Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit in AWS Resource Explorer
<a name="security"></a>

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der läuft AWS Cloud. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Resource Explorer gelten, finden Sie unter [AWS-Services Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/)AWS-Services und .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS-Service , was Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften. 

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden können AWS Resource Explorer. Es zeigt Ihnen, wie Sie Resource Explorer konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere verwenden können AWS-Services , die Ihnen bei der Überwachung und Sicherung Ihrer Resource Explorer-Ressourcen helfen.

**Topics**
+ [IAMRichtlinien aktualisieren auf IPv6](arex-security-ipv6-upgrade.md)
+ [Identity and Access Management](security_iam.md)
+ [Datenschutz](data-protection.md)
+ [Compliance-Validierung](compliance-validation.md)
+ [Ausfallsicherheit](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur](infrastructure-security.md)

# IAMRichtlinien aktualisieren auf IPv6
<a name="arex-security-ipv6-upgrade"></a>

AWS Resource Explorer Kunden verwenden IAM Richtlinien, um einen zulässigen Bereich von IP-Adressen festzulegen und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Resource Explorer zugreifen könnenAPIs.

Der * Resource-Explorer-2.*region**Die Domain .api.aws, in der Resource Explorer gehostet APIs werden, wird aktualisiert, sodass sie zusätzlich unterstützt wird. IPv6 IPv4 

Richtlinien zur IP-Adressfilterung, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients den Zugriff auf die Ressourcen in der Resource Explorer-Domäne verlieren. API 

## Kunden, die vom Upgrade von IPv4 auf betroffen sind IPv6
<a name="customers-impacted"></a>

Kunden, die die duale Adressierung verwenden und deren Richtlinien *aws:* enthalten, sourceIp sind von diesem Upgrade betroffen. Duale Adressierung bedeutet, dass das Netzwerk IPv4 sowohl IPv6 als auch unterstützt. 

Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch IPv6 Formatadressen enthalten. 

Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).

**Anmerkung**  
Die folgenden Kunden sind von diesem Upgrade *nicht* betroffen:  
Kunden, die *nur in IPv4 Netzwerken aktiv* sind.
Kunden, die *nur in IPv6 Netzwerken aktiv* sind.

## Was istIPv6?
<a name="what-is-ipv6"></a>

IPv6ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. Die vorherige Version verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv4 IPv6verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen Billionen (oder 2 bis 128.) Geräte zu unterstützen. 

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

## Aktualisierung einer Richtlinie für IAM IPv6
<a name="updating-for-ipv6"></a>

IAMRichtlinien werden derzeit verwendet, um mithilfe des `aws:SourceIp` Filters einen zulässigen Bereich von IP-Adressen festzulegen. 

Die duale Adressierung unterstützt IPv4 sowohl den Datenverkehr als auch IPV6 den Datenverkehr. Wenn Ihr Netzwerk die duale Adressierung verwendet, müssen Sie sicherstellen, dass alle IAM Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, sodass sie IPv6 Adressbereiche einbeziehen.

Diese Amazon S3 S3-Bucket-Richtlinie identifiziert beispielsweise zulässige IPv4 Adressbereiche `192.0.2.0.*` und `203.0.113.0.*` im `Condition` Element. 

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

Um diese Richtlinie zu aktualisieren, wird das `Condition` Element der Richtlinie aktualisiert und umfasst nun IPv6 Adressbereiche `2001:DB8:1234:5678::/64` und`2001:cdba:3257:8593::/64`.

**Anmerkung**  
Geben Sie NOT REMOVE die vorhandenen IPv4 Adressen ein, da sie aus Gründen der Abwärtskompatibilität benötigt werden.

```
"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
```

Weitere Informationen zur Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *AWS Identity and Access Management Benutzerhandbuch*.

## Stellen Sie sicher, dass Ihr Kunde Folgendes unterstützt IPv6
<a name="testing-connection"></a>

Kunden, die den *Resource-Explorer-2 verwenden. Es wird empfohlen, den Endpunkt \$1region\$1 .api.aws* zu überprüfen, ob ihre Clients auf andere Endpoints zugreifen können, die bereits aktiviert sind. AWS-Service IPv6 In den folgenden Schritten wird beschrieben, wie Sie diese Endpunkte verifizieren können. 

*Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die [Amazon Athena-Servicendpunkte, für die Endpunkte](https://docs.aws.amazon.com/general/latest/gr/athena.html) IPv6 aktiviert sind, die sich in der api.aws-Domain befinden.* 

**Anmerkung**  
Wechseln Sie zu derselben Region AWS-Region , in der sich der Client befindet. In diesem Beispiel verwenden wir den `us-east-1` Endpunkt USA Ost (Nord-Virginia).

1. Ermitteln Sie mithilfe des folgenden curl-Befehls, ob der Endpunkt mit einer IPv6 Adresse aufgelöst wird. 

   ```
   dig +short AAAA athena.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
   2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
   ```

1. Stellen Sie mithilfe IPv6 des folgenden curl-Befehls fest, ob das Client-Netzwerk eine Verbindung herstellen kann. 

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   response code: 404
   ```

   Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe IPv6 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt.

Wenn die Remote-IP leer ist oder der Antwortcode leer ist`0`, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Sie können diese Konfiguration mit dem folgenden curl-Befehl überprüfen. 

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 3.210.103.49
response code: 404
```

Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe IPv4 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv4 Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv4 Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung IPv4 von curl zu erzwingen. 

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 35.170.237.34
response code: 404
```

# Identitäts- und Zugriffsmanagement für AWS Resource Explorer
<a name="security_iam"></a>

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Resource Explorer-Ressourcen zu verwenden. IAMist eine AWS-Service , die Sie ohne zusätzliche Kosten verwenden können.

**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Resource Explorer mit IAM](security_iam_service-with-iam.md)
+ [AWS Resource ExplorerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)
+ [Beispiel für Service-Kontrollrichtlinien für AWS Organizations und Resource Explorer](security_iam_scp.md)
+ [AWS verwaltete Richtlinien für AWS Resource Explorer](security_iam_awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für Resource Explorer](security_iam_service-linked-roles.md)
+ [Problembehandlung bei AWS Resource Explorer Berechtigungen](security_iam_troubleshoot.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie im Resource Explorer ausführen.

**Dienstbenutzer** — Wenn Sie den Resource Explorer-Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr Resource Explorer-Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Fuktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anzufordern müssen. Wenn Sie im Resource Explorer nicht auf eine Funktion zugreifen können, finden Sie weitere Informationen unter[Problembehandlung bei AWS Resource Explorer Berechtigungen](security_iam_troubleshoot.md).

**Dienstadministrator** — Wenn Sie in Ihrem Unternehmen für Resource Explorer-Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf Resource Explorer. Es ist Ihre Aufgabe, zu bestimmen, auf welche Resource Explorer-Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Dienstbenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehenIAM. Weitere Informationen darüber, wie Ihr Unternehmen Resource Explorer verwenden IAM kann, finden Sie unter[So funktioniert Resource Explorer mit IAM](security_iam_service-with-iam.md).

**IAMAdministrator** — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff auf Resource Explorer zu verwalten. Beispiele für identitätsbasierte Resource Explorer-Richtlinien, die Sie in verwenden könnenIAM, finden Sie unter. [AWS Resource ExplorerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen als IAM Benutzer *authentifiziert* (angemeldet AWS) sein oder eine IAM Rolle übernehmen. Root-Benutzer des AWS-Kontos

Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAMIdentity Center-) Nutzer, die Single-Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als föderierte Identität anmelden, hat Ihr Administrator zuvor einen Identitätsverbund mithilfe von Rollen eingerichtet. IAM Wenn Sie AWS mithilfe eines Verbunds darauf zugreifen, übernehmen Sie indirekt eine Rolle.

Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS-Managementkonsole oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie AWS unter [So melden Sie sich bei Ihrem an AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS-Anmeldung Benutzerhandbuch*.

Wenn Sie AWS programmgesteuert darauf zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, mit der Sie Ihre Anfragen mithilfe Ihrer Anmeldeinformationen kryptografisch signieren können. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen zur Verwendung der empfohlenen Methode, um Anfragen selbst zu [signieren, finden Sie im *IAMBenutzerhandbuch* unter AWS API Anfragen signieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html).

Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise zusätzliche Sicherheitsinformationen angeben. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. *Weitere Informationen finden Sie unter [Multi-Faktor-Authentifizierung](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) im *AWS IAM Identity Center Benutzerhandbuch* und [Verwenden der Multi-Faktor-Authentifizierung (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM Benutzerhandbuch.*

### AWS-Konto Root-Benutzer
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto *Root-Benutzer* bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. *Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter [Aufgaben, für die Root-Benutzeranmeldedaten erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) sind. IAM* 

### Benutzer und Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAMBenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität innerhalb Ihres Unternehmens AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wir empfehlen, sich nach Möglichkeit auf temporäre Anmeldeinformationen zu verlassen, anstatt IAM Benutzer mit langfristigen Anmeldeinformationen wie Passwörtern und Zugriffsschlüsseln zu erstellen. Wenn Sie jedoch spezielle Anwendungsfälle haben, für die langfristige Anmeldeinformationen von IAM Benutzern erforderlich sind, empfehlen wir, die Zugriffsschlüssel abwechselnd zu verwenden. Weitere Informationen finden Sie im *Benutzerhandbuch* unter [Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, für die IAM langfristige Anmeldeinformationen erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) sind.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) ist eine Identität, die eine Sammlung von IAM Benutzern angibt. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise eine Gruppe benennen *IAMAdmins*und dieser Gruppe Berechtigungen zur Verwaltung von IAM Ressourcen erteilen.

Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie unter [Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) werden? im *IAMBenutzerhandbuch*.

### Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAMRolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität innerhalb von Ihnen AWS-Konto , für die bestimmte Berechtigungen gelten. Sie ähnelt einem IAM Benutzer, ist jedoch keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM Rolle in der übernehmen, AWS-Managementkonsole indem Sie die [Rollen wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Sie können eine Rolle übernehmen, indem Sie eine AWS CLI AWS API OR-Operation aufrufen oder eine benutzerdefinierte Operation verwendenURL. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter [Methoden zur Übernahme einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAMBenutzerhandbuch*.

IAMRollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:
+ **Verbundbenutzerzugriff** – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie im *IAMBenutzerhandbuch* unter [Erstellen einer Rolle für einen externen Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html). Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu kontrollieren, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in. IAM Informationen zu Berechtigungssätzen finden Sie unter [ Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) im *AWS IAM Identity Center -Benutzerhandbuch*. 
+ **Temporäre IAM Benutzerberechtigungen** — Ein IAM Benutzer oder eine Rolle kann eine IAM Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu übernehmen.
+ **Kontoübergreifender Zugriff** — Sie können eine IAM Rolle verwenden, um einer Person (einem vertrauenswürdigen Principal) in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen können Sie AWS-Services jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). *Informationen zum Unterschied zwischen Rollen und ressourcenbasierten Richtlinien für den kontenübergreifenden Zugriff finden Sie [IAMim Benutzerhandbuch unter Kontoübergreifender Ressourcenzugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html). IAM*
+ **Serviceübergreifender Zugriff** — Einige AWS-Services verwenden Funktionen in anderen. AWS-Services Wenn Sie beispielsweise einen Service aufrufen, ist es üblich, dass dieser Service Anwendungen in Amazon ausführt EC2 oder Objekte in Amazon S3 speichert. Ein Dienst kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun. 
  + **Zugriffssitzungen weiterleiten (FAS)** — Wenn Sie einen IAM Benutzer oder eine Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FASverwendet die Berechtigungen des Prinzipals, der an aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. FASAnfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien beim Stellen von FAS Anfragen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 
  + **Servicerolle** — Eine Servicerolle ist eine [IAMRolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im *IAMBenutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). 
  + **Dienstbezogene Rolle** — Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen erscheinen in Ihrem Dienst AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten. 
+ **Auf Amazon ausgeführte Anwendungen EC2** — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Instance ausgeführt werden und AWS API Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Instance vorzuziehen. Um einer EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im *IAMBenutzerhandbuch* unter [Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) werden. 

Informationen darüber, ob Sie IAM Rollen oder IAM Benutzer verwenden sollten, finden [Sie im *Benutzerhandbuch unter Wann sollte eine IAM Rolle (anstelle eines IAM Benutzers*) erstellt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) werden.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie steuern den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in AWS Form von JSON Dokumenten gespeichert. Weitere Informationen zur Struktur und zum Inhalt von JSON Richtliniendokumenten finden Sie im *IAMBenutzerhandbuch* unter [Überblick über JSON Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json).

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das bedeutet, welcher **Prinzipal** kann **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Um Benutzern die Erlaubnis zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

IAMRichtlinien definieren Berechtigungen für eine Aktion, unabhängig von der Methode, mit der Sie den Vorgang ausführen. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die `iam:GetRole`-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen aus dem AWS-Managementkonsole AWS CLI, dem oder dem abrufen AWS API.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind Dokumente mit JSON Berechtigungsrichtlinien, die Sie an eine Identität anhängen können, z. B. an einen IAM Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. *Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter [IAMRichtlinien erstellen im Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html). IAM*

Identitätsbasierte Richtlinien können weiter als *Inline-Richtlinien* oder *verwaltete Richtlinien* kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie oder einer Inline-Richtlinie wählen können, finden Sie im *IAMBenutzerhandbuch* unter [Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline).

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die Sie an eine Ressource anhängen. Beispiele für ressourcenbasierte Richtlinien sind IAM *Rollenvertrauensrichtlinien* und Amazon S3 *S3-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien nicht IAM in einer ressourcenbasierten Richtlinie verwenden.

AWS Resource Explorer unterstützt keine ressourcenbasierten Richtlinien.

### Zugriffskontrolllisten () ACLs
<a name="security_iam_access-manage-acl"></a>

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLsähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON Richtliniendokumentformat.

Amazon S3 und AWS WAF Amazon VPC sind Beispiele für Dienste, die Unterstützung bietenACLs. Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.

AWS Resource Explorer unterstützt nichtACLs.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Diese Richtlinientypen können die maximalen Berechtigungen festlegen, die Ihnen von den häufiger verwendeten Richtlinientypen erteilt werden können. 
+ **Berechtigungsgrenzen** — Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM Entität (IAMBenutzer oder Rolle) gewähren kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die daraus resultierenden Berechtigungen sind der Schnittpunkt der identitätsbasierten Richtlinien einer Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld `Principal` angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Berechtigungsgrenzen finden Sie im *IAMBenutzerhandbuch* unter [Berechtigungsgrenzen für IAM Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
+ **Dienststeuerungsrichtlinien (SCPs)** — SCPs sind JSON Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in festlegen AWS Organizations. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer Geräte AWS-Konten , die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen Root-Benutzer des AWS-Kontos. Weitere Informationen zu Organizations und SCPs finden Sie unter [Richtlinien zur Servicesteuerung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie im *IAMBenutzerhandbuch* unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session). 

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn mehrere auf eine Anforderung mehrere Richtlinientypen angewendet werden können, sind die entsprechenden Berechtigungen komplizierter. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie im *IAMBenutzerhandbuch* unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

# So funktioniert Resource Explorer mit IAM
<a name="security_iam_service-with-iam"></a>

Bevor Sie IAM den Zugriff auf verwalten AWS Resource Explorer, sollten Sie sich darüber im Klaren sein, welche IAM Funktionen mit Resource Explorer zur Verfügung stehen. Einen allgemeinen Überblick darüber, wie Resource Explorer und andere Tools AWS-Services [funktionieren IAM AWS-Services , finden Sie IAM im *IAMBenutzerhandbuch* unter Funktionen mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Resource Explorer.

**Topics**
+ [Identitätsbasierte Richtlinien von Resource Explorer](#security_iam_service-with-iam-id-based-policies)
+ [Autorisierung auf der Grundlage von Resource Explorer-Tags](#security_iam_service-with-iam-tags)
+ [Rollen im Resource Explorer IAM](#security_iam_service-with-iam-roles)

Wie jeder andere Browser benötigt auch Resource Explorer Berechtigungen AWS-Service, um seine Operationen für die Interaktion mit Ihren Ressourcen nutzen zu können. Für die Suche benötigen Benutzer die Berechtigung, die Details zu einer Ansicht abzurufen und mithilfe der Ansicht zu suchen. Um Indizes oder Ansichten zu erstellen oder sie oder andere Resource Explorer-Einstellungen zu ändern, benötigen Sie zusätzliche Berechtigungen. 

Weisen Sie IAM identitätsbasierte Richtlinien zu, die diese Berechtigungen den entsprechenden Prinzipalen gewähren. IAM Resource Explorer bietet [mehrere verwaltete Richtlinien](security_iam_awsmanpol.md), die allgemeine Berechtigungssätze vordefinieren. Sie können diese Ihren IAM Hauptbenutzern zuweisen.

## Identitätsbasierte Richtlinien von Resource Explorer
<a name="security_iam_service-with-iam-id-based-policies"></a>

Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen für bestimmte Ressourcen sowie die Bedingungen angeben, unter denen diese Aktionen zugelassen oder verweigert werden. Resource Explorer unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie in der [Referenz zu den IAM JSON Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAMBenutzerhandbuch*.

### Aktionen
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher **Prinzipal** kann **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen.

Das `Action` Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. *Aktionen, für die nur eine Genehmigung erforderlich* ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als *abhängige Aktionen* bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Richtlinienaktionen im Resource Explorer verwenden das `resource-explorer-2` Dienstpräfix vor der Aktion. Um beispielsweise jemandem die Erlaubnis zu erteilen, mithilfe einer Ansicht zu suchen, fügen Sie beim Resource `Search` API Explorer-Vorgang die `resource-explorer-2:Search` Aktion in eine Richtlinie ein, die diesem Prinzipal zugewiesen ist. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Resource Explorer definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können. Diese entsprechen den Resource API Explorer-Vorgängen.

Um mehrere Aktionen in einer einzelnen Anweisung anzugeben, trennen Sie sie durch Beistriche, wie im folgenden Beispiel gezeigt.

```
"Action": [
      "resource-explorer-2:action1",
      "resource-explorer-2:action2"
]
```

Sie können mehrere Aktionen mithilfe von Platzhalterzeichen (`*`) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "resource-explorer-2:Describe*"
```

Eine Liste der Resource Explorer-Aktionen finden Sie unter [Aktionen Definiert von AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) in der *AWS Service Authorization Reference.*

### Ressourcen
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher **Prinzipal** kann **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen.

Das `Resource` JSON Richtlinienelement gibt das Objekt oder die Objekte an, für die die Aktion gilt. Anweisungen müssen entweder ein – `Resource`oder ein `NotResource`-Element enthalten. Es hat sich bewährt, eine Ressource mit ihrem [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) anzugeben. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als *Berechtigungen auf Ressourcenebene* bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

#### Anzeigen
<a name="resource-type-view"></a>

Der primäre Resource Explorer-Ressourcentyp ist die *Ansicht*. 

Die Ressource Resource Explorer-Ansicht hat das folgende ARN Format.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```

Das Resource ARN Explorer-Format wird im folgenden Beispiel gezeigt.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

**Anmerkung**  
Das ARN Feld für eine Ansicht enthält am Ende eine eindeutige Kennung, um sicherzustellen, dass jede Ansicht einzigartig ist. Dadurch wird sichergestellt, dass eine IAM Richtlinie, die Zugriff auf eine alte, gelöschte Ansicht gewährt hat, nicht dazu verwendet werden kann, versehentlich Zugriff auf eine neue Ansicht zu gewähren, die zufällig denselben Namen wie die alte Ansicht hat. Jede neue Ansicht erhält am Ende eine neue, eindeutige ID, um sicherzustellen, dass ARNs sie niemals wiederverwendet werden.

Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Sie verwenden IAM identitätsbasierte Richtlinien, die den IAM Prinzipalen zugewiesen sind, und geben die Ansicht als. `Resource` Auf diese Weise können Sie einer Gruppe von Prinzipalen Suchzugriff über eine Ansicht und einer anderen Gruppe von Prinzipalen Zugriff über eine völlig andere Ansicht gewähren. 

Um beispielsweise einer einzelnen Ansicht, die `ProductionResourcesView` in einer IAM Richtlinienerklärung genannt wird, die Erlaubnis zu erteilen, rufen Sie zunächst den [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) der Ansicht ab. Sie können die Seite „**[Ansichten](https://console.aws.amazon.com/resource-explorer/home#/views)**“ in der Konsole verwenden, um die Details einer Ansicht anzuzeigen, oder den `[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)` Vorgang aufrufen, um die gewünschte Ansicht vollständig ARN abzurufen. Fügen Sie es dann in eine Richtlinienerklärung ein, wie im folgenden Beispiel gezeigt, die die Erlaubnis erteilt, die Definition nur einer Ansicht zu ändern.

```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/<unique-id>"
```

Um die Aktionen für ***alle*** Ansichten zuzulassen, die zu einem bestimmten Konto gehören, verwenden Sie das Platzhalterzeichen (`*`) im entsprechenden Teil von. ARN Das folgende Beispiel gewährt Suchberechtigungen für alle Ansichten in einem angegebenen AWS-Region AND-Konto.

```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```

Einige Resource Explorer-Aktionen`CreateView`, z. B., werden nicht für eine bestimmte Ressource ausgeführt, weil die Ressource, wie im folgenden Beispiel, noch nicht existiert. In solchen Fällen müssen Sie das Platzhalterzeichen (`*`) für die gesamte Ressource ARN verwenden.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```

 Wenn Sie einen Pfad angeben, der mit einem Platzhalterzeichen endet, können Sie den `CreateView` Vorgang darauf beschränken, Ansichten zu erstellen, die nur den genehmigten Pfad enthalten. Das folgende Beispiel für eine Richtlinie zeigt, wie Sie es dem Prinzipal ermöglichen, Ansichten nur im Pfad `view/ProductionViews/` zu erstellen.

```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```

#### Index
<a name="resource-type-index"></a>

Ein weiterer Ressourcentyp, mit dem Sie den Zugriff auf die Resource Explorer-Funktionen steuern können, ist der Index.

Die primäre Art, mit dem Index zu interagieren, besteht darin, den Resource Explorer in einer zu aktivieren, AWS-Region indem Sie einen Index in dieser Region erstellen. Danach erledigen Sie fast alles andere, indem Sie mit der Ansicht interagieren.

Mit dem Index können Sie unter anderem steuern, wer in jeder Region Ansichten ***erstellen*** kann.

**Anmerkung**  
Nachdem Sie eine Ansicht erstellt haben, werden alle anderen Ansichtsaktionen nur für die ARN Ansicht und nicht für den Index IAM autorisiert.

Der Index enthält eine [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), auf die Sie in einer Berechtigungsrichtlinie verweisen können. Ein Resource Explorer-Index ARN hat das folgende Format.

```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```

Sehen Sie sich das folgende Beispiel für einen Resource Explorer-Index anARN.

```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```

Bei einigen Resource Explorer-Aktionen wird die Authentifizierung anhand mehrerer Ressourcentypen überprüft. Der [CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)Vorgang autorisiert beispielsweise sowohl für den Index als auch für die Ansicht, so wie es nach ARN der Erstellung durch Resource Explorer der Fall sein wird. ARN Um Administratoren die Berechtigung zur Verwaltung des Resource Explorer-Dienstes `"Resource": "*"` zu erteilen, können Sie damit Aktionen für jede Ressource, jeden Index oder jede Ansicht autorisieren. 

Alternativ können Sie einen Prinzipal so einschränken, dass er nur mit bestimmten Resource Explorer-Ressourcen arbeiten kann. Um beispielsweise Aktionen nur auf Resource Explorer-Ressourcen in einer bestimmten Region zu beschränken, können Sie eine ARN Vorlage hinzufügen, die sowohl dem Index als auch der Ansicht entspricht, aber nur eine einzige Region aufruft. Im folgenden Beispiel ARN entspricht der beiden Indizes oder Ansichten nur in der `us-west-2` Region des angegebenen Kontos. Geben Sie die Region im dritten Feld von anARN, verwenden Sie jedoch im letzten Feld ein Platzhalterzeichen (\$1), um einem beliebigen Ressourcentyp zu entsprechen.

```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```

Weitere Informationen finden Sie unter [Resources Defined by AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) in der *AWS Service Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter [Definierte Aktionen von AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Bedingungsschlüssel
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Resource Explorer stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAMBenutzerhandbuch*.

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** kann **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen.

Das Element `Condition` (oder `Condition` *block*) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element `Condition` ist optional. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. 

Wenn Sie mehrere `Condition`-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen `Condition`-Element angeben, wertet AWS diese mittels einer logischen `AND`-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen `OR` Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

 Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im *IAMBenutzerhandbuch* unter [IAMRichtlinienelemente: Variablen und Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html). 

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontext-Schlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAMBenutzerhandbuch*.

Eine Liste der Bedingungsschlüssel, die Sie mit Resource Explorer verwenden können, finden Sie unter [Bedingungsschlüssel für AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) in der *AWS Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Definierte Aktionen von AWS Resource Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).

### Beispiele
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Beispiele für identitätsbasierte Richtlinien von Resource Explorer finden Sie unter. [AWS Resource ExplorerBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)

## Autorisierung auf der Grundlage von Resource Explorer-Tags
<a name="security_iam_service-with-iam-tags"></a>

Sie können Tags an Resource Explorer-Ansichten anhängen oder Tags in einer Anfrage an Resource Explorer übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von Resource Explorer-Ressourcen finden Sie unter[Hinzufügen von Markern zu Ansichten zu Ansichten hinzu](manage-views-tag.md). Informationen zur Verwendung der Tag-basierten Autorisierung im Resource Explorer finden Sie unter. [Mit Tag-basierter Autorisierung](manage-views-grant-access.md#manage-views-grant-access-abac)

## Rollen im Resource Explorer IAM
<a name="security_iam_service-with-iam-roles"></a>

Bei einer [IAMRolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) handelt es sich um einen Prinzipal innerhalb von Ihnen AWS-Konto , der über bestimmte Berechtigungen verfügt.

### Verwenden temporärer Anmeldeinformationen mit Resource Explorer
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Sie können temporäre Anmeldeinformationen verwenden, um sich bei einem Verbund anzumelden, eine IAM Rolle zu übernehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS -Security-Token-Service (AWS STS) API -Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen. 

Resource Explorer unterstützt die Verwendung temporärer Anmeldeinformationen. 

### Service-verknüpfte Rollen
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Mit Diensten verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen AWS-Services den Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Resource Explorer verwendet dienstverknüpfte Rollen, um seine Arbeit auszuführen. Einzelheiten zu dienstbezogenen Rollen in Resource Explorer finden Sie unter. [Verwenden von serviceverknüpften Rollen für Resource Explorer](security_iam_service-linked-roles.md)

# AWS Resource ExplorerBeispiele für identitätsbasierte -Richtlinien
<a name="security_iam_id-based-policy-examples"></a>

AWS Identity and Access ManagementIAM-Prinzipale wie Rollen, Gruppen und Benutzer verfügen nicht über die Berechtigung zum Erstellen oder Ändern von Resource Explorer-Ressourcen. Sie können auch keine Aufgaben mit derAWS-Managementkonsole,AWS Command Line Interface (AWS CLI) oderAWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die den Prinzipals die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Anschließend muss der Administrator diese Richtlinien den IAM-Prinzipalen zuweisen, die diese Berechtigungen benötigen.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center-Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter [Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
  + Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter [Erstellen einer Rolle für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
  + (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.

**Topics**
+ [Bewährte Methoden für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Resource Explorer-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren des Zugriffs auf eine Ansicht anhand von Stichwörtern](#security_iam_id-based-policy-examples-abac-views)
+ [Zugriff gewähren, um eine Ansicht auf der Grundlage von Tags zu erstellen](#security_iam_id-based-policy-examples-abac-createview)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen](#security_iam_id-based-policy-examples-view-own-permissions)

## Bewährte Methoden für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien können festlegen, ob jemand Resource Explorer-Ressourcen in Ihrem Konto erstellen, zugreifen oder löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
+ **Erste Schritte mit AWS-verwaltete Richtlinien und Umstellung auf Berechtigungen mit den geringsten Berechtigungen** – Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die *AWS-verwaltete Richtlinien* die Berechtigungen für viele allgemeine Anwendungsfälle gewähren. Sie sind in Ihrem AWS-Konto verfügbar. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie AWS-kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [AWS-verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [AWS-verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Service-Aktionen zu gewähren, wenn diese durch ein bestimmtes AWS-Service, wie beispielsweise CloudFormation, verwendet werden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung zum IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Bedarf einer Multi-Faktor-Authentifizierung (MFA)** – Wenn Sie ein Szenario haben, das IAM-Benutzer oder Root-Benutzer in Ihrem AWS-Konto erfordert, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [ Konfigurieren eines MFA-geschützten API-Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Resource Explorer-Konsole
<a name="security_iam_id-based-policy-examples-console"></a>

Damit Principals in derAWS Resource Explorer Konsole suchen können, müssen sie über einen Mindestsatz von Berechtigungen verfügen. Wenn Sie keine identitätsbasierte Richtlinie mit den mindestens erforderlichen Berechtigungen erstellen, funktioniert die Resource Explorer-Konsole nicht wie vorgesehen für die Hauptbenutzer im Konto.

Sie können die benannteAWS verwaltete Richtlinie verwenden`AWSResourceExplorerReadOnlyAccess`, um die Möglichkeit zu gewähren, die Resource Explorer-Konsole für die Suche in einer beliebigen Ansicht im Konto zu verwenden. Informationen zum Erteilen von Suchberechtigungen für nur eine einzige Ansicht finden Sie unter[Zugriff auf Resource Explorer-Ansichten für die Suche gewähren](manage-views-grant-access.md) und in den Beispielen in den folgenden beiden Abschnitten.

Für Prinzipale, die nur Aufrufe an die AWS CLI oder AWS-API durchführen, müssen Sie keine Mindestberechtigungen in der Konsole erteilen. Stattdessen können Sie festlegen, dass nur den Aktionen Zugriff gewährt wird, die den API-Vorgängen entsprechen, die die Prinzipale ausführen müssen.

## Gewähren des Zugriffs auf eine Ansicht anhand von Stichwörtern
<a name="security_iam_id-based-policy-examples-abac-views"></a>

In diesem Beispiel möchten Sie Zugriff auf eine Resource Explorer-Ansicht inAWS-Konto Ihren beiden Hauptverwaltern des Kontos gewähren. Dazu weisen Sie den Prinzipalen, nach denen Sie im Resource Explorer suchen können möchten, identitätsbasierte IAM-Richtlinien zu. Die folgende IAM-Beispielrichtlinie gewährt Zugriff auf jede Anfrage, bei der das an den aufrufenden Principal angehängte`Search-Group` Tag genau mit dem Wert für dasselbe Tag übereinstimmt, das an die in der Anforderung verwendete View angehängt ist.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:*:*:view/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
            }
        }
    ]
}
```

Sie können diese Richtlinie den IAM-Prinzipalen in Ihrem Konto zuweisen. Wenn ein Principal mit dem Tag`Search-Group=A` versucht, in einer Resource Explorer-Ansicht zu suchen, muss die Ansicht ebenfalls mit einem Tag versehen werden`Search-Group=A`. Ist dies nicht der Fall, wird dem Principal der Zugriff verweigert. Der Tag-Schlüssel `Search-Group` der Bedingung stimmt sowohl mit `Search-group` als auch mit `search-group` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.

**Wichtig**  
Um Ihre Ressourcen in vereinheitlichten Suchergebnissen in der anzuzeigenAWS-Managementkonsole, müssen die Prinzipale`GetView` sowohl über als auch über`Search` Berechtigungen für die Standardansicht in derAWS-Region Ansicht verfügen, die den Aggregatorindex enthält. Die einfachste Methode, diese Berechtigungen zu gewähren, besteht darin, die standardmäßige ressourcenbasierte Berechtigung beizubehalten, die an die Ansicht angehängt war, als Sie den Resource Explorer mithilfe der Schnelleinstellungen oder Erweitert aktiviert haben.  
Für dieses Szenario könnten Sie erwägen, die Standardansicht so einzurichten, dass vertrauliche Ressourcen herausgefiltert werden, und dann zusätzliche Ansichten einzurichten, für die Sie tagbasierten Zugriff gewähren, wie im vorherigen Beispiel beschrieben.

## Zugriff gewähren, um eine Ansicht auf der Grundlage von Tags zu erstellen
<a name="security_iam_id-based-policy-examples-abac-createview"></a>

In diesem Beispiel möchten Sie zulassen, dass nur Prinzipale, die mit demselben Tag wie der Index gekennzeichnet sind, Ansichten in dem erstellen könnenAWS-Region, der den Index enthält. Erstellen Sie dazu identitätsbasierte Berechtigungen, damit die Prinzipale mithilfe von Ansichten suchen können.

Jetzt können Sie Berechtigungen zum Erstellen einer Ansicht gewähren. Sie können die Anweisungen in diesem Beispiel zu derselben Berechtigungsrichtlinie hinzufügen, die Sie verwenden, um den entsprechenden Prinzipalen`Search` Berechtigungen zu gewähren. Die Aktionen werden auf der Grundlage der an die Prinzipale angehängten Tags zugelassen oder verweigert, die die Operationen und den Index aufrufen, mit denen die Ansicht verknüpft werden soll. Die folgende IAM-Beispielrichtlinie lehnt jede Anforderung zur Erstellung einer Ansicht ab, wenn der Wert des an den Principal des Aufrufers angefügten`Allow-Create-View` Tags nicht genau mit dem Wert für dasselbe Tag übereinstimmt, das an den Index in der Region angehängt ist, in der die Ansicht erstellt wurde.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "resource-explorer-2:CreateView",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
            }
        }
    ]
}
```

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie enthält Berechtigungen für die Ausführung dieser Aktion auf der Konsole oder für die programmgesteuerte Ausführung über die AWS CLI oder die AWS-API.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

# Beispiel für Service-Kontrollrichtlinien für AWS Organizations und Resource Explorer
<a name="security_iam_scp"></a>

AWS Resource Explorer unterstützt Service-Kontrollrichtlinien (SCPs). SCPs sind Richtlinien, die Sie an Elemente in einer Organisation anfügen, um Berechtigungen innerhalb dieser Organisation zu verwalten. Ein SCP gilt für alle AWS-Konten in einer Organisation [unter dem -Element, an das Sie den SCP anfügen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html). SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen aller Konten Ihrer Organisation. Sie können Ihnen dabei helfen, sicherzustellen, dass Sie die Zugriffskontrollrichtlinien Ihrer Organisation AWS-Konten einhalten. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) im *AWS Organizations -Benutzerhandbuch*.

## Voraussetzungen
<a name="scp-prereqs"></a>

Um SCPs zu verwenden, müssen Sie Folgendes ausführen:
+ Aktivieren aller Funktionen in der Organisation. Weitere Informationen finden Sie unter [Aktivieren aller Funktionen in Ihrer Organisation ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) im *AWS Organizations Benutzerhandbuch*.
+ Aktivieren Sie SCPs für die Verwendung in Ihrer Organisation. Weitere Informationen finden Sie unter [Aktivieren und Deaktivieren von Richtlinientypen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) im *AWS Organizations -Benutzerhandbuch*.
+ Erstellen Sie die SCPs, die Sie benötigen. Weitere Informationen zum Erstellen von SCPs finden Sie unter [ Erstellen und Aktualisieren von SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) im *AWS Organizations -Benutzerhandbuch*.

## Beispiel für Service-Kontrollrichtlinien
<a name="scp-examples"></a>

Das folgende Beispiel zeigt, wie Sie die [attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) verwenden können, um den Zugriff auf die administrativen Vorgänge von Resource Explorer zu steuern. Diese Beispielrichtlinie verweigert den Zugriff auf alle Resource-Explorer-Operationen mit Ausnahme der beiden Berechtigungen, die für die Suche erforderlich sind, `resource-explorer-2:Search` und , es sei denn`resource-explorer-2:GetView`, der IAM-Prinzipal, der die Anforderung stellt, ist mit gekennzeichnet`ResourceExplorerAdmin=TRUE`. Eine vollständigere Erläuterung der Verwendung von ABAC mit Resource Explorer finden Sie unter [Mit Tag-basierter Autorisierung](manage-views-grant-access.md#manage-views-grant-access-abac).

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "resource-explorer-2:AssociateDefaultView",
        "resource-explorer-2:BatchGetView",
        "resource-explorer-2:CreateIndex",
        "resource-explorer-2:CreateView",
        "resource-explorer-2:DeleteIndex",
        "resource-explorer-2:DeleteView",
        "resource-explorer-2:DisassociateDefaultView",
        "resource-explorer-2:GetDefaultView",
        "resource-explorer-2:GetIndex",
        "resource-explorer-2:ListIndexes",
        "resource-explorer-2:ListSupportedResourceTypes",
        "resource-explorer-2:ListTagsForResource",
        "resource-explorer-2:ListViews",
        "resource-explorer-2:TagResource",
        "resource-explorer-2:UntagResource",
        "resource-explorer-2:UpdateIndexType",
        "resource-explorer-2:UpdateView""
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
          "StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
      }
   ]
}
```

# AWS verwaltete Richtlinien für AWS Resource Explorer
<a name="security_iam_awsmanpol"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [kundenverwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

**Allgemeine AWS verwaltete Richtlinien, die Resource Explorer-Berechtigungen beinhalten**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— Gewährt vollen Zugriff auf AWS-Services und Ressourcen. 
+ [ReadOnlyZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) — Gewährt schreibgeschützten Zugriff auf AWS-Services und Ressourcen.
+ [ViewOnlyZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) — Erteilt Berechtigungen zum Anzeigen von Ressourcen und grundlegenden Metadaten für. AWS-Services
**Anmerkung**  
Die in der `ViewOnlyAccess` Richtlinie enthaltenen Resource `Get*` `List` Explorer-Berechtigungen verhalten sich ähnlich wie Berechtigungen, geben jedoch nur einen einzigen Wert zurück, da eine Region nur einen Index und eine Standardansicht enthalten kann.

**AWS verwaltete Richtlinien für Resource Explorer**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)

## AWS verwaltete Richtlinie: AWSResourceExplorerFullAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerFullAccess"></a>

Sie können die `AWSResourceExplorerFullAccess` Richtlinie Ihren IAM-Identitäten zuweisen.

Diese Richtlinie gewährt Berechtigungen, die die vollständige administrative Kontrolle über den Resource Explorer-Dienst ermöglichen. Sie können alle Aufgaben, die mit der Aktivierung und Verwaltung von Resource Explorer verbunden sind, AWS-Regionen in Ihrem Konto ausführen. 

**Details zu Berechtigungen**

Diese Richtlinie umfasst Berechtigungen, die alle Aktionen für Resource Explorer ermöglichen, darunter das Ein- und Ausschalten des Resource Explorers in AWS-Regionen, das Erstellen oder Löschen eines Aggregatorindexes für das Konto, das Erstellen, Aktualisieren und Löschen von Ansichten und das Suchen. Diese Richtlinie umfasst auch Berechtigungen, die nicht Teil von Resource Explorer sind: 
+ `ec2:DescribeRegions`— ermöglicht Resource Explorer den Zugriff auf die Details zu den Regionen in Ihrem Konto.
+ `ram:ListResources`— ermöglicht Resource Explorer, die Ressourcenfreigaben aufzulisten, zu denen Ressourcen gehören.
+ `ram:GetResourceShares`— ermöglicht Resource Explorer, Details zu den Ressourcenfreigaben zu ermitteln, die Ihnen gehören oder die mit Ihnen gemeinsam genutzt werden.
+ `iam:CreateServiceLinkedRole`— ermöglicht Resource Explorer, die erforderliche dienstbezogene Rolle zu erstellen, wenn Sie [Resource Explorer aktivieren, indem Sie den ersten Index erstellen](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
+ `organizations:DescribeOrganization`— ermöglicht Resource Explorer den Zugriff auf Informationen über Ihre Organisation.

Die neueste Version dieser AWS verwalteten Richtlinie finden Sie `[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)` im *Referenzhandbuch für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AWSResourceExplorerReadOnlyAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess"></a>

Sie können die `AWSResourceExplorerReadOnlyAccess` Richtlinie Ihren IAM-Identitäten zuweisen.

Diese Richtlinie gewährt Benutzern nur Leseberechtigungen, mit denen sie ihre Ressourcen mit einfachem Suchzugriff finden können. 

**Details zu Berechtigungen**

Diese Richtlinie umfasst Berechtigungen, die es Benutzern ermöglichen, den Resource Explorer auszuführen `Get*``List*`, sowie `Search` Operationen zum Anzeigen von Informationen über Resource Explorer-Komponenten und Konfigurationseinstellungen, erlaubt Benutzern jedoch nicht, diese zu ändern. Benutzer können auch suchen. Diese Richtlinie umfasst auch zwei Berechtigungen, die nicht Teil von Resource Explorer sind: 
+ `ec2:DescribeRegions`— ermöglicht Resource Explorer den Zugriff auf die Details zu den Regionen in Ihrem Konto.
+ `ram:ListResources`— ermöglicht Resource Explorer, die Ressourcenfreigaben aufzulisten, zu denen Ressourcen gehören.
+ `ram:GetResourceShares`— ermöglicht Resource Explorer, Details zu den Ressourcenfreigaben zu ermitteln, die Ihnen gehören oder die mit Ihnen gemeinsam genutzt werden.
+ `organizations:DescribeOrganization`— ermöglicht Resource Explorer den Zugriff auf Informationen über Ihre Organisation.

Die neueste Version dieser AWS verwalteten Richtlinie finden Sie `[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)` im *Referenzhandbuch für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AWSResourceExplorerServiceRolePolicy
<a name="security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy"></a>

Sie können selbst keine Verbindungen `AWSResourceExplorerServiceRolePolicy` zu IAM-Entitäten herstellen. Diese Richtlinie kann nur einer dienstbezogenen Rolle zugewiesen werden, die es Resource Explorer ermöglicht, Aktionen in Ihrem Namen auszuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Resource Explorer](security_iam_service-linked-roles.md).

Diese Richtlinie gewährt die Berechtigungen, die Resource Explorer benötigt, um Informationen über Ihre Ressourcen abzurufen. Resource Explorer füllt die Indizes, die er in jeder Registrierung verwaltet AWS-Region , auf.

Die neueste Version dieser AWS verwalteten Richtlinie finden Sie unter `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` In der IAM-Konsole.

## AWS verwaltete Richtlinie: AWSResourceExplorerOrganizationsAccess
<a name="security_iam_awsmanpol_AWSResourceExplorerOrganizationsAccess"></a>

Sie können `AWSResourceExplorerOrganizationsAccess` Ihren IAM-Identitäten zuweisen. 

Diese Richtlinie gewährt Resource Explorer Administratorberechtigungen und anderen Benutzern nur Leseberechtigungen, um diesen Zugriff AWS-Services zu unterstützen. Der AWS Organizations Administrator benötigt diese Berechtigungen, um die Suche mit mehreren Konten in der Konsole einzurichten und zu verwalten.

**Details zu Berechtigungen**

Diese Richtlinie umfasst Berechtigungen, die es Administratoren ermöglichen, die Suche mit mehreren Konten für die Organisation einzurichten: 
+ `ec2:DescribeRegions`— Ermöglicht Resource Explorer den Zugriff auf die Details zu den Regionen in Ihrem Konto.
+ `ram:ListResources`— Ermöglicht Resource Explorer, die Ressourcenfreigaben aufzulisten, zu denen Ressourcen gehören.
+ `ram:GetResourceShares`— Ermöglicht Resource Explorer, Details zu den Ressourcenfreigaben zu ermitteln, die Ihnen gehören oder die mit Ihnen gemeinsam genutzt werden.
+ `organizations:ListAccounts`— Ermöglicht Resource Explorer, die Konten innerhalb einer Organisation zu identifizieren.
+ `organizations:ListRoots`— Ermöglicht Resource Explorer, die Stammkonten innerhalb einer Organisation zu identifizieren.
+ `organizations:ListOrganizationalUnitsForParent`— Ermöglicht Resource Explorer, die Organisationseinheiten (OUs) in einer übergeordneten Organisationseinheit oder einem Stamm zu identifizieren.
+ `organizations:ListAccountsForParent`— Ermöglicht Resource Explorer, die Konten in einer Organisation zu identifizieren, die im angegebenen Zielstamm oder in einer Organisationseinheit enthalten sind.
+ `organizations:ListDelegatedAdministrators`— Ermöglicht Resource Explorer, die AWS Konten zu identifizieren, die in dieser Organisation als delegierte Administratoren bezeichnet wurden.
+ `organizations:ListAWSServiceAccessForOrganization`— Ermöglicht Resource Explorer, eine Liste mit denjenigen zu identifizieren AWS-Services , die für die Integration in Ihre Organisation aktiviert wurden.
+ `organizations:DescribeOrganization`— Ermöglicht Resource Explorer, Informationen über die Organisation abzurufen, zu der das Benutzerkonto gehört.
+ `organizations:EnableAWSServiceAccess`— Ermöglicht Resource Explorer, die Integration eines AWS-Service (des Dienstes, der von spezifiziert ist`ServicePrincipal`) mit zu ermöglichen AWS Organizations.
+ `organizations:DisableAWSServiceAccess`— Ermöglicht Resource Explorer, die Integration eines AWS-Service (des Dienstes, der von spezifiziert ist ServicePrincipal) mit zu deaktivieren AWS Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Ermöglicht Resource Explorer, das angegebene Mitgliedskonto zu aktivieren, um die Funktionen des angegebenen AWS Dienstes der Organisation zu verwalten.
+ `organizations:DeregisterDelegatedAdministrator`— Ermöglicht Resource Explorer, das angegebene Mitglied AWS-Konto als delegierten Administrator für den angegebenen Benutzer zu entfernen. AWS-Service
+ `iam:GetRole`— Ermöglicht Resource Explorer, Informationen über die angegebene Rolle abzurufen, einschließlich des Pfads, der GUID, des ARN und der Vertrauensrichtlinie der Rolle, die die Erlaubnis erteilt, die Rolle anzunehmen.
+ `iam:CreateServiceLinkedRole`— Ermöglicht Resource Explorer, die erforderliche dienstbezogene Rolle zu erstellen, wenn Sie [Resource Explorer aktivieren, indem Sie den ersten Index erstellen](manage-service-turn-on-region.md#manage-service-turn-on-region-region).

Die neueste Version dieser AWS verwalteten Richtlinie finden Sie `[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)` in der IAM-Konsole.

## Resource Explorer aktualisiert AWS verwaltete Richtlinien
<a name="security_iam_awsmanpol_updates"></a>

Hier finden Sie Details zu Aktualisierungen der AWS verwalteten Richtlinien für Resource Explorer, seit dieser Dienst diese Änderungen nachverfolgt hat. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem [Dokumentverlauf von Resource Explorer](doc-history.md).


| Änderung | Beschreibung | Datum | 
| --- | --- | --- | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)- Die Richtlinienberechtigungen wurden aktualisiert, um zusätzliche Ressourcentypen anzuzeigen  |  Resource Explorer hat der servicebezogenen Rollenrichtlinie Berechtigungen hinzugefügt [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy), die es Resource Explorer ermöglichen, zusätzliche Ressourcentypen anzuzeigen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 12. Dezember 2023 | 
|  Neue von verwaltete Richtlinie  |  Resource Explorer hat die folgende AWS verwaltete Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14. November 2023 | 
|  Aktualisierte von verwaltete Richtlinien  |  Resource Explorer hat die folgenden AWS verwalteten Richtlinien aktualisiert, um die Suche mit mehreren Konten zu unterstützen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14. November 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Aktualisierte Richtlinie zur Unterstützung der Suche mit mehreren Konten bei Organizations  |  Resource Explorer hat der servicebezogenen Rollenrichtlinie Berechtigungen hinzugefügt`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`, die es dem Resource Explorer ermöglichen, die Suche mehrerer Konten mit Organizations zu unterstützen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 14. November 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Die Richtlinie wurde aktualisiert, um zusätzliche Ressourcentypen zu unterstützen  |  Resource Explorer hat der Richtlinie für dienstbezogene Rollen Berechtigungen hinzugefügt`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`, die es dem Dienst ermöglichen, die folgenden Ressourcentypen zu indizieren: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 17. Oktober 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Die Richtlinie wurde aktualisiert, um zusätzliche Ressourcentypen zu unterstützen  |  Resource Explorer hat der Richtlinie für dienstbezogene Rollen Berechtigungen hinzugefügt`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`, die es dem Dienst ermöglichen, die folgenden Ressourcentypen zu indizieren: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 1. August 2023 | 
|  [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Die Richtlinie wurde aktualisiert, um zusätzliche Ressourcentypen zu unterstützen  |  Resource Explorer hat der Richtlinie für dienstbezogene Rollen Berechtigungen hinzugefügt`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`, die es dem Dienst ermöglichen, die folgenden Ressourcentypen zu indizieren: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 7. März 2023 | 
| Neue verwaltete Richtlinien |  Resource Explorer hat die folgenden AWS verwalteten Richtlinien hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/resource-explorer/latest/userguide/security_iam_awsmanpol.html)  | 7. November 2022 | 
|  Resource Explorer hat begonnen, Änderungen zu verfolgen  |  Resource Explorer hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.  | 7. November 2022 | 

# Verwenden von serviceverknüpften Rollen für Resource Explorer
<a name="security_iam_service-linked-roles"></a>

AWS Resource Explorer verwendet AWS Identity and Access Management (IAM) [dienstbezogene Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine dienstverknüpfte Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Resource Explorer verknüpft ist. Dienstbezogene Rollen sind von Resource Explorer vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere Rollen in Ihrem Namen AWS-Services aufzurufen.

Eine dienstverknüpfte Rolle erleichtert die Konfiguration von Resource Explorer, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Resource Explorer definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Resource Explorer seine Rollen übernehmen. Die definierten Berechtigungen umfassen sowohl die Vertrauensrichtlinie als auch die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugewiesen werden.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie IAM im *IAMBenutzerhandbuch* unter [AWS Services that work with](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie dort in der Spalte **Dienstbezogene Rollen** nach den Diensten, für die **Ja** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Berechtigungen für dienstbezogene Rollen für Resource Explorer
<a name="slr-permissions"></a>

Resource Explorer verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen. `AWSServiceRoleForResourceExplorer` Diese Rolle gewährt dem Resource Explorer-Dienst die Berechtigung, Ressourcen und AWS CloudTrail Ereignisse in AWS-Konto Ihrem Namen anzuzeigen und diese Ressourcen zu indizieren, um die Suche zu unterstützen.

Die mit dem Dienst `AWSServiceRoleForResourceExplorer` verknüpfte Rolle vertraut nur dem Dienst, bei dem der folgende Dienstprinzipal die Rolle übernimmt:
+ `resource-explorer-2.amazonaws.com`

Die genannte Rollenberechtigungsrichtlinie AWSResourceExplorerServiceRolePolicy ermöglicht Resource Explorer nur Lesezugriff, um Ressourcennamen und Eigenschaften für unterstützte Ressourcen abzurufen. AWS Informationen zu den Diensten und Ressourcen, die Resource Explorer unterstützt, finden Sie unter [Ressourcentypen, nach denen Sie mit Resource Explorer suchen können](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html). Eine vollständige Liste aller Aktionen, die diese Rolle ausführen kann, finden Sie in der `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` Richtlinie in der IAM Konsole.

Ein Principal ist eine IAM Entität wie ein Benutzer, eine Gruppe oder eine Rolle. Wenn Sie Resource Explorer beim Erstellen des Indexes in der ersten Region des Kontos die dienstbezogene Rolle für Sie erstellen lassen, benötigt der Principal, der die Aufgabe ausführt, nur die Berechtigungen, die zum Erstellen des Resource Explorer-Indexes erforderlich sind. Um die dienstverknüpfte Rolle manuell mithilfe von zu erstellenIAM, muss der Principal, der die Aufgabe ausführt, über die Berechtigung zum Erstellen einer dienstbezogenen Rolle verfügen. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Berechtigungen für dienstverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions). IAM*

## Eine dienstverknüpfte Rolle für Resource Explorer erstellen
<a name="create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie den Resource Explorer im aktivieren oder den AWS-Managementkonsole ersten [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html) AWS-Region in Ihrem Konto mit dem AWS CLI oder einem ausführen AWS API, erstellt Resource Explorer die dienstbezogene Rolle für Sie. 

Wenn Sie diese serviceverknüpfte Rolle löschen und dann erneut erstellen müssen, können Sie die Rolle in Ihrem Konto mit demselben Verfahren neu anlegen. Wenn Sie sich [RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)in der ersten Region Ihres Kontos befinden, erstellt Resource Explorer die dienstbezogene Rolle erneut für Sie. 

## Bearbeitung einer dienstbezogenen Rolle für Resource Explorer
<a name="edit-slr"></a>

Mit Resource Explorer können Sie die `AWSServiceRoleForResourceExplorer` dienstverknüpfte Rolle nicht bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im *IAMBenutzerhandbuch* unter [Bearbeiten einer dienstbezogenen Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role).

## Löschen einer dienstverknüpften Rolle für Resource Explorer
<a name="delete-slr"></a>

Sie können die IAM Konsole, die oder die verwenden AWS CLI, AWS API um die dienstverknüpfte Rolle manuell zu löschen. Dazu müssen Sie zuerst die Resource Explorer-Indizes aus allen Indizes AWS-Region in Ihrem Konto entfernen. Anschließend können Sie die dienstverknüpfte Rolle manuell löschen.

**Anmerkung**  
Wenn der Resource Explorer-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen fehl. Stellen Sie in diesem Fall sicher, dass alle Indizes aus allen Regionen gelöscht wurden, warten Sie dann einige Minuten und wiederholen Sie den Vorgang.

**Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM**

Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die `AWSServiceRoleForResourceExplorer` dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im *IAMBenutzerhandbuch* unter [Löschen einer dienstbezogenen Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role).

## Unterstützte Regionen für dienstverknüpfte Resource Explorer-Rollen
<a name="slr-regions"></a>

Resource Explorer unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS-Service -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html) in *Allgemeine Amazon Web Services-Referenz*.

# Problembehandlung bei AWS Resource Explorer Berechtigungen
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Resource Explorer und AWS Identity and Access Management (IAM) auftreten können.

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion im Resource Explorer auszuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Resource Explorer-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion im Resource Explorer auszuführen
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen die Anmeldeinformationen zur Verfügung gestellt hat, mit denen Sie diesen Vorgang versucht haben.

Der folgende Fehler tritt beispielsweise auf, wenn jemand, der die IAM-Rolle annimmt, `MyExampleRole` versucht, die Konsole zu verwenden, um Details zu einer Ansicht anzuzeigen, aber nicht `resource-explorer-2:GetView` dazu berechtigt ist.

```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```

In diesem Fall muss die Person, die die Rolle verwendet, den Administrator bitten, die Berechtigungsrichtlinien der Rolle zu aktualisieren, um mithilfe der `resource-explorer-2:GetView` Aktion Zugriff auf die Ansicht zu gewähren.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Resource Explorer-Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, die Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation für den Zugriff auf Ihre Ressourcen verwenden können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Im Fall von Diensten, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (Access Control Lists, ACLs) verwenden, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Resource Explorer diese Funktionen unterstützt, finden Sie unter[So funktioniert Resource Explorer mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

# Datenschutz in AWS Resource Explorer
<a name="data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Resource Explorer. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie im [Abschnitt Datenschutz FAQ](https://aws.amazon.com/compliance/data-privacy-faq/).  Informationen zum Datenschutz in Europa finden Sie im [AWS Shared Responsibility Model und](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im GDPR Blogbeitrag im *AWS Security Blog*.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).
+ Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter [Federal Information Processing Standard](https://aws.amazon.com/compliance/fips/) () 140-3. FIPS

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Resource Explorer oder anderen Geräten AWS-Services über die Konsole arbeiten,API, AWS CLI oder. AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen in den angebenURL, um Ihre Anfrage an diesen Server zu überprüfen.

## Verschlüsselung im Ruhezustand
<a name="encryption-rest"></a>

Zu den vom Resource Explorer gespeicherten Daten gehören die indizierte Liste der Ressourcen und der zugehörigen RessourcenARNs, die vom Kunden verwendet werden, sowie die Ansichten, um auf sie zuzugreifen.

Diese Daten werden im Ruhezustand mithilfe von [AWS Key Management Service (AWS KMS) symmetrischen Verschlüsselungsschlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default) verschlüsselt, die den [Advanced Encryption Standard (AES) im Galois Counter Mode ()](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) [mit 256-Bit-Schlüsseln (-256-GCM)](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf) implementieren. AES GCM

## Verschlüsselung während der Übertragung
<a name="encryption-transit"></a>

Kundenanfragen und alle zugehörigen Daten werden bei der Übertragung mit [Transport Later Security () 1.2 oder höher](https://datatracker.ietf.org/doc/html/rfc5246) verschlüsselt. TLS Alle Resource Explorer-Endpunkte unterstützen HTTPS die Verschlüsselung von Daten während der Übertragung. Eine Liste der Resource Explorer-Dienstendpunkte finden Sie unter [AWS Resource Explorer Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html) Kontingente in der. *Allgemeine AWS-Referenz*

# Compliance-Validierung für AWS Resource Explorer
<a name="compliance-validation"></a>

Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie [AWS-Servicesunter Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/). Allgemeine Informationen finden Sie unter [AWS-Compliance-Programme](https://aws.amazon.com/compliance/programs/).

Sie können Auditberichte von Drittanbietern unter AWS Artifact herunterladen. Weitere Informationen finden Sie unter [Herunterladen von Berichten im](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) von Berichten AWS Artifact im *AWS ArtifactBenutzerhandbuch*.

Ihre Verantwortung für die Einhaltung von Vorschriften bei der Verwendung von Resource Explorer hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWSstellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung von Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) — In diesem Whitepaper wird beschrieben, wie Unternehmen HIPAA-fähige Anwendungen erstellen AWS können.
**Anmerkung**  
AWS-ServicesNicht alle sind HIPAA-fähig. Weitere Informationen finden Sie in der [Referenz für HIPAA-berechtigte Services](https://aws.amazon.com/compliance/hipaa-eligible-services-reference). 
+ [AWS-Compliance-Ressourcen](https://aws.amazon.com/compliance/resources/) – Diese Arbeitsbücher und Leitfäden könnten für Ihre Branche und Ihren Standort relevant sein.
+ [Evaluieren von Ressourcen mit Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config-Entwicklerhandbuch* – AWS Config bewertet, wie gut Ihre Ressourcenkonfigurationen mit internen Praktiken, Branchenrichtlinien und Vorschriften übereinstimmen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – Dieser AWS-Dienst liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS. So können Sie die Compliance mit den Sicherheitsstandards in der Branche und den bewährten Methoden abgleichen.

# Ausfallsicherheit in AWS Resource Explorer
<a name="disaster-recovery-resiliency"></a>

Im Zentrum derAWS globalen -Infrastruktur stehen Availability Zones (AWS-RegionenVerfügbarkeitszonen, AZs). Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.

Weitere Informationen über AWS-Regionen und Availability Zones finden Sie unter [Globale AWS-Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).

# Infrastruktursicherheit in AWS Resource Explorer
<a name="infrastructure-security"></a>

Als verwalteter Dienst AWS Resource Explorer ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API Aufrufe, um über das Netzwerk auf Resource Explorer zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Cipher-Suites mit perfekter Vorwärtsgeheimhaltung (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Weitere Informationen zu AWS globalen Netzwerksicherheitsverfahren finden Sie im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).