Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Benutzerrolle in AMS
Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun darf und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen.
Derzeit gibt es eine AMS-Standardbenutzerrolle für AMS-Standardkonten und eine zusätzliche Rolle `customer_managed_ad_user_role` für AMS-Konten mit Managed Active Directory. `Customer_ReadOnly_Role`
Die Rollenrichtlinien legen Berechtigungen für CloudWatch Amazon S3 S3-Protokollaktionen, AMS-Konsolenzugriff, Leseeinschränkungen für die meisten AWS-Services, eingeschränkten Zugriff auf die S3-Konsole des Kontos und AMS-Change-Typ-Zugriff fest.
Darüber hinaus `Customer_ReadOnly_Role` verfügt der über mutative Reserved-Instance-Berechtigungen, mit denen Sie Instances reservieren können. Es hat einige Kosteneinsparungsmöglichkeiten. Wenn Sie also wissen, dass Sie über einen längeren Zeitraum eine bestimmte Anzahl von EC2 Amazon-Instances benötigen, können Sie diese APIs aufrufen. Weitere Informationen finden Sie unter [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**Anmerkung**
Das AMS Service Level Objective (SLO) für die Erstellung benutzerdefinierter IAM-Richtlinien für IAM-Benutzer beträgt vier Arbeitstage, es sei denn, eine bestehende Richtlinie wird wiederverwendet. Wenn Sie die bestehende IAM-Benutzerrolle ändern oder eine neue hinzufügen möchten, reichen Sie jeweils einen [IAM: Update Entity oder [IAM:](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) RFC ein.
Wenn Sie mit Amazon IAM-Rollen nicht vertraut sind, finden Sie wichtige Informationen unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Multi-Account-Landingzone (MALZ)**: Die standardmäßigen, nicht angepassten Richtlinien für Benutzerrollen für mehrere Konten von AMS finden Sie unter Weiter. [MALZ: Standard-IAM-Benutzerrollen](#json-default-role-malz)
## MALZ: Standard-IAM-Benutzerrollen
JSON-Richtlinienerklärungen für die standardmäßigen AMS-Landingzone-Benutzerrollen mit mehreren Konten.
**Anmerkung**
Die Benutzerrollen sind anpassbar und können je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.
Dies sind Beispiele für die standardmäßigen MALZ-Benutzerrollen. Um sicherzustellen, dass Sie die benötigten Richtlinien festgelegt haben, führen Sie den AWS-Befehl aus [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)oder melden Sie sich bei der AWS-Management -> [IAM-Konsole](https://console.aws.amazon.com/iam/) an und wählen Sie im Navigationsbereich **Rollen** aus.
### Rollen der wichtigsten OU-Konten
Ein Kernkonto ist ein von Malz verwaltetes Infrastrukturkonto. AMS-Landingzone mit mehreren Konten Zu den Kernkonten gehören ein Verwaltungskonto und ein Netzwerkkonto.
**Core-OU-Konto: Allgemeine Rollen und Richtlinien**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
**OU-Hauptkonto: Rollen und Richtlinien für Verwaltungskonten**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
**OU-Hauptkonto: Rollen und Richtlinien für Netzwerkkonten**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
### Rollen von Anwendungskonten
Anwendungskontorollen werden auf Ihre anwendungsspezifischen Konten angewendet.
**Anwendungskonto: Rollen und Richtlinien**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
### Beispiele für Richtlinien
Für die meisten verwendeten Richtlinien werden Beispiele bereitgestellt. Um die ReadOnlyAccess Richtlinie einzusehen (die Seiten lang ist, da sie nur Lesezugriff auf alle AWS Services bietet), können Sie diesen Link verwenden, wenn Sie ein aktives AWS-Konto haben:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Außerdem ist hier eine komprimierte Version enthalten.
#### AMSBillingRichtlinie
`AMSBillingPolicy`
Die neue Rolle „Abrechnung“ kann von Ihrer Buchhaltungsabteilung verwendet werden, um Rechnungsinformationen oder Kontoeinstellungen im Verwaltungskonto einzusehen und zu ändern. Sie verwenden diese Rolle, um auf Informationen wie alternative Kontakte zuzugreifen, die Nutzung der Kontoressourcen einzusehen, Ihre Abrechnung im Auge zu behalten oder sogar Ihre Zahlungsmethoden zu ändern. Diese neue Rolle umfasst alle Berechtigungen, die auf der [Webseite AWS Billing IAM-Aktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount) aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Berechtigungen zum Einsehen aller AMS-Änderungstypen und des Verlaufs der angeforderten Änderungstypen.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Berechtigungen zum Anfordern des Änderungstyps Deployment \$1 Verwaltete landing zone \$1 Verwaltungskonto \$1 Anwendungskonto erstellen (mit VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Berechtigungen zum Anfordern der Bereitstellung \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Änderungstyp der Anwendungsroutentabelle erstellen.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(für die Verwaltung \$1 Andere \$1 Andere CTs)
Berechtigungen zum Anfordern der Verwaltung \$1 Andere \$1 Andere \$1 Erstellung und Verwaltung \$1 Andere \$1 Andere \$1 Änderungstypen aktualisieren.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Berechtigungen zum Einsehen von passwords/hashes Geheimnissen, die von AMS geteilt wurden AWS Secrets Manager (z. B. Passwörter für die Infrastruktur zu Prüfungszwecken).
Berechtigungen zum Erstellen von password/hashes Geheimnissen zur Weitergabe an AMS. (zum Beispiel Lizenzschlüssel für Produkte, die bereitgestellt werden müssen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Berechtigungen zum Anfordern und Anzeigen aller AMS-Änderungstypen sowie des Verlaufs der angeforderten Änderungstypen.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Berechtigungen zur Verwaltung von Amazon EC2 Reserved Instances; Preisinformationen finden Sie unter [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Richtlinie
`AMSS3Policy`
Berechtigungen zum Erstellen und Löschen von Dateien aus vorhandenen Amazon S3 S3-Buckets.
**Anmerkung**
Diese Berechtigungen gewähren nicht die Möglichkeit, S3-Buckets zu erstellen. Dies muss mit dem Änderungstyp Deployment \$1 Erweiterte Stack-Komponenten \$1 S3-Speicher \$1 Create erfolgen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportZugriff
`AWSSupportAccess`
Voller Zugriff auf Support. Weitere Informationen finden Sie unter [Erste Schritte mit Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Informationen zum Premium-Support finden Sie unter [Support](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Öffentlich AWS verwaltete Richtlinie)
Berechtigungen zum Abonnieren, Abbestellen und Ansehen von AWS Marketplace Abonnements.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Voller Zugriff auf AWS Certificate Manager. Weitere Informationen finden Sie unter [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)Informationen, (Öffentliche AWS-verwaltete Richtlinie).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullZugriff
`AWSWAFFullAccess`
Voller Zugriff auf AWS WAF. Weitere Informationen finden Sie unter [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)Informationen, (Öffentlich AWS verwaltete Richtlinie). Diese Richtlinie gewährt vollen Zugriff auf AWS WAF Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Schreibgeschützter Zugriff auf alle AWS Dienste und Ressourcen auf der AWS Konsole. Wenn ein neuer Dienst AWS gestartet wird, aktualisiert AMS die ReadOnlyAccess Richtlinie, um Nur-Lese-Berechtigungen für den neuen Dienst hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.
Dies gewährt nicht die Möglichkeit, sich bei EC2 Hosts oder Datenbank-Hosts anzumelden.
Wenn Sie eine aktive Richtlinie haben AWS-Konto, können Sie diesen Link verwenden [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary), um die gesamte ReadOnlyAccess Richtlinie einzusehen. Die gesamte ReadOnlyAccess Richtlinie ist sehr lang, da sie nur Lesezugriff für alle bietet. AWS-Services Das Folgende ist ein teilweiser Auszug der Richtlinie. ReadOnlyAccess
**Single-Account-Landingzone (SALZ)**: Die standardmäßigen, unangepassten Benutzerrollenrichtlinien für Single-Account-Landingzonen von AMS finden Sie unter [SALZ: Standard-IAM-Benutzerrolle](#json-default-role) Weiter.
## SALZ: Standard-IAM-Benutzerrolle
JSON-Richtlinienerklärungen für die standardmäßige AMS-Landingzone-Benutzerrolle mit einem Konto.
**Anmerkung**
Die SALZ-Standardbenutzerrolle ist anpassbar und kann je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.
Im Folgenden finden Sie ein Beispiel für die standardmäßige SALZ-Benutzerrolle. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)Befehl aus, um sicherzustellen, dass Sie die Richtlinien für Sie festgelegt haben. Oder melden Sie sich bei der AWS Identity and Access Management Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)und wählen Sie dann **Rollen** aus.
Die Rolle „Nur Lesen“ für den Kunden ist eine Kombination aus mehreren Richtlinien. Es folgt eine Aufschlüsselung der Rolle (JSON).
Audit-Richtlinie für Managed Services:
ReadOnly IAM-Richtlinie für Managed Services
Benutzerrichtlinie für Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Gemeinsame Richtlinie für Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Abonnementrichtlinie für Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------