Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anhang: Beispielprofil- und Rollenrichtlinien
Beispielrichtlinien für Anwendung 1
Die Beispielrichtlinie für Profil 1 ermöglicht einige Aktionen für Bucket 1 in Amazon Simple Storage Service (Amazon S3):
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] } ] }
Die Beispielrichtlinie für Rolle 1 ermöglicht die DescribeInstances Aktion für eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance und erlaubt einige Aktionen für Bucket 1 und Bucket 2 in Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
Die Richtlinie für Profil 1 schränkt die durch die Richtlinie für Rolle 1 gewährten Berechtigungen ein. Sie wird auf die Rollensitzung angewendet, wenn die Rolle übernommen wird IAM Roles Anywhere. Eine Anwendung, die Rolle 1 annimmt, hat nur Zugriff auf Bucket 1. Es kann nicht auf Bucket 2 zugreifen oder EC2 Amazon-Aktionen ausführen, da die Profile 1-Richtlinie diese Berechtigungen nicht gewährt.
Beispielrichtlinien für Anwendung 2
Die Beispielrichtlinie für Profil 2 erlaubt einige Aktionen für Bucket 2 in Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
Die Beispielrichtlinie für Rolle 2 erlaubt die DescribeInstances Aktion für eine EC2 Amazon-Instance und erlaubt einige Aktionen für Bucket 1 und Bucket 2 in Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject", "s3:GetObjectTagging", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectLegalHold", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
Die Richtlinie für Profil 2 schränkt die von Rolle 2 gewährten Berechtigungen ein. Sie wird auf die Rollensitzung angewendet, wenn die Rolle übernommen wird IAM Roles Anywhere. Eine Anwendung, die Rolle 2 annimmt, hat nur Zugriff auf Bucket 2. Es kann nicht auf Bucket 1 zugreifen oder EC2 Amazon-Aktionen ausführen, da die Profile 2-Richtlinie diese Berechtigungen nicht gewährt.
