Mit Berechtigungen können Sie Zugriffsrechte für AWS-Ressourcen festlegen. Berechtigungen werden an IAM-Entitäten vergeben (Benutzer, Gruppen und Rollen); standardmäßig starten diese Entitäten ohne Berechtigungen. In anderen Worten: IAM-Entitäten können in AWS nichts tun, bis Sie Ihnen Ihre gewünschten Berechtigungen geben. Um Berechtigungen an Entitäten zu vergeben, können Sie eine Richtlinie zuweisen, die die Zugriffsart, die Aktionen, die durchgeführt werden können, und die Ressourcen, auf denen die Aktionen ausgeführt werden können, festlegen. Außerdem können Sie Bedingungen bestimmen, die festgelegt sein müssen, damit der Zugriff genehmigt oder verweigert wird.

Ausbildung zum Meister der IAM-Richtlinien in maximal 60 Minuten
55:38
Ausbildung zum Meister der AWS IAM-Richtlinien in maximal 60 Minuten

Kostenlos bei AWS einsteigen

Kostenloses Konto erstellen
Oder bei der Konsole anmelden

Das kostenlose Kontingent für AWS umfasst eine Nutzung von Cache-Knoten vom Typ "Micro" von 750 Stunden in Amazon ElastiCache.

Details zum kostenlosen Kontingent für AWS anzeigen »

Um einem Benutzer, einer Gruppe, Rolle oder Ressource Berechtigungen zuzuweisen, erstellen Sie eine Richtlinie, mit der Sie Folgendes festlegen können:

  • Aktionen – Welche AWS Service-Aktionen Sie zulassen. Sie können beispielsweise einem Benutzer das Aufrufen der Amazon S3-Aktion "ListBucket" erlauben. Aktionen, die Sie nicht explizit zulassen, werden verweigert.
  • Ressourcen – Für welche AWS Ressourcen Sie die Aktion zulassen. Beispiel: Die Amazon S3-Buckets, auf die der Benutzer die Aktion "ListBucket" anwenden darf. Benutzer können nicht auf Ressourcen zugreifen, für die sie Ihnen nicht explizit Berechtigungen erteilt haben.
  • Auswirkung – Ob der Zugriff erlaubt oder verweigert wird. Da der Zugriff standardmäßig verweigert wird, legen Sie in der Regel Richtlinien fest, die bei Erfüllung den Zugriff erlauben.
  • Bedingungen – Welche Bedingungen erfüllt sein müssen, damit die Richtlinie übernommen wird. Beispielsweise erlauben Sie vielleicht nur Zugriff auf die bestimmten S3 Buckets, wenn der Benutzer eine Verbindung von einem IP-Bereich aufbaut oder eine Multi-Factor Authentication beim Login benutzt.

Sie erstellen Richtlinien entweder mit dem Visual Editor oder mit JSON. Eine Richtlinie besteht aus mindestens einer Anweisung, die eine Gruppe von Berechtigungen beschreibt. Weitere Informationen über die Richtliniensprache erfahren Sie in AWS IAM Policy Reference.

Der Visual Editor führt Sie durch den Vorgang zur Gewährung von Berechtigungen durch die Verwendung von IAM-Richtlinien, ohne dass Sie die Richtlinien in JSON schreiben müssen (wenn Sie es wünschen, können Sie Richtlinien jedoch weiterhin in JSON erstellen und bearbeiten). Die Richtlinie in dem folgenden Screenshot wurde mit dem Visual Editor erstellt. Sie gewährt fünf Amazon S3 List- und Read-Aktionen für den S3-Bucket und zielt auf SampleBucket, wenn das Präfix mit MyPrefix beginnt.

Screenshot des Visual Editor

Wenn Sie die AWS-Managementkonsole zur Verwaltung von Berechtigungen verwenden, können Sie Zusammenfassungen der Richtlinien anzeigen. Sie führt die Zugriffsebenen, Ressourcen und Bedingungen für jeden in einer Richtlinie definierten Service auf (siehe folgenden Screenshot). Zum besseren Verständnis der Berechtigungen, die in einer Richtlinie definiert sind, sind die Aktionen der einzelnen AWS Services in vier Zugriffsebenen eingeteilt: Auflisten, Lesen, Schreiben und Berechtigungsverwaltung.

Screenshot einer Richtlinienzusammenfassung

Sie können eine vordefinierte, von AWS verwaltete Richtlinie auswählen oder eine eigene mit dem Richtlinien-Generator erstellen. Weitere Informationen finden Sie im Handbuch Verwenden von IAM im Abschnitt Übersicht über IAM-Richtlinien.