Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit
<a name="security"></a>

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses [gemeinsame Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) kann Ihren betrieblichen Aufwand reduzieren, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Für weitere Informationen zur Sicherheit bei AWS besuchen Sie bitte unser [AWS-Sicherheitszentrum](https://aws.amazon.com/security/).

## IAM-Rollen
<a name="iam-roles"></a>

Diese Lösung erstellt IAM-Rollen zur Steuerung und Isolierung von Berechtigungen und folgt dabei der bewährten Methode der geringsten Rechte. Die Lösung gewährt Diensten die folgenden Berechtigungen:

## Hub-Vorlage
<a name="hub-template"></a>

 `RegisterSpokeAccountsFunctionLambdaRole` 
+ Schreibberechtigung für die Amazon DynamoDB-Tabelle, in der Spoke-Konten registriert sind

 `InvokeECSTaskRole` 
+ Erlaubnis zum Erstellen und Ausführen von Amazon ECS-Aufgaben

 `CostOptimizerAdminRole` 
+ Leseberechtigungen für eine Amazon DynamoDB-Tabelle, in der Spoke-Konten registriert sind
+ Nehmen Sie Rollenberechtigungen für `WorkspacesManagementRole` In-Spoke-Konten an
+ Schreibgeschützte Berechtigungen für AWS Directory Service
+ Schreibberechtigungen für Amazon CloudWatch Logs
+ Schreibberechtigungen für Amazon S3
+ Lese- und Schreibberechtigungen für WorkSpaces

 `SolutionHelperRole` 
+ Berechtigung zum Aufrufen einer AWS Lambda Lambda-Funktion zur Generierung eines Universally Unique Identifier (UUID) für Lösungsmetriken

## Spoke-Vorlage
<a name="spoke-template"></a>

 `WorkSpacesManagementRole` 
+ Schreibgeschützte Berechtigungen für AWS Directory Service
+ Schreibberechtigungen für Amazon CloudWatch Logs
+ Schreibberechtigungen für Amazon S3
+ Lese-/Schreibberechtigungen für WorkSpaces

 `AccountRegistrationProviderRole` 
+ Rufen Sie die Lambda-Funktion auf, um das Spoke-Konto im Hub-Kontostapel zu registrieren