Verwaltete Richtlinien und eingebundene Richtlinien - AWS Identity and Access Management

Verwaltete Richtlinien und eingebundene Richtlinien

Wenn Sie die Berechtigungen für eine Identität in IAM festlegen, müssen Sie entscheiden, ob Sie eine verwaltete AWS-Richtlinie, eine vom Kunden verwaltete Richtlinie oder eine Inline-Richtlinie verwenden. In den folgenden Themen erhalten Sie weitere Informationen zu den einzelnen Arten identitätsbasierter Richtlinien und deren Verwendung.

Von AWS-verwaltete Richtlinien

Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Eine eigenständige Richtlinie bedeutet, dass die Richtlinie ihren eigenen Amazon-Ressourcennamen (ARN) hat, der den Richtliniennamen enthält. Zum Beispiel arn:aws:iam::aws:policy/IAMReadOnlyAccess ist eine von AWS verwaltete Richtlinie. Weitere Informationen zu ARNs finden Sie unter IAM-ARNs. Die Liste der von AWS verwalteten Richtlinien für AWS-Services finden Sie unter Von AWS verwaltete Richtlinien.

Von AWS Richtlinien ermöglichen es Ihnen, entsprechende Berechtigungen für Benutzer, Gruppen und Rollen festzulegen. Das ist schneller, als selbst die Richtlinien zu schreiben und beinhaltet Berechtigungen für viele häufige Anwendungsfälle.

Sie können definierten Berechtigungen in den AWS verwalteten Richtlinien nicht ändern. AWS aktualisiert gelegentlich die Berechtigungen, die in einer von AWS verwalteten Richtlinie definiert sind. Wenn AWS dies tut, wirkt sich die Aktualisierung auf alle Prinzipal-Entitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine von AWS verwaltete Richtlinie höchstwahrscheinlich, wenn ein neuer AWS-Service gestartet wird oder neue API-Aufrufe für vorhandene Services verfügbar werden. Die von AWS verwaltete Richtlinie mit dem Namen ReadOnlyAccess bietet beispielsweise schreibgeschützten Zugriff auf alle AWS-Services-Services und Ressourcen. Wenn AWS einen neuen Service einführt, aktualisiert AWS die Richtlinie ReadOnlyAccess so, dass Leseberechtigungen für den neuen Service hinzugefügt werden. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.

Vollzugriff auf von AWS verwaltete Richtlinien: Diese definieren Berechtigungen für Service-Administratoren, indem sie Vollzugriff auf einen Service gewähren. Beispiele sind unter anderem:

Von AWS verwaltete Richtlinien für Power-User: Diese bieten Vollzugriff auf AWS-Services-Services und Ressourcen, ermöglichen jedoch nicht die Verwaltung von Benutzern und Gruppen. Beispiele sind unter anderem:

Von AWS verwaltete Richtlinien mit teilweisem Zugriff:: Diese bieten bestimmte Zugriffsebenen auf AWS-Services, ohne Berechtigungen für die Berechtigungsverwaltung auf Zugriffsebenen zuzulassen. Beispiele sind unter anderem:

Von AWS verwaltete Richtlinien für Jobfunktionen: Diese Richtlinien orientieren sich eng an den in der IT-Branche häufig genutzten Berufsfunktionen und vereinfachen die Gewährung von Berechtigungen für diese Berufsfunktionen. Ein wichtiger Vorteil der Verwendung von Richtlinien für Auftragsfunktionen besteht darin, dass sie von AWS als neue Services verwaltet und aktualisiert werden und dass neue API-Operationen eingeführt werden. Zum Beispiel bietet die Auftragsfunktion AdministratorAccess vollen Zugriff und eine Delegierung von Berechtigungen für jeden Service und jede Ressource in AWS. Wir empfehlen, dass diese Richtlinie nur für den Kontoadministrator verwendet wird. Für Power-User, die vollen Zugriff auf jeden Service benötigen (mit Ausnahme des eingeschränkten Zugriffs auf IAM und Organizations), verwenden Sie die Auftragsfunktion PowerUserAccess. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie unter AWSVon verwaltete Richtlinien für Auftragsfunktionen.

Die von AWS verwalteten Richtlinien sind in der folgenden Abbildung dargestellt. Das Diagramm zeigt drei von AWS verwaltete Richtlinien: AdministratorAccess, PowerUserAccess und AWSCloudTrail_ReadOnlyAccess. Beachten Sie, dass eine einzelne von AWS verwaltete Richtlinie sowohl an Prinzipal-Entitäten in verschiedenen AWS-Konten, als auch an verschiedene Prinzipal-Entitäten in einem einzelnen AWS-Konto angefügt werden kann.

Diagramm der AWS-verwalteten Richtlinien

Kundenverwaltete Richtlinien

Sie können eigenständige Richtlinien in Ihrem eigenen AWS-Konto erstellen, die Sie an Prinzipal-Entitäten (IAM-Benutzer, IAM-Gruppen und IAM-Rollen) anhängen können. Sie erstellen diese vom Kunden verwalteten Richtlinien für Ihre spezifischen Anwendungsfälle und können sie beliebig oft ändern und aktualisieren. Wie bei verwalteten AWS-Richtlinien gewähren Sie, wenn Sie eine Richtlinie an eine Prinzipal-Entität anfügen, ihr die in der Richtlinie festgelegten Berechtigungen. Wenn Sie Berechtigungen in der Richtlinie aktualisieren, werden die Änderungen auf alle Prinzipal-Entitäten angewendet, an die die Richtlinie angefügt ist.

Eine hervorragende Methode zum Erstellen einer vom Kunden verwalteten Richtlinie besteht darin, zunächst eine vorhandene, von AWS verwaltete Richtlinie zu kopieren. So wissen Sie, dass die Richtlinie zu Beginn richtig ist und Sie sie nur an Ihre Umgebung anpassen müssen.

Die vom Kunden verwalteten Richtlinien sind in der folgenden Abbildung dargestellt. Bei der jeweiligen Richtlinie handelt es sich um eine Entität in IAM mit ihrem eigenen Amazon-Ressourcenname (ARN), der den Richtliniennamen enthält. Beachten Sie, dass ein und dieselbe Richtlinie mehreren Hauptentitäten zugeordnet werden kann. So ist beispielsweise dieselbe DynamoDB-books-app-Richtlinie zwei verschiedenen IAM-Rollen zugeordnet.

Weitere Informationen finden Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren

Diagramm der von Kunden verwalteten Richtlinien

Eingebundene Richtlinien

Eine Inline-Richtlinie ist eine Richtlinie, die für eine einzelne IAM-Identität (einen Benutzer, eine Benutzergruppe oder eine Rolle) erstellt wird. Bei Inline-Richtlinien besteht eine strikte Eins-zu-Eins-Beziehung zwischen einer Richtlinie und einer Identität. Sie werden gelöscht, wenn Sie die Identität löschen. Sie können eine Richtlinie erstellen und sie entweder, wenn Sie die Identität erstellen, oder später in eine Identität einbetten. Wenn eine Richtlinie für mehr als eine Entität gelten könnte, ist es besser, eine verwaltete Richtlinie zu verwenden.

Die eingebundenen Richtlinien sind in der folgenden Abbildung dargestellt. Jede Richtlinie ist unabdingbarer Bestandteil des Benutzers, der Gruppe oder der Rolle. Beachten Sie, dass zwei Rollen dieselbe Richtlinie enthalten (die Richtlinie DynamoDB-books-app), aber sie verwenden keine Richtlinie gemeinsam. Jede Rolle hat ihre eigene Kopie der Richtlinie.

Diagramm der eingebundenen Richtlinien