourcenbasierte Richtlinien* bezeichnet.
**Anmerkung**
AWS Control Tower unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
**Topics**
+ [Über identitätsbasierte Richtlinien (IAM-Richtlinien)](#access-control-manage-access-intro-iam-policies)
+ [Erstellen Sie Rollen und weisen Sie Berechtigungen zu](assign-permissions.md)
+ [Ressourcenbasierte Richtlinien](#access-control-manage-access-intro-resource-policies)
## Über identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
+ **Hängen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto** an — Um einem Benutzer Berechtigungen zur Erstellung einer AWS Control Tower Tower-Ressource zu gewähren, z. B. das Einrichten einer landing zone, können Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe anhängen, zu der der Benutzer gehört.
+ **Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann ein Administrator für ein AWS Konto (*Konto A) eine* Rolle erstellen, die einem anderen Konto ( AWS *Konto B*) kontenübergreifende Berechtigungen gewährt, oder der Administrator kann eine Rolle erstellen, die einem anderen AWS Dienst Berechtigungen gewährt.
1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt der Rolle, die Berechtigungen zur Verwaltung von Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.
1. Der Administrator von Konto A ordnet der Rolle eine Vertrauensrichtlinie zu. Die Richtlinie identifiziert Konto B als den Prinzipal, der die Rolle übernehmen kann.
1. Als Principal kann der Administrator von Konto B jedem Benutzer in Konto B die Erlaubnis erteilen, die Rolle zu übernehmen. Durch die Übernahme der Rolle können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen.
1. Um einem AWS Dienst die Fähigkeit (Berechtigungen) zu gewähren, die Rolle zu übernehmen, kann es sich bei dem Principal, den Sie in der Vertrauensrichtlinie angeben, um einen AWS Dienst handeln.
# Erstellen Sie Rollen und weisen Sie Berechtigungen zu
Rollen und Berechtigungen ermöglichen Ihnen den Zugriff auf Ressourcen in AWS Control Tower und in anderen AWS Services, einschließlich programmatischem Zugriff auf Ressourcen.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Wenn Sie eine AWS Control Tower Tower-Landezone einrichten, benötigen Sie einen Benutzer oder eine Rolle mit der **AdministratorAccess**verwalteten Richtlinie. (arn:aws:iam: :aws:policy/) AdministratorAccess
**Um eine Rolle für eine (IAM-Konsole) zu erstellen AWS-Service**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.
1. Wählen Sie unter **Service oder Anwendungsfall** einen Service und anschließend den Anwendungsfall aus. Die Anwendungsfälle werden vom Dienst so definiert, dass sie die Vertrauensrichtlinie beinhalten, die für den Dienst erforderlich ist.
1. Wählen Sie **Weiter** aus.
1. Bei **Berechtigungsrichtlinien** hängen die Optionen vom ausgewählten Anwendungsfall ab:
+ Wenn der Service die Berechtigungen für die Rolle definiert, können Sie keine Berechtigungsrichtlinien auswählen.
+ Wählen Sie aus einer begrenzten Anzahl von Berechtigungsrichtlinien.
+ Wählen Sie aus allen Berechtigungsrichtlinien.
+ Wählen Sie keine Berechtigungsrichtlinien aus, erstellen Sie die Richtlinien, nachdem die Rolle erstellt wurde, und fügen Sie die Richtlinien dann der Rolle an.
1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.
1. Öffnen Sie den Abschnitt **Berechtigungsgrenze festlegen** und wählen Sie dann **Eine Berechtigungsgrenze verwenden, um die maximalen Rollenberechtigungen zu steuern** aus.
IAM enthält eine Liste der AWS verwalteten und kundenverwalteten Richtlinien in Ihrem Konto.
1. Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.
1. Wählen Sie **Weiter** aus.
1. Für den **Rollennamen** hängen die Optionen vom Service ab:
+ Wenn der Name der Rolle durch den Service definiert wird, können Sie den Namen der Rolle nicht bearbeiten.
+ Wenn der Service ein Präfix für den Rollennamen definiert, können Sie ein optionales Suffix eingeben.
+ Wenn der Service den Rollennamen nicht definiert, können Sie der Rolle einen Namen geben.
**Wichtig**
Beachten Sie beim Benennen einer Rolle Folgendes:
Rollennamen müssen innerhalb Ihres AWS-Konto Unternehmens eindeutig sein und können nicht von Fall zu Fall eindeutig sein.
Erstellen Sie beispielsweise keine Rollen mit dem Namen **PRODROLE** und **prodrole**. Wenn ein Rollenname in einer Richtlinie oder als Teil einer ARN verwendet wird, muss die Groß-/Kleinschreibung des Rollennamens beachtet werden. Wenn ein Rollenname den Kunden jedoch in der Konsole angezeigt wird, z. B. während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Rollennamens nicht beachtet.
Sie können den Namen der Rolle nach ihrer Erstellung nicht mehr bearbeiten, da andere Entitäten möglicherweise auf die Rolle verweisen.
1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung für die neue Rolle ein.
1. (Optional) Um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten, wählen Sie in den Abschnitten **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungen hinzufügen** die Option **Bearbeiten**.
1. (Optional) Fügen Sie Tags als Schlüssel-Wert-Paare hinzu, um die Identifizierung, Organisation oder Suche nach der Rolle zu vereinfachen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.
1. Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).
1. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinien-Validierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) erzeugt wurden, und wählen Sie dann **Weiter**.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS-Managementkonsole, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in CloudFormation Vorlagen verwenden können.
Wählen Sie dazu im **Richtlinien-Editor** **Aktionen** und anschließend ** CloudFormationVorlage generieren** aus. Weitere Informationen CloudFormation finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im *AWS CloudFormation Benutzerhandbuch*.
1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
1. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
**So verwenden Sie den visuellen Editor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Suchen Sie im Bereich **Richtlinien-Editor** nach dem Abschnitt **Service auswählen** und wählen Sie dann einen AWS-Service aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken. Sie können nur einen Service innerhalb eines Berechtigungsblocks des visuellen Editors auswählen. Um mehr als einem Service Zugriff zu gewähren, fügen Sie mehrere Berechtigungsblöcke hinzu, indem Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) auswählen.
1. Wählen Sie unter **Actions allowed** (Zulässige Aktionen) die Aktionen aus, die der Richtlinie hinzugefügt werden sollen. Es gibt folgende Möglichkeiten, Aktionen auszuwählen:
+ Markieren Sie das Kontrollkästchen für alle Aktionen.
+ Wählen **Sie Aktionen hinzufügen**, um den Namen einer bestimmten Aktion einzugeben. Sie können ein Platzhalterzeichen (`*`) verwenden, um mehrere Aktionen anzugeben.
+ Wählen Sie eine der **Access level ((Zugriffsebene)**-Gruppen aus, um alle Aktionen für die Zugriffsebene auszuwählen (z. B. **Read (Lesen)**, **Write (Schreiben)** oder **List (Auflisten)**.
+ Erweitern Sie die einzelnen Gruppen **Access level (Zugriffsebene)**, um einzelne Aktionen auszuwählen.
Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Um die ausgewählten Aktionen stattdessen zu verweigern, wählen Sie **Switch to deny permissions (Zu Berechtigungen verweigern wechseln)**. Da [IAM standardmäßig verweigert](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html), empfehlen wir, dass Sie im Sinne bewährter Sicherheitsmethoden nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Erstellen Sie eine JSON-Anweisung, um Berechtigungen nur dann zu verweigern, wenn Sie eine Berechtigung außer Kraft setzen möchten, die durch eine andere Anweisung oder Richtlinie separat zulässig ist. Wir empfehlen, die Anzahl der Verweigerungsberechtigungen auf ein Minimum zu beschränken, da diese die Fehlerbehebung bei Berechtigungen erschweren.
1. Wenn bei **Resources (Ressourcen)** der Service und die Aktionen, die Sie in den vorherigen Schritten ausgewählt haben, nicht die Auswahl [bestimmter Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) unterstützen, sind alle Ressourcen zulässig, und Sie können diesen Abschnitt nicht bearbeiten.
Wenn Sie eine oder mehrere Aktionen auswählen, die [Berechtigungen auf Ressourcenebene](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources) unterstützen, dann listet der visuelle Editor diese Ressourcen auf. Sie können dann **Resources (Ressourcen)** erweitern, um die Ressourcen für Ihre Richtlinie anzugeben.
Sie können Ressourcen auf folgende Weise angeben:
+ Wählen Sie **Hinzufügen ARNs**, um Ressourcen anhand ihrer Amazon-Ressourcennamen (ARN) anzugeben. Sie können den visuellen ARN-Editor oder die Liste ARNs manuell verwenden. Weitere Informationen zur ARN-Syntax finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*. Informationen zur Verwendung ARNs im `Resource` Element einer Richtlinie finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *IAM-Benutzerhandbuch*.
+ Wählen Sie **Any in this account** (Alle in diesem Konto) neben einer Ressource aus, um Berechtigungen für alle Ressourcen dieses Typs zu gewähren.
+ Wählen Sie **All** (Alle) aus, um alle Ressourcen für den Service auszuwählen.
1. (Optional) Wählen Sie **Request conditions - *optional*** (Anfragebedingungen - (optional)) aus, um der Richtlinie, die Sie erstellen, Bedingungen hinzuzufügen. Bedingungen schränken die Auswirkungen einer JSON-Richtlinienanweisung ein. Sie können beispielsweise festlegen, dass einem Benutzer erlaubt wird, die Aktionen für die Ressourcen nur durchzuführen, wenn die Anforderung dieses Benutzers in einem bestimmten Zeitraum stattfindet. Sie können auch häufig verwendete Bedingungen verwenden, um einzuschränken, ob ein Benutzer mithilfe eines Multi-Faktor-Authentifizierungsgeräts (MFA) authentifiziert werden muss. Oder Sie können festlegen, dass die Anforderung aus einem bestimmten IP-Adressbereich stammen muss. Eine Liste aller Kontextschlüssel, die Sie in einer Richtlinienbedingung verwenden können, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service* Authorization Reference.
Sie haben folgende Möglichkeiten, Bedingungen auszuwählen:
+ Verwenden Sie Kontrollkästchen, um allgemein verwendete Bedingungen auszuwählen.
+ Wählen Sie **Add another condition** (Weitere Bedingung hinzufügen) aus, um andere Bedingungen anzugeben. Wählen Sie den **Bedingungsschlüssel, den **Qualifizierer** und den **Operator** für die Bedingung** aus, und geben Sie dann einen **Wert** ein. Um mehr als einen Wert hinzuzufügen, wählen Sie **Add** (Hinzufügen) aus. Sie können davon ausgehen, dass die Werte durch einen logischen `OR` Operator miteinander verbunden sind. Wählen Sie danach **Add condition** (Bedingung hinzufügen) aus.
Um mehr als eine Bedingung hinzuzufügen, wählen Sie **Add another condition** (Weitere Bedingung hinzufügen) aus. Wiederholen Sie diesen Vorgang nach Bedarf. Jede Bedingung gilt nur für diesen einen Berechtigungsblock des visuellen Editors. Alle Bedingungen müssen wahr sein, damit der Berechtigungsblock ausgeführt werden kann. Mit anderen Worten, gehen Sie davon aus, dass die Bedingungen durch einen logischen `AND` Operator miteinander verbunden sind.
Weitere Informationen zum **Condition-Element** finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
1. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie **Add more permissions** (Weitere Berechtigungen hinzufügen) aus. Wiederholen Sie die Schritte 2 bis 5 für jeden Block.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. (Optional) Wenn Sie eine Richtlinie in der erstellen oder bearbeiten AWS-Managementkonsole, können Sie eine JSON- oder YAML-Richtlinienvorlage generieren, die Sie in Vorlagen verwenden können. CloudFormation
Wählen Sie dazu im **Richtlinien-Editor** **Aktionen** und anschließend ** CloudFormationVorlage generieren** aus. Weitere Informationen CloudFormation finden Sie in der [Referenz zum AWS Identity and Access Management Ressourcentyp](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) im *AWS CloudFormation Benutzerhandbuch*.
1. Wenn Sie mit dem Hinzufügen von Berechtigungen zur Richtlinie fertig sind, wählen Sie **Next** (Weiter) aus.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben.
1. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
**Um programmatischen Zugriff zu gewähren**
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
****
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
| --- | --- | --- |
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/controltower/latest/userguide/assign-permissions.html) |
| Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/controltower/latest/userguide/assign-permissions.html) |
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/controltower/latest/userguide/assign-permissions.html) |
## Schützen Sie sich vor Angreifern
Weitere Informationen darüber, wie Sie sich vor Angreifern schützen können, wenn Sie anderen AWS Service Principals Berechtigungen erteilen, finden Sie [unter Optionale Bedingungen für Ihre Rollenvertrauensbeziehungen](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html). Indem Sie Ihren Richtlinien bestimmte Bedingungen hinzufügen, können Sie dazu beitragen, eine bestimmte Art von Angriff zu verhindern, der als *Confused Deputy* Attack bezeichnet wird. Dieser Angriff tritt auf, wenn eine Entität eine Entität mit mehr Rechten zwingt, eine Aktion auszuführen, z. B. durch dienstübergreifenden Identitätswechsel. Allgemeine Informationen zu den Richtlinienbedingungen finden Sie auch unter. [Angeben von Bedingungen in einer Richtlinie](access-control-overview.md#specifying-conditions)
Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit AWS Control Tower finden Sie unter. [Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower](access-control-managing-permissions.md) Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
## Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Control Tower unterstützt keine ressourcenbasierten Richtlinien.