Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS - AMS-Benutzerhandbuch für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS

AMS-Berechtigungsgrenzprüfungen helfen Ihnen dabei, die von AMS bereitgestellten Standardrichtlinien für Berechtigungsgrenzen einzuhalten. Diese Richtlinie ist eine Liste von Aktionen, die von AMS Automated IAM Provisioning verweigert wurden. Bereitstellungsrichtlinien, die diese eingeschränkten Aktionen enthalten, erfordern eine zusätzliche ausdrückliche Risikoakzeptanz. Laden Sie die Richtlinie hier herunter: boundary-policy.zip.

Verwenden Sie vom Kunden definierte Richtlinienprüfungen für Zugriffsgrenzen, um Ablehnungsaktionen anzupassen, die über die Standardwerte der AMS-Richtlinie für Zugriffsgrenzen hinausgehen. Wenn Sie AMS Automated IAM Provisioning mit dem folgenden Änderungstyp nutzen: Verwaltung | Verwaltetes Konto | AMS Automated IAM Provisioning mit Lese- und Schreibberechtigungen | Aktivieren (Überprüfung erforderlich) (ct-1706xvvk6j9hf), können Sie eine Liste mit benutzerdefinierten Ablehnungsaktionen hinzufügen, die zusätzliche eingeschränkte Aktionen angeben.

Sie können die Liste der Ablehnungsaktionen mithilfe des folgenden Änderungstyps aktualisieren: Verwaltung | Verwaltetes Konto | Automatisierte IAM-Bereitstellung mit Lese- und Schreibberechtigungen | Benutzerdefinierte Ablehnungsliste aktualisieren (ct-2r9xvd3sdsic0). Sie müssen die dedizierte IAM-Rolle verwenden, um diesen Änderungstyp auszuführen. AWSManagedServicesIAMProvisionAdminRole

Anmerkung

  • Sie müssen für jedes Update eine umfassende Liste der Ablehnungsaktionen bereitstellen. Die vorherige Liste wird durch die neue Liste ersetzt.

  • Die Liste der Ablehnungsaktionen darf nur Aktionen enthalten, die verweigert werden sollen. Aktionen zum Zulassen werden nicht unterstützt.

  • Die Liste der Ablehnungsaktionen befindet sich innerhalb des Kontos als IAM-verwaltete Richtlinie mit dem Namen. AWSManagedServicesIAMProvisionCustomerBoundaryPolicy Die Richtlinie darf keiner Rolle zugewiesen werden.

  • Der Begriff „Berechtigungsgrenze“, der für verweigerte Aktionen in AMS Automated IAM Provisioning verwendet wird, hat eine andere kontextuelle Bedeutung als die IAM-Berechtigungsgrenze. Die IAM-Berechtigungsgrenze legt die maximale Berechtigung fest, die eine Richtlinie einer IAM-Entität zur Laufzeit gewähren kann. Weitere Informationen zur IAM-Berechtigungsgrenze finden Sie unter Richtlinientypen im AWS Identity and Access Management Benutzerhandbuch. Die Berechtigungsgrenze in AMS Automated IAM Provisioning verhindert, dass Sie eine IAM-Richtlinie bereitstellen, die einen bestimmten Satz von Berechtigungen enthält, z. B. eine Liste verweigerter Aktionen.