Nach reiflicher Überlegung haben wir uns entschieden, Amazon Kinesis Data Analytics für SQL-Anwendungen einzustellen:
1. Ab dem **1. September 2025** werden wir keine Bugfixes für Amazon Kinesis Data Analytics for SQL-Anwendungen bereitstellen, da wir aufgrund der bevorstehenden Einstellung nur eingeschränkten Support dafür haben werden.
2. Ab dem **15. Oktober 2025** können Sie keine neuen Kinesis Data Analytics for SQL-Anwendungen mehr erstellen.
3. Wir werden Ihre Anwendungen ab dem **27. Januar 2026** löschen. Sie können Ihre Amazon Kinesis Data Analytics for SQL-Anwendungen nicht starten oder betreiben. Ab diesem Zeitpunkt ist kein Support mehr für Amazon Kinesis Data Analytics for SQL verfügbar. Weitere Informationen finden Sie unter [Einstellung von Amazon Kinesis Data Analytics für SQL-Anwendungen](discontinuation.md).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Kinesis Data Analytics
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die auf die Anforderungen der sicherheitssensibelsten Unternehmen zugeschnitten sind.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Informationen zu den Compliance-Programmen, die für Kinesis Data Analytics gelten, finden Sie unter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Kinesis Data Analytics anwenden können. In den folgenden Themen erfahren Sie, wie Sie Kinesis Data Analytics konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere Amazon-Services nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer Kinesis Data Analytics Analytics-Ressourcen helfen können.
**Topics**
+ [Datenschutz in Amazon-Kinesis-Data-Analytics for SQL-Anwendungen](data-protection.md)
+ [Identitäts- und Zugriffsverwaltung in Kinesis Data Analytics](iam-role.md)
+ [Authentifizierung und Zugriffskontrolle für](authentication-and-access-control.md)
+ [Überwachung von Amazon Kinesis Data Analytics](security-monitoring.md)
+ [Konformitätsprüfung für Amazon-Kinesis-Data-Analytics for SQL-Anwendungen](akda-java-compliance.md)
+ [Resilienz in Amazon-Kinesis-Data-Analytics](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Kinesis-Data-Analytics-for-SQL-Anwendungen](infrastructure-security.md)
+ [Bewährte Methoden für die Sicherheit für Kinesis Data Analytics](security-best-practices.md)
# Datenschutz in Amazon-Kinesis-Data-Analytics for SQL-Anwendungen
Sie können Ihre Daten mithilfe von Tools schützen, die von AWS bereitgestellt werden. Kinesis Data Analytics kann mit Diensten zusammenarbeiten, die die Verschlüsselung von Daten unterstützen, darunter Kinesis Data Streams, Firehose und Amazon S3.
## Datenverschlüsselung in Kinesis Data Analytics
### Verschlüsselung im Ruhezustand
Beachten Sie die folgenden Informationen zur Verschlüsselung von Daten im Ruhezustand mit Kinesis Data Analytics:
+ Sie können Daten im eingehenden Kinesis-Datenstrom mit verschlüsseln. [StartStreamEncryption](https://docs.aws.amazon.com/kinesis/latest/APIReference/API_StartStreamEncryption.html) Weitere Informationen finden Sie unter [Was bedeutet eine serverseitige Verschlüsselung in Kinesis-Daten-Streams?](https://docs.aws.amazon.com/streams/latest/dev/what-is-sse.html).
+ Ausgabedaten können im Ruhezustand mit Firehose verschlüsselt werden, um Daten in einem verschlüsselten Amazon S3 S3-Bucket zu speichern. Sie können den Schlüssel angeben, der von Ihrem Amazon-S3-Bucket zur Verschlüsselung verwendet wird. Weitere Informationen hierzu finden Sie unter [Daten schützen durch serverseitige Verschlüsselung mit von KMS verwalteten Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html).
+ Der Code Ihrer Anwendung wird im Ruhezustand verschlüsselt.
+ Die Referenzdaten Ihrer Anwendung werden im Ruhezustand verschlüsselt.
### Verschlüsselung während der Übertragung
Kinesis Data Analytics verschlüsselt alle Daten während der Übertragung. Die Verschlüsselung während der Übertragung ist für alle Kinesis Data Analytics-Anwendungen aktiviert und kann nicht deaktiviert werden.
Kinesis Data Analytics verschlüsselt Daten während der Übertragung bei den folgenden Szenarien:
+ Daten während der Übertragung von Kinesis Data Streams an Kinesis Data Analytics.
+ Daten während der Übertragung zwischen internen Komponenten innerhalb von Kinesis Data Analytics.
+ Daten, die zwischen Kinesis Data Analytics und Firehose übertragen werden.
### Schlüsselverwaltung
Bei der Datenverschlüsselung in Kinesis Data Analytics werden vom Service verwaltete Schlüssel verwendet. Vom Kunden verwaltete Schlüssel werden nicht unterstützt.
# Identitäts- und Zugriffsverwaltung in Kinesis Data Analytics
Amazon-Kinesis-Data-Analytics benötigt zum Lesen von Datensätzen aus einer Streaming-Quelle die Berechtigungen, die Sie in der Konfiguration Ihrer Anwendungseingabe angeben. Darüber hinaus benötigt Amazon-Kinesis-Data-Analytics auch Berechtigungen, um Ihre Anwendungsausgabe in Streams zu schreiben, die Sie in der Konfiguration Ihrer Anwendungsausgabe angeben.
Sie können diese Berechtigungen durch Erstellen einer IAM-Rolle erteilen, die Amazon-Kinesis-Data-Analytics übernehmen kann. Die Berechtigungen, die Sie dieser Rolle erteilen, legen fest, welche Maßnahmen Amazon-Kinesis-Data-Analytics durchführen kann, wenn der Service die Rolle übernimmt.
**Anmerkung**
Die Informationen in diesem Abschnitt sind hilfreich, wenn Sie selbst eine IAM-Rolle erstellen möchten. Wenn Sie in der Amazon-Kinesis-Data-Analytics-Konsole eine Anwendung erstellen, kann die Konsole zu diesem Zeitpunkt eine IAM-Rolle für Sie erstellen. Die Konsole verwendet die folgenden Namenskonvention für IAM-Rollen, die von ihr erstellt werden:
```
kinesis-analytics-ApplicationName
```
Nachdem die Rolle erstellt wurde, können Sie die Rolle und die angefügten Richtlinien in der IAM-Konsole überprüfen.
Jeder IAM-Rolle sind zwei Richtlinien angefügt. In der Vertrauensrichtlinie geben Sie an, wer die Rolle annehmen kann. In der Berechtigungsrichtlinie (es kann mehrere geben) geben Sie die Berechtigungen an, die Sie der betreffenden Rolle erteilen möchten. In den folgenden Abschnitten werden diese Richtlinien beschrieben. Sie können diese bei der Erstellung von IAM-Rollen verwenden.
## Vertrauensrichtlinie
Um Amazon-Kinesis-Data-Analytics Berechtigungen für die Annahme einer Rolle für den Zugriff auf eine Streaming- oder Referenzquelle zu gewähren, können Sie die folgende Vertrauensrichtlinie an eine IAM-Rolle anfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kinesisanalytics.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Berechtigungsrichtlinie
Wenn Sie eine IAM-Rolle erstellen, um Amazon-Kinesis-Data-Analytics das Lesen aus der Streaming-Quelle einer Anwendung zu ermöglichen, müssen Sie relevanten Leseaktionen Berechtigungen gewähren. Abhängig von Ihrer Quelle (z. B. einem Kinesis-Stream, einem Firehose-Lieferstream oder einer Referenzquelle in einem Amazon S3 S3-Bucket) können Sie die folgende Berechtigungsrichtlinie anhängen.
### Berechtigungsrichtlinie für das Lesen eines Kinesis-Streams
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadInputKinesis",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:GetShardIterator",
"kinesis:GetRecords",
"kinesis:ListShards"
],
"Resource": [
"arn:aws:kinesis:us-east-1:123456789012:stream/inputStreamName"
]
}
]
}
```
------
### Berechtigungsrichtlinie für das Lesen eines Firehose-Lieferstreams
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadInputFirehose",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:Get*"
],
"Resource": [
"arn:aws:firehose:us-east-1:123456789012:deliverystream/inputFirehoseName"
]
}
]
}
```
------
**Anmerkung**
Die `firehose:Get*`-Berechtigung bezieht sich auf eine interne Zugriffsmethode, die Kinesis Data Analytics für den Zugriff auf den Stream verwendet. Es gibt keinen öffentlichen Zugang für einen Firehose-Lieferstream.
Wenn Sie Amazon-Kinesis-Data-Analytics in der Ausgabekonfiguration Ihrer Anwendung anweisen, Ausgaben zu externen Zielen zu schreiben, müssen Sie der IAM-Rolle die folgende Berechtigung gewähren.
### Berechtigungsrichtlinie für das Schreiben an einen Kinesis-Stream
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WriteOutputKinesis",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": [
"arn:aws:kinesis:us-east-1:123456789012:stream/output-stream-name"
]
}
]
}
```
------
### Berechtigungsrichtlinie für das Schreiben zu einem Firehose-Bereitstellungs-Stream
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WriteOutputFirehose",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": [
"arn:aws:firehose:us-east-1:123456789012:deliverystream/output-firehose-name"
]
}
]
}
```
------
### Berechtigungsrichtlinie für das Lesen einer Referenzdatenquelle aus einem Amazon-S3-Bucket
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "*"
}
]
}
```
------
# Serviceübergreifende Confused-Deputy-Prävention
In kann es zu einem dienstübergreifenden Identitätswechsel kommen AWS, wenn ein Dienst (der anrufende Dienst) einen anderen Dienst (den aufgerufenen Dienst) aufruft. Der aufrufende Service kann so manipuliert werden, dass er auf die Ressourcen eines anderen Kunden reagiert, obwohl er nicht über die entsprechenden Berechtigungen verfügen sollte, was zu einem Verwirrter-Stellvertreter-Problem führt.
Um zu verhindern, dass Abgeordnete verwirrt werden, AWS bietet dieses Tool Tools, mit denen Sie Ihre Daten für alle Dienste schützen können. Dabei werden Dienstprinzipale verwendet, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde. Dieser Abschnitt konzentriert sich speziell bezüglich Kinesis Data Analytics auf die dienstübergreifende Vermeidung verwirrter Stellvertreter. Weitere Informationen zu diesem Thema finden Sie im *IAM-Benutzerhandbuch* im Abschnitt [Das Verwirrte-Stellvertreter-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Im Kontext von Kinesis Data Analytics for SQL empfehlen wir, die SourceAccount globalen Bedingungsschlüssel [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in Ihrer Rollenvertrauensrichtlinie zu verwenden, um den Zugriff auf die Rolle nur auf die Anfragen zu beschränken, die von den erwarteten Ressourcen generiert werden.
Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der Wert von `aws:SourceArn` muss der ARN der von Kinesis Data Analytics verwendeten Ressource sein, für den das folgende Format festgelegt ist: `arn:aws:kinesisanalytics:region:account:resource`.
Der effektivste Weg, um sich vor dem Verwirrten-Stellvertreter-Problem zu schützen, ist die Verwendung des globalen Bedingungskontextschlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource.
Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen `aws:SourceArn`-Schlüssel mit Platzhalterzeichen (\$1) für die unbekannten Teile des ARN. Beispiel: `arn:aws:kinesisanalytics::111122223333:*`.
Die meisten Aktionen in der Kinesis Data Analytics for SQL API [CreateApplication](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_CreateApplication.html), z. B. [AddApplicationInput](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_AddApplicationInput.html)und [DeleteApplication](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_DeleteApplication.html)werden im Kontext bestimmter Anwendungen ausgeführt, die [DiscoverInputSchema](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_DiscoverInputSchema.html)Aktion wird jedoch nicht im Kontext einer Anwendung ausgeführt. Das bedeutet, dass es der in dieser Aktion verwendeten Rolle nicht erlaubt ist, eine Ressource im `SourceArn`-Bedingungsschlüssel vollständig zu spezifizieren. Es folgt ein Beispiel, das einen Platzhalter-ARN verwendet:
```
{
...
"ArnLike":{
"aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:*"
}
...
}
```
Die von Kinesis Data Analytics for SQL generierte Standardrolle verwendet diesen Platzhalter. Dadurch wird sichergestellt, dass die Erkennung des Eingabeschemas in der Konsolenumgebung reibungslos funktioniert. Wir empfehlen jedoch, die Vertrauensrichtlinie so zu bearbeiten, dass ein vollständiger ARN verwendet wird, nachdem das Schema erkannt wurde, um die vollständige Abwehr von verwirrten Stellvertretern zu implementieren.
Richtlinien für Rollen, die Sie Kinesis Data Analytics zur Verfügung stellen, sowie Vertrauensrichtlinien für Rollen, die für Sie generiert wurden, können die SourceAccount Bedingungsschlüssel [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) verwenden.
Um sich vor dem Confused-Deputy-Problem zu schützen, führen Sie die folgenden Schritte durch:
**Schutz vor dem Verwirrter-Stellvertreter-Problem**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie **Rollen** und dann die Rolle aus, die Sie ändern möchten.
1. Wählen Sie **Vertrauensrichtlinie bearbeiten** aus.
1. Ersetzen Sie auf der Seite **Vertrauensrichtlinie bearbeiten** die Standard-JSON-Richtlinie durch eine Richtlinie, die einen oder beide der globalen Bedingungskontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` verwendet. Im Folgenden ist eine Beispielrichtlinie aufgeführt:
1. Wählen Sie **Richtlinie aktualisieren**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kinesisanalytics.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"Account ID"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app"
}
}
}
]
}
```
------
# Authentifizierung und Zugriffskontrolle für
Für den Zugriff auf sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen wie eine Anwendung oder eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance verfügen. In den folgenden Abschnitten wird beschrieben, wie Sie mithilfe von [AWS Identity and Access Management (IAM) und ](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dauerhaft Zugriff auf Ihre Ressourcen erhalten können.
## Zugriffskontrolle
Auch wenn Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anfragen verfügen, können Sie die -Ressourcen nur mit entsprechenden Berechtigungen erstellen oder darauf zugreifen. So benötigen Sie beispielsweise Berechtigungen zum Erstellen einer -Anwendung.
In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für beschrieben. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.
+ [Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre -Ressourcen](access-control-overview.md)
+ [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Organizations](using-identity-based-policies.md)
+ [API-Berechtigungen: Aktionen, Berechtigungen und Ressourcenreferenz](api-permissions-reference.md)
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre -Ressourcen
**Warnung**
Für neue Projekte empfehlen wir, den neuen Managed Service für Apache Flink Studio anstelle von SQL-Anwendungen zu verwenden. Der Managed Service für Apache Flink Studio kombiniert Benutzerfreundlichkeit mit fortschrittlichen Analysefunktionen, sodass Sie in wenigen Minuten anspruchsvolle Anwendungen zur Stream-Verarbeitung erstellen können.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Ressourcen und Operationen](#access-control-resources)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-resource-ownership)
+ [Verwalten des Zugriffs auf Ressourcen](#manage-access-overview)
+ [Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale](#specify-policy-elements)
+ [Angeben von Bedingungen in einer Richtlinie](#specifying-conditions-overview)
## Ressourcen und Operationen
Die primäre Ressource ist *eine Anwendung*. In einer Richtlinie identifizieren Sie die Ressource, für welche die Richtlinie gilt, mithilfe eines Amazon-Ressourcennamens (ARN).
Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.
****
| Ressourcentyp | ARN-Format |
| --- | --- |
| Anwendung | `arn:aws:kinesisanalytics:region:account-id:application/application-name` |
bietet eine Reihe von Operationen für die Arbeit mit Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter [Aktionen](API_Operations.md).
## Grundlegendes zum Eigentum an Ressourcen
Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der [Prinzipalentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (d. h. das Root-Konto, ein Benutzer oder eine IAM-Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie Ihre Root-Kontoanmeldedaten verwenden, AWS-Konto um eine Anwendung zu erstellen, AWS-Konto sind Sie der Eigentümer der Ressource. (In stellt die Ressource eine Anwendung dar.)
+ Wenn Sie in Ihrem einen Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen einer Anwendung erteilen, kann der Benutzer eine Anwendung erstellen. Ihre AWS-Konto, zu der der Benutzer gehört, besitzt jedoch die Anwendungsressource. Es wird dringend empfohlen, Rollen und nicht Benutzern Berechtigungen zu erteilen.
+ Wenn Sie in Ihrem System eine IAM-Rolle AWS-Konto mit den Berechtigungen zum Erstellen einer Anwendung erstellen, kann jeder, der die Rolle übernehmen kann, eine Anwendung erstellen. Ihre AWS-Konto, zu der der Benutzer gehört, besitzt die Anwendungsressource.
## Verwalten des Zugriffs auf Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
Dieser Abschnitt behandelt die Verwendung von IAM um Zusammenhang mit . Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angefügte Berechtigungsrichtlinien werden als *ressourcenbasierte* Richtlinien bezeichnet. Unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
**Topics**
+ [Identitätsbasierte Richtlinien (IAM-Richtlinien)](#manage-access-iam-policies)
+ [Ressourcenbasierte Richtlinien](#manage-access-resource-policies)
### Identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
+ **Eine Berechtigungsrichtlinie einem Benutzer oder einer Gruppe in Ihrem Konto anfügen** – Um einem Benutzer die Berechtigung zum Erstellen einer -Ressource wie z. B. einer Anwendung zu erteilen, können Sie einem Benutzer oder einer Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie anfügen.
+ **Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen AWS-Konto (z. B. Konto B) oder einem Amazon-Service kontoübergreifende Berechtigungen zu gewähren:
1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.
1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
1. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen in Konto A oder diese erstellen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein Amazon-Service-Prinzipal sein. Somit können Sie auch einem Amazon-Service die Berechtigungen zur Übernahme der Rolle erteilen.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Es folgt ein Beispiel für eine Richtlinie, die der `kinesisanalytics:CreateApplication `-Aktion die Berechtigung erteilt, die zum Erstellen einer Anwendung benötigt wird.
**Anmerkung**
Die Richtlinie in diesem Beispiel dient nur der Veranschaulichung. Wenn Sie die Richtlinie an den Benutzer anhängen, kann der Benutzer mithilfe des AWS SDK AWS CLI oder eine Anwendung erstellen. Aber der Benutzer benötigt weitere Berechtigungen, um Ein- und Ausgabe zu konfigurieren. Außerdem benötigt der Benutzer weitere Berechtigungen zum Arbeiten mit der Konsole. Weitere Informationen finden Sie in anderen Abschnitten weiter unten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
Weitere Informationen zur Verwendung von identitätsbasierten Richtlinien mit kontenübergreifendem Zugang finden Sie unter [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Organizations](using-identity-based-policies.md). Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3-Bucket eine ressourcenbasierte Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. bietet keine Unterstützung für ressourcenbasierte Richtlinien.
## Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Für jede -Ressource definiert der Service eine Reihe von API-Operationen. Zur Erteilung von Berechtigungen für diese API-Operationen definiert -Aktionen, die Sie in einer Richtlinie angeben können. Einige API-Operationen erfordern möglicherweise Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter [Ressourcen und Operationen](#access-control-resources) und [Aktionen](API_Operations.md).
Grundlegende Richtlinienelemente:
+ **Ressource** – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für die die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter [Ressourcen und Operationen](#access-control-resources).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Sie können beispielsweise `create` verwenden, um Benutzern zu erlauben, eine Anwendung zu erstellen.
+ **Effekt** – Die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer die jeweilige Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). bietet keine Unterstützung für ressourcenbasierte Richtlinien.
Weitere Informationen zur Syntax sowie Beschreibungen von IAM-Richtlinien finden Sie in der [-IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabelle mit einer von allen API-Operationen und den Ressourcen, für welche diese gelten, finden Sie unter [API-Berechtigungen: Aktionen, Berechtigungen und Ressourcenreferenz](api-permissions-reference.md).
## Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM Benutzerhandbuch*.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch Bedingungsschlüssel für AWS alle Bereiche, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
# Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Organizations
Die folgenden Beispiele zu identitätsbasierten Richtlinien verdeutlichen, wie ein Kontoadministrator IAM-Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien anfügen und somit Berechtigungen zum Durchführen von Operationen mit Ressourcen erteilen kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre -Ressourcen erläutert werden. Weitere Informationen finden Sie unter [Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre -Ressourcen](access-control-overview.md).
**Topics**
+ [Erforderliche Berechtigungen für die Verwendung der Konsole](#console-permissions)
+ [Von Amazon verwaltete (vordefinierte) Richtlinien für Auftragsfunktionen](#access-policy-aws-managed-policies)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#access-policy-customer-managed-examples)
Dies ist ein Beispiel für eine Berechtigungsrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
Die Richtlinie enthält eine Anweisung:
+ Die erste Anweisung erteilt Berechtigungen für eine Aktion (`kinesisanalytics:CreateApplication`) für eine Ressource unter Verwendung des Amazon-Ressourcennamens (ARN) der Anwendung. Der ARN gibt in diesem Fall einen Platzhalter (\$1) an. Dies bedeutet, dass die Berechtigung für jede beliebige Ressource erteilt wird.
Eine Tabelle mit allen API-Operationen und den Ressourcen, für die diese gelten, finden Sie unter [API-Berechtigungen: Aktionen, Berechtigungen und Ressourcenreferenz](api-permissions-reference.md).
## Erforderliche Berechtigungen für die Verwendung der Konsole
Sie müssen einem Benutzer die erforderlichen Berechtigungen erteilen, damit dieser mit der Konsole arbeiten kann. Wenn ein Benutzer beispielsweise die Berechtigung zum Erstellen einer Anwendung haben soll, müssen Sie die entsprechenden Berechtigungen erteilen, damit dem Benutzer die Streaming-Quellen im Konto angezeigt werden und der Benutzer in der Konsole die Ein- und Ausgabe konfigurieren kann.
Wir empfehlen Folgendes:
+ Verwenden Sie zum Erteilen von Benutzerberechtigungen die von Amazon verwalteten Richtlinien. Eine Aufstellung der verfügbaren Richtlinien finden Sie unter [Von Amazon verwaltete (vordefinierte) Richtlinien für Auftragsfunktionen](#access-policy-aws-managed-policies).
+ Erstellen Sie benutzerdefinierte Richtlinien. In diesem Fall empfehlen wir, sich das Beispiel in diesem Abschnitt anzuschauen. Weitere Informationen finden Sie unter [Beispiele für vom Kunden verwaltete Richtlinien](#access-policy-customer-managed-examples).
## Von Amazon verwaltete (vordefinierte) Richtlinien für Auftragsfunktionen
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Diese von Amazon verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [Von Amazon verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Die folgenden von Amazon verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuweisen können, sind spezifisch für:
+ **`AmazonKinesisAnalyticsReadOnly`**— Erteilt Berechtigungen für Aktionen, die es einem Benutzer ermöglichen, Anwendungen aufzulisten und die input/output Konfiguration zu überprüfen. Es gewährt auch Berechtigungen, die es einem Benutzer ermöglichen, eine Liste von Kinesis-Streams und Firehose-Lieferstreams anzuzeigen. Während die Anwendung ausgeführt wird, kann der Benutzer in der Konsole Quelldaten und Ergebnisse von Echtzeitanalysen anzeigen.
+ **`AmazonKinesisAnalyticsFullAccess`** – Erteilt Berechtigungen für alle Aktionen sowie alle anderen Berechtigungen, mit denen ein Benutzer Anwendungen erstellen und verwalten kann. Beachten Sie jedoch Folgendes:
+ Diese Berechtigungen sind nicht ausreichend, wenn der Benutzer in der Konsole eine neue IAM-Rolle erstellen möchte (mit diesen Berechtigungen kann der Benutzer eine bestehende Rolle auswählen). Wenn Sie möchten, dass der Benutzer in der Konsole eine IAM-Rolle erstellen kann, fügen Sie die von Amazon verwaltete Richtlinie `IAMFullAccess` hinzu.
+ Ein Benutzer muss über die Berechtigung für die `iam:PassRole`-Aktion verfügen, um bei der Konfiguration einer Anwendung eine IAM-Rolle festzulegen. Diese von Amazon verwaltete Richtlinie erteilt dem Benutzer die Berechtigung für die `iam:PassRole`-Aktion nur für die IAM-Rollen, die mit dem Präfix `service-role/kinesis-analytics` beginnen.
Wenn der Benutzer die Anwendung mit einer Rolle konfigurieren möchte, die nicht mit diesem Präfix ausgestattet ist, müssen Sie dem Benutzer zunächst die Benutzerberechtigung zum Ausführen der `iam:PassRole`-Aktion für diese spezifische Rolle gewähren.
Sie können auch Ihre eigenen, benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für -Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
## Beispiele für vom Kunden verwaltete Richtlinien
In den Beispielen in diesem Abschnitt finden Sie eine Gruppe von Beispielrichtlinien, die Sie Benutzern zuweisen können. Wenn Sie mit dem Erstellen von Richtlinien noch nicht vertraut sind, sollten Sie zunächst einen Benutzer in Ihrem Konto erstellen. Fügen Sie dem Benutzer dann die Richtlinien nacheinander an. Orientieren Sie sich hierbei an den in diesem Abschnitt beschriebenen Schritten. Während Sie dem Benutzer die Richtlinien zuweisen, können Sie dann die Konsole verwenden, um die Auswirkungen der einzelnen Richtlinien zu überprüfen.
Zunächst verfügt der Benutzer über keine Berechtigungen und kann in der Konsole keine Aktionen ausführen. Während Sie dem Benutzer Richtlinien anfügen, können Sie überprüfen, ob der Benutzer die verschiedenen Aktionen in der Konsole ausführen kann.
Wir empfehlen die Verwendung von zwei Browserfenstern. In einem Fenster erstellen Sie den Benutzer und erteilen Berechtigungen. Melden Sie sich im anderen Fall AWS-Managementkonsole mit den Anmeldeinformationen des Benutzers an und überprüfen Sie die Berechtigungen, wenn Sie ihnen gewähren.
Beispiele zur Erstellung einer IAM-Rolle, die Sie als Ausführungsrolle für Ihre Anwendung verwenden können, finden Sie unter [Erstellen von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Schritt 1: Erstellen eines IAM-Benutzers](#console-permissions-createuser)
+ [Schritt 2: Gewähren Sie dem Benutzer Berechtigungen für Aktionen, die nicht spezifisch für ihn sind](#console-permissions-grant-non-ka-permissions)
+ [Schritt 3: Gewähren der Berechtigung zum Anzeigen einer Liste der Anwendungen und der zugehörigen Details](#console-permissions-grant-list-applications)
+ [Schritt 4: Erteilen einer Berechtigung zum Starten einer bestimmten Anwendung](#console-permissions-start-app)
+ [Schritt 5: Erteilen der Berechtigung zum Erstellen einer -Anwendung](#console-permissions-grant-create-applications)
+ [Schritt 6: Berechtigen der Anwendung zur Verwendung der Lambda-Vorverarbeitung](#console-permissions-grant-lambda)
### Schritt 1: Erstellen eines IAM-Benutzers
Erstellen Sie zunächst einen Benutzer und fügen Sie den Benutzer einer IAM-Gruppe mit Administrator-Berechtigungen hinzu. Anschließend gewähren Sie dem von Ihnen erstellten IAM-Benutzer Administrator-Berechtigungen. Sie können dann AWS mit einer speziellen URL und den Anmeldeinformationen dieses Benutzers darauf zugreifen.
Weitere Anweisungen finden Sie unter [Creating Your First IAM User and Administrators Group](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) (Erstellen Ihrer ersten IAM-Benutzer- und Administratorengruppe) im *IAM User Guide* (IAM-Benutzerhandbuch).
### Schritt 2: Gewähren Sie dem Benutzer Berechtigungen für Aktionen, die nicht spezifisch für ihn sind
Gewähren Sie zunächst einem Benutzer die Berechtigung für alle Aktionen, die nicht spezifisch für ihn sind, die der Benutzer jedoch bei der Arbeit mit Anwendungen benötigt. Dazu gehören Berechtigungen für die Arbeit mit Streams (Amazon Kinesis Data Streams Streams-Aktionen, Amazon Data Firehose-Aktionen) und Berechtigungen für CloudWatch Aktionen. Weisen Sie die dem Benutzer die folgenden Richtlinien zu.
Sie müssen die Richtlinie aktualisieren, indem Sie eine IAM-Rolle angeben, für die Sie die `iam:PassRole`-Berechtigung gewähren möchten, oder mit einem Platzhalterzeichen (\$1) angeben, dass die Berechtigung allen IAM-Rollen erteilt werden soll. Dies ist keine sichere Methode, Sie haben jedoch möglicherweise während des Testings keine spezifische IAM-Rolle zur Verfügung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesis:CreateStream",
"kinesis:DeleteStream",
"kinesis:DescribeStream",
"kinesis:ListStreams",
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:ListDeliveryStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:GetLogEvents",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListPolicyVersions",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/service-role/role-name"
}
]
}
```
------
### Schritt 3: Gewähren der Berechtigung zum Anzeigen einer Liste der Anwendungen und der zugehörigen Details
Mit der folgenden Richtlinie werden einen Benutzer die folgenden Berechtigungen erteilt:
+ Die Berechtigung für die `kinesisanalytics:ListApplications`-Aktion, mit der der Benutzer eine Liste von Anwendungen anzeigen kann. Hierbei handelt es sich um einen API-Aufruf auf der Service-Ebene, sodass Sie als `Resource`-Wert „\$1“ angeben müssen.
+ Die Berechtigung für die `kinesisanalytics:DescribeApplication`-Aktion, mit der Informationen zu beliebigen Anwendungen abgerufen werden können.
Fügen Sie dem Benutzer diese Richtlinie hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:ListApplications"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:DescribeApplication"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/*"
}
]
}
```
------
Überprüfen Sie diese Berechtigungen, indem Sie sich unter Verwendung von Anmeldeinformationen des IAM-Benutzers an der Konsole anmelden.
### Schritt 4: Erteilen einer Berechtigung zum Starten einer bestimmten Anwendung
Wenn der Benutzer eine der vorhandenen -Anwendungen starten soll, fügen Sie dem Benutzer die folgende Richtlinie an. Die Richtlinie stellt die Berechtigung zum Ausführen der `kinesisanalytics:StartApplication`-Aktion bereit. Sie müssen die Richtlinie aktualisieren, indem Sie Ihre Konto-ID, AWS Region und Anwendungsnamen angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:StartApplication"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/application-name"
}
]
}
```
------
### Schritt 5: Erteilen der Berechtigung zum Erstellen einer -Anwendung
Wenn der Benutzer eine -Anwendung erstellen soll, können Sie ihm die folgende Richtlinie anfügen. Sie müssen die Richtlinie aktualisieren und eine AWS Region, Ihre Konto-ID und entweder einen bestimmten Anwendungsnamen, den der Benutzer erstellen soll, oder ein „\$1“ angeben, damit der Benutzer einen beliebigen Anwendungsnamen angeben kann (und somit mehrere Anwendungen erstellen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:StartApplication",
"kinesisanalytics:UpdateApplication",
"kinesisanalytics:AddApplicationInput",
"kinesisanalytics:AddApplicationOutput"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/application-name"
}
]
}
```
------
### Schritt 6: Berechtigen der Anwendung zur Verwendung der Lambda-Vorverarbeitung
Wenn die Anwendung die Lambda-Vorverarbeitung verwenden können soll, fügen Sie der Rolle die folgende Richtlinie an.
```
{
"Sid": "UseLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": ""
}
```
# API-Berechtigungen: Aktionen, Berechtigungen und Ressourcenreferenz
Wenn Sie die [Zugriffskontrolle](authentication-and-access-control.md#access-control) einrichten und eine Berechtigungsrichtlinie für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen, können Sie die folgende Tabelle als Referenz verwenden. In der Tabelle sind die . Die Aktionen geben Sie im Feld `Action` und den Wert für die Ressource im Feld `Resource` der Richtlinie an.
Sie können in Ihren Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Um eine Aktion anzugeben, verwenden Sie das Präfix `kinesisanalytics` gefolgt vom Namen der API-Operation (z. B. `kinesisanalytics:AddApplicationInput`).
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**API und erforderliche Berechtigungen für Aktionen**
| API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen |
| --- | --- | --- |
| [AddApplicationInput](API_AddApplicationInput.md) | kinesisanalytics:AddApplicationInput | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [AddApplicationOutput](API_AddApplicationOutput.md) | kinesisanalytics:AddApplicationOutput | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [AddApplicationReferenceDataSource](API_AddApplicationReferenceDataSource.md) | kinesisanalytics:AddApplicationReferenceDataSource | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [CreateApplication](API_CreateApplication.md) | kinesisanalytics:CreateApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DeleteApplication](API_DeleteApplication.md) | kinesisanalytics:DeleteApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DeleteApplicationOutput](API_DeleteApplicationOutput.md) | kinesisanalytics:DeleteApplicationOutput | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DeleteApplicationReferenceDataSource](API_DeleteApplicationReferenceDataSource.md) | kinesisanalytics:DeleteApplicationReferenceDataSource | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DescribeApplication](API_DescribeApplication.md) | kinesisanalytics:DescribeApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DiscoverInputSchema](API_DiscoverInputSchema.md) | kinesisanalytics:DiscoverInputSchema | \$1 |
| [ListApplications](API_ListApplications.md) | kinesisanalytics:ListApplications | \$1 |
| [StartApplication](API_StartApplication.md) | kinesisanalytics:StartApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [StopApplication](API_StopApplication.md) | kinesisanalytics:StopApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [UpdateApplication](API_UpdateApplication.md) | kinesisanalytics:UpdateApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| Zugriff auf oder Sampling von Daten in der Konsole | kinesisanalytics:GetApplicationState | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
## GetApplicationState
Die Konsole verwendet eine als `GetApplicationState` bezeichnete interne Methode zum Erfassen einer Stichprobe von oder zum Zugriff auf Anwendungsdaten. Ihre Serviceanwendung benötigt Berechtigungen für die interne `kinesisanalytics:GetApplicationState`-API, um über die AWS-Managementkonsole eine Stichprobe der Anwendungsdaten erfassen oder auf sie zugreifen zu können.
# Überwachung von Amazon Kinesis Data Analytics
Kinesis Data Analytics bietet Überwachungsfunktionen für Ihre Anwendungen. Weitere Informationen finden Sie unter [Überwachung von für SQL-Anwendungen](monitoring-overview.md).
# Konformitätsprüfung für Amazon-Kinesis-Data-Analytics for SQL-Anwendungen
Externe Prüfer bewerten die Sicherheit und Konformität von Amazon Kinesis Data Analytics im Rahmen mehrerer AWS Compliance-Programme. Zu diesen Programmen gehören SOC, PCI, HIPAA und andere.
Eine Liste der AWS Services, die in den Geltungsbereich bestimmter Compliance-Programme fallen, finden Sie unter [Amazon Services in Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/). Allgemeine Informationen finden Sie unter [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/).
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Compliance-Verantwortung bei Verwendung von Kinesis Data Analytics hängt von der Vertraulichkeit der Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Wenn Ihre Nutzung von Kinesis Data Analytics Gegenstand der Einhaltung von Richtlinien wie HIPAA oder PCI ist, stellt AWS Ressourcen zur Unterstützung bereit:
+ [Schnellstartanleitungen zu Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Implementierung von Umgebungen beschrieben, auf denen auf Sicherheit und Compliance ausgerichtete Basisumgebungen eingerichtet werden. AWS
+ Whitepaper „[Architecting for HIPAA Security and Compliance“ — In diesem Whitepaper](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen entwickeln können. AWS
+ [AWS Ressourcen zur Einhaltung](https://aws.amazon.com/compliance/resources/) von Vorschriften — Diese Sammlung von Arbeitsmappen und Leitfäden könnte für Ihre Branche und Ihren Standort gelten.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Mit diesem AWS Service wird bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus und hilft Ihnen AWS , die Einhaltung der Sicherheitsstandards und bewährten Verfahren der Sicherheitsbranche zu überprüfen.
# Resilienz in Amazon-Kinesis-Data-Analytics
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet Kinesis Data Analytics mehrere Funktionen, die Sie bei der Unterstützung Ihrer Datenausfallsicherheit und Ihrer Backup-Anforderungen unterstützen.
## Notfallwiederherstellung
Kinesis Data Analytics wird in einem Serverless-Modus ausgeführt und bietet dank der automatischen Migration Unterstützung bei Host-Leistungsverschlechterungen, Availability-Zone-Verfügbarkeit und anderen infrastrukturbezogenen Problemen. Wenn dies auftritt, stellt Kinesis Data Analytics sicher, dass die Anwendung ohne Datenverlust verarbeitet wird. Weitere Informationen finden Sie unter [Bereitstellungsmodell für die Weiterleitung der Anwendungsausgabe an ein externes Ziel](failover-checkpoint.md).
# Infrastruktursicherheit in Kinesis-Data-Analytics-for-SQL-Anwendungen
Als verwalteter Service ist Amazon Kinesis Data Analytics durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben werden.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Kinesis Data Analytics zuzugreifen. Clients müssen Transport Layer Security (TLS) 1.2 oder höher unterstützen. Clients müssen außerdem Verschlüsselungssammlungen mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
# Bewährte Methoden für die Sicherheit für Kinesis Data Analytics
Amazon-Kinesis-Data-Analytics enthält eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
## Verwenden Sie IAM-Rollen zum Zugriff auf andere Amazon-Services
Ihre Kinesis Data Analytics Analytics-Anwendung muss über gültige Anmeldeinformationen verfügen, um auf Ressourcen in anderen Services wie Kinesis-Datenströmen, Firehose-Lieferströmen oder Amazon S3 S3-Buckets zugreifen zu können. Sie sollten AWS Anmeldeinformationen nicht direkt in der Anwendung oder in einem Amazon S3 S3-Bucket speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und bedeutende geschäftliche Auswirkungen haben könnten, wenn sie kompromittiert werden.
Stattdessen sollten Sie mithilfe einer IAM-Rolle temporäre Anmeldeinformationen für Ihre Anwendung für den Zugriff auf andere Ressourcen verwalten. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen für den Zugriff auf andere Ressourcen verwenden.
Weitere Informationen finden Sie unter folgenden Themen im *IAM-Benutzerhandbuch*:
+ [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Gängige Szenarien für Rollen: Benutzer, Anwendungen und Services](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)
## Implementieren einer serverseitigen Verschlüsselung in abhängigen Ressourcen
Daten im Ruhezustand und Daten während der Übertragung werden in Kinesis Data Analytics verschlüsselt, und diese Verschlüsselung kann nicht deaktiviert werden. Sie sollten serverseitige Verschlüsselung in Ihren abhängigen Ressourcen wie Kinesis-Datenströmen, Firehose-Lieferströmen und Amazon S3 S3-Buckets implementieren. Weitere Informationen zum Implementieren der serverseitigen Verschlüsselung bei abhängigen Ressourcen finden Sie unter [Datenschutz](data-protection.md).
## Wird zur Überwachung von API-Aufrufen verwendet CloudTrail
Kinesis Data Analytics ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem Amazon-Service in Kinesis Data Analytics ausgeführt wurden.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Kinesis Data Analytics gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen finden Sie unter [Protokollieren von AWS CloudTrail-API-Aufrufen mit](logging-using-cloudtrail.md).