# Identity and Access Management für AWS Well-Architected Tool
AWS Identity and Access Management (IAM) ist ein AWS-Service, mit dem Administratoren den Zugriff auf AWS-Ressourcen sicher steuern können. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (Berechtigungen besitzt) ist, um AWS WA Tool Ressourcen zu nutzen. IAM ist ein AWS-Service, den Sie ohne zusätzliche Kosten verwenden können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Funktionsweise von AWS Well-Architected Tool mit IAM](security_iam_service-with-iam.md)
+ [AWS Well-Architected ToolBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)
+ [AWS Von verwaltete Richtlinien für AWS Well-Architected Tool](security-iam-awsmanpol.md)
+ [Fehlerbehebung für AWS Well-Architected Tool-Identität und -Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung für AWS Well-Architected Tool-Identität und -Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Funktionsweise von AWS Well-Architected Tool mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Well-Architected ToolBeispiele für identitätsbasierte -Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Sie melden sich über eine Authentifizierung mit Ihren Anmeldeinformationen bei AWS an. Sie müssen als Root-Benutzer des AWS-Kontos, als IAM-Benutzer oder durch Übernahme einer IAM-Rolle authentifiziert sein.
Sie können sich als Verbundidentität anmelden, indem Sie Anmeldeinformationen von einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Google/Facebook-Anmeldeinformationen verwenden. Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung*.
Für den programmatischen Zugriff bietet AWS ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto-Root-Benutzer
Wenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die als *Root-Benutzer* für das AWS-Konto bezeichnet wird und über kompletten Zugriff auf sämtliche AWS-Services und Ressourcen im Konto verfügt. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Fordern Sie als Best Practice menschliche Benutzer auf, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS-Services zuzugreifen.
Eine *Verbundidentität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Webidentitätsanbieter oder Directory Service, der mit Anmeldeinformationen aus einer Identitätsquelle auf AWS-Services zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie unter [Menschliche Benutzer auffordern, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) im *IAM-Benutzerhandbuch*.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einem Benutzer zu einer IAM-Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) wechseln oder einen AWS CLI oder AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Für die Zugriffssteuerung in AWS erstellen Sie Richtlinien und weisen diese den AWS-Identitäten oder -Ressourcen zu. Eine Richtlinie definiert Berechtigungen, wenn sie einer Identität oder Ressource zugeordnet wird. AWS wertet diese Richtlinien aus, sobald ein Prinzipal eine Anfrage stellt. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können verwaltete AWS-Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, die die maximalen Berechtigungen festlegen können, die von gängigeren Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
+ **Service-Kontrollrichtlinien (SCPs)** – SCPs legen die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in AWS Organizations fest. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations-Benutzerhandbuch*.
+ **Ressourcen-Kontrollrichtlinien (RCPs)** – RCPs definieren die maximale Anzahl an Berechtigungen, die Ressourcen in Ihren Konten zur Verfügung stehen. Weitere Informationen finden Sie unter [Ressourcen-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) im *AWS Organizations-Benutzerhandbuch*.
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn mehrere auf eine Anforderung mehrere Richtlinientypen angewendet werden können, sind die entsprechenden Berechtigungen komplizierter. Informationen dazu, wie AWS die Zulässigkeit einer Anforderung ermittelt, wenn mehrere Richtlinientypen beteiligt sind, finden Sie unter [Logik für die Richtlinienauswertung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Funktionsweise von AWS Well-Architected Tool mit IAM
Bevor Sie IAM zum Verwalten des Zugriffs auf AWS WA Tool verwenden, erfahren Sie, welche IAM-Funktionen Sie mit AWS WA Tool verwenden können.
**IAM-Funktionen, die Sie mit verwenden können AWS Well-Architected Tool**
| IAM-Feature | AWS WA Tool-Support |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
Einen Überblick über das Zusammenwirken von AWS WA Tool und anderen AWS-Services mit den meisten IAM-Funktionen finden Sie unter [AWS-Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## AWS WA ToolIdentitätsbasierte -Richtlinien
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mit AWS-JSON-Richtlinien festlegen, welche Personen zum Zugriff auf welche Ressourcen berechtigt sind. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
## Ressourcenbasierte Richtlinien in AWS WA Tool
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Prinzipale können Konten, Benutzer, Rollen, Verbundbenutzer oder AWS-Services umfassen.
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für AWS WA Tool
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mit AWS-JSON-Richtlinien festlegen, welche Personen zum Zugriff auf welche Ressourcen berechtigt sind. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
Richtlinienaktionen in AWS WA Tool verwenden das folgende Präfix vor der Aktion: `wellarchitected:`. Wenn eine Entity z. B. eine Workload definieren soll, muss ein Administrator eine Richtlinie anfügen, die `wellarchitected:CreateWorkload`-Aktionen zulässt. Um zu verhindern, dass eine Entity Workloads löscht, kann ein Administrator dementsprechend eine Richtlinie anfügen, die `wellarchitected:DeleteWorkload`-Aktionen verweigert. Richtlinienanweisungen müssen ein `Action`- oder `NotAction`-Element enthalten. AWS WA Tool definiert seinen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.
Eine Liste der AWS WA Tool-Aktionen finden Sie unter [Von AWS Well-Architected Tool definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions) in der *Service-Autorisierungs-Referenz*.
## Richtlinienressourcen
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mit AWS-JSON-Richtlinien festlegen, welche Personen zum Zugriff auf welche Ressourcen berechtigt sind. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der AWS WA Tool-Ressourcentypen und ihrer ARNs finden Sie unter [Von AWS Well-Architected Tool definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-resources-for-iam-policies) in der *Service-Autorisierungs-Referenz*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Well-Architected Tool definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-actions-as-permissions).
Die AWS WA Tool-Workload-Ressource verfügt über den folgenden ARN:
```
arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon-Ressourcennamen (ARNs) und AWS-Service-Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Der ARN befindet sich auf der Seite **Workload properties (Workload-Eigenschaften)** für eine Workload. So geben Sie beispielsweise eine bestimmte Workload an:
```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888"
```
Um alle Workloads anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*"
```
Einige AWS WA Tool-Aktionen, z. B. zum Erstellen und Auflisten von Workloads, können auf bestimmten Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Eine Liste der AWS WA Tool-Ressourcentypen und ihrer ARNs finden Sie unter [Von AWS Well-Architected Tool definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-resources-for-iam-policies) in der *Service-Autorisierungs-Referenz*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Well-Architected Tool definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions).
## Richtlinien-Bedingungsschlüssel für AWS WA Tool
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mit AWS-JSON-Richtlinien festlegen, welche Personen zum Zugriff auf welche Ressourcen berechtigt sind. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Liste aller globalen AWS-Bedingungsschlüssel finden Sie unter [Globale AWS-Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
AWS WA Tool stellt einen einzelnen servicespezifischen Bedingungsschlüssel bereit (`wellarchitected:JiraProjectKey`), unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller globalen AWS-Bedingungsschlüssel finden Sie unter [Globale AWS-Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) in der *Service-Authorization-Referenz*.
Administratoren können mit AWS-JSON-Richtlinien festlegen, welche Personen zum Zugriff auf welche Ressourcen berechtigt sind. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Liste aller globalen AWS-Bedingungsschlüssel finden Sie unter [Globale AWS-Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
## ACLs in AWS WA Tool
**Unterstützt ACLs:** Nein
Zugriffssteuerungslisten (ACLs) steuern, welche Prinzipale (Kontomitglieder, Benutzer oder Rollen) auf eine Ressource zugreifen können. ACLs sind ähnlich wie ressourcenbasierte Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Autorisierung auf der Basis von AWS WA Tool-Tags
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS-Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Verwenden temporärer Anmeldeinformationen mit AWS WA Tool
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen bieten kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rolle wechseln. AWS Es wird empfohlen, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporary security credentials in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services that work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipal-Berechtigungen für AWS WA Tool
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward access sessions (FAS) verwendet die Berechtigungen des Prinzipals, der einen AWS-Service aufruft, in Kombination mit der Anforderung an den AWS-Service, Anforderungen an nachgelagerte Services zu stellen. Einzelheiten zu den Richtlinien für FAS-Anfragen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für AWS WA Tool
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
## Serviceverknüpfte Rollen für AWS WA Tool
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einem verknüpft ist AWS-Service. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem AWS-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS-Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# AWS Well-Architected ToolBeispiele für identitätsbasierte -Richtlinien
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS WA Tool-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben ausführen, die die AWS-Managementkonsole-, – AWS CLIoder AWS-API benutzen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der AWS WA Tool-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Erteilen von vollem Zugriff auf Workloads](#security_iam_id-based-policy-examples-full-access)
+ [Erteilen von Lesezugriff auf Workloads](#security_iam_id-based-policy-examples-readonly-access)
+ [Zugreifen auf einen einzelnen Workload](#security_iam_id-based-policy-examples-access-one-workload)
+ [Verwenden eines servicespezifischen Bedingungsschlüssels für den AWS Well-Architected Tool-Konnektor für Jira](#security_iam_id-based-policy-examples-service-specific-condition-key)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS WA Tool-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:
+ **Erste Schritte mit von AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Berechtigungen** – Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die *AWS-verwaltete Richtlinien* die Berechtigungen für viele allgemeine Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar AWS-Konto. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete AWS-Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Service-Aktionen zu gewähren, wenn diese durch ein bestimmtes AWS-Service, wie beispielsweise CloudFormation, verwendet werden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Bedarf einer Multi-Faktor-Authentifizierung (MFA)** – Wenn Sie ein Szenario haben, das IAM-Benutzer oder Root-Benutzer in Ihrem AWS-Konto erfordert, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der AWS WA Tool-Konsole
Um auf die AWS Well-Architected Tool-Konsole zuzugreifen, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen Ihnen das Auflisten und Anzeigen von Details zu den AWS WA Tool-Ressourcen in Ihrem AWS-Konto gestatten. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten die AWS WA Tool-Konsole weiterhin verwenden können, weisen Sie den Entitäten auch die folgende AWS-verwaltete Richtlinie zu:
```
WellArchitectedConsoleReadOnlyAccess
```
Um das Erstellen, Ändern und Löschen von Workloads zuzulassen, weisen Sie den Entitäten die folgende AWS-verwaltete Richtlinie zu:
```
WellArchitectedConsoleFullAccess
```
Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Für Benutzer, die nur Aufrufe an die AWS CLI oder AWS-API durchführen, müssen Sie keine Mindestberechtigungen in der Konsole erteilen. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie enthält Berechtigungen für die Ausführung dieser Aktion auf der Konsole oder für die programmgesteuerte Ausführung über die AWS CLI oder die AWS-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erteilen von vollem Zugriff auf Workloads
In diesem Beispiel möchten Sie einem Benutzer in Ihrem AWS-Konto vollen Zugriff auf Ihre Workloads erteilen. Der Vollzugriff ermöglicht es dem Benutzer, alle Aktionen in auszuführen AWS WA Tool. Dieser Zugriff ist erforderlich, um Workloads zu definieren, Workloads zu löschen, Workloads anzuzeigen und Workloads zu aktualisieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## Erteilen von Lesezugriff auf Workloads
In diesem Beispiel möchten Sie einem Benutzer in Ihrem AWS-Konto Lesezugriff auf Ihre Workloads erteilen. Der schreibgeschützte Zugriff ermöglicht es dem Benutzer nur, Workloads in anzuzeigen AWS WA Tool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:Get*",
"wellarchitected:List*"
],
"Resource": "*"
}
]
}
```
------
## Zugreifen auf einen einzelnen Workload
In diesem Beispiel möchten Sie einem Benutzer in Ihrem AWS-Konto Lesezugriff auf einen Ihrer Workloads (`99999999999955555555555566666666`) in der Region `us-west-2` erteilen. Ihre -Konto-ID ist `777788889999`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:Get*",
"wellarchitected:List*"
],
"Resource": "arn:aws:wellarchitected:us-west-2:777788889999:workload/999999999999555555555555666666666"
}
]
}
```
------
## Verwenden eines servicespezifischen Bedingungsschlüssels für den AWS Well-Architected Tool-Konnektor für Jira
Dieses Beispiel zeigt, wie Sie mithilfe des servicespezifischen Bedingungsschlüssels `wellarchitected:JiraProjectKey` festlegen, welche Jira-Projekte mit Workloads in Ihrem Konto verknüpft werden können.
Im Folgenden werden relevante Verwendungen für den Bedingungsschlüssel beschrieben:
+ **`CreateWorkload:`** Wenn Sie `wellarchitected:JiraProjectKey` auf `CreateWorkload` anwenden, können Sie definieren, welche benutzerdefinierten Jira-Projekte mit einem vom Benutzer erstellten Workload verknüpft werden können. Wenn ein Benutzer beispielsweise versucht, einen neuen Workload mit dem Projekt ABC zu erstellen, die Richtlinie aber das Projekt PQR spezifiziert, wird die Aktion abgelehnt.
+ **`UpdateWorkload:`** Wenn Sie `wellarchitected:JiraProjectKey` auf `UpdateWorkload` anwenden, können Sie definieren, welche benutzerdefinierten Jira-Projekte mit diesem oder einem beliebigen Workload verknüpft werden können. Wenn ein Benutzer beispielsweise versucht, einen vorhandenen Workload mit dem Projekt ABC zu erstellen, die Richtlinie aber das Projekt PQR spezifiziert, wird die Aktion abgelehnt. Wenn der Benutzer einen Workload erstellt hat, der mit dem Projekt PQR verknüpft ist, und versucht, den Workload so zu aktualisieren, dass er mit dem Projekt ABC verknüpft wird, wird die Aktion abgelehnt.
+ **`UpdateGlobalSettings:`** Wenn Sie `wellarchitected:JiraProjectKey` auf `UpdateGlobalSettings` anwenden, können Sie definieren, welche benutzerdefinierten Jira-Projekte mit dem AWS-Konto verknüpft werden können. Die Einstellung auf Kontoebene schützt Workloads in Ihrem Konto, die die Jira-Einstellungen auf Kontoebene nicht überschreiben. Wenn ein Benutzer beispielsweise Zugriff auf `UpdateGlobalSettings` hat, kann er Workloads in Ihrem Konto nicht mit Projekten verknüpfen, die in der Richtlinie nicht angegeben werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"wellarchitected:UpdateGlobalSettings",
"wellarchitected:CreateWorkload"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"wellarchitected:JiraProjectKey": ["ABC, PQR"]
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"wellarchitected:UpdateWorkload"
],
"Resource": "arn:aws:wellarchitected:us-east-1:111122223333:workload/example-workload",
"Condition": {
"StringEqualsIfExists": {
"wellarchitected:JiraProjectKey": ["ABC, PQR"]
}
}
}
]
}
```
------
# AWS Von verwaltete Richtlinien für AWS Well-Architected Tool
Eine von AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Von AWS verwaltete Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit, damit Sie beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass von AWS verwaltete Richtlinien möglicherweise nicht die geringsten Berechtigungen für Ihre spezifischen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Die Berechtigungen, die in den von AWS verwalteten Richtlinien definiert sind, können nicht geändert werden. Wenn AWS-Berechtigungen aktualisiert, die in einer von AWS verwalteten Richtlinie definiert werden, wirkt sich das Update auf alle Prinzipalidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten eine von AWS verwaltete Richtlinie, wenn ein neuer AWS-Service gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: WellArchitectedConsoleFullAccess
Sie können die `WellArchitectedConsoleFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt vollen Zugriff auf AWS Well-Architected Tool.
**Details zu Berechtigungen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: WellArchitectedConsoleReadOnlyAccess
Sie können die `WellArchitectedConsoleReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie erteilt AWS Well-Architected Tool Lesezugriff.
**Details zu Berechtigungen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wellarchitected:Get*",
"wellarchitected:List*",
"wellarchitected:ExportLens"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSWellArchitectedOrganizationsServiceRolePolicy
Sie können die `AWSWellArchitectedOrganizationsServiceRolePolicy`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie erteilt Administratorberechtigungen in AWS Organizations, die zur Unterstützung der AWS Well-Architected Tool-Integration mit Organizations erforderlich sind. Diese Berechtigungen ermöglichen dem Organisationsverwaltungskonto die Aktivierung der Ressourcenfreigabe für AWS WA Tool.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `organizations:ListAWSServiceAccessForOrganization` – Ermöglicht Prinzipalen die Überprüfung, ob der AWS-Servicezugriff für AWS WA Tool aktiviert ist.
+ `organizations:DescribeAccount` – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.
+ `organizations:DescribeOrganization` – Ermöglicht Prinzipalen den Abruf von Informationen über die Konfiguration der Organisation.
+ `organizations:ListAccounts` – Ermöglicht Prinzipalen den Abruf der Liste der Konten, die zu einer Organisation gehören.
+ `organizations:ListAccountsForParent` – Ermöglicht Prinzipalen den Abruf der Liste der Konten, die zu einer Organisation gehören, von einem angegebenen Stammknoten in der Organisation.
+ `organizations:ListChildren` – Ermöglicht Prinzipalen den Abruf der Liste der Konten und Organisationseinheiten, die zu einer Organisation gehören, von einem angegebenen Stammknoten in der Organisation.
+ `organizations:ListParents` – Ermöglicht Prinzipalen den Abruf der Liste der unmittelbaren übergeordneten Elemente, die von der Organisationseinheit oder einem Konto innerhalb einer Organisation angegeben werden.
+ `organizations:ListRoots` – Ermöglicht Prinzipalen den Abruf der Liste aller Stammknoten innerhalb einer Organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
}
]
}
```
------
## AWS-verwaltete Richtlinie: AWSWellArchitectedDiscoveryServiceRolePolicy
Sie können die `AWSWellArchitectedDiscoveryServiceRolePolicy`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie ermöglicht AWS Well-Architected Tool den Zugriff auf AWS-Services und -Ressourcen im Zusammenhang mit AWS WA Tool-Ressourcen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `trustedadvisor:DescribeChecks` – Listet die verfügbaren Trusted Advisor-Überprüfungen auf.
+ `trustedadvisor:DescribeCheckItems` – Ruft Trusted Advisor-Überprüfungsdaten ab, einschließlich Status und Ressourcen, die von Trusted Advisor markiert wurden.
+ `servicecatalog:GetApplication` – Ruft Details einer AppRegistry-Anwendung ab.
+ `servicecatalog:ListAssociatedResources` – Listet Ressourcen auf, die einer AppRegistry-Anwendung zugeordnet sind.
+ `cloudformation:DescribeStacks` – Ruft Details zu CloudFormation-Stacks ab.
+ `cloudformation:ListStackResources` – Listet die den CloudFormation-Stacks zugeordneten Ressourcen auf.
+ `resource-groups:ListGroupResources` – Listet Ressourcen aus einer ResourceGroup auf.
+ `tag:GetResources` – Erforderlich für ListGroupResources.
+ `servicecatalog:CreateAttributeGroup` – Erstellt eine serviceverwaltete Attributgruppe, wenn erforderlich.
+ `servicecatalog:AssociateAttributeGroup` – Ordnet einer AppRegistry-Anwendung eine serviceverwaltete Attributgruppe zu.
+ `servicecatalog:UpdateAttributeGroup` – Aktualisiert eine serviceverwaltete Attributgruppe.
+ `servicecatalog:DisassociateAttributeGroup` – Trennt eine serviceverwaltete Attributgruppe von einer AppRegistry-Anwendung.
+ `servicecatalog:DeleteAttributeGroup` – Löscht eine serviceverwaltete Attributgruppe, wenn erforderlich.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"resource-groups:ListGroupResources",
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"servicecatalog:GetApplication",
"servicecatalog:CreateAttributeGroup"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/applications/*",
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:UpdateAttributeGroup",
"servicecatalog:DeleteAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
}
]
}
```
------
## AWS WA Tool-Aktualisierungen für AWS-verwaltete Richtlinien
Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für AWS WA Tool, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite AWS WA Tool-[Dokumentänderungen](document-revisions.md).
| Änderung | Beschreibung | Datum |
| --- | --- | --- |
| Änderung für AWS WA Tool-verwaltete Richtlinien | Hinzufügung von `"wellarchitected:Export*"` zu ` WellArchitectedConsoleReadOnlyAccess`. | 22. Juni 2023 |
| Hinzufügung einer AWS WA Tool-Richtlinie für Servicerollen | Hinzufügung von `AWSWellArchitectedDiscoveryServiceRolePolicy`, um AWS Well-Architected Tool den Zugriff auf AWS-Services und -Ressourcen zu erteilen, die im Zusammenhang mit AWS WA Tool-Ressourcen stehen. | 3. Mai 2023 |
| Hinzufügung von AWS WA Tool-Berechtigungen | Hinzufügung einer neuen Aktion, um `ListAWSServiceAccessForOrganization` die Berechtigung zu erteilen, AWS WA Tool die Überprüfung zu gestatten, ob der AWS-Servicezugriff für AWS WA Tool aktiviert ist. | 22. Juli 2022 |
| AWS WA Tool hat die Änderungsverfolgung gestartet | AWS WA Tool hat mit der Verfolgung von Änderungen für seine AWS-verwalteten Richtlinien begonnen. | 22. Juli 2022 |
# Fehlerbehebung für AWS Well-Architected Tool-Identität und -Zugriff
Verwenden Sie die folgenden Informationen, um häufige Probleme zu diagnostizieren und zu beheben, die beim Arbeiten mit AWS WA Tool und IAM auftreten könnten.
**Topics**
+ [Ich bin nicht autorisiert, eine Aktion in auszuführen AWS WA Tool](#security_iam_troubleshoot-no-permissions)
## Ich bin nicht autorisiert, eine Aktion in auszuführen AWS WA Tool
Wenn die AWS-Managementkonsole Ihnen mitteilt, dass Sie nicht zur Ausführung einer Aktion autorisiert sind, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Fehler tritt beispielsweise auf, wenn der Benutzer *mateojackson* versucht, die Konsole zur Ausführung der Aktion `DeleteWorkload`DeleteWorkload zu verwenden, jedoch keine Berechtigungen hierfür besitzt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wellarchitected:DeleteWorkload on resource: 11112222333344445555666677778888
```
Bitten Sie in diesem Beispiel Ihren Administrator, Ihre Richtlinien zu aktualisieren, damit Sie über die Aktion `11112222333344445555666677778888` auf die Ressource `wellarchitected:DeleteWorkload` zugreifen können.