Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Elastic Beanstalk-Benutzerrichtlinien verwalten
<a name="AWSHowTo.iam.managed-policies"></a>

AWS Elastic Beanstalk bietet zwei verwaltete Richtlinien, mit denen Sie allen Ressourcen, die Elastic Beanstalk verwaltet, vollen Zugriff oder schreibgeschützten Zugriff zuweisen können. Sie können die Richtlinien an AWS Identity and Access Management (IAM-) Benutzer oder Gruppen oder an Rollen anhängen, die von Ihren Benutzern übernommen wurden.

**Verwaltete Benutzerrichtlinien**
+ **AdministratorAccess- AWSElastic Beanstalk** — Gibt dem Benutzer volle Administratorrechte zum Erstellen, Ändern und Löschen von Elastic Beanstalk Beanstalk-Anwendungen, Anwendungsversionen, Konfigurationseinstellungen, Umgebungen und den zugrunde liegenden Ressourcen. *Den Inhalt der verwalteten Richtlinien finden Sie auf der Seite [AdministratorAccess— AWSElastic Beanstalk](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess-AWSElasticBeanstalk.html) im Referenzhandbuch für verwaltete Richtlinien.AWS *
+ **AWSElasticBeanstalkReadOnly**— Ermöglicht dem Benutzer das Anzeigen von Anwendungen und Umgebungen, jedoch nicht das Ausführen von Vorgängen, durch die diese geändert werden. Es bietet schreibgeschützten Zugriff auf alle Elastic Beanstalk Beanstalk-Ressourcen und auf andere AWS Ressourcen, die von der Elastic Beanstalk Beanstalk-Konsole abgerufen werden. Beachten Sie, dass mit schreibgeschütztem Zugriff keine Aktionen – wie z. B. Elastic Beanstalk-Protokolle zum Lesen herunterladen – möglich sind. Das liegt daran, dass die Protokolle im Amazon S3-Bucket bereitgestellt werden, wo Elastic Beanstalk eine Schreibberechtigung erfordern würde. Weitere Informationen zum Einrichten des Zugriffs auf Elastic Beanstalk-Protokolle finden Sie im Beispiel am Ende dieses Themas. *Den Inhalt der verwalteten Richtlinien finden Sie auf der [AWSElasticBeanstalkReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkReadOnly.html)Seite im Referenzhandbuch für verwaltete Richtlinien.AWS *

**Wichtig**  
Von Elastic Beanstalk verwaltete Richtlinien bieten keine granularen Berechtigungen – sie gewähren alle Berechtigungen, die möglicherweise für die Arbeit mit Elastic-Beanstalk-Anwendungen erforderlich sind. In einigen Fällen möchten Sie möglicherweise die Berechtigungen unserer verwalteten Richtlinien weiter einschränken. Ein Beispiel für einen Anwendungsfall finden Sie unter[Verhinderung des umgebungsübergreifenden Amazon S3 S3-Bucket-Zugriffs](AWSHowTo.iam.cross-env-s3-access.md).  
Unsere verwalteten Richtlinien decken auch keine Berechtigungen für benutzerdefinierte Ressourcen ab, die Sie möglicherweise zu Ihrer Lösung hinzufügen und die nicht von Elastic Beanstalk verwaltet werden. Verwenden Sie benutzerdefinierte [Richtlinien](#AWSHowTo.iam.policies), um detailliertere Berechtigungen, mindestens erforderliche Berechtigungen oder benutzerdefinierte Ressourcenberechtigungen zu implementieren.

**Veraltete, von verwaltete Richtlinien**  
Zuvor unterstützte Elastic Beanstalk zwei weitere verwaltete Benutzerrichtlinien, und **AWSElasticBeanstalkFullAccess**. **AWSElasticBeanstalkReadOnlyAccess** Wir planen, diese bisherigen Richtlinien außer Betrieb zu nehmen. Möglicherweise können Sie sie immer noch in der IAM-Konsole sehen und verwenden. Nichtsdestotrotz empfehlen wir Ihnen, auf die Verwendung der neuen Richtlinien für verwaltete Benutzer zu wechseln und benutzerdefinierte Richtlinien hinzuzufügen, um ggf. Berechtigungen für benutzerdefinierte Ressourcen zu erteilen.

## Richtlinien für die Integration mit anderen Services
<a name="iam-userpolicies-managed-other-services"></a>

Wir bieten auch detailliertere Richtlinien, die es Ihnen ermöglichen, Ihre Umgebung in andere Services zu integrieren, falls Sie diese bevorzugen. 
+ **AWSElasticBeanstalkRoleCWL** — Ermöglicht einer Umgebung die Verwaltung von Amazon CloudWatch Logs-Protokollgruppen.
+ **AWSElasticBeanstalkRoleRDS** — Ermöglicht einer Umgebung die Integration einer Amazon RDS-Instance.
+ **AWSElasticBeanstalkRoleWorkerTier**— Ermöglicht einer Worker-Umgebungsebene, eine Amazon DynamoDB-Tabelle und eine Amazon SQS SQS-Warteschlange zu erstellen.
+ **AWSElasticBeanstalkRoleECS** — Ermöglicht einer Docker-Umgebung mit mehreren Containern die Verwaltung von Amazon ECS-Clustern.
+ **AWSElasticBeanstalkRoleCore**— Ermöglicht Kernoperationen einer Webservice-Umgebung.
+ **AWSElasticBeanstalkRoleSNS** — Ermöglicht einer Umgebung, die Amazon SNS SNS-Themenintegration zu aktivieren.

Die JSON-Quelle für eine bestimmte verwaltete Richtlinie finden Sie im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)

## Steuern des Zugriffs mit verwalteten Richtlinien
<a name="iam-userpolicies-managed"></a>

Mit verwalteten Richtlinien können Sie Vollzugriff oder schreibgeschützten Zugriff auf Elastic Beanstalk gewähren. Diese Richtlinien werden von Elastic Beanstalk automatisch aktualisiert, wenn weitere Berechtigungen für den Zugriff auf neue Funktionen benötigt werden.

**So wenden Sie eine verwaltete Richtlinie auf IAM-Benutzer oder -Gruppen an**

1. Öffnen Sie die [Seite **Policies (Richtlinien)**](https://console.aws.amazon.com/iam/home#policies) in der IAM-Konsole.

1. Geben Sie im Suchfeld **AWSElasticBeanstalk** ein, um die Richtlinien zu filtern.

1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben **AWSElasticBeanstalkReadOnly**oder **AdministratorAccess— AWSElastic Beanstalk**.

1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.

1. Wählen Sie einen oder mehrere Benutzer und Gruppen aus, denen Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern.

1. Wählen Sie **Richtlinie anfügen** aus.

## Erstellen einer benutzerdefinierten Benutzerrichtlinie
<a name="AWSHowTo.iam.policies"></a>

Sie können Ihre eigene IAM-Richtlinie erstellen, um bestimmte Elastic Beanstalk-API-Aktionen für bestimmte Elastic-Beanstalk-Ressourcen zuzulassen oder abzulehnen und den Zugriff auf benutzerdefinierte Ressourcen zu steuern, die nicht von Elastic Beanstalk verwaltet werden. Weitere Informationen zum Anfügen einer Richtlinie an einen Benutzer oder eine Gruppe finden Sie unter [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Erstellen einer benutzerdefinierten Richtlinie finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Sie können einschränken, wie Benutzer mit Elastic Beanstalk-APIs interagieren können. Jedoch gibt es derzeit keine effektive Möglichkeit, mit der Sie Benutzer mit Berechtigungen zum Erstellen der benötigten zugrunde liegenden Ressourcen daran hindern können, weitere Ressourcen in Amazon EC2 und anderen Services zu erstellen.  
Betrachten Sie diese Richtlinien als ein effektives Mittel zur Verteilung von Elastic Beanstalk-Verantwortlichkeiten, nicht als ein Mittel zur Sicherung aller zugrundeliegenden Ressourcen.

**Wichtig**  
Wenn Sie einer Elastic Beanstalk-Servicerolle benutzerdefinierte Richtlinien zugewiesen haben, ist es wichtig, dass Sie ihr die richtigen Berechtigungen für Startvorlagen zuweisen. Andernfalls verfügen Sie möglicherweise nicht über die erforderlichen Berechtigungen, um eine Umgebung zu aktualisieren oder eine neue zu starten. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen für -Startvorlagen](environments-cfg-autoscaling-launch-templates.md#environments-cfg-autoscaling-launch-templates-permissions). 

Eine IAM-Richtlinie enthält Richtlinienanweisungen, mit denen die zu erteilenden Berechtigungen beschrieben werden. Um eine Richtlinienanweisung für Elastic Beanstalk zu erstellen, müssen Sie wissen, wie die folgenden vier Elemente einer Richtlinienanweisung verwendet werden:
+ **Effect** gibt an, ob die Aktionen in der Anweisung zugelassen oder verweigert werden.
+ **Action** gibt die zu steuernden [API-Operationen](https://docs.aws.amazon.com/elasticbeanstalk/latest/api/API_Operations.html) an. Beispielsweise können Sie mit `elasticbeanstalk:CreateEnvironment` den Vorgang `CreateEnvironment` angeben. Bestimmte Vorgänge, wie z. B. das Erstellen einer Umgebung, erfordern zusätzliche Berechtigungen für die Aktionsausführung. Weitere Informationen finden Sie unter [Ressourcen und Bedingungen für Elastic Beanstalk-Aktionen](AWSHowTo.iam.policies.actions.md). 
**Anmerkung**  
Geben Sie zur Verwendung der API-Operation [https://docs.aws.amazon.com/elasticbeanstalk/latest/api/API_UpdateTagsForResource.html](https://docs.aws.amazon.com/elasticbeanstalk/latest/api/API_UpdateTagsForResource.html) anstelle des Namens der API-Operation eine (oder beide) der folgenden beiden virtuellen Aktionen an:  

`elasticbeanstalk:AddTags`  
Steuert die Berechtigung zum Aufrufen von `UpdateTagsForResource` und übergeben einer Liste mit Tags, die dem Parameter `TagsToAdd` hinzugefügt werden.

`elasticbeanstalk:RemoveTags`  
Steuert die Berechtigung zum Aufrufen von `UpdateTagsForResource` und übergeben einer Liste mit Tag-Schlüsseln, die aus dem Parameter `TagsToRemove` entfernt werden.
+ **Resource** gibt die Ressourcen an, bei denen der Zugriff gesteuert werden soll. Um Elastic Beanstalk-Ressourcen anzugeben, führen Sie die [Amazon-Ressourcenname](AWSHowTo.iam.policies.arn.md) (ARN) jeder Ressource auf.
+ (Optional) **Condition** gibt Einschränkungen für die in der Anweisung erteilten Berechtigungen an. Weitere Informationen finden Sie unter [Ressourcen und Bedingungen für Elastic Beanstalk-Aktionen](AWSHowTo.iam.policies.actions.md).

Die folgenden Abschnitte zeigen einige Fälle, in denen Sie eine benutzerdefinierte Benutzerrichtlinie in Betracht ziehen könnten.

### Begrenzte Erstellung einer Elastic Beanstalk-Umgebung ermöglichen
<a name="AWSHowTo.iam.policy.env-creation"></a>

Die Richtlinie im folgenden Beispiel ermöglicht einem Benutzer, die `CreateEnvironment`-Aktion aufzurufen, um eine Umgebung zu erstellen, deren Name mit **Test** beginnt, mit der angegebenen Anwendung und Anwendungsversion.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"CreateEnvironmentPerm",
      "Action": [
        "elasticbeanstalk:CreateEnvironment"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:elasticbeanstalk:us-east-2:123456789012:environment/My First Elastic Beanstalk Application/Test*"
      ],
      "Condition": {
        "StringEquals": {
          "elasticbeanstalk:InApplication": ["arn:aws:elasticbeanstalk:us-east-2:123456789012:application/My First Elastic Beanstalk Application"],
          "elasticbeanstalk:FromApplicationVersion": ["arn:aws:elasticbeanstalk:us-east-2:123456789012:applicationversion/My First Elastic Beanstalk Application/First Release"]
        }
      }
    },
    {
      "Sid":"AllNonResourceCalls",
      "Action":[
        "elasticbeanstalk:CheckDNSAvailability",
        "elasticbeanstalk:CreateStorageLocation"
      ],
      "Effect":"Allow",
      "Resource":[
        "*"
      ]
    }
  ]
}
```

------

Die obige Richtlinie zeigt, wie man beschränkten Zugang zu Elastic Beanstalk-Operationen gewährt. Um eine Umgebung tatsächlich zu starten, muss der Benutzer über die Berechtigung verfügen, die AWS Ressourcen zu erstellen, die die Umgebung ebenfalls mit Strom versorgen. Beispielsweise wird mit der folgenden Richtlinie Zugriff auf den Standardsatz der Ressourcen für eine Webserverumgebung gewährt:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:*",
        "ecs:*",
        "elasticloadbalancing:*",
        "autoscaling:*",
        "cloudwatch:*",
        "s3:*",
        "sns:*",
        "cloudformation:*",
        "sqs:*"
        ],
      "Resource": "*"
    }
  ]
}
```

------

### Zugriff auf Elastic Beanstalk-Protokolle in Amazon S3 ermöglichen
<a name="AWSHowTo.iam.policy.view-s3-logs"></a>

Die Richtlinie im folgenden Beispiel ermöglicht es einem Benutzer, Elastic Beanstalk-Protokolle abzurufen, sie in Amazon S3 bereitzustellen und abzurufen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "s3:DeleteObject",
        "s3:GetObjectAcl",
        "s3:PutObjectAcl"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::elasticbeanstalk-*"
    }
  ]
}
```

------

**Anmerkung**  
Um diese Berechtigungen nur auf die Protokollpfade einzuschränken, verwenden Sie das folgende Ressourcenformat.   

```
"arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/resources/environments/logs/*"
```

### Verwaltung einer bestimmten Elastic Beanstalk-Anwendung ermöglichen
<a name="AWSHowTo.iam.policy.manage-app"></a>

Die Richtlinie im folgenden Beispiel ermöglicht einem Benutzer das Verwalten von Umgebungen und anderen Ressourcen innerhalb einer bestimmten Elastic Beanstalk-Anwendung. Die Richtlinie verweigert Elastic Beanstalk-Aktionen auf Ressourcen anderer Anwendungen und verweigert auch die Erstellung und Löschung von Elastic Beanstalk-Anwendungen.

**Anmerkung**  
Die Richtlinie verweigert nicht den Zugriff auf Ressourcen durch andere Services. Es zeigt eine effektive Möglichkeit zum Verteilen von Verantwortlichkeiten für die Verwaltung von Elastic Beanstalk-Anwendungen über verschiedene Benutzer, nicht als Möglichkeit zum Sichern der zugrundeliegenden Ressourcen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateApplication",
        "elasticbeanstalk:DeleteApplication"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "elasticbeanstalk:CreateApplicationVersion",
        "elasticbeanstalk:CreateConfigurationTemplate",
        "elasticbeanstalk:CreateEnvironment",
        "elasticbeanstalk:DeleteApplicationVersion",
        "elasticbeanstalk:DeleteConfigurationTemplate",
        "elasticbeanstalk:DeleteEnvironmentConfiguration",
        "elasticbeanstalk:DescribeApplicationVersions",
        "elasticbeanstalk:DescribeConfigurationOptions",
        "elasticbeanstalk:DescribeConfigurationSettings",
        "elasticbeanstalk:DescribeEnvironmentResources",
        "elasticbeanstalk:DescribeEnvironments",
        "elasticbeanstalk:DescribeEvents",
        "elasticbeanstalk:DeleteEnvironmentConfiguration",
        "elasticbeanstalk:RebuildEnvironment",
        "elasticbeanstalk:RequestEnvironmentInfo",
        "elasticbeanstalk:RestartAppServer",
        "elasticbeanstalk:RetrieveEnvironmentInfo",
        "elasticbeanstalk:SwapEnvironmentCNAMEs",
        "elasticbeanstalk:TerminateEnvironment",
        "elasticbeanstalk:UpdateApplicationVersion",
        "elasticbeanstalk:UpdateConfigurationTemplate",
        "elasticbeanstalk:UpdateEnvironment",
        "elasticbeanstalk:RetrieveEnvironmentInfo",
        "elasticbeanstalk:ValidateConfigurationSettings"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringNotEquals": {
          "elasticbeanstalk:InApplication": [
            "arn:aws:elasticbeanstalk:us-east-2:123456789012:application/myapplication"
          ]
        }
      }
    }
  ]
}
```

------