Gewährung der erforderlichen Berechtigungen für Amazon EC2 EC2-Ressourcen

Standardmäßig sind Benutzer, Gruppen und Rollen nicht berechtigt, Amazon EC2 EC2-Ressourcen zu erstellen oder zu ändern oder Aufgaben mithilfe der Amazon EC2 EC2-API auszuführen. Informationen zum Erstellen oder Ändern von EC2-Ressourcen und zum Ausführen von Aufgaben finden Sie unter Identitäts- und Zugriffsmanagement für Amazon EC2 im Amazon EC2-Benutzerhandbuch.

Wenn Sie eine API-Anfrage stellen, bestimmen die Parameter, die Sie in der Anfrage angeben, die erforderlichen Berechtigungen für Ihre EC2-Ressourcen. Wenn der Benutzer, die Gruppe oder die Rolle, die die Anfrage stellt, nicht über die erforderlichen Berechtigungen verfügt, schlägt die Anfrage fehl. Um beispielsweise eine Instance in einem Subnetz RunInstances zu starten (durch Angabe des SubnetId Parameters), muss ein Benutzer über die Berechtigung zur Verwendung der VPC verfügen.

Resource-level Berechtigungen bezieht sich auf die Fähigkeit, anzugeben, auf welchen Ressourcen Benutzer Aktionen ausführen dürfen. Amazon EC2 unterstützt teilweise Berechtigungen auf Ressourcenebene. Das heißt, Sie können bei bestimmten Amazon EC2-Aktionen kontrollieren, wann die Benutzer diese Aktionen verwenden dürfen. Dies basiert auf Bedingungen, die erfüllt sein müssen oder auf bestimmten Ressourcen, die von den Benutzern verwendet werden dürfen. Zum Beispiel können Sie Benutzern die Berechtigung erteilen, Instances zu starten, aber nur für einen bestimmten Typ und nur mithilfe eines bestimmten AMI.

Weitere Informationen zu den Ressourcen, die durch die Amazon EC2-Aktionen erstellt oder geändert werden, sowie zu den ARNs und Amazon EC2 EC2-Bedingungsschlüsseln, die Sie in einer IAM-Richtlinienerklärung verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 in der Service Authorization Reference.

Beispielrichtlinien finden Sie unter IAM-Richtlinien für Amazon EC2 im Amazon EC2 EC2-Benutzerhandbuch.