Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bereitstellung von IAM-Ressourcen in AMS Advanced
<a name="deploy-iam-resources"></a>

AMS stellt IAM-Ressourcen auf zwei Arten in Ihren Multi-Account-Landingzone-Anwendungs- (MALZ) -Anwendungs- und Single-Account-Landingzone-Konten (SALZ) bereit:
+ Automatisierte IAM-Bereitstellung: Mit dieser Funktion in AMS können Sie Änderungstypen für die IAM-Rollen- oder Richtlinienbereitstellung einreichen, erstellen, aktualisieren oder löschen, ohne dass der Betreiber dies überprüfen muss und IAM- und AMS-Validierungsprüfungen automatisch ausgeführt werden.

  Diese Funktion muss mit dem Änderungstyp Verwaltung \$1 Verwaltetes Konto \$1 AMS Automated IAM Provisioning with Lese- und Schreibberechtigungen \$1 Enable (Managed Automation) explizit aktiviert werden [(ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html). Weitere Informationen hierzu finden Sie unter [Automatisierte IAM-Bereitstellung AMS](auto-iam-provisioning.md). Nachdem AMS Automated IAM Provisioning aktiviert wurde, haben Sie Zugriff auf die Änderungstypen Create, Update und Delete, um Ihre IAM-Ressourcen zu verwalten.
+ IAM-Änderungstyp für verwaltete Automatisierung: Dieser Änderungstyp, Bereitstellung \$1 Erweiterte Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 [Entität oder Richtlinie erstellen (verwaltete Automatisierung) (](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)ct-3dpd8mdd9jn1r), erfordert eine Überprüfung durch den AMS-Betreiber, die manchmal einige Tage in Anspruch nehmen kann, falls weitere Informationen erforderlich sind.

**Anmerkung**  
Unabhängig davon, welche Methode verwendet wird, wird eine IAM-Rolle für das oder die entsprechenden Konten bereitgestellt. Nachdem die Rolle bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.

# Automatisierte IAM-Bereitstellung AMS
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) unterstützt die automatisierte Validierung und Bereitstellung von IAM-Ressourcen, einschließlich Rollen und Richtlinien, mithilfe von erweiterten AMS-Änderungsanforderungen (RFCs) und neuen Änderungstypen (). CTs Bisher durchliefen diese Anfragen einen halbautomatisierten Prozess, der manchmal zu langen Wartezeiten führte. Jetzt können Sie AMS Automated IAM Provisioning verwenden, um IAM-Ressourcen bereitzustellen und die Ergebnisse viel schneller zu erhalten.

# So funktioniert die automatisierte IAM-Bereitstellung in AMS
<a name="aip-how-works"></a>

Die automatisierte IAM-Bereitstellung basiert auf automatisierten Laufzeitprüfungen für IAM, um Änderungen an IAM-Ressourcen zu validieren. Diese automatisierten Prüfungen, die bei der Ausführung der Änderungstypen Create, Update oder Delete ausgeführt werden, verhindern, dass IAM-Ressourcen, die übermäßig freizügig sind oder unsichere Muster aufweisen, in Ihrem Konto bereitgestellt werden. Auf diese Weise können Sie den Grad der Genauigkeit der IAM-Überprüfungen an die Expertise Ihres Teams anpassen. Wir empfehlen Teams, die noch keine Erfahrung mit Cloud-Diensten haben und manuelle Prüfungen für alle Änderungen an IAM-Ressourcen benötigen, den vorhandenen Änderungstyp mit Überprüfungspflicht zu verwenden: Bereitstellung \$1 Erweiterte Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 [Entität oder Richtlinie erstellen (verwaltete Automatisierung), (ct-3dpd8mdd9jn1r)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html). Teams mit AWS Fachwissen und Kontrolle über ihre Umgebungen können Automated IAM Provisioning verwenden, um ihre Implementierungen zu beschleunigen. Sie können diese Funktion verwenden, um die Validierung durch automatisierte Laufzeitprüfungen durchzuführen oder um nach erfolgreicher Validierung die Validierung und Bereitstellung von IAM-Ressourcen durchzuführen.

**Wichtig**  
AWS Managed Services hat proaktiv eine Liste von [Validierungs-Laufzeitprüfungen](aip-runtime-checks.md) implementiert, die die Erstellung von IAM-Ressourcen oder -Richtlinien mit bestimmten Berechtigungen und Bedingungen verhindern. Eine Beschreibung dieser Rechte und Bedingungen finden Sie unter [Bereitstellen von IAM-Ressourcen in](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html) AMS Advanced. Mit den automatisierten Änderungstypen [ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html) [und [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) können Benutzer, die sich mit der Verwaltung von IAM-Ressourcen auskennen, IAM-Rollen und -Richtlinien bereitstellen, die Aktionen ermöglichen, die über Nur-Lese-Rechte hinausgehen.  
Darüber hinaus können Sie die Rollen verwenden, die mit den automatisierten Änderungstypen [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html), [ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) und [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) erstellt wurden, um die neuen Ressourcen zu erstellen. Die Ressourcen können jedoch nicht dem AMS-Benennungsstandard entsprechen und sind nicht Teil des Standard-AMS-Stacks. AMS bietet die Betriebs- und Sicherheitsunterstützung dieser spezifischen Ressourcen nach bestem Wissen und Gewissen.  
Sowohl manuelle als auch automatisierte Prozesse zielen darauf ab, unsere Sicherheitsstandards aufrechtzuerhalten, es ist jedoch wichtig zu beachten, dass es Unterschiede bei den Kontrollen zwischen den beiden gibt. Die automatisierte Bereitstellung ermöglicht eine größere Flexibilität bei der Erstellung und Aktualisierung von Rollen und Richtlinien. Daher sind sie nicht identisch. Es wird empfohlen, dass Ihr Unternehmen die im AMS-Benutzerhandbuch aufgeführten [Validierungslaufzeitprüfungen](aip-runtime-checks.md) sorgfältig überprüft, um sicherzustellen, dass sie den Erwartungen und Anforderungen Ihres Unternehmens entsprechen.

**Ablauf der Validierung**

![\[Ablauf der Validierung\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/Validation-Flow.png)


**Ablauf der Validierung und Bereitstellung**

![\[Ablauf der Validierung und Bereitstellung\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**Anmerkung**  
Diese Funktion eignet sich für Teams, die Erfahrung mit AWS IAM-Ressourcen haben. Wir empfehlen sie nicht für Teams, die noch nicht mit IAM-Ressourcen vertraut sind. AWS Der automatisierte Validierungsprozess ist darauf ausgelegt, die meisten Fehler zu erkennen, und ist hilfreich für Teams, die Änderungen an IAM schnell überprüfen können, wenn sie wissen, welche Berechtigungen sie benötigen. Um die neuen Änderungstypen sicher und effektiv nutzen zu können, empfehlen wir Ihnen, sich gut mit AWS IAM und den [Laufzeitprüfungen](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html) der Änderungstypen vertraut zu machen, um festzustellen, ob sie für Ihr Team geeignet sind. 

# Einführung in AMS Automated IAM Provisioning in AMS
<a name="aip-onboarding"></a>

[Um die neuen Änderungstypen zu verwenden, aktivieren Sie zunächst AMS Automated IAM Provisioning, indem Sie einen RFC mit dem folgenden Änderungstyp einreichen: Verwaltung \$1 Verwaltetes Konto \$1 AMS Automated IAM Provisioning mit Lese- und Schreibberechtigungen \$1 Aktivieren (verwaltete Automatisierung) (ct-1706xvvk6j9hf).](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) AWS erfordert, dass Ihr Unternehmen einen Prozess für das Kundensicherheitsrisikomanagement (CSRM) durchläuft, um sicherzustellen, dass die Verwendung dieser Änderungstypen Ihren Unternehmensrichtlinien entspricht. Das AWS Betriebsteam arbeitet mit Ihnen zusammen, um im Rahmen der erforderlichen Überprüfung die ausdrückliche Zustimmung Ihres Ansprechpartners für das Sicherheitsteam in Form einer Risikoakzeptanz einzuholen. Weitere Informationen finden Sie im [RFC-Prozess für das Kundenrisikomanagement (CSRM](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html)).

Nachdem der RFC zur Aktivierung der Funktion AMS Automated IAM Provisioning mit Lese- und Schreibberechtigungen erfolgreich war, aktiviert AMS die Änderungstypen für AMS Automated IAM Provisioning in dem Konto, das für die Übermittlung des Aktivierungs-RFC verwendet wurde. Um zu überprüfen, ob AMS Automated IAM Provisioning für ein Konto aktiviert ist, suchen Sie in der IAM-Konsole nach der Rolle. `AWSManagedServicesIAMProvisionAdminRole`

Im Rahmen des Onboardings stellt AMS den IAM Access Analyzer in derselben AWS-Region des Kontos bereit, um seine Access-Preview-Funktion zu nutzen. IAM Access Analyzer hilft Ihnen dabei, Ressourcen in Ihrer Organisation und Konten zu identifizieren, die mit einer externen Entität gemeinsam genutzt werden, überprüft IAM-Richtlinien anhand der Richtliniengrammatik und der bewährten Methoden und generiert IAM-Richtlinien auf der Grundlage der Zugriffsaktivitäten in Ihren Protokollen. AWS CloudTrail [Weitere Informationen finden Sie unter Verwenden. AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)

Nach dem Onboarding `AWSManagedServicesIAMProvisionAdminRole` wird es für die aktivierten Konten bereitgestellt. Wenn Sie sich dafür entscheiden, diese Rolle über den SAML-Verbund zu verwenden, müssen Sie die Rolle in Ihre Verbundlösung integrieren. 

Im Rahmen des Onboardings können Sie beantragen, dass die Vertrauensrichtlinie IAMProvision AdminRole von AWSManaged Services aktualisiert wird, um einer anderen IAM-Rolle ARN zuzuweisen, mit der diese Rolle übernommen werden kann. AWS -Security-Token-Service

# Verwenden von AMS Automated IAM Provisioning in AMS
<a name="aip-using"></a>

Sie können RFCs mit den folgenden AMS Automated IAM Provisioning Änderungstypen erstellen.

**Anmerkung**  
Es wird nur die Bereitstellung von Rollen und Richtlinien unterstützt.  
Bei der Aktualisierung der Rollen ersetzt das Update CT die bestehende Liste der Amazon-Ressourcennamen (ARNs) für verwaltete Richtlinien und das Richtliniendokument „Rolle übernehmen“ durch die bereitgestellte Liste der verwalteten Richtlinien ARNs und das Richtliniendokument „Rolle übernehmen“. Bei einer teilweisen Aktualisierung, z. B. beim Hinzufügen oder Entfernen eines ARN in der vorhandenen Liste verwalteter Richtlinien ARNs, ist das Hinzufügen oder Entfernen einzelner Richtlinienanweisungen zum Richtliniendokument „Rolle übernehmen“ nicht zulässig. In ähnlicher Weise ersetzt das Update CT bei der Aktualisierung von Richtlinien das bestehende Richtliniendokument und erlaubt es nicht, einzelne Richtlinienerklärungen in dem vorhandenen Richtliniendokument hinzuzufügen oder zu entfernen.
Wenn die Option „Nur validieren“ ausgewählt ist, werden Laufzeitprüfungen durchgeführt, ohne dass eine IAM-Entität oder -Richtlinie bereitgestellt wird. Unabhängig von den Ergebnissen lautet der RFC-Status „erfolgreich“. Der Status „Erfolg“ weist auf eine erfolgreiche Validierung anhand der angegebenen IAM-Entität oder -Richtlinie hin.
+ Bereitstellung \$1 Erweiterte Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 [Entität oder Richtlinie erstellen (Lese-Schreibberechtigungen) (ct-1n9gfnog5x7fl): Eine neue IAM-Entität oder -Richtlinie](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html) wird automatisch validiert und bereitgestellt.
+ Verwaltung \$1 Erweiterte Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 [Entität oder Richtlinie aktualisieren (Lese-Schreibberechtigungen) (ct-1e0xmuy1diafq): Eine bestehende IAM-Entität oder -Richtlinie](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) wird automatisch aktualisiert und validiert.
+ Verwaltung \$1 Erweiterte [Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie löschen (Lese-/Schreibberechtigungen) (ct-17cj84y7632o6)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html): Eine bestehende IAM-Entität oder Richtlinie, die mit dem automatischen Änderungstyp „Entität erstellen“ oder „Richtlinie erstellen“ bereitgestellt wurde, wird gelöscht.

Sie können die vorherigen drei nur mit einer speziellen IAM-Rolle aufrufen:. CTs `AWSManagedServicesIAMProvisionAdminRole` Diese Rolle ist nur für Konten verfügbar, die mithilfe der Optionen Verwaltung \$1 Verwaltetes Konto \$1 AMS Automated IAM Provisioning Lese-/Schreibberechtigungen \$1 [Aktivieren (verwaltete Automatisierung) (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf) in die Funktion integriert wurden.

**Wichtig**  
Die Änderungstypen „Erstellen“, „Aktualisieren“ und „Löschen“ sind in Ihrem Konto immer sichtbar, aber standardmäßig nicht aktiviert. Wenn Sie versuchen, einen RFC mit einem dieser Änderungstypen einzureichen, ohne zuerst die Funktion AMS Automated IAM Provisioning zu aktivieren, wird die Fehlermeldung „Nicht autorisiert“ angezeigt.

**Einschränkungen:**
+ Mit der Option CT erstellen können Sie möglicherweise eine IAM-Rolle oder -Richtlinie mit der Berechtigung zum Erstellen von Ressourcen erstellen. AWS AWS Ressourcen, die durch diese Rollen und Richtlinien erstellt wurden, werden jedoch nicht von AMS verwaltet. Es hat sich bewährt, sich an Ihre organisatorische Kontrolle zu halten, um die Erstellung solcher Rollen oder Richtlinien einzuschränken.
+ Das Update CT kann keine IAM-Rollen und -Richtlinien ändern, die mit CFN Ingest, Direct Change Mode, Developer Mode oder in einigen Fällen mit vorhandenem AMS Advanced manuell oder automatisiert erstellt wurden. CTs
+ Das Delete CT kann keine vorhandenen Rollen oder Richtlinien löschen, die nicht mit dem AMS Automated IAM Provisioning Create CT erstellt wurden.
+ Die Funktion AMS Automated IAM Provisioning mit Lese- und Schreibberechtigungen wird in Rollen im Direktänderungsmodus nicht unterstützt. Das bedeutet, dass Sie mit diesen Rollen keine IAM-Rollen und -Richtlinien mit Lese- und Schreibberechtigungen bereitstellen oder aktualisieren können.
+ AMS Automated IAM Provisioning mit Lese- und Schreibberechtigungen Die Änderungstypen Create, Update und Delete sind nicht mit dem Connector kompatibel. ServiceNow 

# Laufzeitprüfungen für AMS Automated IAM Provisioning in AMS
<a name="aip-runtime-checks"></a>

Automated IAM Provisioning nutzt Prüfungen aus AWS Identity and Access Management Access Analyzer der AMS-Grenzrichtlinie und führt zusätzliche Prüfungen und Validierungen anhand dieser Richtlinien durch. AMS definierte die zusätzlichen Prüfungen und Validierungen auf der Grundlage von Best Practices für IAM, der Erfahrung mit der Bearbeitung von Kunden-Workloads in der Cloud und der kollektiven Erfahrung mit der manuellen Bewertung von AMS IAM.

Sie können die Ergebnisse der Überprüfung der Richtlinienlaufzeit in der RFC-Ausgabe (Request for Change) einsehen. Zu den Ergebnissen gehören die Ressourcen-ID, der Speicherort innerhalb der and/or Rollenrichtlinie, die die Ergebnisse generiert hat, und eine Meldung, in der die Prüfung beschrieben wird, dass die IAM-Entität oder -Ressource nicht bestanden hat. Diese Ergebnisse helfen Ihnen bei der Erstellung von Richtlinien, die funktionsfähig sind und den bewährten Sicherheitsmethoden entsprechen.

**Anmerkung**  
Bei der automatisierten IAM-Bereitstellung wird versucht, den Standort innerhalb der Entitäts- oder Richtliniendefinition, der die Prüfung nicht besteht, genau anzugeben. Je nach Typ kann der Speicherort den Ressourcennamen oder den ARN oder den Index innerhalb eines Arrays enthalten. Zum Beispiel eine Erklärung, die Ihnen hilft, die Entität oder Richtlinie so anzupassen, dass ein erfolgreiches Ergebnis erzielt wird.

Für eine reibungslose Nutzung von AMS Automated IAM Provisioning hat es sich bewährt, die Option „Nur validieren“ zu verwenden, um die Validierungsprüfungen durchzuführen, bis keine Ergebnisse der Validierungsprüfungen in den RFC-Ausgaben gemeldet werden. Wenn die Validierungsprüfungen keine Ergebnisse ergeben, wählen Sie in der AMS-Konsole die Option **Kopie erstellen**, um schnell eine Kopie des vorhandenen RFC zu erstellen. Wenn Sie für die Bereitstellung bereit sind, ändern Sie im Abschnitt **Parameter** den Wert **Nur validieren** von **Ja** auf **Nein** und fahren Sie dann fort.

Dies sind die Laufzeitprüfungen, die AMS Automated IAM Provisioning durchführt, um sicherzustellen, dass Ihre IAM-Ressourcen sicher sind:

**Anmerkung**  
Um IAM-Richtlinien bereitzustellen, die Aktionen enthalten, die durch diese automatisierten Änderungstypen verweigert wurden, müssen Sie den RFC-Prozess für das Kundensicherheitsrisikomanagement (CSRM) befolgen. Verwenden Sie den folgenden Änderungstyp: Bereitstellung \$1 Erweiterte Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie erstellen (verwaltete Automatisierung) (ct-3dpd8mdd9jn1r).
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)
+ **Grenzrichtlinienprüfungen für AMS-Berechtigungen:** Aktionen für eine Reihe von Diensten, die standardmäßig verweigert werden. Weitere Informationen finden Sie unter [Automatische Überprüfung der Zugriffsgrenzen für die IAM-Bereitstellung](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Vom Kunden definierte Grenzrichtlinienprüfungen für Berechtigungen:** Zusätzliche eingeschränkte Aktionen für eine Reihe von Diensten, die verweigert wurden. Weitere Informationen finden Sie unter [Automatisierte Überprüfung der Zugriffsgrenzen für die IAM-Bereitstellung](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Von AMS definierte benutzerdefinierte Prüfungen: Überprüft** verschiedene unsichere und übermäßig freizügige Richtlinien oder Zugriffsmuster innerhalb einer angeforderten IAM-Entität oder Richtlinie und lehnt die Anfrage ab, falls eine gefunden wird. [Weitere Informationen finden Sie unter JSON-Richtlinienelemente: Principal.AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)


| Erkenntnis | Description | 
| --- | --- | 
| Auf die Rolle kann von einem externen Konto aus zugegriffen werden, das sich außerhalb Ihrer Vertrauenszone befindet. | Dieses Ergebnis bezieht sich auf einen Prinzipal, der in der Vertrauensrichtlinie für Rollen aufgeführt ist und sich außerhalb Ihrer Vertrauenszone befindet. Eine Vertrauenszone ist definiert als das Konto, in dem die Rolle erstellt wird, oder als die AWS Organisation, zu der das Konto gehört. Eine Entität, die nicht zu dem Konto oder derselben AWS Organisation gehört, ist eine externe Entität. Um das Problem zu lösen, überprüfen Sie die Konto-ID im Hauptkonto ARNs und stellen Sie sicher, dass das Konto Ihnen gehört und es sich um ein integriertes AMS-Konto handelt. | 
| Auf die Rolle kann eine externe Entität zugreifen, die einem Konto gehört*External\$1Account\$1ID*, das nicht dem AMS-Kundenkonto gehört. *Account\$1ID* | Dieses Ergebnis wird generiert, wenn die Rollenvertrauensrichtlinie einen Prinzipal-ARN mit einer Konto-ID, die Ihnen nicht gehört, und ein integriertes AMS-Konto enthält. Um dieses Problem zu beheben, entfernen Sie einen solchen Prinzipal aus der Rollenvertrauensrichtlinie. | 
| Die kanonische Benutzer-ID wird in der IAM-Vertrauensrichtlinie nicht unterstützt. | Canonical Principal IDs werden in der IAM-Vertrauensrichtlinie nicht unterstützt. Um dieses Problem zu beheben, entfernen Sie einen solchen Prinzipal aus der Rollenvertrauensrichtlinie. | 
| Auf die Rolle kann über eine externe Webidentität zugegriffen werden, die sich außerhalb Ihrer Vertrauenszone befindet. | Dieses Ergebnis wird generiert, wenn die Rollenvertrauensrichtlinie einen anderen externen Web-Identitätsanbieter (IdP) als SAML-IdP zulässt. Um dieses Problem zu beheben, überprüfen Sie die Rollenvertrauensrichtlinie und entfernen Sie die Anweisungen, die den Vorgang zulassen. `sts:AssumeRoleWithWebIdentity` | 
| Auf die Rolle kann über den SAML-Verbund zugegriffen werden. Der bereitgestellte SAML-Identitätsanbieter (IdP) ist jedoch nicht vorhanden. | Dieses Ergebnis wird generiert, wenn die Rollenvertrauensrichtlinie SAML-IdP enthält, das in Ihrem Konto nicht vorhanden ist. Um das Problem zu lösen, stellen Sie sicher, dass alle aufgelisteten SAML-IdP in Ihrem Konto vorhanden sind. | 
| Die Richtlinie enthält privilegierte Aktionen, die dem Administrator- oder Power-User-Zugriff entsprechen. Erwägen Sie, den Umfang der Berechtigungen auf einen bestimmten Dienst, eine bestimmte Aktion oder Ressource zu reduzieren. Wenn erweiterte Richtlinienelemente wie **NotAction**oder verwendet **NotResource**werden, stellen Sie sicher, dass sie nicht mehr Zugriff gewähren, als Sie beabsichtigen, insbesondere bei **Zulassungsanweisungen**. | Es ist eine bewährte Sicherheitspraxis, nur die Berechtigungen AWS Identity and Access Management zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind, wenn Sie Berechtigungen mit IAM-Richtlinien festlegen. Definieren Sie dazu die Aktionen, die für bestimmte Ressourcen unter bestimmten Bedingungen ausgeführt werden können, die auch als Berechtigungen mit den geringsten Rechten bezeichnet werden. Dieses Ergebnis wird generiert, wenn die Automatisierung feststellt, dass die Richtlinie weitreichende Berechtigungen gewährt und nicht dem Prinzip der geringsten Rechte entspricht. Um dieses Problem zu lösen, überprüfen und reduzieren Sie die Anzahl der Berechtigungen. | 
| Die Erklärung enthält privilegierte Aktionen für*Service\$1Name*. Erwägen Sie, diese Aktionen mit einer Deny-Anweisung auszuschließen. Eine Liste der privilegierten Aktionen finden Sie in der Referenz zur Grenzrichtlinie in der AMS-Dokumentation. | AMS hat bestimmte Maßnahmen für einen bestimmten Service als riskant eingestuft und bedürfen einer weiteren Risikoprüfung und Akzeptanz durch das Sicherheitsteam des Kunden. Dieses Ergebnis wird generiert, wenn die Automatisierung feststellt, dass die angegebene Richtlinie solche Berechtigungen gewährt. Um dieses Problem zu beheben, lehnen Sie diese Aktionen in Ihrer Richtlinie ab. Eine Liste der Aktionen finden Sie in der AMS-Grenzrichtlinie. Einzelheiten zur AMS-Grenzpolitik finden Sie unter[Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS](aip-runtime-checks-perm-boundary.md).  | 
| [https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) *Service\$1Name* Erwägen Sie, die Berechtigungen auf bestimmte Änderungstypen zu beschränken oder diese Änderungstypen mit einer Deny-Anweisung auszuschließen. | Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen zur Ausführung von RFC-bezogenen Aktionen unter Verwendung von Automated IAM Provisioning Change Types () gewährt. CTs Sie CTs unterliegen der Risikobereitschaft und dürfen nur im Rahmen integrierter Rollen verwendet werden. Sie können diesen also keine Genehmigung erteilen. CTs Um dieses Problem zu beheben, verweigern Sie RFC-Aktionen, die diese CTs verwenden. | 
| Die Anweisung enthält privilegierte Aktionen, deren Ausführung nicht auf Ihre Ressourcen beschränkt ist. *Service\$1Name* Erwägen Sie, die Aktionen auf bestimmte Ressourcen zu beschränken oder Ressourcen mit AMS-Namespace-Präfixen auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie den Geltungsbereich auf Ihre Ressourcen beschränken. | Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen gewährt, die nicht auf Ihre Ressourcen des jeweiligen Dienstes beschränkt sind. Platzhalter führen häufig zu freizügigen Richtlinien, die eine breite Palette von Ressourcen oder Aktionen in den Geltungsbereich der Genehmigung einbeziehen. Um dieses Problem zu beheben, reduzieren Sie entweder den Umfang der Berechtigungen auf Ressourcen, die Sie besitzen, oder schließen Sie Ressourcen aus, die sich im AMS-Namespace befinden. Eine Liste der AMS-Namespace-Präfixe finden Sie in der AMS-Dokumentation zur Grenzrichtlinie. Beachten Sie, dass nicht alle Präfixe für alle Dienste gelten. Einzelheiten zur AMS-Grenzrichtlinie finden Sie unter[Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS](aip-runtime-checks-perm-boundary.md). | 
| Ungültige Konto-ID oder Amazon-Ressourcenname (ARN). | Dieses Ergebnis wird generiert, wenn eine in der Richtlinie oder Rollenvertrauensrichtlinie angegebene ARN oder Konto-ID ungültig ist. Informationen zu den Ressourcen einer gültigen Ressource ARN für Dienste finden Sie in der [Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html). Vergewissern Sie sich, dass es sich bei der Konto-ID um eine 12-stellige Zahl handelt und dass das Konto in AWS aktiv ist. | 
| Die Verwendung von Platzhaltern (\$1) für die Konto-ID in ARN ist eingeschränkt.. | Dieser Befund wird generiert, wenn im Konto-ID-Feld eines ARN ein Platzhalter (\$1) angegeben wird. Ein Platzhalter in einem Konto-ID-Feld entspricht einem beliebigen Konto und gewährt möglicherweise unbeabsichtigt Zugriff auf Ressourcen. Um dieses Problem zu lösen, ersetzen Sie den Platzhalter durch eine bestimmte Konto-ID. | 
| Das angegebene Ressourcenkonto gehört nicht demselben AMS-Kundenkonto*Account\$1ID*. | Dieser Befund wird generiert, wenn eine in einem Ressourcen-ARN angegebene Konto-ID Ihnen nicht gehört und nicht von AMS verwaltet wird. Um dieses Problem zu lösen, stellen Sie sicher, dass alle Ressourcen (wie in ihrem ARN in der Richtlinie angegeben) Ihren Konten gehören, die von AMS verwaltet werden. | 
| Der Rollenname befindet sich im eingeschränkten AMS-Namespace. | Dieser Befund wird generiert, wenn Sie versuchen, eine Rolle mit einem Namen zu erstellen, der mit einem reservierten AMS-Präfix beginnt. Um dieses Problem zu lösen, verwenden Sie einen Namen für die Rolle, der für Ihren Anwendungsfall spezifisch ist. Eine Liste der reservierten AMS-Präfixe finden Sie unter [Reservierte AMS-Präfixe](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| Der Richtlinienname befindet sich im eingeschränkten AMS-Namespace. | Dieses Ergebnis wird generiert, wenn Sie versuchen, eine Richtlinie mit einem Namen zu erstellen, der mit einem reservierten AMS-Präfix beginnt. Um dieses Problem zu beheben, verwenden Sie einen Namen für die Richtlinie, der für Ihren Anwendungsfall spezifisch ist. Eine Liste der reservierten AMS-Präfixe finden Sie unter [Reservierte AMS-Präfixe](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html). | 
| Die Ressourcen-ID im ARN befindet sich im eingeschränkten AMS-Namespace. | Dieser Befund wird generiert, wenn Sie versuchen, eine Richtlinie zu erstellen, die Zugriff auf benannte Ressourcen gewährt, die sich im AMS-Namespace befinden. Um dieses Problem zu lösen, stellen Sie sicher, dass Sie die Berechtigungen auf Ihre Ressourcen beschränken oder Berechtigungen für Ressourcen verweigern, die sich im AMS-Namespace befinden. [Weitere Informationen zu AMS-Namespaces finden Sie unter Eingeschränkte AMS-Namespaces.](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html) | 
| Ungültige Groß- und Kleinschreibung der Richtlinienvariablen. Aktualisieren Sie die Variable auf*Variable\$1Names*. | Dieses Ergebnis wird generiert, wenn versucht wird, eine Richtlinie zu erstellen, die im falschen Fall eine globale IAM-Richtlinienvariable enthält. Um dieses Problem zu beheben, verwenden Sie die richtige Groß- und Kleinschreibung für globale Variablen in Ihrer Richtlinie. Eine Liste der globalen Variablen finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Weitere Informationen zu den Richtlinienvariablen finden Sie unter [IAM-Richtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre KMS-Schlüssel beschränkt sind. Erwägen Sie, diese Berechtigungen auf bestimmte Schlüssel zu beschränken oder AMS-eigene Schlüssel auszuschließen. | Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen enthält, die nicht auf bestimmte KMS-Schlüssel beschränkt sind, die Sie besitzen. Um dieses Problem zu lösen, beschränken Sie die Berechtigungen auf bestimmte Schlüssel oder schließen Sie die Schlüssel aus, die sich im Besitz von AMS befinden. Schlüssel, die im Besitz von AMS sind, haben spezifische Alias-Sets. Eine Liste der Schlüsselaliase, die im Besitz von AMS sind, finden Sie unter[Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS](aip-runtime-checks-perm-boundary.md). | 
| Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre KMS-Schlüsselaliase beschränkt sind. Erwägen Sie, diese Berechtigungen auf Ihre Schlüssel oder Aliase zu beschränken oder AMS-eigene Schlüsselaliase auszuschließen. | Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen enthält, die nicht auf bestimmte KMS-Schlüssel-Alias beschränkt sind, deren Eigentümer Sie sind. Um dieses Problem zu lösen, beschränken Sie die Berechtigungen auf bestimmte Schlüssel oder schließen Sie die Schlüssel aus, die sich im Besitz von AMS befinden. Schlüssel, die im Besitz von AMS sind, haben spezifische Alias-Sets. Eine Liste der Schlüsselaliase, die im Besitz von AMS sind, finden Sie unter[Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS](aip-runtime-checks-perm-boundary.md). | 
| Die Anweisung enthält privilegierte Aktionen, die nicht ausreichend auf Ihre KMS-Schlüssel unter Verwendung von zugeschnitten sind. `kms:ResourceAliases condition` Erwägen Sie die Verwendung bestimmter Aliasnamen zusammen mit dem entsprechenden Set-Operator für den Bedingungsschlüssel. Wenn Platzhalter in den Aliasnamen verwendet werden, stellen Sie sicher, dass sie den Gültigkeitsbereich auf einen begrenzten Satz Ihrer KMS-Schlüssel beschränken. | Dieses Ergebnis wird generiert, wenn Sie den Geltungsbereich von Berechtigungen für Ihre KMS-Schlüssel anhand von Bedingungen und nicht anhand von `kms:ResourceAliases` Aliasnamen für Ihre KMS-Schlüssel einschränken. Oder wenn der `kms:ResourceAliases` Bedingungsschlüssel einen Wert hat, der auch AMS-eigene KMS-Schlüsselaliase enthält. Um dieses Problem zu lösen, aktualisieren Sie die Bedingung so, dass die Berechtigungen nur auf Aliase Ihrer KMS-Schlüssel beschränkt werden oder Aliase für AMS-eigene KMS-Schlüssel ausgeschlossen werden. Eine Liste der Schlüsselaliase, die sich im Besitz von AMS befinden, finden Sie unter. [Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS](aip-runtime-checks-perm-boundary.md) | 
| Der Rolle muss customer\$1deny\$1policy angehängt sein. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs. | Dieser Befund wird generiert, wenn der Rolle, die Sie erstellen, kein `customer_deny_policy` Link zugewiesen wurde. Um dieses Problem zu beheben, nehmen Sie die `customer_deny_policy` in die ARNs Liste der verwalteten Richtlinien auf. | 
| Die AWS verwaltete Richtlinie ist zu freizügig oder gewährt Berechtigungen, die durch die AMS-Grenzrichtlinie eingeschränkt sind. | Dieses Ergebnis wird generiert, wenn der **ManagedPolicyArns**Wert für die Rolle eine von AMS verwaltete Richtlinie enthält, die vollen Zugriff oder Zugriff auf Administratorebene auf den entsprechenden Dienst gewährt. Um dieses Problem zu lösen, überprüfen Sie die Verwendung der AWS verwalteten Richtlinie und verwenden Sie eine Richtlinie, die Zugriffsberechtigungen nach unten vorsieht, oder definieren Sie Ihre eigene Richtlinie, die dem Prinzip der geringsten Rechte folgt. | 
| Die vom Kunden verwaltete Richtlinie befindet sich im eingeschränkten AMS-Namespace. | Dieses Ergebnis wird generiert, wenn der Rolle eine vom Kunden verwaltete Richtlinie zugewiesen wird, deren Name im AWS Namespace vorangestellt ist. Um dieses Problem zu beheben, entfernen Sie die Richtlinie aus der **ManagedPolicyArn**Liste für die Rolle. | 
| Die customer\$1deny\$1policy kann nicht von der Rolle getrennt werden. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs. | Dieses Ergebnis wird generiert, wenn der während eines Updates von der Rolle getrennt `customer_deny_policy` wird. Um dieses Problem zu beheben, fügen Sie dem `customer_deny_policy` **ManagedPolicyArns**Feld der Rolle das hinzu und versuchen Sie es erneut. | 
| Die vom Kunden verwalteten Richtlinien wurden außerhalb des AMS Change Management Services oder ohne vorherige Überprüfung bereitgestellt. | Dieses Ergebnis wird generiert, wenn einer Rolle eine oder mehrere bestehende, vom Kunden verwaltete Richtlinien zugeordnet ARNs sind und die Richtlinien nicht über den AMS Change Management-Service (über einen RFC) bereitgestellt werden. Mit dem Entwicklermodus oder dem Direktänderungsmodus können Kunden beispielsweise IAM-Richtlinien ohne RFC bereitstellen. Um dieses Problem zu lösen, entfernen Sie die vom Kunden verwaltete Richtlinie ARNs aus der **ManagedPolicyArns**Liste für die Rolle. | 
| Die Anzahl der bereitgestellten verwalteten Richtlinien ARNs übersteigt das Kontingent der beigefügten Richtlinie pro Rolle. | Dieses Ergebnis wird generiert, wenn die Gesamtzahl der verwalteten Richtlinien, die der Rolle zugeordnet sind, das Kontingent für die Richtlinie pro Rolle überschreitet. Weitere Informationen zu IAM-Kontingenten finden Sie unter [IAM- und AWS STS STS-Kontingente, Namensanforderungen und Zeichenbeschränkungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). Verwenden Sie diese Informationen, um die Anzahl der Richtlinien zu reduzieren, die Sie der Rolle zuordnen. | 
| Die Größe der Vertrauensrichtlinie (\$1trust\$1policy\$1) übersteigt die angenommene Größenquote der Rollenrichtlinie von \$1size\$1. | Dieses Ergebnis wird generiert, wenn die Größe des Dokuments mit der Richtlinie „Rolle übernehmen“ die Größenquote der Richtlinie überschreitet. Weitere Informationen zu IAM-Kontingenten finden Sie unter [IAM- und AWS STS STS-Kontingente, Namensanforderungen und Zeichenbeschränkungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). | 
| Die Erklärung enthält alle mutativen Aktionen für Amazon S3. Erwägen Sie, diese Berechtigungen nur auf die erforderlichen Aktionen auszudehnen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie nur eine begrenzte Anzahl von mutativen Aktionen umfassen. | Dieses Ergebnis wird generiert, wenn die angegebene Richtlinie allen Amazon Simple Storage Service mutative Berechtigungen unabhängig von einer oder mehreren Ressourcen gewährt. Um dieses Problem zu lösen, schließen Sie nur die erforderlichen mutativen Amazon S3 S3-Aktionen gegen Ihre Buckets ein. | 
| Die Anweisung enthält privilegierte Aktionen, die für keinen Bucket in Amazon S3 zulässig sind. Erwägen Sie, eine Erklärung hinzuzufügen, die diese Aktionen ablehnt. | Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen für einen beliebigen Bucket gewährt. Eine Liste der privilegierten Aktionen finden Sie unter [Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS](aip-runtime-checks-perm-boundary.md) So beheben Sie dieses Problem, entfernen oder verweigern Sie diese Aktionen in Ihrer Richtlinie. | 
| Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Buckets in Amazon S3 beschränkt sind. Erwägen Sie, Ihre Buckets mit AMS-Namespace-Präfixen einzubeziehen oder auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie mit Buckets in Ihren Namespaces übereinstimmen. | Dieses Ergebnis wird generiert, wenn die Richtlinie Amazon S3-Aktionen gewährt, die nicht nur auf Ihre Buckets beschränkt sind. Dies ist häufig der Fall, wenn bei der Angabe von Bucket-Ressourcen Platzhalter verwendet werden. Um dieses Problem zu lösen, geben Sie Bucket-Namen an oder geben Sie an ARNs , dass Sie Eigentümer der Buckets sind, oder schließen Sie die Buckets mit AMS-Namespace-Präfixen aus. | 
| Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Buckets in Amazon S3 beschränkt sind. Erwägen Sie, die Verwendung von Platzhaltern (\$1) zu vermeiden, die alle Buckets im Konto betreffen. | Dieses Ergebnis wird generiert, wenn die Richtlinie Amazon S3-Aktionen gewährt, die nicht auf Ihren Bucket beschränkt sind. Dies ist häufig der Fall, wenn bei der Angabe von Bucket-Ressourcen Platzhalter verwendet werden. Um dieses Problem zu lösen, geben Sie Bucket-Namen an oder geben Sie an ARNs , dass Sie Eigentümer der Buckets sind, oder schließen Sie die Buckets mit AMS-Namespace-Präfixen aus. | 
| Die Anweisung enthält einen Ressourcen-Platzhalter, der für alle Amazon S3-Buckets gilt, einschließlich nicht vorhandener Buckets und Buckets, die Sie nicht besitzen. Erwägen Sie, den Geltungsbereich der Berechtigungen mithilfe einer Bedingung und eines Bedingungsschlüssels festzulegen. `s3:ResourceAccount` | Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen für Buckets erteilt, die mit Platzhaltern angegeben wurden. Die Verwendung von Platzhaltern bringt häufig Buckets mit sich, die nicht existieren oder deren Besitzer nicht sind. Um dieses Problem zu lösen, verwenden Sie die Bedingung und den `aws:ResourceAccount` Bedingungsschlüssel, um die Berechtigungen nur auf Buckets innerhalb des aktuellen Kontos zu beschränken. Weitere Informationen finden Sie unter [Beschränken des Zugriffs auf Amazon S3 S3-Buckets, die bestimmten AWS Konten gehören](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/). | 
| Die Erklärung enthält ein `NotResource` Richtlinienelement, das auf eine große Anzahl von Buckets beschränkt sein kann, einschließlich nicht vorhandener Buckets und Buckets, die Sie nicht besitzen. Erwägen Sie, den Geltungsbereich der Berechtigungen mithilfe einer Bedingung und eines Bedingungsschlüssels festzulegen. `s3:ResourceAccount` | Dieses Ergebnis wird generiert, wenn die Richtlinie das Policy-Element zur Angabe von `NotResources` Bucket-Ressourcen verwendet. Die Verwendung des `NotResource` Elements kann sich auf eine große Anzahl von Buckets erstrecken, einschließlich Buckets, die nicht existieren oder denen keine Besitzer gehören. Um dieses Problem zu lösen, verwenden Sie Bedingungen und den `aws:ResourceAccount` Bedingungsschlüssel, um die Berechtigungen auf Buckets nur innerhalb des aktuellen Kontos zu beschränken. | 
| Die Erklärung enthält Amazon S3 S3-Aktionen für Buckets, *Bucket\$1Name* die entweder nicht existieren, nicht dem Konto gehören oder der Name einen Platzhalter enthält*Account\$1ID*, der möglicherweise auf eine große Anzahl von Buckets beschränkt ist, einschließlich nicht vorhandener Buckets und Buckets, die Ihnen nicht gehören. Erwägen Sie, den Geltungsbereich der Berechtigungen mithilfe einer Bedingung und des Bedingungsschlüssels festzulegen `s3:ResourceAccount` | Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen für Buckets erteilt, die entweder nicht existieren, nicht Ihnen gehören oder die Platzhalter in den Bucket-Namen enthalten, die eine große Anzahl von Buckets abdecken, und der Zugriff nicht nur auf das aktuelle Konto beschränkt ist. Um dieses Problem zu lösen, verwenden Sie die Bedingung und den `aws:ResourceAccount` Bedingungsschlüssel, um die Berechtigungen nur auf Buckets innerhalb des Girokontos zu beschränken. | 
| Die Kontoauszug enthält Amazon S3 S3-Aktionen für Buckets, *Bucket\$1Name* die entweder nicht existieren, nicht dem Konto gehören*Account\$1ID*, oder der Name enthält einen Platzhalter, der auf eine große Anzahl von Buckets beschränkt sein könnte, einschließlich nicht existierender Buckets und Buckets, die Ihnen nicht gehören. Der Zugriff ist nicht eingeschränkt, wenn Sie ein bestimmtes Ressourcenkonto verwenden`s3:ResourceAccount`, sofern die Bedingung nicht Ihnen gehört. | Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen für Buckets erteilt, die entweder nicht existieren, nicht Ihnen gehören oder die Platzhalter in den Bucket-Namen haben, die eine große Anzahl von Buckets abdecken, und der Zugriff nur auf ein bestimmtes Konto beschränkt ist. Das im `aws:ResourceAccount` Bedingungsschlüssel angegebene Konto gehört Ihnen jedoch nicht und wird von AMS verwaltet. Um dieses Problem zu lösen, aktualisieren Sie den `aws:ResourceAccount` Bedingungsschlüssel und geben Sie die entsprechende Konto-ID ein, die Ihnen gehört und von AMS verwaltet wird. | 
| Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Instances für Amazon EC2 beschränkt sind. Erwägen Sie, die Aktionen auf bestimmte Instances zu beschränken ARNs oder Instances auszuschließen, die einen Name-Tag-Schlüssel mit einem Wert in AMS-Namespace-Präfixen haben. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie mit den Namespaces übereinstimmen, deren Eigentümer Sie sind. | Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen gegen Amazon EC2 EC2-Instances gewährt, die AMS besitzt. AMS-Instances werden mit dem Tag-Schlüssel **Name** mit Werten im AMS-Namespace gekennzeichnet. Um dieses Problem zu lösen, geben Sie Ihre Ressourcen an oder schließen Sie AMS-Instances mit einer Bedingung aus, die den `aws:ResourceTag/Name` Schlüssel enthält, der Werte im AMS-Namespace mithilfe des Operators ausschließt `StringNotLike` | 
| Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Ressourcen im Parameterspeicher beschränkt sind. AWS Systems Manager Erwägen Sie, Ihre Parameter anzugeben ARNs oder Parameter mit AMS-Namespace-Präfixen auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie nur Ihre Parameter betreffen. | Dieser Befund wird generiert, wenn die Richtlinie Berechtigungen für Parameter gewährt, deren Eigentümer Sie nicht sind. Dies ist normalerweise der Fall, wenn Platzhalter verwendet werden oder Parameter mit AMS-Namespace-Präfixen in einer Richtlinienanweisung unter Ressourcen aufgeführt werden. Um dieses Problem zu lösen, geben Sie Parameter an, die sich in Ihrem Namespace befinden, oder schließen Sie AMS-Parameter mit einer Deny-Anweisung aus. | 
| Die Anweisung enthält privilegierte Aktionen gegen Ressourcen in AWS Systems Manager. Erwägen Sie, die Berechtigungen auf nur lesbare Aktionen oder Aktionen gegen Ihre Ressourcen zu beschränken. | Dieses Ergebnis wird generiert, wenn die Richtlinie andere Berechtigungen als Parameterspeicher- oder schreibgeschützte Aktionen für Systems Manager-Ressourcen gewährt. Um dieses Problem zu beheben, reduzieren Sie die Berechtigungen auf schreibgeschützte Aktionen oder nur auf das Speichern von Parametern. | 
| Die Anweisung enthält privilegierte Aktionen, die in *Service\$1Name* Ihrem Besitz nicht auf \$1message\$1 beschränkt sind. Erwägen Sie, diese Berechtigungen gegebenenfalls auf bestimmte Ressourcentypen zu beschränken oder AMS-eigene Ressourcen auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie übereinstimmen. *Resources* | Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen zulässt, die nicht gegen Ihre Ressourcen gewährt werden, insbesondere für benannte Ressourcen. Um dieses Problem zu beheben, überprüfen Sie Ihre Ressourcenliste und prüfen Sie, ob sie nur Ressourcen betreffen, die sich in Ihrem Namespace befinden. Schließen Sie alternativ Ressourcen aus, die sich im AMS-Namespace befinden. | 
| Die Anweisung enthält Tagging-Aktionen von \$1*Service\$1Name*\$1, die nicht auf bestimmte Werte für den Namen-Tag-Schlüssel beschränkt sind. Erwägen Sie, diese Aktionen einzuschränken, indem Sie den `aws:RequestTag/Name` Bedingungsschlüssel mit Werten in Ihrem Namespace festlegen, oder schränken Sie diese Aktionen ein, indem Sie den `aws:RequestTag/Name` Bedingungsschlüssel mit dem `StringNotLike` Operator mit Werten in den AMS-Namespace-Präfixen festlegen. | Dieses Ergebnis wird generiert, wenn die Richtlinie Tagging-Berechtigungen für einen bestimmten Dienst gewährt und die Berechtigung nicht auf bestimmte Tag-Schlüssel/Werte beschränkt ist. Verwenden Sie die Bedingung, um einzugrenzen, welcher Schlüssel oder Wert in Tag-Aktionen verwendet werden kann, z. B. wenn Sie die Ausführung der Aktionen anfordern. `aws:RequestTag/tag key` Um dieses Problem zu lösen, verwenden Sie diesen Bedingungsschlüssel, um Schlüssel oder Werte in Ihrem Namespace einzuschränken. Oder verweigern Sie das `Name` Tag key (`aws:RequestTag/Name`) mit Werten im AMS-Namespace. | 
| Interner Fehler bei der Überprüfung der Vertrauensrichtlinie für IAM-Rollen. | Dieses Ergebnis wird generiert, wenn CT Automation bei der Validierung der IAM-Rollenvertrauensrichtlinie durch den IAM Access Analyzer-Dienst auf einen Fehler stößt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Validierung der vom Kunden verwalteten Richtlinie. | Dieses Ergebnis wird generiert, wenn CT Automation bei der Ovalidierung der vom Kunden verwalteten Richtlinie über den IAM Access Analyzer-Service auf einen Fehler stößt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Access Analyzer wurde nicht gefunden in*AWS-Region*. Die Überprüfung der Zugriffsvorschau für die Rollenvertrauensrichtlinie konnte nicht durchgeführt werden. | Dieses Ergebnis wird generiert, wenn die IAM Access Analyzer-Ressource nicht in der AWS-Region gefunden wird. Wenden Sie sich an AMS Operations, um Fehler zu beheben und eine IAM Access Analyzer-Ressource in der AWS-Region zu erstellen. | 
| Ungültige Vertrauensrichtlinie für die Rolle *Role\$1Name* | Dieses Ergebnis wird generiert, wenn die angegebene IAM-Rolle eine ungültige Vertrauensrichtlinie enthält. Um das Problem zu lösen, überprüfen Sie die Vertrauensrichtlinie, um sicherzustellen, dass sie gültig ist. | 
| IAM Access Analyzer ist auf einen internen Fehler gestoßen. Die Zugriffsvorschau für die Rolle konnte nicht erstellt werden *Role\$1Name* | Dieses Ergebnis wird generiert, wenn bei der Automatisierung beim Erstellen einer Zugriffsvorschau für eine Rolle mit dem IAM Access Analyzer ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Die Zugriffsvorschau für die Vertrauensrichtlinie der Rolle konnte nicht erstellt werden *Role\$1Name* | Dieses Ergebnis wird generiert, wenn bei der Automatisierung beim Erstellen einer Zugriffsvorschau für eine Rolle mit dem IAM Access Analyzer ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Validierung des aufgelisteten SAML-IdP. | Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Validierung der bereitgestellten SAML, die in der Rollenvertrauensrichtlinie IdPs aufgeführt ist, ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Überprüfung der Berechtigungen gegen. AWS Key Management Service | Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung der AWS KMS Schlüsselberechtigungen in der bereitgestellten Richtlinie ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Überprüfung der aufgelisteten verwalteten Richtlinie. ARNs | Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung der aufgelisteten verwalteten Richtlinie ein Fehler auftritt. ARNs Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Überprüfung des Standardanhangs`customer_deny_policy`. | Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung, ob der an die Rolle angehängt `customer_deny_policy` ist, ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Überprüfung verwalteter Policy-Warnmeldungen für die Rolle *Role\$1Name* | Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Validierung der verwalteten Richtlinie ARNs für die Rolle ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Interner Fehler bei der Validierung *Policy\$1name* anhand der vom Kunden definierten Grenzrichtlinie `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung der Richtlinie, die Ihre benutzerdefinierte Sperrliste enthält, ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben. | 
| Für das Konto ist eine vom Kunden definierte Grenzrichtlinie `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` vorhanden. Die Richtlinie enthält jedoch Zulassungsanweisungen, die Berechtigungen gewähren. Die Richtlinie darf nur Verweigerungsanweisungen enthalten. | Dieses Ergebnis wird generiert, wenn die Richtlinie, die Ihre benutzerdefinierte Ablehnungsliste enthält, eine Erklärung enthält, die eine Genehmigung erteilt. Obwohl die benutzerdefinierte Ablehnungsliste in Ihrem Konto als IAM-verwaltete Richtlinie vorhanden ist, kann sie nicht für die Berechtigungsverwaltung verwendet werden. Die Richtlinie darf nur Ablehnungsaussagen enthalten, die darauf hinweisen, dass AMS Automated IAM Provisioning die Aktionen in Ihren IAM-Richtlinien, die AMS Automated IAM Provisioning erstellt, validieren und ablehnen soll. | 
| Die Erklärung enthält privilegierte Aktionen, für die Ihre Organisation definiert hat. *Service\$1Name* Erwägen Sie, diese Aktionen mit einer Deny-Anweisung auszuschließen. Die Liste der eingeschränkten Aktionen finden Sie in der in Ihrem Konto angegebenen Richtlinie. | Dieses Ergebnis wird generiert, wenn die Automatisierung eine Aktion in Ihrer Richtlinie erkennt, die Sie in der benutzerdefinierten Ablehnungsliste definiert haben. Um das Problem zu beheben, überprüfen Sie Ihre Richtlinienerklärung und entfernen Sie alle Aktionen, die in Ihrer benutzerdefinierten Ablehnungsliste definiert sind, oder fügen Sie eine Ablehnungserklärung hinzu, die diese Aktionen ablehnt. | 
| Die Rolle muss *POLICY\$1ARN* angehängt worden sein. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs. | Dieser Befund wird generiert, wenn der Rolle, die Sie erstellen, kein *POLICY\$1ARN* Link zugeordnet ist. Um dieses Problem zu beheben, fügen Sie das *POLICY\$1ARN* in das **ManagedPolicyArns**Feld der Rolle ein und versuchen Sie es erneut. | 
| Das *POLICY\$1ARN* kann nicht von der Rolle getrennt werden. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs. | Dieses Ergebnis wird generiert, wenn der während eines Updates von der Rolle getrennt *POLICY\$1ARN* wird. Um dieses Problem zu beheben, fügen Sie dem *POLICY\$1ARN* **ManagedPolicyArns**Feld der Rolle das hinzu und versuchen Sie es erneut. | 

# Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS
<a name="aip-runtime-checks-perm-boundary"></a>

AMS-Berechtigungsgrenzprüfungen helfen Ihnen dabei, die von AMS bereitgestellten Standardrichtlinien für Berechtigungsgrenzen einzuhalten. Diese Richtlinie ist eine Liste von Aktionen, die von AMS Automated IAM Provisioning verweigert wurden. Bereitstellungsrichtlinien, die diese eingeschränkten Aktionen enthalten, erfordern eine zusätzliche ausdrückliche Risikoakzeptanz. Laden Sie die Richtlinie hier herunter: [boundary-policy.zip](samples/boundary-policy.zip).

Verwenden Sie vom Kunden definierte Richtlinienprüfungen für Zugriffsgrenzen, um Ablehnungsaktionen anzupassen, die über die Standardwerte der AMS-Richtlinie für Zugriffsgrenzen hinausgehen. Wenn Sie AMS Automated IAM Provisioning mit dem folgenden Änderungstyp nutzen: Verwaltung \$1 Verwaltetes Konto \$1 AMS Automated IAM Provisioning mit Lese- und Schreibberechtigungen \$1 [Aktivieren (verwaltete Automatisierung) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html), können Sie eine Liste von benutzerdefinierten Ablehnungsaktionen hinzufügen, die zusätzliche eingeschränkte Aktionen angeben. 

Sie können die Liste der Ablehnungsaktionen mithilfe des folgenden Änderungstyps aktualisieren: Verwaltung \$1 Verwaltetes Konto \$1 Automatisierte IAM-Bereitstellung mit Lese- und Schreibberechtigungen \$1 [Benutzerdefinierte Ablehnungsliste aktualisieren](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0). Sie müssen die dedizierte IAM-Rolle verwenden, um diesen Änderungstyp auszuführen. `AWSManagedServicesIAMProvisionAdminRole`

**Anmerkung**  
Sie müssen für jedes Update eine umfassende Liste der Ablehnungsaktionen bereitstellen. Die vorherige Liste wird durch die neue Liste ersetzt.
Die Liste der Ablehnungsaktionen darf nur Aktionen enthalten, die verweigert werden sollen. Aktionen zum Zulassen werden nicht unterstützt. 
Die Liste der Ablehnungsaktionen befindet sich innerhalb des Kontos als IAM-verwaltete Richtlinie mit dem Namen. `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` Die Richtlinie darf keiner Rolle zugewiesen werden.
Der Begriff „*Berechtigungsgrenze*“, der für verweigerte Aktionen in AMS Automated IAM Provisioning verwendet wird, hat eine andere kontextuelle Bedeutung als die IAM-Berechtigungsgrenze. Die IAM-Berechtigungsgrenze legt die maximale Berechtigung fest, die eine Richtlinie einer IAM-Entität zur Laufzeit gewähren kann. *Weitere Informationen zur IAM-Berechtigungsgrenze finden Sie unter [Richtlinientypen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types) im AWS Identity and Access Management Benutzerhandbuch.* Die Berechtigungsgrenze in AMS Automated IAM Provisioning verhindert, dass Sie eine IAM-Richtlinie bereitstellen, die einen bestimmten Satz von Berechtigungen enthält, z. B. eine Liste verweigerter Aktionen.

# Behebung von Ergebnissen und Fehlern bei AMS Automated IAM Provisioning
<a name="aip-troubleshooting"></a>

Es gibt drei Möglichkeiten, wie Sie bei der Verwendung von AMS Automated IAM Provisioning auf Probleme stoßen können:
+ RFC-Fehler: Diese können aus einer Vielzahl von Gründen auftreten, z. B. aufgrund falscher Eingaben. Weitere Informationen finden Sie unter [Behebung von RFC-Fehlern in AMS](rfc-troubleshoot.md).
+ SSM-Fehler: Diese können aus einer Vielzahl von Gründen auftreten, z. B. aufgrund einer schlechten Formatierung. Weitere Informationen finden Sie unter [Problembehandlung bei Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html).
+ Ergebnisse der Validierungsprüfung: Diese Ergebnisse treten auf, wenn bei einer der vielen Validierungsprüfungen, die Automated IAM Provisioning ausführt, ein Problem festgestellt wird. Eine Liste der Validierungsprüfungen und empfohlene Maßnahmen zur Behebung finden Sie unter. [Laufzeitprüfungen für AMS Automated IAM Provisioning in AMS](aip-runtime-checks.md)