

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Ressourcen-Kontrollrichtlinien (RCPs)
<a name="orgs_manage_policies_rcps"></a>

**Anmerkung**  
**Richtlinien zur Servicesteuerung (SCPs) und Ressourcenkontrollrichtlinien (RCPs)**  
Verwenden Sie einen SCP, wenn Sie die Berechtigungen von IAM-Prinzipalen innerhalb der Mitgliedskonten Ihrer Organisation einschränken müssen.  
Verwenden Sie ein RCP, wenn Sie IAM-Prinzipale einschränken müssen, die sich außerhalb Ihrer Unternehmenskonten befinden und Anfragen für den Zugriff auf Ressourcen innerhalb der Mitgliedskonten Ihrer Organisation stellen.  
Weitere Informationen finden Sie unter [Grundlegendes zu SCPs](orgs_manage_policies_authorization_policies.md) und RCPs.

Ressourcenkontrollrichtlinien (RCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. RCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation. RCPs helfen Ihnen dabei, sicherzustellen, dass die Ressourcen in Ihren Konten den Richtlinien für die Zugriffskontrolle Ihrer Organisation entsprechen. RCPs sind nur in einer Organisation verfügbar, in der [alle Funktionen aktiviert](orgs_manage_org_support-all-features.md) sind. RCPs sind nicht verfügbar, wenn Ihre Organisation nur die Funktionen für die konsolidierte Abrechnung aktiviert hat. Anweisungen zur Aktivierung von RCPs finden Sie unter. [Aktivieren eines Richtlinientyps](enable-policy-type.md)

RCPs allein reichen nicht aus, um den Ressourcen in Ihrer Organisation Berechtigungen zu erteilen. Ein RCP gewährt keine Berechtigungen. Ein RCP definiert eine Berechtigungsleitplanke oder legt Beschränkungen für die Aktionen fest, die Identitäten in Bezug auf Ressourcen in Ihren Organisationen ergreifen können. Der Administrator muss weiterhin identitätsbasierte Richtlinien an IAM-Benutzer oder -Rollen oder ressourcenbasierte Richtlinien an Ressourcen in Ihren Konten anhängen, um tatsächlich Berechtigungen zu gewähren. *Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter [Identity-based Richtlinien und ressourcenbasierte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) Richtlinien.*

Die [effektiven Berechtigungen stellen](#rcp-effects-on-permissions) die logische Schnittstelle zwischen dem, was die RCPs und [Service Control Policies (SCPs)](orgs_manage_policies_scps.md) zulassen, und dem, was die identitäts- und ressourcenbasierten Richtlinien zulassen, dar.

**RCPs wirken sich nicht auf Ressourcen im Verwaltungskonto aus**  
RCPs wirken sich nicht auf Ressourcen im Verwaltungskonto aus. Sie wirken sich nur auf Ressourcen in den Mitgliedskonten innerhalb Ihrer Organisation aus. Das bedeutet auch, dass RCPs für Mitgliedskonten gelten, die als delegierte Administratoren benannt wurden.

****Themen auf dieser Seite****
+ [Liste von AWS-Services die RCPs unterstützen](#rcp-supported-services)
+ [Testen der Auswirkungen von RCPs](#rcp-warning-testing-effect)
+ [Maximale Größe von RCPs](#rcp-size-limit)
+ [Hinzufügen von RCPs zu verschiedenen Ebenen in der Organisation](#rcp-about-inheritance)
+ [Auswirkungen von RCP auf Berechtigungen](#rcp-effects-on-permissions)
+ [Ressourcen und Entitäten, die nicht durch RCPs eingeschränkt sind](#actions-not-restricted-by-rcps)
+ [RCP-Bewertung](orgs_manage_policies_rcps_evaluation.md)
+ [RCP-Syntax](orgs_manage_policies_rcps_syntax.md)
+ [Beispiele für Richtlinien zur Ressourcenkontrolle](orgs_manage_policies_rcps_examples.md)

## Liste von AWS-Services die RCPs unterstützen
<a name="rcp-supported-services"></a>

RCPs gelten für Maßnahmen in den folgenden Bereichen: AWS-Services
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS -Security-Token-Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [ CloudWatch Amazon-Protokolle](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon-DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [AWS AppConfig](https://docs.aws.amazon.com/appconfig)
+ [Amazon AppStream](https://docs.aws.amazon.com/appstream)
+ [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling)
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild)
+ [AWS CodeCommit](https://docs.aws.amazon.com/codecommit)
+ [Amazon Comprehend](https://docs.aws.amazon.com/comprehend)
+ [Amazon Comprehend Medical](https://docs.aws.amazon.com/comprehendmedical)
+ [DynamoDB Accelerator](https://docs.aws.amazon.com/dax)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [AWS Health](https://docs.aws.amazon.com/health)
+ [Amazon Kinesis Video Streams](https://docs.aws.amazon.com/kinesisvideo)
+ [Amazon OpenSearch Serverlos](https://docs.aws.amazon.com/opensearch-service)
+ [AWS-Anmeldung](https://docs.aws.amazon.com/signin)
+ [AWS Support](https://docs.aws.amazon.com/support)
+ [Amazon Textract](https://docs.aws.amazon.com/textract)
+ [Amazon Transcribe](https://docs.aws.amazon.com/transcribe)
+ [Amazon Translate](https://docs.aws.amazon.com/translate)

## Testen der Auswirkungen von RCPs
<a name="rcp-warning-testing-effect"></a>

AWS empfiehlt dringend, RCPs nicht an das Stammverzeichnis Ihrer Organisation anzuhängen, ohne die Auswirkungen der Richtlinie auf die Ressourcen in Ihren Konten gründlich zu testen. Sie können damit beginnen, RCPs an einzelne Testkonten anzuhängen, sie in die Organisationseinheiten weiter unten in der Hierarchie zu verschieben und sich dann nach Bedarf in der Organisationsstruktur nach oben vorzuarbeiten. Eine Möglichkeit, die Auswirkungen zu ermitteln, besteht darin, die AWS CloudTrail Protokolle auf Fehler „Zugriff verweigert“ zu überprüfen.

## Maximale Größe von RCPs
<a name="rcp-size-limit"></a>

Alle Zeichen in Ihrem RCP werden auf die [maximale](orgs_reference_limits.md#min-max-values) Größe angerechnet. Die Beispiele in diesem Handbuch zeigen, dass die RCPs mit zusätzlichem Leerraum formatiert wurden, um ihre Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

**Tipp**  
Verwenden Sie den visuellen Editor, um Ihr RCP zu erstellen. Hier werden zusätzliche Leerzeichen automatisch entfernt.

## Hinzufügen von RCPs zu verschiedenen Ebenen in der Organisation
<a name="rcp-about-inheritance"></a>

Sie können RCPs direkt einzelnen Konten, Organisationseinheiten oder dem Stammverzeichnis der Organisation zuordnen. Eine ausführliche Erläuterung der Funktionsweise von RCPs finden Sie unter. [RCP-Bewertung](orgs_manage_policies_rcps_evaluation.md)

## Auswirkungen von RCP auf Berechtigungen
<a name="rcp-effects-on-permissions"></a>

RCPs sind eine Art von AWS Identity and Access Management (IAM-) Richtlinie. Sie stehen in engem Zusammenhang mit [ressourcenbasierten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) Richtlinien. Ein RCP gewährt jedoch niemals Berechtigungen. Stattdessen handelt es sich bei RCPs um Zugriffskontrollen, die die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter [Logik der Richtlinienauswertung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *Handbuch zu -IAM-Benutzer*.
+ RCPs gelten für Ressourcen für eine Teilmenge von. AWS-Services Weitere Informationen finden Sie unter [Liste von AWS-Services die RCPs unterstützen](#rcp-supported-services).
+ RCPs ***betreffen nur Ressourcen***, die von Konten verwaltet werden, die Teil der Organisation sind, die die RCPs angehängt hat. Sie wirken sich nicht auf Ressourcen aus Konten außerhalb der Organisation aus. Stellen Sie sich zum Beispiel einen Amazon S3 S3-Bucket vor, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Benutzern von Konto B außerhalb der Organisation Zugriff. An Konto A ist ein RCP angehängt. Dieser RCP gilt für den S3-Bucket in Konto A, auch wenn Benutzer von Konto B aus darauf zugreifen. Dieser RCP gilt jedoch nicht für Ressourcen in Konto B, wenn Benutzer in Konto A darauf zugreifen.
+ Ein RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein. Jede Ressource in einem Konto verfügt nur über die Berechtigungen, die von ***allen*** übergeordneten Eltern zugelassen wurden. Wenn eine Berechtigung auf einer Ebene über dem Konto gesperrt ist, verfügt eine Ressource im betroffenen Konto nicht über diese Berechtigung, selbst wenn der Ressourcenbesitzer eine ressourcenbasierte Richtlinie anhängt, die jedem Benutzer vollen Zugriff gewährt.
+ RCPs gelten für die Ressourcen, die im Rahmen einer Betriebsanforderung autorisiert wurden. Diese Ressourcen finden Sie in der Spalte „Ressourcentyp“ der Aktionstabelle in der [Service Authorization Reference.](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table) Wenn in der Spalte „Ressourcentyp“ eine Ressource angegeben ist, werden die RCPs des aufrufenden Hauptkontos angewendet. `s3:GetObject`Autorisiert beispielsweise die Objektressource. Immer wenn eine `GetObject` Anfrage gestellt wird, wird ein entsprechender RCP angewendet, um zu bestimmen, ob der anfordernde Principal den Vorgang aufrufen kann. `GetObject` Ein *gültiger RCP* ist ein RCP, der einem Konto, einer Organisationseinheit (OU) oder dem Stamm der Organisation zugeordnet wurde, der die Ressource gehört, auf die zugegriffen wird.
+ RCPs wirken sich nur auf Ressourcen in ***Mitgliedskonten der*** Organisation aus. Sie haben keine Auswirkungen auf Ressourcen im Verwaltungskonto. Das bedeutet auch, dass RCPs für Mitgliedskonten gelten, die als delegierte Administratoren benannt wurden. Weitere Informationen finden Sie unter [Bewährte Methoden für das Verwaltungskonto](orgs_best-practices_mgmt-acct.md).
+ Wenn ein Principal eine Anfrage für den Zugriff auf eine Ressource innerhalb eines Kontos stellt, dem ein RCP angehängt ist (eine Ressource mit einem entsprechenden RCP), wird der RCP in die Bewertungslogik der Richtlinie einbezogen, um festzustellen, ob dem Principal der Zugriff gewährt oder verweigert wird.
+ RCPs wirken sich auf die effektiven Berechtigungen von Prinzipalen aus, die versuchen, auf Ressourcen in einem Mitgliedskonto mit einem entsprechenden RCP zuzugreifen, unabhängig davon, ob die Principals derselben Organisation angehören oder nicht. Dies schließt Root-Benutzer ein. Eine Ausnahme ist, wenn es sich bei Principals um dienstbezogene Rollen handelt, da RCPs nicht für Aufrufe gelten, die von dienstbezogenen Rollen getätigt werden. Service-linked Rollen ermöglichen AWS-Services die Durchführung der erforderlichen Aktionen in Ihrem Namen und können nicht durch RCPs eingeschränkt werden. 
+ Benutzern und Rollen müssen weiterhin Berechtigungen mit entsprechenden IAM-Berechtigungsrichtlinien, einschließlich identitäts- und ressourcenbasierter Richtlinien, erteilt werden. Ein Benutzer oder eine Rolle ohne IAM-Berechtigungsrichtlinien hat keinen Zugriff, auch wenn ein entsprechender RCP alle Dienste, alle Aktionen und alle Ressourcen zulässt.

## Ressourcen und Entitäten, die nicht durch RCPs eingeschränkt sind
<a name="actions-not-restricted-by-rcps"></a>

Sie ***können RCPs nicht*** verwenden, um Folgendes einzuschränken:
+ Jede Aktion mit Ressourcen im Verwaltungskonto.
+ RCPs wirken sich nicht auf die effektiven Berechtigungen einer serviceverknüpften Rolle aus. Service-linked Rollen sind eine einzigartige Art von IAM-Rolle, die direkt mit einem AWS Dienst verknüpft ist und alle Berechtigungen beinhaltet, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Die Berechtigungen von dienstbezogenen Rollen können nicht durch RCPs eingeschränkt werden. RCPs wirken sich auch nicht auf die Fähigkeit AWS der Dienste aus, eine dienstbezogene Rolle zu übernehmen. Das heißt, die Vertrauensrichtlinie der dienstbezogenen Rolle wird von RCPs ebenfalls nicht beeinflusst.
+ [RCPs bewerben sich nicht für.Von AWS verwaltete SchlüsselAWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) Von AWS verwaltete Schlüssel werden in Ihrem Namen von einem AWS-Service erstellt, verwaltet und verwendet. Sie können ihre Berechtigungen nicht ändern oder verwalten.
+ RCPs haben keinen Einfluss auf die folgenden Berechtigungen:  
****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_rcps.html)