Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit bei Amazon FSx for Lustre
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der Amazon Web Services Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Um mehr über die Compliance-Programme zu erfahren, die gelten für Amazon FSx for Lustre, siehe [AWS Leistungen im Leistungsumfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung anwenden können, wenn Sie Amazon FSx for Lustre. In den folgenden Themen erfahren Sie, wie Sie Amazon konfigurieren FSx, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie lernen auch, wie Sie andere Amazon-Dienste nutzen können, die Ihnen helfen, Ihre Amazon FSx for Lustre Ressourcen schätzen.
Im Folgenden finden Sie eine Beschreibung der Sicherheitsaspekte bei der Arbeit mit Amazon FSx.
**Topics**
+ [Datenschutz in Amazon FSx for Lustre](data-protection.md)
+ [Identitäts- und Zugriffsmanagement für Amazon FSx for Lustre](security-iam.md)
+ [Zugriffskontrolle für Dateisysteme mit Amazon VPC](limit-access-security-groups.md)
+ [Amazon VPC-Netzwerk ACLs](limit-access-acl.md)
+ [Konformitätsvalidierung für Amazon FSx for Lustre](fsx-lustre-compliance.md)
+ [Amazon FSx for Lustre und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink](fsx-vpc-endpoints.md)
# Datenschutz in Amazon FSx for Lustre
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der der , gilt für den Datenschutz in Amazon FSx for Lustre. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dazu gehört auch, wenn Sie mit arbeiten Amazon FSx oder andere, die die AWS-Services Konsole, die API AWS CLI, oder verwenden AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Datenverschlüsselung in Amazon FSx for Lustre](encryption-fsxl.md)
+ [Richtlinie für den Datenverkehr zwischen Netzwerken](internetwork-privacy.md)
# Datenverschlüsselung in Amazon FSx for Lustre
Amazon FSx for Lustre unterstützt zwei Arten der Verschlüsselung für Dateisysteme: Verschlüsselung von Daten im Ruhezustand und Verschlüsselung bei der Übertragung. Die Verschlüsselung von Daten im Ruhezustand wird automatisch aktiviert, wenn ein FSx Amazon-Dateisystem erstellt wird. Die Verschlüsselung von Daten während der Übertragung wird automatisch aktiviert, wenn Sie von [ EC2Amazon-Instances aus, die diese Funktion unterstützen, auf ein FSx Amazon-Dateisystem](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) zugreifen.
## Verwendung von Verschlüsselung
Wenn Ihr Unternehmen Unternehmens- oder behördlichen Richtlinien unterliegt, die die Verschlüsselung von Daten und Metadaten im Speicher vorschreiben, empfehlen wir, ein verschlüsseltes Dateisystem zu erstellen und Ihr Dateisystem mithilfe der Verschlüsselung von Daten während der Übertragung zu mounten.
Weitere Informationen zum Erstellen eines Dateisystems, das im Ruhezustand mithilfe der Konsole verschlüsselt wird, finden Sie unter [ Erstellen Sie Ihr Amazon FSx for Lustre Dateisystem](getting-started.md#getting-started-step1).
**Topics**
+ [Verwendung von Verschlüsselung](#whenencrypt)
+ [Verschlüsseln von Daten im Ruhezustand](encryption-at-rest.md)
+ [Verschlüsseln von Daten während der Übertragung](encryption-in-transit-fsxl.md)
# Verschlüsseln von Daten im Ruhezustand
Die Verschlüsselung von Daten im Ruhezustand wird automatisch aktiviert, wenn Sie ein Amazon FSx for Lustre Dateisystem über die AWS-Managementkonsole AWS CLI, die oder programmgesteuert über die FSx Amazon-API oder eine der. AWS SDKs Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören. Wenn Sie ein persistentes Dateisystem erstellen, können Sie den AWS KMS Schlüssel angeben, mit dem die Daten verschlüsselt werden sollen. Wenn Sie ein Scratch-Dateisystem erstellen, werden die Daten mit von Amazon verwalteten Schlüsseln verschlüsselt FSx. Weitere Informationen zum Erstellen eines Dateisystems, das im Ruhezustand mithilfe der Konsole verschlüsselt wird, finden Sie unter [ Erstellen Sie Ihr Amazon FSx for Lustre Dateisystem](getting-started.md#getting-started-step1).
**Anmerkung**
Die Infrastruktur AWS für die Schlüsselverwaltung verwendet nach den Federal Information Processing Standards (FIPS) 140-2 zugelassene kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.
Weitere Informationen zur Verwendung von Lustre finden Sie FSx unter. AWS KMS[Wie Amazon FSx for Lustre verwendet AWS KMS](#FSXKMS)
## Funktionsweise der Verschlüsselung im Ruhezustand
Auf einem verschlüsselten Dateisystem werden Daten und Metadaten automatisch verschlüsselt, bevor sie auf das Dateisystem geschrieben werden. Umgekehrt werden bei Lesevorgängen Daten und Metadaten entschlüsselt, bevor sie an die Anwendung gesendet werden. Diese Prozesse werden transparent abgewickelt von Amazon FSx for Lustre, sodass Sie Ihre Anwendungen nicht ändern müssen.
Amazon FSx for Lustre verwendet den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um ruhende Dateisystemdaten zu verschlüsseln. Weitere Informationen finden Sie unter [Grundlagen der Kryptographie](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) im *AWS Key Management Service -Entwicklerhandbuch*.
## Wie Amazon FSx for Lustre verwendet AWS KMS
Amazon FSx for Lustre verschlüsselt Daten automatisch, bevor sie in das Dateisystem geschrieben werden, und entschlüsselt Daten automatisch, wenn sie gelesen werden. Daten werden mit einer XTS-AES-256-Blockchiffre verschlüsselt. Alle Scratch FSx for Lustre-Dateisysteme werden im Ruhezustand mit Schlüsseln verschlüsselt, die von verwaltet werden. AWS KMSAmazon FSx for Lustre lässt sich in AWS KMS die Schlüsselverwaltung integrieren. Die Schlüssel, die zur Verschlüsselung von Scratch-Dateisystemen im Ruhezustand verwendet werden, sind für jedes Dateisystem einzigartig und werden nach dem Löschen des Dateisystems vernichtet. Für persistente Dateisysteme wählen Sie den KMS-Schlüssel, der zum Verschlüsseln und Entschlüsseln von Daten verwendet wird. Sie geben an, welcher Schlüssel verwendet werden soll, wenn Sie ein persistentes Dateisystem erstellen. Sie können Zuweisungen für diesen KMS-Schlüssel aktivieren, deaktivieren oder widerrufen. Bei diesem KMS-Schlüssel kann es sich um einen der beiden folgenden Typen handeln:
+ **Von AWS verwalteter Schlüssel für Amazon FSx** — Dies ist der Standard-KMS-Schlüssel. Die Erstellung und Speicherung eines KMS-Schlüssels wird Ihnen nicht in Rechnung gestellt, es fallen jedoch Nutzungsgebühren an. Weitere Informationen finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).
+ **Kundenverwalteter Schlüssel** – Dies ist der flexibelste KMS-Schlüssel, da Sie seine Schlüsselrichtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer Guide.*
Wenn Sie einen vom Kunden verwalteten Schlüssel als KMS-Schlüssel für die Verschlüsselung und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. Wenn Sie die Schlüsselrotation aktivieren, AWS KMS wird Ihr Schlüssel automatisch einmal pro Jahr rotiert. Darüber hinaus können Sie bei einem vom Kunden verwalteten Schlüssel (CMK) jederzeit entscheiden, wann Sie den Zugriff auf Ihren vom Kunden verwalteten Schlüssel deaktivieren, wieder aktivieren, löschen oder widerrufen möchten.
**Wichtig**
Amazon FSx akzeptiert nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keine asymmetrischen KMS-Schlüssel mit Amazon FSx verwenden.
### Die FSx wichtigsten Richtlinien von Amazon für AWS KMS
Schlüsselrichtlinien sind die primäre Methode zur Zugriffssteuerung für KMS-Schlüssel. Weitere Informationen zu den wichtigsten Richtlinien finden Sie [unter Verwenden wichtiger Richtlinien AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Entwicklerhandbuch.*In der folgenden Liste werden alle AWS KMS—bezogenen Berechtigungen beschrieben, die von Amazon FSx für Dateisysteme mit Verschlüsselung im Ruhezustand unterstützt werden:
+ **kms:Encrypt** – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms:Decrypt** – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ReEncrypt** — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen KMS-Schlüssel, ohne den Klartext der Daten auf der Clientseite offenzulegen. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Erforderlich) Gibt einen mit einem KMS-Schlüssel verschlüsselten Datenverschlüsselungsschlüssel zurück. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter **kms: GenerateDataKey \$1** enthalten.
+ **kms: CreateGrant** — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter [Verwendung von Zuschüssen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *AWS Key Management Service Entwicklerhandbuch.* Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: DescribeKey** — (Erforderlich) Stellt detaillierte Informationen zum angegebenen KMS-Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ListAliases** — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste zur Auswahl des KMS-Schlüssels aufgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
# Verschlüsseln von Daten während der Übertragung
Scratch 2- und persistente Dateisysteme können Daten während der Übertragung automatisch verschlüsseln, wenn auf das Dateisystem von EC2 Amazon-Instances aus zugegriffen wird, die Verschlüsselung bei der Übertragung unterstützen, sowie für die gesamte Kommunikation zwischen Hosts innerhalb des Dateisystems. Informationen darüber, welche EC2 Instances Verschlüsselung bei der Übertragung unterstützen, finden Sie unter [Verschlüsselung bei der Übertragung im EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) *Amazon-Benutzerhandbuch*.
Eine Liste der Produkte, AWS-Regionen in denen Amazon FSx for Lustre verfügbar ist, finden Sie unter[Art der Bereitstellung, Verfügbarkeit](using-fsx-lustre.md#persistent-deployment-regions).
# Richtlinie für den Datenverkehr zwischen Netzwerken
In diesem Thema wird beschrieben, wie Amazon Verbindungen vom Service zu anderen Standorten FSx sichert.
## Verkehr zwischen Amazon FSx und lokalen Kunden
Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS:
+ Eine AWS Site-to-Site VPN Verbindung. Weitere Informationen finden Sie unter [Was ist AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Eine AWS Direct Connect Verbindung. Weitere Informationen finden Sie unter [Was ist AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
Sie können über das Netzwerk auf Lustre zugreifen FSx , um auf AWS veröffentlichte API-Operationen zur Ausführung administrativer Aufgaben zuzugreifen und Lustre Ports für die Interaktion mit dem Dateisystem.
### API-Verkehr verschlüsseln
Um auf AWS veröffentlichte API-Operationen zugreifen zu können, müssen Clients Transport Layer Security (TLS) 1.2 oder höher unterstützen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Oder Sie können [AWS -Security-Token-Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) verwenden, um temporäre Sicherheitsanmeldeinformationen zum Signieren von Anfragen zu generieren.
### Verschlüsselung des Datenverkehrs
Die Verschlüsselung von Daten während der Übertragung wird von unterstützten EC2 Instanzen aus aktiviert, die von dort aus auf die Dateisysteme zugreifen. AWS Cloud Weitere Informationen finden Sie unter[Verschlüsseln von Daten während der Übertragung](encryption-in-transit-fsxl.md). FSx for Lustre bietet keine systemeigene Verschlüsselung bei der Übertragung zwischen lokalen Clients und Dateisystemen.
# Identitäts- und Zugriffsmanagement für Amazon FSx for Lustre
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um FSx Amazon-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon FSx for Lustre mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Amazon FSx for Lustre](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei Identität und Zugriff auf Amazon FSx for Lustre](security_iam_troubleshoot.md)
+ [Verwenden von Tags mit Amazon FSx](using-tags-fsx.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon FSx](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon FSx for Lustre](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon FSx for Lustre mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Als bewährte Methode sollten menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon FSx for Lustre mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon zu verwalten FSx, sollten Sie sich darüber informieren, welche IAM-Funktionen für Amazon verfügbar sind. FSx
**IAM-Funktionen, die Sie mit Amazon FSx for Lustre verwenden können**
| IAM-Feature | FSx Amazon-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie Amazon FSx und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Services, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Amazon FSx
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon FSx
Beispiele für FSx identitätsbasierte Richtlinien von Amazon finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von Amazon FSx
**Unterstützt ressourcenbasierte Richtlinien:** Nein
## Politische Maßnahmen für Amazon FSx
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der FSx Amazon-Aktionen finden Sie unter [Von Amazon FSx für Lustre definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) in der *Service Authorization Reference.*
Richtlinienaktionen in Amazon FSx verwenden das folgende Präfix vor der Aktion:
```
fsx
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Beispiele für FSx identitätsbasierte Richtlinien von Amazon finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für Amazon FSx
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der FSx Amazon-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon FSx for Lustre definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) in der *Service Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon FSx for Lustre definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Beispiele für FSx identitätsbasierte Richtlinien von Amazon finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Schlüssel zu den Versicherungsbedingungen für Amazon FSx
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der FSx Amazon-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon FSx for Lustre definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Beispiele für FSx identitätsbasierte Richtlinien von Amazon finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Zugriffskontrolllisten (ACLs) in Amazon FSx
**Unterstützt ACLs:** Nein
## Attributbasierte Zugriffskontrolle (ABAC) mit Amazon FSx
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Taggen von FSx Amazon-Ressourcen finden Sie unter[Taggen Sie Ihre Amazon FSx for Lustre-Ressourcen](tag-resources.md).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Verwenden von Tags zur Steuerung des Zugriffs auf Ihre FSx Amazon-Ressourcen](using-tags-fsx.md#restrict-fsx-access-tags).
## Temporäre Anmeldeinformationen mit Amazon verwenden FSx
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen für Amazon weiterleiten FSx
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon FSx
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Durch das Ändern der Berechtigungen für eine Servicerolle kann die FSx Amazon-Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, FSx wenn Amazon Sie dazu anleitet.
## Servicebezogene Rollen für Amazon FSx
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Weitere Informationen zum Erstellen und Verwalten von Rollen, die mit dem Service von FSx Amazon verknüpft sind, finden Sie unter[Verwenden von serviceverknüpften Rollen für Amazon FSx](using-service-linked-roles.md).
# Beispiele für identitätsbasierte Richtlinien für Amazon for Lustre FSx
Standardmäßig sind Benutzer und Rollen nicht berechtigt, FSx Amazon-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon definierten Aktionen und Ressourcentypen FSx, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) in der *Service Authorization Reference.*
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der FSx Amazon-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand FSx Amazon-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der FSx Amazon-Konsole
Um auf die Amazon FSx for Lustre-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den FSx Amazon-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die FSx Amazon-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die `AmazonFSxConsoleReadOnlyAccess` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Sie finden die `AmazonFSxConsoleReadOnlyAccess` und andere Richtlinien für Amazon FSx Managed Services unter[AWS verwaltete Richtlinien für Amazon FSx for Lustre](security-iam-awsmanpol.md).
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS verwaltete Richtlinien für Amazon FSx for Lustre
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## Amazon FSx ServiceRolePolicy
Ermöglicht Amazon FSx , AWS Ressourcen in Ihrem Namen zu verwalten. Weitere Informationen hierzu finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon FSx](using-service-linked-roles.md).
## AWS verwaltete Richtlinie: Amazon FSx DeleteServiceLinkedRoleAccess
Sie können `AmazonFSxDeleteServiceLinkedRoleAccess` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einem Service verknüpft und wird nur mit der serviceverknüpften Rolle für diesen Service verwendet. Sie können diese Richtlinie nicht anhängen, trennen, ändern oder löschen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon FSx](using-service-linked-roles.md).
Diese Richtlinie gewährt Administratorberechtigungen, die es Amazon FSx ermöglichen, seine Service Linked Role für den Zugriff auf Amazon S3 zu löschen, die nur von Amazon FSx for Lustre verwendet wird.
**Details zu Berechtigungen**
Diese Richtlinie beinhaltet Berechtigungen, `iam` die es Amazon ermöglichen, FSx den Löschstatus für den Zugriff auf FSx Service Linked Roles for Amazon S3 einzusehen, zu löschen und einzusehen.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) im Referenzhandbuch für AWS verwaltete Richtlinien.
## AWS verwaltete Richtlinie: Amazon FSx FullAccess
Sie können Amazon FSx FullAccess an Ihre IAM-Entitäten anhängen. Amazon FSx verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon FSx ermöglicht, Aktionen in Ihrem Namen durchzuführen.
Bietet vollen Zugriff auf Amazon FSx und Zugriff auf verwandte AWS Services.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `fsx`— Ermöglicht Principals vollen Zugriff auf alle FSx Amazon-Aktionen, mit Ausnahme `BypassSnaplockEnterpriseRetention` von.
+ `ds`— Ermöglicht Prinzipalen, Informationen über die Verzeichnisse einzusehen. Directory Service
+ `ec2`
+ Ermöglicht Prinzipalen das Erstellen von Tags unter den angegebenen Bedingungen.
+ Um eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen bereitzustellen, die mit einer VPC verwendet werden können.
+ `iam`— Ermöglicht Principles, im Namen des Benutzers eine mit Amazon FSx Service verknüpfte Rolle zu erstellen. Dies ist erforderlich, damit Amazon AWS Ressourcen im Namen des Benutzers verwalten FSx kann.
+ `firehose`— Ermöglicht Prinzipalen das Schreiben von Datensätzen in eine Amazon Data Firehose. Dies ist erforderlich, damit Benutzer den Zugriff auf das Windows-Dateiserver-Dateisystem überwachen FSx können, indem sie Audit-Zugriffsprotokolle an Firehose senden.
+ `logs`— Ermöglicht Prinzipalen, Protokollgruppen zu erstellen, Streams zu protokollieren und Ereignisse in Protokolldatenströme zu schreiben. Dies ist erforderlich, damit Benutzer den Zugriff auf das Dateisystem auf dem Windows-Dateiserver überwachen FSx können, indem sie CloudWatch Audit-Zugriffsprotokolle an Logs senden.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) im Referenzhandbuch für AWS verwaltete Richtlinien.
## AWS verwaltete Richtlinie: Amazon FSx ConsoleFullAccess
Sie können die `AmazonFSxConsoleFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die den vollen Zugriff auf Amazon FSx und den Zugriff auf verwandte AWS Dienste über die ermöglichen AWS-Managementkonsole.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `fsx`— Ermöglicht Prinzipalen, alle Aktionen in der FSx Amazon-Managementkonsole auszuführen, mit Ausnahme `BypassSnaplockEnterpriseRetention` von.
+ `cloudwatch`— Ermöglicht Principals, CloudWatch Alarme und Messwerte in der Amazon FSx Management Console einzusehen.
+ `ds`— Ermöglicht Prinzipalen, Informationen über ein Directory Service Verzeichnis aufzulisten.
+ `ec2`
+ Ermöglicht Principals, Tags für Routing-Tabellen zu erstellen, Netzwerkschnittstellen, Routing-Tabellen, Sicherheitsgruppen, Subnetze und die einem FSx Amazon-Dateisystem zugeordnete VPC aufzulisten.
+ Ermöglicht Prinzipalen die erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen, die mit einer VPC verwendet werden können.
+ Ermöglicht Prinzipalen die Anzeige der Elastic Network-Schnittstellen, die einem FSx Amazon-Dateisystem zugeordnet sind.
+ `kms`— Ermöglicht Prinzipalen, Aliase für Schlüssel aufzulisten. AWS Key Management Service
+ `s3`— Ermöglicht Prinzipalen, einige oder alle Objekte in einem Amazon S3 S3-Bucket aufzulisten (bis zu 1000).
+ `iam`— Erteilt die Erlaubnis, eine serviceverknüpfte Rolle FSx zu erstellen, die es Amazon ermöglicht, Aktionen im Namen des Benutzers durchzuführen.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) im Referenzhandbuch für AWS verwaltete Richtlinien.
## AWS verwaltete Richtlinie: Amazon FSx ConsoleReadOnlyAccess
Sie können die `AmazonFSxConsoleReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Amazon FSx und verwandten AWS Diensten nur Leseberechtigungen, sodass Benutzer Informationen zu diesen Diensten in der einsehen können. AWS-Managementkonsole
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `fsx`— Ermöglicht Prinzipalen, Informationen über FSx Amazon-Dateisysteme, einschließlich aller Tags, in der Amazon FSx Management Console einzusehen.
+ `cloudwatch`— Ermöglicht Prinzipalen die Anzeige von CloudWatch Alarmen und Kennzahlen in der Amazon FSx Management Console.
+ `ds`— Ermöglicht Principals, Informationen zu einem Directory Service Verzeichnis in der Amazon FSx Management Console einzusehen.
+ `ec2`
+ Ermöglicht Principals, Netzwerkschnittstellen, Sicherheitsgruppen, Subnetze und die einem FSx Amazon-Dateisystem zugeordnete VPC in der Amazon FSx Management Console einzusehen.
+ Ermöglicht Prinzipalen die erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen, die mit einer VPC verwendet werden können.
+ Ermöglicht Prinzipalen die Anzeige der Elastic Network-Schnittstellen, die einem FSx Amazon-Dateisystem zugeordnet sind.
+ `kms`— Ermöglicht Prinzipalen, Aliase für AWS Key Management Service Schlüssel in der Amazon FSx Management Console einzusehen.
+ `log`— Ermöglicht Principals, die Amazon CloudWatch Logs-Protokollgruppen zu beschreiben, die dem Konto zugeordnet sind, das die Anfrage gestellt hat. Dies ist erforderlich, damit die Hauptbenutzer die bestehende Konfiguration für die Überwachung des Dateizugriffs für ein Dateisystem FSx für Windows-Dateiserver einsehen können.
+ `firehose`— Ermöglicht Principals, die Amazon Data Firehose-Lieferdatenströme zu beschreiben, die dem Konto zugeordnet sind, das die Anfrage gestellt hat. Dies ist erforderlich, damit die Principals die bestehende Konfiguration für die Dateizugriffsprüfung für ein Dateisystem FSx für Windows-Dateiserver einsehen können.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) im Referenzhandbuch für AWS verwaltete Richtlinien.
## AWS verwaltete Richtlinie: Amazon FSx ReadOnlyAccess
Sie können die `AmazonFSxReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
+ `fsx`— Ermöglicht Prinzipalen, Informationen über FSx Amazon-Dateisysteme, einschließlich aller Tags, in der Amazon FSx Management Console einzusehen.
+ `ec2`— Bereitstellung einer erweiterten Sicherheitsgruppenvalidierung aller Sicherheitsgruppen, die mit einer VPC verwendet werden können.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) im Referenzhandbuch für AWS verwaltete Richtlinien.
## FSx Aktualisierungen der AWS verwalteten Richtlinien durch Amazon
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon an, FSx seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Amazon-Seite, um automatische Benachrichtigungen über Änderungen an dieser FSx [Dokumentverlauf](doc-history.md) Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:AssignIpv6Addresses` die es Principals ermöglicht, Kundennetzwerkschnittstellen, die über ein `AmazonFSx.FileSystemId` Tag verfügen, IPv6 Adressen zuzuweisen. | 22. Juli 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:UnassignIpv6Addresses` die es Principals ermöglicht, IPv6 Adressen von Kundennetzwerkschnittstellen, die über ein `AmazonFSx.FileSystemId` Tag verfügen, zuzuweisen. | 22. Juli 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `fsx:CreateAndAttachS3AccessPoint` die es Principals ermöglicht, einen S3-Zugangspunkt zu erstellen und ihn an ein FSx Volume anzuhängen. | 25. Juni 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `fsx:DescribeS3AccessPointAttachments` die es Principals ermöglicht, alle S3-Zugangspunkte AWS-Konto in einem AWS-Region aufzulisten. | 25. Juni 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `fsx:DetachAndDeleteS3AccessPoint` die es Principals ermöglicht, einen S3-Zugangspunkt zu löschen. | 25. Juni 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `fsx:CreateAndAttachS3AccessPoint` die es Principals ermöglicht, einen S3-Zugangspunkt zu erstellen und ihn an ein FSx Volume anzuhängen. | 25. Juni 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `fsx:DescribeS3AccessPointAttachments` die es Principals ermöglicht, alle S3-Zugangspunkte AWS-Konto in einem AWS-Region aufzulisten. | 25. Juni 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `fsx:DetachAndDeleteS3AccessPoint` die es Principals ermöglicht, einen S3-Zugangspunkt zu löschen. | 25. Juni 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:DescribeNetworkInterfaces` die es Principals ermöglicht, die mit ihrem Dateisystem verknüpften Elastic Network-Schnittstellen einzusehen. | 25. Februar 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:DescribeNetworkInterfaces` die es Principals ermöglicht, die mit ihrem Dateisystem verknüpften Elastic Network-Schnittstellen einzusehen. | 07. Februar 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:GetSecurityGroupsForVpc` die es Principals ermöglicht, eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen vorzunehmen, die mit einer VPC verwendet werden können. | 9. Januar 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:GetSecurityGroupsForVpc` die es Principals ermöglicht, eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen vorzunehmen, die mit einer VPC verwendet werden können. | 9. Januar 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:GetSecurityGroupsForVpc` die es Principals ermöglicht, eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen vorzunehmen, die mit einer VPC verwendet werden können. | 9. Januar 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:GetSecurityGroupsForVpc` die es Principals ermöglicht, eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen vorzunehmen, die mit einer VPC verwendet werden können. | 9. Januar 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, `ec2:GetSecurityGroupsForVpc` die es Principals ermöglicht, eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen vorzunehmen, die mit einer VPC verwendet werden können. | 9. Januar 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, die es Benutzern ermöglicht, regionsübergreifende und kontoübergreifende Datenreplikation FSx für OpenZFS-Dateisysteme durchzuführen. | 20. Dezember 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, die es Benutzern ermöglicht, regionsübergreifende und kontoübergreifende Datenreplikation FSx für OpenZFS-Dateisysteme durchzuführen. | 20. Dezember 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, um Benutzern die On-Demand-Replikation von Volumes FSx für OpenZFS-Dateisysteme zu ermöglichen. | 26. November 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat eine neue Berechtigung hinzugefügt, um Benutzern die On-Demand-Replikation von Volumes FSx für OpenZFS-Dateisysteme zu ermöglichen. | 26. November 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, mit denen Benutzer die gemeinsame VPC-Unterstützung FSx für ONTAP Multi-AZ-Dateisysteme anzeigen, aktivieren und deaktivieren können. | 14. November 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, mit denen Benutzer die gemeinsame VPC-Unterstützung FSx für ONTAP Multi-AZ-Dateisysteme anzeigen, aktivieren und deaktivieren können. | 14. November 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Amazon FSx ermöglichen, Netzwerkkonfigurationen FSx für OpenZFS Multi-AZ-Dateisysteme zu verwalten. | 9. August 2023 |
| [AWS verwaltete Richtlinie: Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon hat die bestehende `cloudwatch:PutMetricData` Berechtigung FSx geändert, sodass Amazon CloudWatch Metriken im `AWS/FSx` Namespace FSx veröffentlicht. | 24. Juli 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon hat die Richtlinie FSx aktualisiert, um die `fsx:*` Genehmigung zu entfernen und bestimmte `fsx` Aktionen hinzuzufügen. | 13. Juli 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon hat die Richtlinie FSx aktualisiert, um die `fsx:*` Genehmigung zu entfernen und bestimmte `fsx` Aktionen hinzuzufügen. | 13. Juli 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Benutzer erweiterte Leistungskennzahlen und Handlungsempfehlungen FSx für Windows File Server-Dateisysteme in der FSx Amazon-Konsole einsehen können. | 21. September 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Benutzer erweiterte Leistungskennzahlen und Handlungsempfehlungen FSx für Windows File Server-Dateisysteme in der FSx Amazon-Konsole einsehen können. | 21. September 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Richtlinien zur Sendungsverfolgung gestartet | Diese Richtlinie gewährt Lesezugriff auf alle FSx Amazon-Ressourcen und alle damit verbundenen Tags. | 4. Februar 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Richtlinien zur Sendungsverfolgung gestartet | Diese Richtlinie gewährt Administratorberechtigungen, die es Amazon FSx ermöglichen, seine Service Linked Role für den Zugriff auf Amazon S3 zu löschen. | 7. Januar 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Amazon FSx ermöglichen, Netzwerkkonfigurationen für Amazon FSx für NetApp ONTAP-Dateisysteme zu verwalten. | 2. September 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Amazon FSx ermöglichen, Tags in EC2-Routing-Tabellen für Scoped-Down-Aufrufe zu erstellen. | 2. September 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Amazon FSx Multi-AZ-Dateisysteme von Amazon FSx for NetApp ONTAP erstellen kann. | 2. September 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Amazon FSx ermöglichen, Tags in EC2-Routing-Tabellen für Scoped-Down-Aufrufe zu erstellen. | 2. September 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Amazon ermöglichen, CloudWatch Log-Streams FSx zu beschreiben und in sie zu schreiben. Dies ist erforderlich, damit Benutzer mithilfe CloudWatch von Logs Auditprotokolle für Dateizugriffe FSx für Windows-Dateiserver-Dateisysteme einsehen können. | 8. Juni 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, FSx damit Amazon Data Firehose-Lieferstreams beschreiben und in sie schreiben kann. Dies ist erforderlich, damit Benutzer die Dateizugriffs-Audit-Logs für ein Dateisystem FSx für Windows File Server mithilfe von Amazon Data Firehose einsehen können. | 8. Juni 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Prinzipalen ermöglichen, CloudWatch Log-Log-Gruppen und Log-Streams zu beschreiben und zu erstellen und Ereignisse in Log-Streams zu schreiben. Dies ist erforderlich, damit Prinzipale mithilfe CloudWatch von Protokollen die Auditprotokolle für Dateizugriffe FSx für Windows-Dateiserver-Dateisysteme einsehen können. | 8. Juni 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, die es Prinzipalen ermöglichen, Datensätze zu beschreiben und in eine Amazon Data Firehose zu schreiben. Dies ist erforderlich, damit Benutzer die Dateizugriffs-Audit-Logs für ein Dateisystem FSx für Windows File Server mithilfe von Amazon Data Firehose einsehen können. | 8. Juni 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Principals die Amazon CloudWatch Logs-Protokollgruppen beschreiben können, die dem Konto zugeordnet sind, das die Anfrage gestellt hat. Dies ist erforderlich, damit die Principals bei der Konfiguration der Dateizugriffsüberwachung für ein Dateisystem FSx für Windows-Dateiserver eine bestehende CloudWatch Logs-Protokollgruppe auswählen können. | 8. Juni 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Principals die Amazon Data Firehose-Lieferströme beschreiben können, die mit dem Konto verknüpft sind, das die Anfrage gestellt hat. Dies ist erforderlich, damit Principals bei der Konfiguration der Dateizugriffsüberwachung für ein Dateisystem FSx für Windows File Server einen vorhandenen Firehose-Lieferstream auswählen können. | 8. Juni 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Principals die Amazon CloudWatch Logs-Protokollgruppen beschreiben können, die dem Konto zugeordnet sind, das die Anfrage gestellt hat. Dies ist erforderlich, damit die Hauptbenutzer die bestehende Konfiguration für die Dateizugriffsprüfung für ein Dateisystem FSx für Windows-Dateiserver einsehen können. | 8. Juni 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Aktualisierung einer bestehenden Richtlinie | Amazon FSx hat neue Berechtigungen hinzugefügt, damit Principals die Amazon Data Firehose-Lieferströme beschreiben können, die mit dem Konto verknüpft sind, das die Anfrage gestellt hat. Dies ist erforderlich, damit die Hauptbenutzer die bestehende Konfiguration für die Dateizugriffsprüfung für ein Dateisystem FSx für Windows-Dateiserver einsehen können. | 8. Juni 2021 |
| Amazon FSx hat begonnen, Änderungen zu verfolgen | Amazon FSx hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 8. Juni 2021 |
# Fehlerbehebung bei Identität und Zugriff auf Amazon FSx for Lustre
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon FSx und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon durchzuführen FSx](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine FSx Amazon-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon durchzuführen FSx
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `fsx:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `fsx:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon weitergeben können FSx.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon FSx auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine FSx Amazon-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon diese Funktionen FSx unterstützt, finden Sie unter[So funktioniert Amazon FSx for Lustre mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im [IAM-Benutzerhandbuch unter Bereitstellen von Zugriff für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von Tags mit Amazon FSx
Sie können Tags verwenden, um den Zugriff auf FSx Amazon-Ressourcen zu kontrollieren und die attributebasierte Zugriffskontrolle (ABAC) zu implementieren. Um während der Erstellung Tags auf FSx Amazon-Ressourcen anzuwenden, müssen Benutzer über bestimmte AWS Identity and Access Management (IAM-) Berechtigungen verfügen.
## Erteilen der Berechtigung zum Markieren von Ressourcen während der Erstellung
Bei einigen ressourcenschaffenden Amazon FSx for Lustre-API-Aktionen können Sie Tags angeben, wenn Sie die Ressource erstellen. Sie können diese Ressourcen-Tags verwenden, um die attributebasierte Zugriffskontrolle (ABAC) zu implementieren. Weitere Informationen finden Sie unter [Wozu](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dient ABAC? AWS im *IAM-Benutzerhandbuch*.
Damit Benutzer Ressourcen bei der Erstellung taggen können, müssen sie über die Berechtigung verfügen, die Aktion zu verwenden, mit der die Ressource erstellt wurde, z. B. `fsx:CreateFileSystem` Wenn bei der Aktion zur Erstellung von Ressourcen Tags angegeben werden, führt IAM eine zusätzliche Autorisierung für die `fsx:TagResource` Aktion durch, um zu überprüfen, ob Benutzer berechtigt sind, Tags zu erstellen. Daher benötigen die Benutzer außerdem die expliziten Berechtigungen zum Verwenden der `fsx:TagResource`-Aktion.
Die folgende Beispielrichtlinie ermöglicht es Benutzern, Dateisysteme zu erstellen und ihnen während der Erstellung in einem bestimmten Bereich Tags zuzuweisen. AWS-Konto
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*"
]
}
]
}
```
In ähnlicher Weise ermöglicht die folgende Richtlinie Benutzern, Backups auf einem bestimmten Dateisystem zu erstellen und während der Backup-Erstellung beliebige Tags auf die Sicherung anzuwenden.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
Die `fsx:TagResource` Aktion wird nur ausgewertet, wenn während der Aktion zur Erstellung der Ressource Tags angewendet werden. Daher benötigt ein Benutzer, der berechtigt ist, eine Ressource zu erstellen (vorausgesetzt, es gibt keine Tagging-Bedingungen), keine Erlaubnis, die `fsx:TagResource` Aktion zu verwenden, wenn in der Anforderung keine Tags angegeben sind. Wenn der Benutzer allerdings versucht, eine Ressource mit Tags zu erstellen, schlägt die Anforderung fehl, wenn der Benutzer nicht über die Berechtigungen für die `fsx:TagResource`-Aktion verfügt.
Weitere Informationen zum Taggen von FSx Amazon-Ressourcen finden Sie unter[Taggen Sie Ihre Amazon FSx for Lustre-Ressourcen](tag-resources.md). Weitere Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf Amazon FSx for Lustre-Ressourcen finden Sie unter[Verwenden von Tags zur Steuerung des Zugriffs auf Ihre FSx Amazon-Ressourcen](#restrict-fsx-access-tags).
## Verwenden von Tags zur Steuerung des Zugriffs auf Ihre FSx Amazon-Ressourcen
Um den Zugriff auf FSx Amazon-Ressourcen und -Aktionen zu kontrollieren, können Sie IAM-Richtlinien verwenden, die auf Tags basieren. Sie können diese Kontrolle auf zwei Arten ausüben:
+ Sie können den Zugriff auf FSx Amazon-Ressourcen anhand der Tags auf diesen Ressourcen steuern.
+ Sie können steuern, welche Tags in einer IAM-Anforderungsbedingung übergeben werden können.
Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf AWS Ressourcen finden Sie unter [Steuern des Zugriffs mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Taggen von FSx Amazon-Ressourcen bei der Erstellung finden Sie unter[Erteilen der Berechtigung zum Markieren von Ressourcen während der Erstellung](#supported-iam-actions-tagging). Weitere Informationen über das Markieren von -Ressourcen mit Tags finden Sie unter [Taggen Sie Ihre Amazon FSx for Lustre-Ressourcen](tag-resources.md).
### Bestimmung des Zugriffs auf Ressourcen basierend auf Tags
Um zu kontrollieren, welche Aktionen ein Benutzer oder eine Rolle an einer FSx Amazon-Ressource ausführen kann, können Sie Tags für die Ressource verwenden. So können Sie beispielsweise bestimmte API-Vorgänge für eine Dateisystemressource auf der Grundlage des Schlüssel-Wert-Paares des Tags der Ressource zulassen oder verbieten.
**Example Beispielrichtlinie — Erstellen Sie ein Dateisystem, auf dem Sie ein bestimmtes Tag angeben**
Diese Richtlinie ermöglicht es dem Benutzer, ein Dateisystem nur dann zu erstellen, wenn er es mit einem bestimmten Tag-Schlüssel-Wert-Paar kennzeichnet, in diesem Beispiel`key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Beispielrichtlinie — Erstellen Sie Backups nur auf Dateisystemen mit einem bestimmten Tag**
Diese Richtlinie ermöglicht es Benutzern, Backups nur auf Dateisystemen zu erstellen, die mit dem Schlüssel-Wert-Paar gekennzeichnet sind`key=Department, value=Finance`, und das Backup wird mit dem Tag erstellt`Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Beispielrichtlinie — Erstellen Sie ein Dateisystem mit einem bestimmten Tag aus Backups mit einem bestimmten Tag**
Diese Richtlinie ermöglicht es Benutzern, Dateisysteme, die mit gekennzeichnet sind, `Department=Finance` nur aus Backups zu erstellen, die mit gekennzeichnet sind`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Beispielrichtlinie — Dateisysteme mit bestimmten Tags löschen**
Diese Richtlinie ermöglicht es einem Benutzer, nur Dateisysteme zu löschen, die mit gekennzeichnet sind`Department=Finance`. Wenn sie ein letztes Backup erstellen, muss es mit gekennzeichnet werden`Department=Finance`. FSx Für Lustre-Dateisysteme benötigen Benutzer das Recht, `fsx:CreateBackup` das endgültige Backup zu erstellen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Beispielrichtlinie — Erstellen Sie Datenrepository-Aufgaben auf Dateisystemen mit einem bestimmten Tag**
Diese Richtlinie ermöglicht es Benutzern, Datenrepository-Aufgaben zu erstellen, die mit markiert sind`Department=Finance`, und nur auf Dateisystemen, die mit gekennzeichnet sind`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:task/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Verwenden von serviceverknüpften Rollen für Amazon FSx
Amazon FSx verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon verknüpft ist. FSx Servicebezogene Rollen sind von Amazon vordefiniert FSx und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle FSx erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon FSx definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, FSx kann nur Amazon seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre FSx Amazon-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.
**Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie dort in der Spalte Service-verknüpfte Rollen nach den Services, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Servicebezogene Rollenberechtigungen für Amazon FSx
Amazon FSx verwendet zwei mit Services verknüpfte Rollen`AWSServiceRoleForFSxS3Access_fs-01234567890`, die benannt sind `AWSServiceRoleForAmazonFSx` und bestimmte Aktionen in Ihrem Konto ausführen. Beispiele für diese Aktionen sind die Erstellung elastischer Netzwerkschnittstellen für Ihre Dateisysteme in Ihrer VPC und der Zugriff auf Ihr Daten-Repository in einem Amazon S3 S3-Bucket. Denn `AWSServiceRoleForFSxS3Access_fs-01234567890` diese serviceverknüpfte Rolle wird für jedes Amazon FSx for Lustre-Dateisystem erstellt, das Sie erstellen und das mit einem S3-Bucket verknüpft ist.
### AWSServiceRoleForAmazonFSx Einzelheiten zu den Berechtigungen
Denn `AWSServiceRoleForAmazonFSx` die Rollenberechtigungsrichtlinie ermöglicht es Amazon FSx , die folgenden administrativen Aktionen im Namen des Benutzers für alle zutreffenden AWS Ressourcen durchzuführen:
Aktualisierungen dieser Richtlinie finden Sie unter [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Anmerkung**
Das AWSService RoleForAmazon FSx wird von allen FSx Amazon-Dateisystemtypen verwendet; einige der aufgelisteten Berechtigungen gelten nicht FSx für Lustre.
+ `ds`— Ermöglicht Amazon, Anwendungen FSx in Ihrem Verzeichnis einzusehen, zu autorisieren und deren Autorisierung aufzuheben. Directory Service
+ `ec2`— Erlaubt Amazon FSx , Folgendes zu tun:
+ Netzwerkschnittstellen, die mit einem FSx Amazon-Dateisystem verknüpft sind, anzeigen, erstellen und deren Zuordnung aufheben.
+ Zeigen Sie eine oder mehrere Elastic IP-Adressen an, die mit einem FSx Amazon-Dateisystem verknüpft sind.
+ Sehen Sie sich Amazon VPCs, Sicherheitsgruppen und Subnetze an, die mit einem FSx Amazon-Dateisystem verknüpft sind.
+ Weisen Sie den Netzwerkschnittstellen von Kunden, die über ein `AmazonFSx.FileSystemId` Tag verfügen, IPv6 Adressen zu.
+ Hebt die Zuweisung von IPv6 Adressen zu Netzwerkschnittstellen von Kunden auf, die über ein `AmazonFSx.FileSystemId` Tag verfügen.
+ Um eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen bereitzustellen, die mit einer VPC verwendet werden können.
+ Erstellen Sie eine Berechtigung für einen AWS-autorisierten Benutzer, bestimmte Operationen an einer Netzwerkschnittstelle auszuführen.
+ `cloudwatch`— Ermöglicht Amazon FSx , metrische Datenpunkte CloudWatch unter dem FSx Namespace AWS/zu veröffentlichen.
+ `route53`— Ermöglicht Amazon FSx , eine Amazon-VPC mit einer privaten gehosteten Zone zu verknüpfen.
+ `logs`— Ermöglicht Amazon FSx , CloudWatch Log-Streams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer Auditprotokolle für den Dateizugriff auf ein Dateisystem FSx für Windows-Dateiserver an einen CloudWatch Logs-Stream senden.
+ `firehose`— Ermöglicht Amazon FSx , Amazon Data Firehose-Lieferstreams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer die Dateizugriffs-Audit-Logs für ein Dateisystem FSx für Windows File Server in einem Amazon Data Firehose-Lieferstream veröffentlichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Alle Aktualisierungen dieser Richtlinie werden unter beschrieben[FSx Aktualisierungen der AWS verwalteten Richtlinien durch Amazon](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im IAM-Benutzerhandbuch.
### AWSServiceRoleForFSxEinzelheiten zu den S3Access-Berechtigungen
Denn die Rollenberechtigungsrichtlinie ermöglicht es Amazon `AWSServiceRoleForFSxS3Access_file-system-id` FSx , die folgenden Aktionen in einem Amazon S3-Bucket durchzuführen, der das Daten-Repository für ein Amazon FSx for Lustre-Dateisystem hostet.
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon erstellen FSx
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein Dateisystem in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, FSx erstellt Amazon die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein Dateisystem erstellen, FSx erstellt Amazon die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Amazon FSx
Amazon FSx erlaubt Ihnen nicht, diese serviceverknüpften Rollen zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon FSx
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre Dateisysteme und Backups löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
**Anmerkung**
Wenn der FSx Amazon-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die AWSServiceRoleForAmazonFSx-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für Rollen im FSx Zusammenhang mit Amazon Services
Amazon FSx unterstützt die Verwendung von Rollen im Zusammenhang mit Services in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Zugriffskontrolle für Dateisysteme mit Amazon VPC
Auf ein FSx Amazon-Dateisystem kann über eine elastic network interface zugegriffen werden, die sich in der Virtual Private Cloud (VPC) befindet, die auf dem Amazon VPC-Service basiert, den Sie mit Ihrem Dateisystem verknüpfen. Sie greifen auf Ihr FSx Amazon-Dateisystem über seinen DNS-Namen zu, der der Netzwerkschnittstelle des Dateisystems zugeordnet ist. Nur Ressourcen innerhalb der zugehörigen VPC oder einer Peer-VPC können auf die Netzwerkschnittstelle Ihres Dateisystems zugreifen. Weitere Informationen finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) im *Amazon VPC-Benutzerhandbuch*.
**Warnung**
Sie dürfen die Amazon FSx elastic network interface nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verbindungsverlust zwischen Ihrer VPC und Ihrem Dateisystem führen.
## Amazon VPC-Sicherheitsgruppen
Um den Netzwerkverkehr, der über die Netzwerkschnittstelle Ihres Dateisystems innerhalb Ihrer VPC fließt, weiter zu kontrollieren, verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Dateisysteme zu beschränken. Eine *Sicherheitsgruppe* fungiert als virtuelle Firewall, um den Datenverkehr für die zugehörigen Ressourcen zu kontrollieren. In diesem Fall ist die zugehörige Ressource die Netzwerkschnittstelle Ihres Dateisystems. Sie verwenden auch VPC-Sicherheitsgruppen, um den Netzwerkverkehr für Ihre Lustre Kunden.
### EFA-fähige Sicherheitsgruppen
Wenn Sie eine EFA-fähige Sicherheitsgruppe FSx für Lustre erstellen möchten, sollten Sie zunächst eine EFA-fähige Sicherheitsgruppe erstellen und diese als Sicherheitsgruppe für das Dateisystem angeben. Eine EFA erfordert eine Sicherheitsgruppe, die den gesamten ein- und ausgehenden Datenverkehr zu und von der Sicherheitsgruppe selbst und der Sicherheitsgruppe der Clients zulässt, wenn sich die Clients in einer anderen Sicherheitsgruppe befinden. Weitere Informationen finden Sie unter [Schritt 1: Eine EFA-fähige Sicherheitsgruppe vorbereiten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security) im * EC2 Amazon-Benutzerhandbuch*.
### Steuern des Zugriffs mithilfe von Regeln für eingehenden und ausgehenden Datenverkehr
Um eine Sicherheitsgruppe zu verwenden, um den Zugriff auf Ihr FSx Amazon-Dateisystem zu kontrollieren und Lustre Clients fügen Sie die eingehenden Regeln zur Steuerung des eingehenden Datenverkehrs und die Regeln für ausgehenden Datenverkehr zur Steuerung des ausgehenden Datenverkehrs aus Ihrem Dateisystem hinzu und Lustre Kunden. Stellen Sie sicher, dass Ihre Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügt, um die FSx Dateifreigabe Ihres Amazon-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.
Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules) im * EC2 Amazon-Benutzerhandbuch*.
**Um eine Sicherheitsgruppe für Ihr FSx Amazon-Dateisystem zu erstellen**
1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2.](https://console.aws.amazon.com/ec2)
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie **Create Security Group** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.
1. Wählen Sie für **VPC** die Ihrem FSx Amazon-Dateisystem zugeordnete VPC aus, um die Sicherheitsgruppe innerhalb dieser VPC zu erstellen.
1. Wählen Sie **Create (Erstellen)** aus, um die Sicherheitsgruppe zu erstellen.
Als Nächstes fügen Sie der Sicherheitsgruppe, die Sie gerade zur Aktivierung erstellt haben, Regeln für eingehenden Datenverkehr hinzu Lustre Datenverkehr zwischen Ihren FSx for Lustre-Dateiservern.
**Um Ihrer Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzuzufügen**
1. Wählen Sie die Sicherheitsgruppe aus, die Sie gerade erstellt haben, falls sie noch nicht ausgewählt ist. Wählen Sie unter **Actions (Aktionen)** die Option **Edit inbound rules (Eingangsregeln bearbeiten)** aus.
1. Fügen Sie die folgenden Regeln für eingehenden Datenverkehr hinzu.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Wählen Sie **Speichern**, um die neuen Regeln für eingehenden Datenverkehr zu speichern und anzuwenden.
Standardmäßig lassen Sicherheitsgruppenregeln den gesamten ausgehenden Datenverkehr zu (All, 0.0.0.0/0). Wenn Ihre Sicherheitsgruppe nicht den gesamten ausgehenden Datenverkehr zulässt, fügen Sie Ihrer Sicherheitsgruppe die folgenden ausgehenden Regeln hinzu. Diese Regeln ermöglichen den Verkehr zwischen unseren FSx Lustre-Dateiservern und Lustre Clients und zwischen Lustre Dateiserver.
**Um Ihrer Sicherheitsgruppe Regeln für ausgehenden Datenverkehr hinzuzufügen**
1. Wählen Sie dieselbe Sicherheitsgruppe aus, zu der Sie gerade die Regeln für eingehenden Datenverkehr hinzugefügt haben. Wählen Sie für **Aktionen** die Option Regeln für **ausgehenden Datenverkehr bearbeiten aus**.
1. Fügen Sie die folgenden Regeln für ausgehenden Datenverkehr hinzu.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Wählen Sie **Speichern**, um die neuen Regeln für ausgehenden Datenverkehr zu speichern und anzuwenden.
**So verknüpfen Sie eine Sicherheitsgruppe mit Ihrem FSx Amazon-Dateisystem**
1. Öffnen Sie die FSx Amazon-Konsole unter [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Wählen Sie im Konsolen-Dashboard Ihr Dateisystem aus, um dessen Details einzusehen.
1. Klicken Sie auf der Registerkarte **Netzwerk und Sicherheit** unter **Netzwerkschnittstelle (n)** auf den Link zur ** EC2 Amazon-Konsole**, um alle Netzwerkschnittstellen für Ihr Dateisystem anzuzeigen.
1. Wählen Sie für jede Netzwerkschnittstelle **Aktionen** und anschließend **Sicherheitsgruppen ändern** aus.
1. Wählen Sie im Dialogfeld **Sicherheitsgruppen ändern** die Sicherheitsgruppen aus, die Sie der Netzwerkschnittstelle zuordnen möchten.
1. Wählen Sie **Save (Speichern)** aus.
## Lustre Regeln für Client-VPC-Sicherheitsgruppen
Sie verwenden VPC-Sicherheitsgruppen, um den Zugriff auf Ihre Lustre Clients, indem Sie Regeln für eingehenden Datenverkehr hinzufügen, um den eingehenden Verkehr zu kontrollieren, und Regeln für ausgehenden Datenverkehr, um den ausgehenden Verkehr von Ihrem Lustre Kunden. Stellen Sie sicher, dass Ihre Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügt, um Folgendes sicherzustellen Lustre Der Verkehr kann zwischen Ihren fließen Lustre Kunden und Ihre FSx Amazon-Dateisysteme.
Fügen Sie den Sicherheitsgruppen, die auf Ihre Anwendung angewendet werden, die folgenden Regeln für eingehenden Datenverkehr hinzu Lustre Kunden.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Beschreibung |
| --- | --- | --- | --- | --- |
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die auf Ihre angewendet werden Lustre clients | Erlaubt Lustre Verkehr zwischen Lustre clients |
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Erlaubt Lustre Verkehr zwischen FSx Dateiservern für Lustre und Lustre clients |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die auf Ihre Lustre clients | Erlaubt Lustre Verkehr zwischen Lustre clients |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Erlaubt Lustre Verkehr zwischen FSx Dateiservern für Lustre und Lustre clients |
Fügen Sie den Sicherheitsgruppen, die auf Ihre Anwendung angewendet werden, die folgenden Regeln für ausgehenden Datenverkehr hinzu Lustre Kunden.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Beschreibung |
| --- | --- | --- | --- | --- |
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die auf Ihre angewendet werden Lustre clients | Erlaubt Lustre Verkehr zwischen Lustre clients |
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf Lustre Verkehr zwischen FSx Dateiservern für Lustre und Lustre clients |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die auf Ihre Lustre clients | Erlaubt Lustre Verkehr zwischen Lustre clients |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppe IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Erlaubt Lustre Verkehr zwischen FSx Dateiservern für Lustre und Lustre clients |
# Amazon VPC-Netzwerk ACLs
Eine weitere Möglichkeit, den Zugriff auf das Dateisystem in Ihrer VPC zu sichern, besteht darin, Netzwerkzugriffskontrolllisten (Netzwerk ACLs) einzurichten. Netzwerke ACLs sind von Sicherheitsgruppen getrennt, verfügen jedoch über ähnliche Funktionen, um den Ressourcen in Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen. Weitere Informationen zur Implementierung der Zugriffskontrolle über das Netzwerk ACLs finden Sie unter [Steuern des Datenverkehrs zu Subnetzen mithilfe des Netzwerks ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) im *Amazon VPC-Benutzerhandbuch*.
# Konformitätsvalidierung für Amazon FSx for Lustre
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm unter Umfang nach Compliance-Programm AWS-Services](https://aws.amazon.com/compliance/services-in-scope/) das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Amazon FSx for Lustre und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink
Sie können die Sicherheitslage Ihrer VPC verbessern, indem Sie Amazon so konfigurieren, FSx dass es einen VPC-Endpunkt mit Schnittstelle verwendet. Interface-VPC-Endpunkte basieren auf einer Technologie [AWS PrivateLink](https://aws.amazon.com/privatelink), die es Ihnen ermöglicht, privat auf Amazon zuzugreifen, FSx APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Amazon FSx APIs zu kommunizieren. Der Verkehr zwischen Ihrer VPC und Amazon FSx verlässt das AWS Netzwerk nicht.
Jeder Schnittstellen-VPC-Endpunkt wird durch eine oder mehrere elastische Netzwerkschnittstellen in Ihren Subnetzen repräsentiert. Eine Netzwerkschnittstelle stellt eine private IP-Adresse bereit, die als Einstiegspunkt für den Datenverkehr zur FSx Amazon-API dient.
## Überlegungen zu VPC-Endpunkten mit FSx Amazon-Schnittstelle
Bevor Sie einen Schnittstellen-VPC-Endpunkt für Amazon einrichten FSx, sollten Sie die [Eigenschaften und Einschränkungen von Interface VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch* lesen.
Sie können alle FSx Amazon-API-Operationen von Ihrer VPC aus aufrufen. Sie können beispielsweise ein FSx for Lustre-Dateisystem erstellen, indem Sie die CreateFileSystem API von Ihrer VPC aus aufrufen. Die vollständige Liste von Amazon FSx APIs finden Sie unter [Aktionen](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) in der Amazon FSx API-Referenz.
### Überlegungen zum VPC-Peering
Sie können mithilfe von VPCs VPC-Peering andere VPC-Endpunkte mit der VPC über die Schnittstelle verbinden. VPC-Peering ist eine Netzwerkverbindung zwischen zwei. VPCs Sie können eine VPC-Peering-Verbindung zwischen Ihren eigenen beiden VPCs oder mit einer VPC in einer anderen herstellen. AWS-Konto VPCs Sie können auch zwei verschiedene sein. AWS-Regionen
Der Verkehr zwischen Peers VPCs verbleibt im AWS Netzwerk und durchquert nicht das öffentliche Internet. Sobald VPCs das Peering abgeschlossen ist, VPCs können Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2) -Instances in beiden über VPC-Schnittstellen-Endpunkte, die in einem der beiden erstellt wurden, auf die FSx Amazon-API zugreifen. VPCs
## Erstellen eines VPC-Schnittstellen-Endpunkts für Amazon API FSx
Sie können einen VPC-Endpunkt für die FSx Amazon-API entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellen-VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) im *Amazon VPC-Benutzerhandbuch*.
Eine vollständige Liste der FSx Amazon-Endpunkte finden Sie unter [ FSx Amazon-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/fsxn.html) in der. *Allgemeine Amazon Web Services-Referenz*
Verwenden Sie eine der folgenden Methoden FSx, um einen VPC-Schnittstellen-Endpunkt für Amazon zu erstellen:
+ `com.amazonaws.region.fsx`— Erzeugt einen Endpunkt für FSx Amazon-API-Operationen.
+ **`com.amazonaws.region.fsx-fips`**— Erstellt einen Endpunkt für die FSx Amazon-API, der dem [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/) entspricht.
Um die private DNS-Option zu verwenden, müssen Sie die `enableDnsSupport` Attribute `enableDnsHostnames` und für Ihre VPC festlegen. Weitere Informationen finden Sie unter [DNS-Unterstützung für Ihre VPC anzeigen und aktualisieren](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) im *Amazon VPC-Benutzerhandbuch*.
Mit Ausnahme AWS-Regionen von China können Sie, wenn Sie privates DNS für den Endpunkt aktivieren, API-Anfragen an Amazon FSx mit dem VPC-Endpunkt stellen AWS-Region, indem Sie beispielsweise `fsx.us-east-1.amazonaws.com` seinen Standard-DNS-Namen für verwenden. Für China (Peking) und China (Ningxia) AWS-Regionen können Sie API-Anfragen mit dem VPC-Endpunkt jeweils mit `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` und `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn` stellen.
Weitere Informationen finden Sie unter [Zugreifen auf einen Service über einen Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) im *Amazon VPC-Benutzerhandbuch*.
## Erstellen einer VPC-Endpunktrichtlinie für Amazon FSx
Um den Zugriff auf die FSx Amazon-API weiter zu kontrollieren, können Sie optional eine AWS Identity and Access Management (IAM-) Richtlinie an Ihren VPC-Endpunkt anhängen. Die Richtlinie legt Folgendes fest:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.