Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS X-Ray
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der läuft AWS Cloud. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Weitere Informationen zu den Compliance-Programmen, die für X-Ray gelten, finden Sie unter [AWS-Services Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS-Service , was Sie verwenden. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von X-Ray anwenden können. In den folgenden Themen erfahren Sie, wie Sie X-Ray konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere verwenden können AWS-Services , die Ihnen helfen können, Ihre X-Ray-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [Datenschutz in AWS X-Ray](xray-console-encryption.md)
+ [Identitäts- und Zugriffsmanagement für AWS X-Ray](security-iam.md)
+ [Konformitätsvalidierung für AWS X-Ray](compliance-validation.md)
+ [Resilienz in AWS X-Ray](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS X-Ray](infrastructure-security.md)
# Datenschutz in AWS X-Ray
AWS X-Ray verschlüsselt immer Traces und zugehörige Daten im Ruhezustand. Wenn Sie Verschlüsselungsschlüssel aus Compliance-Gründen oder internen Anforderungen prüfen und deaktivieren müssen, können Sie X-Ray so konfigurieren, dass ein AWS Key Management Service (AWS KMS) -Schlüssel zum Verschlüsseln von Daten verwendet wird.
X-Ray bietet einen Von AWS verwalteter Schlüssel Namen`aws/xray`. Verwenden Sie diesen Schlüssel, wenn Sie [die Schlüsselverwendung in AWS CloudTrail prüfen](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) möchten, den eigentlichen Schlüssel aber nicht verwalten müssen. Wenn Sie den Zugriff auf den Schlüssel verwalten oder die Schlüsselrotation konfigurieren müssen, können Sie [einen vom Kunden verwalteten Schlüssel erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
Wenn Sie die Verschlüsselungseinstellungen ändern, verbringt X-Ray einige Zeit damit, Datenschlüssel zu generieren und zu verbreiten. Während der neue Schlüssel verarbeitet wird, kann X-Ray Daten mit einer Kombination aus den neuen und alten Einstellungen verschlüsseln. Vorhandene Daten werden nicht erneut verschlüsselt, wenn Sie Verschlüsselungseinstellungen ändern.
**Anmerkung**
AWS KMS berechnet Gebühren, wenn X-Ray einen KMS-Schlüssel zum Verschlüsseln oder Entschlüsseln von Trace-Daten verwendet.
**Standardverschlüsselung** — Kostenlos.
**Von AWS verwalteter Schlüssel**— Zahlen Sie für die Nutzung des Schlüssels.
**vom Kunden verwalteter Schlüssel** — Zahlen Sie für die Aufbewahrung und Nutzung der Schlüssel.
Einzelheiten finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).
**Anmerkung**
X-Ray Insights-Benachrichtigungen senden Ereignisse an Amazon EventBridge, das derzeit keine vom Kunden verwalteten Schlüssel unterstützt. Weitere Informationen finden Sie unter [Datenschutz bei Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/data-protection.html).
Sie benötigen Zugriff auf Benutzerebene auf einen vom Kunden verwalteten Schlüssel, um X-Ray für dessen Verwendung zu konfigurieren und dann verschlüsselte Traces anzeigen zu können. Weitere Informationen finden Sie unter [Benutzerberechtigungen für die Verschlüsselung](security_iam_service-with-iam.md#xray-permissions-encryption).
------
#### [ CloudWatch console ]
**So konfigurieren Sie X-Ray für die Verwendung eines KMS-Schlüssels für die Verschlüsselung mithilfe der CloudWatch Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie im Bereich **X-Ray-Traces** unter **Verschlüsselung** die Option **Einstellungen anzeigen**.
1. Wählen Sie im Bereich **Verschlüsselungskonfiguration** die Option **Bearbeiten** aus.
1. Wählen Sie **KMS-Schlüssel verwenden** aus.
1. Wählen Sie einen Schlüssel aus dem Dropdown-Menü aus:
+ **aws/xray** — Verwenden Sie die. Von AWS verwalteter Schlüssel
+ *Schlüsselalias* — Verwenden Sie einen vom Kunden verwalteten Schlüssel in Ihrem Konto.
+ **Manuelles Eingeben eines Schlüssel-ARN** — Verwenden Sie einen vom Kunden verwalteten Schlüssel in einem anderen Konto. Geben Sie den vollständigen Amazon-Ressourcennamen (ARN) des Schlüssels in das entsprechende Feld ein.
1. Wählen Sie **Verschlüsselung aktualisieren**.
------
#### [ X-Ray console ]
**So konfigurieren Sie X-Ray für die Verwendung eines KMS-Schlüssels für die Verschlüsselung mithilfe der X-Ray-Konsole**
1. Öffnen Sie die [X-Ray-Konsole](https://console.aws.amazon.com/xray/home#).
1. Wählen Sie **Encryption (Verschlüsselung)** aus.
1. Wählen Sie **KMS-Schlüssel verwenden**.
1. Wählen Sie einen Schlüssel aus dem Dropdown-Menü aus:
+ **aws/xray** — Verwenden Sie die. Von AWS verwalteter Schlüssel
+ *Schlüsselalias* — Verwenden Sie einen vom Kunden verwalteten Schlüssel in Ihrem Konto.
+ **Manuelles Eingeben eines Schlüssel-ARN** — Verwenden Sie einen vom Kunden verwalteten Schlüssel in einem anderen Konto. Geben Sie den vollständigen Amazon-Ressourcennamen (ARN) des Schlüssels in das entsprechende Feld ein.
1. Wählen Sie **Anwenden** aus.
------
**Anmerkung**
X-Ray unterstützt keine asymmetrischen KMS-Schlüssel.
Wenn X-Ray nicht auf Ihren Verschlüsselungsschlüssel zugreifen kann, werden keine Daten mehr gespeichert. Dies kann passieren, wenn Ihr Benutzer den Zugriff auf den KMS-Schlüssel verliert oder wenn Sie einen Schlüssel deaktivieren, der gerade verwendet wird. In diesem Fall zeigt X-Ray eine Benachrichtigung in der Navigationsleiste an.
Informationen zur Konfiguration von Verschlüsselungseinstellungen mit der X-Ray-API finden Sie unter[Konfiguration von Sampling-, Gruppen- und Verschlüsselungseinstellungen mit der AWS X-Ray API](xray-api-configuration.md).
# Identitäts- und Zugriffsmanagement für AWS X-Ray
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um X-Ray-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS X-Ray funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS X-Ray Beispiele für identitätsbasierte Politik](security_iam_id-based-policy-examples.md)
+ [Fehlerbehebung bei AWS X-Ray Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS X-Ray Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS X-Ray funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS X-Ray Beispiele für identitätsbasierte Politik](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS X-Ray funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf X-Ray zu verwalten, sollten Sie wissen, welche IAM-Funktionen für die Verwendung mit X-Ray verfügbar sind. Einen allgemeinen Überblick darüber, wie X-Ray und andere Produkte mit IAM AWS-Services funktionieren [AWS-Services , finden Sie unter That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
Sie können AWS Identity and Access Management (IAM) verwenden, um Benutzern X-Ray-Berechtigungen zu gewähren und Ressourcen in Ihrem Konto zu berechnen. IAM steuert den Zugriff auf den X-Ray-Dienst auf API-Ebene, um Berechtigungen einheitlich durchzusetzen, unabhängig davon, welchen Client (Konsole, AWS SDK AWS CLI) Ihre Benutzer verwenden.
Um [die X-Ray-Konsole zum Anzeigen von Trace-Maps und Segmenten zu verwenden](aws-xray-interface-console.md#xray-console), benötigen Sie lediglich Leseberechtigungen. Um den Zugriff auf die Konsole zu ermöglichen, fügen Sie Ihrem IAM-Benutzer die `AWSXrayReadOnlyAccess` [verwaltete Richtlinie](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies) hinzu.
Erstellen Sie für [lokale Entwicklungen und Tests](#xray-permissions-local) eine IAM-Rolle mit Lese- und Schreibberechtigungen. [Übernehmen Sie die Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) und speichern Sie temporäre Anmeldeinformationen für die Rolle. Sie können diese Anmeldeinformationen mit dem X-Ray-Daemon AWS CLI, dem und dem AWS SDK verwenden. Weitere Informationen finden Sie [unter Verwenden temporärer Sicherheitsanmeldedaten mit dem AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
Um [Ihre instrumentierte App bereitzustellen AWS](#xray-permissions-aws), erstellen Sie eine IAM-Rolle mit Schreibberechtigungen und weisen Sie sie den Ressourcen zu, auf denen Ihre Anwendung ausgeführt wird. `AWSXRayDaemonWriteAccess`beinhaltet die Erlaubnis, Traces hochzuladen, und einige Leseberechtigungen, um die Verwendung von [Sampling-Regeln](xray-console-sampling.md) zu unterstützen.
Die Lese- und Schreibrichtlinien enthalten keine Berechtigung zum Konfigurieren von [Einstellungen für den Verschlüsselungsschlüssel](xray-console-encryption.md) und Samplingregeln. Wird verwendet, `AWSXrayFullAccess` um auf diese Einstellungen zuzugreifen oder eine [Konfiguration APIs](xray-api-configuration.md) in einer benutzerdefinierten Richtlinie hinzuzufügen. Für Verschlüsselung und Entschlüsselung mit einem von Ihnen erstellten kundenverwalteten Schlüssel benötigen Sie auch die [Berechtigung zur Verwendung des Schlüssels](#xray-permissions-encryption).
**Topics**
+ [Identitätsbasierte X-Ray-Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte X-Ray-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf Basis von X-Ray-Tags](#security_iam_service-with-iam-tags)
+ [Lokale Ausführung Ihrer Anwendung](#xray-permissions-local)
+ [Ihre Anwendung wird ausgeführt in AWS](#xray-permissions-aws)
+ [Benutzerberechtigungen für die Verschlüsselung](#xray-permissions-encryption)
## Identitätsbasierte X-Ray-Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. X-Ray unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in X-Ray verwenden das folgende Präfix vor der Aktion:`xray:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, Gruppenressourcendetails mit dem `GetGroup` X-Ray-API-Vorgang abzurufen, nehmen Sie die `xray:GetGroup` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. X-Ray definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"xray:action1",
"xray:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Get` beginnen, einschließlich der folgenden Aktion:
```
"Action": "xray:Get*"
```
Eine Liste der X-Ray-Aktionen finden Sie unter [Definierte Aktionen von AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html) im *IAM-Benutzerhandbuch*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Sie können den Zugriff auf Ressourcen mithilfe einer IAM-Richtlinie steuern. Für Aktionen, die Berechtigungen auf Ressourcenebene unterstützen, verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt.
Alle X-Ray-Aktionen können in einer IAM-Richtlinie verwendet werden, um Benutzern die Erlaubnis zur Verwendung dieser Aktion zu erteilen oder zu verweigern. Allerdings unterstützen nicht alle [X-Ray-Aktionen](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) Berechtigungen auf Ressourcenebene, mit denen Sie angeben können, für welche Ressourcen eine Aktion ausgeführt werden kann.
Für Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, muss „`*`“ als Ressource verwendet werden.
Die folgenden X-Ray-Aktionen unterstützen Berechtigungen auf Ressourcenebene:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Nachstehend finden Sie ein Beispiel für eine identitätsbasierte Berechtigungsrichtlinie für eine `CreateGroup`-Aktion: Das Beispiel zeigt die Verwendung eines ARN in Bezug auf den Gruppennamen `local-users` mit der eindeutigen ID als Platzhalter. Die eindeutige ID wird generiert, wenn die Gruppe erstellt wird, und kann daher in der Richtlinie nicht im Voraus vorhergesehen werden. Bei der Verwendung von `GetGroup`, `UpdateGroup` oder `DeleteGroup` können Sie diese entweder als Platzhalter oder als den genauen ARN definieren, einschließlich ID.
**Anmerkung**
Der ARN einer Sampling-Regel definiert sich anhand ihres Namens. Im Gegensatz zu Gruppen ARNs haben Stichprobenregeln keine eindeutig generierte ID.
Eine Liste der X-Ray-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Defined by AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS X-Ray definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html).
### Bedingungsschlüssel
X-Ray stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für identitätsbasierte X-Ray-Richtlinien finden Sie unter. [AWS X-Ray Beispiele für identitätsbasierte Politik](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte X-Ray-Richtlinien
X-Ray unterstützt ressourcenbasierte Richtlinien für die aktuelle und future AWS-Service Integration, wie [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-active-tracing.html) Active Tracing. Ressourcenbasierte X-Ray-Richtlinien können durch andere AWS-Managementkonsole s oder über das AWS SDK oder die CLI aktualisiert werden. Die Amazon SNS SNS-Konsole versucht beispielsweise, automatisch ressourcenbasierte Richtlinien für das Senden von Traces an X-Ray zu konfigurieren. Das folgende Richtliniendokument enthält ein Beispiel für die manuelle Konfiguration ressourcenbasierter X-Ray-Richtlinien.
**Example Beispiel für eine ressourcenbasierte X-Ray-Richtlinie für Amazon SNS Active Tracing**
Dieses Beispielrichtliniendokument spezifiziert die Berechtigungen, die Amazon SNS benötigt, um Trace-Daten an X-Ray zu senden:
```
{
Version: "2012-10-17",
Statement: [
{
Sid: "SNSAccess",
Effect: Allow,
Principal: {
Service: "sns.amazonaws.com",
},
Action: [
"xray:PutTraceSegments",
"xray:GetSamplingRules",
"xray:GetSamplingTargets"
],
Resource: "*",
Condition: {
StringEquals: {
"aws:SourceAccount": "account-id"
},
StringLike: {
"aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
}
}
}
]
}
```
Verwenden Sie die CLI, um eine ressourcenbasierte Richtlinie zu erstellen, die Amazon SNS Berechtigungen zum Senden von Trace-Daten an X-Ray erteilt:
```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
Um diese Beispiele zu verwenden, ersetzen Sie*`partition`*, *`region`**`account-id`*, und *`topic-name`* durch Ihre spezifische AWS Partition, Region, Konto-ID und Ihren Amazon SNS SNS-Themennamen. Um allen Amazon SNS SNS-Themen die Erlaubnis zu geben, Trace-Daten an X-Ray zu senden, ersetzen Sie den Themennamen durch. `*`
## Autorisierung auf Basis von X-Ray-Tags
Sie können Tags an X-Ray-Gruppen oder Sampling-Regeln anhängen oder Tags in einer Anfrage an X-Ray übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `xray:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von X-Ray-Ressourcen finden Sie unter[Kennzeichnen von Regeln und Gruppen für die Röntgenprobenahme](xray-tagging.md).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Verwaltung des Zugriffs auf X-Ray-Gruppen und Stichprobenregeln auf der Grundlage von Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags).
## Lokale Ausführung Ihrer Anwendung
Ihre instrumentierte Anwendung sendet Trace-Daten an den X-Ray-Daemon. Der Daemon puffert segmentierte Dokumente und lädt sie stapelweise in den X-Ray-Dienst hoch. Der Daemon benötigt Schreibberechtigungen, um Trace-Daten und Telemetrie in den X-Ray-Dienst hochzuladen.
Wenn Sie [den Daemon lokal ausführen](xray-daemon-local.md), erstellen Sie eine IAM-Rolle, [übernehmen Sie die Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) und speichern Sie temporäre Anmeldeinformationen in Umgebungsvariablen oder in einer Datei, die in einem Ordner benannt `credentials` ist, der `.aws` in Ihrem Benutzerordner heißt. Weitere Informationen finden Sie [unter Verwenden temporärer Sicherheitsanmeldedaten mit dem AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
**Example \$1/.aws/credentials**
```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}
```
Wenn Sie bereits Anmeldeinformationen für die Verwendung mit dem AWS SDK oder konfiguriert haben AWS CLI, kann der Daemon diese verwenden. Wenn mehrere Profile verfügbar sind, verwendet der Daemon das Standard-Profil.
## Ihre Anwendung wird ausgeführt in AWS
Wenn Sie Ihre Anwendung auf ausführen AWS, verwenden Sie eine Rolle, um der Amazon EC2 EC2-Instance oder Lambda-Funktion, die den Daemon ausführt, Berechtigungen zu erteilen.
+ **Amazon Elastic Compute Cloud (Amazon EC2)** [— Erstellen Sie eine IAM-Rolle und fügen Sie sie der EC2-Instance als Instance-Profil hinzu.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)
+ **Amazon Elastic Container Service (Amazon ECS)** — Erstellen Sie eine IAM-Rolle und hängen Sie sie als [Container-Instance-IAM-Rolle an Container-Instances](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) an.
+ **AWS Elastic Beanstalk (Elastic Beanstalk)** [— Elastic Beanstalk enthält X-Ray-Berechtigungen in seinem Standard-Instanzprofil.](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance) Sie können das Standard-Instance-Profil verwenden oder einem benutzerdefinierten Instance-Profil Schreibberechtigungen hinzufügen.
+ **AWS Lambda (Lambda)** — Fügen Sie der Ausführungsrolle Ihrer Funktion Schreibberechtigungen hinzu.
**Um eine Rolle für die Verwendung mit X-Ray zu erstellen**
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/home).
1. Wählen Sie **Roles**.
1. Klicken Sie auf **Create New Role**.
1. Geben Sie für **Role Name (Name der Rolle)** **xray-application** ein. Wählen Sie **Next Step (Weiter)** aus.
1. Wählen Sie für **Rollentyp** **Amazon EC2**.
1. Fügen Sie die folgende verwaltete Richtlinie hinzu, auf die Ihre Anwendung Zugriff hat AWS-Services:
+ **AWSXRayDaemonWriteAccess**— Erlaubt dem X-Ray-Daemon die Erlaubnis, Trace-Daten hochzuladen.
Wenn Ihre Anwendung das AWS SDK für den Zugriff auf andere Dienste verwendet, fügen Sie Richtlinien hinzu, die den Zugriff auf diese Dienste gewähren.
1. Wählen Sie **Next Step (Weiter)** aus.
1. Wählen Sie **Rolle erstellen** aus.
## Benutzerberechtigungen für die Verschlüsselung
X-Ray verschlüsselt standardmäßig alle Trace-Daten, und Sie können [es so konfigurieren, dass ein von Ihnen verwalteter Schlüssel verwendet](xray-console-encryption.md) wird. Wenn Sie sich für einen vom AWS Key Management Service Kunden verwalteten Schlüssel entscheiden, müssen Sie sicherstellen, dass die Zugriffsrichtlinie des Schlüssels es Ihnen ermöglicht, X-Ray die Erlaubnis zu erteilen, ihn zum Verschlüsseln zu verwenden. Andere Benutzer in Ihrem Konto benötigen ebenfalls Zugriff auf den Schlüssel, um verschlüsselte Trace-Daten in der X-Ray-Konsole anzeigen zu können.
Für einen vom Kunden verwalteten Schlüssel konfigurieren Sie Ihren Schlüssel mit einer Zugriffsrichtlinie, die die folgenden Aktionen ermöglicht:
+ Der Benutzer, der den Schlüssel in X-Ray konfiguriert, hat die Berechtigung, `kms:CreateGrant` und `kms:DescribeKey` anzurufen.
+ Benutzer, die auf verschlüsselte Ablaufverfolgungsdaten zugreifen können, besitzen die Berechtigung zum Aufruf von `kms:Decrypt`.
Wenn Sie der Gruppe Hauptbenutzer im Bereich **Schlüsselkonfiguration der IAM-Konsole einen Benutzer** hinzufügen, hat er die erforderlichen Rechte für beide Operationen. Die Berechtigungen müssen nur für die Schlüsselrichtlinie festgelegt werden, sodass Sie keine AWS KMS Berechtigungen für Ihre Benutzer, Gruppen oder Rollen benötigen. Weitere Informationen finden Sie unter [Verwenden wichtiger Richtlinien im AWS KMS Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Bei der Standardverschlüsselung oder wenn Sie das AWS verwaltete CMK (`aws/xray`) wählen, hängt die Berechtigung davon ab, wer Zugriff auf X-Ray APIs hat. Jeder Benutzer mit Zugriff auf [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html), enthalten in `AWSXrayFullAccess`, kann die Verschlüsselungskonfiguration ändern. Um zu verhindern, dass ein Benutzer den Verschlüsselungsschlüssel ändert, gewähren Sie ihm nicht die Berechtigung zur Verwendung von [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html).
# AWS X-Ray Beispiele für identitätsbasierte Politik
Standardmäßig sind Benutzer und Rollen nicht berechtigt, X-Ray-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der X-Ray-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Verwaltung des Zugriffs auf X-Ray-Gruppen und Stichprobenregeln auf der Grundlage von Tags](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [Von IAM verwaltete Richtlinien für X-Ray](#xray-permissions-managedpolicies)
+ [X-Ray-Updates für AWS verwaltete Richtlinien](#xray-permissions-managedpolicies-history)
+ [Angabe einer Ressource innerhalb einer IAM-Richtlinie](#xray-permissions-resources)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand X-Ray-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der X-Ray-Konsole
Um auf die AWS X-Ray Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den X-Ray-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten weiterhin die X-Ray-Konsole verwenden können, hängen Sie die `AWSXRayReadOnlyAccess` AWS verwaltete Richtlinie an die Entitäten an. Diese Richtlinie wird unter [IAM-verwaltete Richtlinien für X-Ray](#xray-permissions-managedpolicies) ausführlicher beschrieben. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Verwaltung des Zugriffs auf X-Ray-Gruppen und Stichprobenregeln auf der Grundlage von Tags
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf X-Ray-Gruppen und Stichprobenregeln auf der Grundlage von Stichwörtern zu steuern. Die folgende Beispielrichtlinie könnte verwendet werden, um einer Benutzerrolle die Berechtigungen zum Erstellen, Löschen oder Aktualisieren von Gruppen mit den Tags `stage:prod` oder zu verweigern. `stage:preprod` Weitere Informationen zum Markieren von Regeln und Gruppen für die Röntgenabtastung finden Sie unter[Kennzeichnen von Regeln und Gruppen für die Röntgenprobenahme](xray-tagging.md).
Um die Erstellung einer Stichprobenregel `aws:RequestTag` zu verweigern, geben Sie damit Tags an, die nicht als Teil einer Erstellungsanforderung übergeben werden können. Um die Aktualisierung oder Löschung einer Stichprobenregel `aws:ResourceTag` zu verweigern, verwenden Sie „Ablehnen“ von Aktionen, die auf den Tags dieser Ressourcen basieren.
Sie können diese Richtlinien den Benutzern in Ihrem Konto zuordnen (oder sie zu einer einzigen Richtlinie zusammenfassen und dann die Richtlinie anhängen). Damit der Benutzer Änderungen an einer Gruppen- oder Stichprobenregel vornehmen kann, darf die Gruppen- oder Stichprobenregel nicht mit `stage=prepod` oder gekennzeichnet sein`stage=prod`. Der Tag-Schlüssel `Stage` der Bedingung stimmt sowohl mit `Stage` als auch mit `stage` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen zum Bedingungsblock finden Sie unter [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
Ein Benutzer mit einer Rolle, der die folgende Richtlinie zugewiesen ist, kann das Tag nicht `role:admin` zu Ressourcen hinzufügen und keine Tags aus einer Ressource entfernen, die `role:admin` damit verknüpft ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## Von IAM verwaltete Richtlinien für X-Ray
Um die Erteilung von Berechtigungen zu vereinfachen, unterstützt IAM **verwaltete Richtlinien** für jeden Dienst. Ein Service kann diese verwalteten Richtlinien mit neuen Berechtigungen aktualisieren, wenn er neue APIs veröffentlicht. AWS X-Ray stellt verwaltete Richtlinien für nur Lese-, Schreib- und Administratoranwendungsfälle bereit.
+ `AWSXrayReadOnlyAccess`— Leseberechtigungen für die Verwendung der X-Ray-Konsole oder des AWS SDK zum Abrufen von Trace-Daten, Trace-Maps, Erkenntnissen und der X-Ray-Konfiguration von der X-Ray-API. AWS CLI Beinhaltet Observability Access Manager (OAM) `oam:ListSinks` und `oam:ListAttachedSinks` Berechtigungen, die es der Konsole ermöglichen, im Rahmen der [CloudWatch kontenübergreifenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Observability geteilte Traces von Quellkonten einzusehen. Die `GetDistinctTraceGraphs` API-Aktionen `BatchGetTraceSummaryById` und sind nicht dafür vorgesehen, von Ihrem Code aufgerufen zu werden, und sie sind auch nicht im und enthalten. AWS CLI AWS SDKs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess`— Schreibberechtigungen für die Verwendung des X-Ray-Daemons oder AWS SDK zum Hochladen von Segmentdokumenten und Telemetrie in die X-Ray-API. AWS CLI Umfasst Leseberechtigungen zum Abrufen von [Samplingregeln](xray-console-sampling.md) und zur Berichterstellung zu Samplingergebnissen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration`— Erteilt Berechtigungen zum Erstellen, Verwalten und Anzeigen von Observability Access Manager-Links für die gemeinsame Nutzung von X-Ray-Ressourcen zwischen Konten. Wird verwendet, um die [CloudWatch kontenübergreifende Observability](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) zwischen Quell- und Monitoring-Konten zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess`— Erlaubnis zur Nutzung aller APIs X-Ray-Inhalte, einschließlich Lese- und Schreibberechtigungen sowie der Erlaubnis, Verschlüsselungsschlüsseleinstellungen und Sampling-Regeln zu konfigurieren. Beinhaltet Observability Access Manager (OAM) `oam:ListSinks` und `oam:ListAttachedSinks` Berechtigungen, die es der Konsole ermöglichen, im Rahmen der [CloudWatch kontenübergreifenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Observability geteilte Traces von Quellkonten einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**So fügen Sie einem IAM-Benutzer, einer Gruppe oder einer Rolle eine veraltete Richtlinie hinzu:**
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/home).
1. Öffnen Sie die Rolle, die Ihrem Instance-Profil, einem IAM-Benutzer oder einer IAM-Gruppe zugewiesen ist.
1. Fügen Sie unter **Berechtigungen** die verwaltete Richtlinie an.
## X-Ray-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für X-Ray an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [X-Ray-Dokument-Verlaufsseite](document-history.md).
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [IAM-verwaltete Richtlinien für X-Ray](#xray-permissions-managedpolicies) — Neue `AWSXrayCrossAccountSharingConfiguration` `AWSXrayReadOnlyAccess` und aktualisierte `AWSXrayFullAccess` Richtlinien hinzugefügt. | X-Ray fügte Observability Access Manager (OAM) -Berechtigungen `oam:ListSinks` und `oam:ListAttachedSinks` zu diesen Richtlinien hinzu, sodass die Konsole im Rahmen der [CloudWatch kontoübergreifenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Observability von Quellkonten geteilte Traces anzeigen kann. | 27. November 2022 |
| [IAM-verwaltete Richtlinien für X-Ray](#xray-permissions-managedpolicies) — Aktualisierung der `AWSXrayReadOnlyAccess` Richtlinie. | X-Ray hat eine API-Aktion hinzugefügt,`ListResourcePolicies`. | 15. November 2022 |
| [Verwenden der X-Ray-Konsole](#security_iam_id-based-policy-examples-console) — Aktualisierung der `AWSXrayReadOnlyAccess` Richtlinie | X-Ray hat zwei neue API-Aktionen hinzugefügt, `BatchGetTraceSummaryById` und`GetDistinctTraceGraphs`. Diese Aktionen sind nicht dafür vorgesehen, von Ihrem Code aufgerufen zu werden. Daher sind diese API-Aktionen nicht im AWS CLI und enthalten AWS SDKs. | 11. November 2022 |
## Angabe einer Ressource innerhalb einer IAM-Richtlinie
Sie können den Zugriff auf Ressourcen mithilfe einer IAM-Richtlinie steuern. Für Aktionen, die Berechtigungen auf Ressourcenebene unterstützen, verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt.
Alle X-Ray-Aktionen können in einer IAM-Richtlinie verwendet werden, um Benutzern die Erlaubnis zur Verwendung dieser Aktion zu erteilen oder zu verweigern. Allerdings unterstützen nicht alle [X-Ray-Aktionen](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) Berechtigungen auf Ressourcenebene, mit denen Sie angeben können, für welche Ressourcen eine Aktion ausgeführt werden kann.
Für Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, muss „`*`“ als Ressource verwendet werden.
Die folgenden X-Ray-Aktionen unterstützen Berechtigungen auf Ressourcenebene:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Nachstehend finden Sie ein Beispiel für eine identitätsbasierte Berechtigungsrichtlinie für eine `CreateGroup`-Aktion: Das Beispiel zeigt die Verwendung eines ARN in Bezug auf den Gruppennamen `local-users` mit der eindeutigen ID als Platzhalter. Die eindeutige ID wird generiert, wenn die Gruppe erstellt wird, und kann daher in der Richtlinie nicht im Voraus vorhergesehen werden. Bei der Verwendung von `GetGroup`, `UpdateGroup` oder `DeleteGroup` können Sie diese entweder als Platzhalter oder als den genauen ARN definieren, einschließlich ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
Nachstehend finden Sie ein Beispiel für eine identitätsbasierte Berechtigungsrichtlinie für eine `CreateSamplingRule`-Aktion:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**Anmerkung**
Der ARN einer Sampling-Regel definiert sich anhand ihres Namens. Im Gegensatz zu Gruppen ARNs haben Stichprobenregeln keine eindeutig generierte ID.
# Fehlerbehebung bei AWS X-Ray Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit X-Ray und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in X-Ray durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich bin Administrator und möchte anderen den Zugriff auf X-Ray ermöglichen](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine X-Ray-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in X-Ray durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` Benutzer versucht, die Konsole zu verwenden, um Details zu einer Stichprobenregel anzuzeigen, aber nicht über die `xray:GetSamplingRules` entsprechenden Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName}
```
In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, um ihm den Zugriff auf die Sampling-Regel-Ressource mit der `xray:GetSamplingRules`-Aktion zu ermöglichen.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an X-Ray übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in X-Ray auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin Administrator und möchte anderen den Zugriff auf X-Ray ermöglichen
Um anderen den Zugriff auf X-Ray zu ermöglichen, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die Erlaubnis erteilen. Wenn Sie Benutzer und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie hinzufügen, die ihr die richtigen Berechtigungen in X-Ray gewährt. Nachdem die Berechtigungen erteilt wurden, geben Sie die Anmeldeinformationen an den Benutzer oder Anwendungsentwickler weiter. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine X-Ray-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob X-Ray diese Funktionen unterstützt, finden Sie unter[Wie AWS X-Ray funktioniert mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Einloggen und Überwachen AWS X-Ray
Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung von Zuverlässigkeit, Verfügbarkeit und Performance Ihrer AWS -Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. AWS bietet mehrere Tools zur Überwachung Ihrer X-Ray-Ressourcen und zur Reaktion auf potenzielle Vorfälle:
**AWS CloudTrail Logs**
AWS X-Ray lässt sich integrieren AWS CloudTrail , um API-Aktionen aufzuzeichnen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in X-Ray ausgeführt wurden. Sie können CloudTrail damit X-Ray-API-Anfragen in Echtzeit überwachen und Protokolle in Amazon S3, Amazon CloudWatch Logs und Amazon CloudWatch Events speichern. Weitere Informationen finden Sie unter [Protokollierung von X-Ray-API-Aufrufen mit AWS CloudTrail](xray-api-cloudtrail.md).
**AWS Config Nachverfolgung**
AWS X-Ray integriert sich in AWS Config , um Konfigurationsänderungen aufzuzeichnen, die an Ihren X-Ray-Verschlüsselungsressourcen vorgenommen wurden. Sie können AWS Config damit Ressourcen für die X-Ray-Verschlüsselung inventarisieren, den X-Ray-Konfigurationsverlauf überprüfen und Benachrichtigungen auf Grundlage von Ressourcenänderungen versenden. Weitere Informationen finden Sie unter [Verfolgen von Konfigurationsänderungen bei der X-Ray-Verschlüsselung mit AWS Config](xray-api-config.md).
** CloudWatch Amazon-Überwachung**
Sie können das X-Ray SDK for Java verwenden, um CloudWatch Amazon-Metriken ohne Stichproben aus Ihren gesammelten X-Ray-Segmenten zu veröffentlichen. Diese Metriken werden von der Start- und Endzeit des Segments sowie den Status-Flags für Fehler, Ausfall und Ablehnung abgeleitet. Mit diesen Trace-Metriken können Sie Wiederholungen und Abhängigkeitsprobleme in Teilsegmenten anzeigen. Weitere Informationen finden Sie unter [AWS X-Ray Metriken für das X-Ray SDK for Java](xray-sdk-java.md#xray-sdk-java-monitoring).
# Konformitätsvalidierung für AWS X-Ray
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in AWS X-Ray
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Infrastruktursicherheit in AWS X-Ray
Als verwalteter Dienst AWS X-Ray ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf X-Ray zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Verwendung AWS X-Ray mit VPC-Endpunkten
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und X-Ray herstellen. Dadurch können Ressourcen in Ihrer Amazon VPC mit dem X-Ray-Service kommunizieren, ohne das öffentliche Internet nutzen zu müssen.
Amazon VPC ist eine AWS-Service , mit der Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit X-Ray zu verbinden, definieren Sie einen [VPC-Schnittstellen-Endpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu X-Ray, ohne dass ein Internet-Gateway, eine NAT-Instanz (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter [Was ist Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) im *Benutzerhandbuch zu Amazon VPC*.
Schnittstelle, auf der VPC-Endpunkte basieren AWS PrivateLink, eine AWS Technologie, die eine private Kommunikation zwischen Benutzern AWS-Services mithilfe einer elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie im AWS-Services Blogbeitrag „[Neu — AWS PrivateLink für](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/)“ und „[Erste Schritte](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)“ im *Amazon VPC-Benutzerhandbuch*.
Um sicherzustellen, dass Sie in der von Ihnen ausgewählten Umgebung einen VPC-Endpunkt für X-Ray erstellen können AWS-Region, finden Sie unter[Unterstützte Regionen](#xray-vpc-availability).
## Einen VPC-Endpunkt für X-Ray erstellen
Um X-Ray mit Ihrer VPC zu verwenden, erstellen Sie einen VPC-Schnittstellen-Endpunkt für X-Ray.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Navigieren Sie im Navigationsbereich zu **Endpoints** und wählen Sie Create Endpoint aus.**
1. Suchen Sie nach dem Namen des AWS X-Ray Dienstes und wählen Sie ihn aus:`com.amazonaws.region.xray`.
![\[Wählen Sie den Dienst aus.\]](http://docs.aws.amazon.com/de_de/xray/latest/devguide/images/xray-vpc-select-service.png)
1. Wählen Sie die gewünschte VPC und dann ein Subnetz in Ihrer VPC aus, um den Schnittstellenendpunkt zu verwenden. Im ausgewählten Subnetz wird eine Endpunkt-Netzwerkschnittstelle erstellt. Sie können mehrere Subnetze in unterschiedlichen Availability Zones angeben (wie vom Service unterstützt), um sicherzustellen, dass Ihr Schnittstellenendpunkt robust gegenüber Ausfällen von Availability Zone ist. Wenn Sie dies tun, wird in jedem von Ihnen angegebenen Subnetz eine Schnittstellen-Netzwerkschnittstelle erstellt.
![\[Wählen Sie VPC und Subnetz aus.\]](http://docs.aws.amazon.com/de_de/xray/latest/devguide/images/xray-vpc-select-vpc.png)
1. (Optional) Private DNS ist standardmäßig für den Endpunkt aktiviert, sodass Sie Anfragen an X-Ray mit seinem Standard-DNS-Hostnamen stellen können. Sie können sich dafür entscheiden, es zu deaktivieren.
1. Geben Sie die Sicherheitsgruppen an, die der Endpunktnetzwerkschnittstelle zugeordnet werden sollen.
![\[Wählen Sie Sicherheitsgruppen aus.\]](http://docs.aws.amazon.com/de_de/xray/latest/devguide/images/xray-vpc-select-secgroup.png)
1. (Optional) Geben Sie eine benutzerdefinierte Richtlinie an, um die Zugriffsberechtigungen für den X-Ray-Dienst zu steuern. Standardmäßig ist Vollzugriff erlaubt.
## Steuern des Zugriffs auf Ihren X-Ray-VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-Benutzerrichtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service. Endpunktrichtlinien müssen im JSON-Format erstellt werden. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC User Guide*.
Mit der VPC-Endpunktrichtlinie können Sie die Berechtigungen für verschiedene X-Ray-Aktionen steuern. Sie können beispielsweise eine Richtlinie erstellen, um nur andere Aktionen zuzulassen PutTraceSegment und alle anderen Aktionen abzulehnen. Dadurch werden Workloads und Dienste in der VPC darauf beschränkt, nur Trace-Daten an X-Ray zu senden und alle anderen Aktionen wie das Abrufen von Daten, das Ändern der Verschlüsselungskonfiguration oder das Erstellen/Aktualisieren von Gruppen zu verweigern.
Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für X-Ray. Diese Richtlinie ermöglicht Benutzern, die über die VPC eine Verbindung zu X-Ray herstellen, Segmentdaten an X-Ray zu senden, und verhindert außerdem, dass sie andere X-Ray-Aktionen ausführen.
```
{"Statement": [
{"Sid": "Allow PutTraceSegments",
"Principal": "*",
"Action": [
"xray:PutTraceSegments"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**So bearbeiten Sie die VPC-Endpunktrichtlinie für X-Ray**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wenn Sie den Endpunkt für X-Ray noch nicht erstellt haben, folgen Sie den Schritten unter[Einen VPC-Endpunkt für X-Ray erstellen](#create-VPC-endpoint-for-xray).
1. Wählen Sie **com.amazonaws aus. ***region***.xray-Endpunkt und wählen Sie dann die Registerkarte Richtlinie aus.**
1. Klicken Sie auf **Edit Policy (Richtlinie bearbeiten)** und nehmen Sie Ihre Änderungen vor.
## Unterstützte Regionen
X-Ray unterstützt derzeit VPC-Endpunkte in den folgenden Bereichen: AWS-Regionen
+ US East (Ohio)
+ USA Ost (Nord-Virginia)
+ USA West (Nordkalifornien)
+ USA West (Oregon)
+ Africa (Cape Town)
+ Asia Pacific (Hong Kong)
+ Asia Pacific (Mumbai)
+ Asien-Pazifik (Osaka)
+ Asien-Pazifik (Seoul)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ Asien-Pazifik (Tokio)
+ Canada (Central)
+ Europe (Frankfurt)
+ Europa (Irland)
+ Europa (London)
+ Europa (Milan)
+ Europe (Paris)
+ Europe (Stockholm)
+ Middle East (Bahrain)
+ Südamerika (São Paulo)
+ AWS GovCloud (US-Ost)
+ AWS GovCloud (US-West)
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn), die Kontextschlüssel, [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount), und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die xraylong der Ressource einem anderen Dienst erteilt. Verwenden Sie `aws:SourceArn`, um nur einer Ressource den serviceübergreifenden Zugriff zuzuordnen. Verwenden Sie `aws:SourceAccount`, um jede Ressource in diesem Konto der serviceübergreifenden Nutzung zuzuordnen. Verwenden Sie `aws:SourceOrgID`, damit alle Ressourcen von allen Konten innerhalb einer Organisation der serviceübergreifenden Nutzung zugeordnet werden können. Verwenden Sie `aws:SourceOrgPaths`, um beliebige Ressourcen von Konten innerhalb eines AWS Organizations -Pfades der serviceübergreifenden Nutzung zuzuordnen. Weitere Informationen zur Verwendung und zum Verständnis von Pfaden finden Sie unter [Grundlegendes zum AWS Organizations Entitätspfad](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path).
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`.
Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie sowohl `aws:SourceAccount` als auch `aws:SourceArn` verwenden, um Berechtigungen einzuschränken.
Um sich vor dem Confused-Deputy-Problem im großen Maßstab zu schützen, verwenden Sie den globalen Bedingungskontextschlüssel `aws:SourceOrgID` oder `aws:SourceOrgPaths` mit der Organisations-ID oder dem Organisationspfad der Ressource in Ihren ressourcenbasierten Richtlinien. Richtlinien, die den Schlüssel `aws:SourceOrgID` oder `aws:SourceOrgPaths` enthalten, schließen automatisch die richtigen Konten ein und Sie müssen die Richtlinien nicht manuell aktualisieren, wenn Sie Konten in Ihrer Organisation hinzufügen, entfernen oder verschieben.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Xray verwenden können, um das Problem des verwirrten Stellvertreters zu vermeiden.
```
{
"Sid": "BlockCrossAccountUnlessSameSource",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "123456789012",
"aws:SourceAccount": "123456789012"
},
"ArnNotLike": {
"aws:SourceArn": "arn:*:*:*:123456789012:*"
}
}
}
```