Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Dienste, die funktionieren mit IAM
Die unten aufgeführten AWS Dienste sind alphabetisch gruppiert und enthalten Informationen darüber, welche IAM Funktionen sie unterstützen:
-
Dienst — Sie können den Namen eines Dienstes wählen, um die AWS Dokumentation zur IAM Autorisierung und zum Zugriff für diesen Dienst einzusehen.
-
Aktionen – Sie können einzelne Aktionen in einer Richtlinie angeben. Wenn der Service dieses Feature nicht unterstützt, wird All actions (Alle Aktionen) im visuellen Editor ausgewählt. In einem JSON Richtliniendokument müssen Sie das
Action
Element verwenden*
. Eine Liste der Aktionen in den einzelnen Diensten finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. -
Berechtigungen auf Ressourcenebene — Sie können sie verwenden ARNs, um einzelne Ressourcen in der Richtlinie anzugeben. Wenn der Service dieses Feature nicht unterstützt, wird All resources (Alle Ressourcen) im visuellen Richtlinieneditor ausgewählt. In einem JSON Richtliniendokument müssen Sie das
Resource
Element verwenden*
. Einige Aktionen, z. B.List*
Aktionen, unterstützen die Angabe von nicht, ARN da sie darauf ausgelegt sind, mehrere Ressourcen zurückzugeben. Wenn ein Service dieses Feature für einige Ressourcen unterstützt, für andere aber nicht, wird in der Tabelle durch Partial darauf hingewiesen. Weitere Informationen dazu finden Sie in der Dokumentation zu dem jeweiligen Service. -
Ressourcenbasierte Richtlinien – Sie können ressourcenbasierte Richtlinien an eine Ressource innerhalb des Service anfügen. Ressourcenbasierte Richtlinien enthalten ein
Principal
-Element zur Angabe der IAM-Identitäten, die auf diese Ressource zugreifen können. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien. -
ABAC(Autorisierung auf der Grundlage von Tags) — Um den Zugriff anhand von Tags zu steuern, geben Sie Taginformationen im Bedingungselement einer Richtlinie mithilfe der
aws:TagKeys
Bedingungstastenaws:ResourceTag/
key-name
aws:RequestTag/
, oder ein. Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service Ja. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert Teilweise. Weitere Informationen zur Definition von Berechtigungen auf der Basis von Attributen wie Tags finden Sie unter Berechtigungen basierend auf Attributen mit ABAC-Autorisierung definieren. Ein Tutorial mit Schritten zur Einrichtung ABAC finden Sie unter Verwenden der attributebasierten Zugriffskontrolle (). ABACkey-name
-
Temporäre Anmeldeinformationen — Sie können kurzfristige Anmeldeinformationen verwenden, die Sie erhalten, wenn Sie sich mit IAM Identity Center anmelden, die Rollen in der Konsole wechseln oder die Sie mithilfe von AWS STS oder generieren. AWS CLI AWS API Sie können nur auf Dienste mit dem Wert Nein zugreifen, während Sie Ihre langfristigen IAM-Benutzeranmeldeinformationen verwenden. Dies beinhaltet einen Benutzernamen und ein Passwort oder Ihre Benutzerzugriffsschlüssel. Weitere Informationen finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.
-
Serviceverknüpfte Rollen – Eine serviceverknüpfte Rolle ist ein spezieller Typ von Servicerolle, die dem Service die Berechtigung erteilt, in Ihrem Namen auf Ressourcen in anderen Services zuzugreifen. Wählen Sie den Link Ja oder Teilweise, um die Dokumentation für Services anzuzeigen, die diese Rollen unterstützen. In dieser Spalte wird nicht angegeben, ob der Service Standardservicerollen verwendet. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen.
-
Weitere Informationen – Wenn ein Service ein Feature nicht vollständig unterstützt, finden Sie in den Fußnoten Informationen zu eventuellen Einschränkungen und Links zu verwandten Informationen.
Services, die mit IAM funktionieren
Weitere Informationen
AWS CloudTrail
CloudTrail unterstützt ressourcenbasierte Richtlinien für CloudTrail Lake-Ereignisdatenspeicher, Dashboards und Kanäle, die für Integrationen mit Ereignisquellen außerhalb von verwendet werden. AWS
Amazon CloudWatch
CloudWatch Rollen, die mit Services verknüpft sind AWS Management Console, können nicht mit der Funktion Alarmaktionen erstellt werden und unterstützen nur die Funktion Alarmaktionen.
AWS CodeBuild
CodeBuild unterstützt die kontenübergreifende gemeinsame Nutzung von Ressourcen mithilfe von. AWS RAM
CodeBuild unterstützt ABAC projektbezogene Aktionen.
AWS Config
AWS Config unterstützt Berechtigungen auf Ressourcenebene für die Datenaggregation und Regeln für mehrere Konten in mehreren Regionen. AWS Config Eine Liste der unterstützten Ressourcen finden Sie in den Abschnitten Datenaggregation für mehrere Konten und Regionen sowie im Abschnitt Regeln des Handbuchs.AWS ConfigAWS Config API
AWS Database Migration Service
Sie können Richtlinien erstellen und ändern, die den Verschlüsselungsschlüsseln zugeordnet sind, die Sie zur AWS KMS Verschlüsselung von Daten erstellen, die auf unterstützte Zielendpunkte migriert wurden. Die unterstützten Ziel-Endpunkte enthalten Amazon Redshift und Amazon S3. Weitere Informationen finden Sie unter Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten und Erstellen von AWS KMS Schlüsseln zur Verschlüsselung von Amazon S3 S3-Zielobjekten im AWS Database Migration Service Benutzerhandbuch.
Amazon Elastic Compute Cloud
Mit Amazon EC2 verknüpfte Rollen können nur für die folgenden Funktionen verwendet werden: Spot-Instance-Anfragen, Spot-Flottenanfragen, Amazon EC2 Fleets und Schnellstart für Windows-Instances.
Amazon Elastic Container Service
Nur einige ECS Amazon-Aktionen unterstützen Berechtigungen auf Ressourcenebene.
AWS Elemental MediaPackage
MediaPackage unterstützt dienstbezogene Rollen für die Veröffentlichung von Kundenzugriffsprotokollen für andere Aktionen, CloudWatch jedoch nicht für andere Aktionen. API
AWS Identity and Access Management
IAMunterstützt nur eine Art von ressourcenbasierter Richtlinie, die als Rollenvertrauensrichtlinie bezeichnet wird und einer Rolle zugeordnet ist. IAM Weitere Informationen finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel.
IAMunterstützt die Tag-basierte Zugriffskontrolle für die meisten Ressourcen. IAM Weitere Informationen finden Sie unter Tags für AWS Identity and Access Management-Ressourcen.
Nur einige der API Aktionen für IAM können mit temporären Anmeldeinformationen aufgerufen werden. Weitere Informationen finden Sie unter Vergleich Ihrer API Optionen.
AWS IoT
Geräte, mit AWS IoT denen verbunden ist, werden mithilfe von X.509-Zertifikaten oder Amazon Cognito Identities authentifiziert. Sie können AWS IoT Richtlinien an ein X.509-Zertifikat oder Amazon Cognito Identity anhängen, um zu kontrollieren, wofür das Gerät autorisiert ist. Weitere Informationen finden Sie unter Sicherheits- und Identitätsmethoden für AWS IoT im AWS IoT Developer Guide
AWS Lambda
Lambda unterstützt die attributebasierte Zugriffskontrolle (ABAC) für API Aktionen, die eine Lambda-Funktion als erforderliche Ressource verwenden. Layers, Zuordnungen von Ereignisquellen und Konfigurationsressourcen für Codesignaturen werden nicht unterstützt.
Lambda verfügt im Gegensatz zu Lambda@Edge nicht über serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Service-Linked Roles for Lambda @Edge im Amazon CloudFront Developer Guide.
Amazon Lightsail
Lightsail unterstützt teilweise Berechtigungen auf Ressourcenebene und. ABAC Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Lightsail.
Amazon Managed Streaming for Apache Kafka () MSK
Sie können eine Cluster-Richtlinie an einen MSK Amazon-Cluster anhängen, der für VPCMultikonnektivität konfiguriert wurde.
AWS Network Manager
AWS Die Cloud unterstützt WAN auch serviceverknüpfte Rollen. Weitere Informationen finden Sie unter Rollen, die WAN mit AWS Cloud-Diensten verknüpft sind, im Amazon VPC AWS Cloud WAN Guide.
Amazon Relational Database Service
Amazon Aurora ist eine vollständig verwaltete relationale Datenbank-Engine, die mit My SQL und SQL Postgre kompatibel ist. Sie können Aurora My SQL oder Aurora Postgre SQL als DB-Engine-Option wählen, wenn Sie neue Datenbankserver über Amazon RDS einrichten. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung mit Amazon Aurora im Amazon-Aurora-Benutzerhandbuch.
Amazon Rekognition
Ressourcenbasierte Richtlinien werden nur für das Kopieren von Modellen von Amazon Rekognition Custom Labels unterstützt.
AWS Resource Groups
Benutzer können eine Rolle mit einer Richtlinie übernehmen, die Ressourcengruppen-Operationen zulässt.
Amazon SageMaker KI
Servicebezogene Rollen sind derzeit für SageMaker AI Studio- und SageMaker KI-Schulungsjobs verfügbar.
AWS Security Token Service
AWS STS verfügt nicht über „Ressourcen“, ermöglicht es jedoch, den Zugriff auf ähnliche Weise für Benutzer einzuschränken. Weitere Informationen finden Sie unter Verweigern des Zugriffs auf temporäre Sicherheitsanmeldeinformationen nach Name.
Nur einige der API Operationen AWS STS unterstützen das Anrufen mit temporären Zugangsdaten. Weitere Informationen finden Sie unter Vergleich Ihrer API Optionen.
Amazon Simple Email Service
Sie können nur Berechtigungen auf Ressourcenebene in Richtlinienanweisungen verwenden, die sich auf Aktionen beziehen, bei denen es um das Senden von E-Mails geht, beispielsweise ses:SendEmail
oder ses:SendRawEmail
. Bei Richtlinienanweisungen, die sich auf andere Aktionen beziehen, kann das Ressourcenelement nur *
enthalten.
Nur Amazon SES API unterstützt temporäre Sicherheitsanmeldedaten. Die SES SMTP Amazon-Schnittstelle unterstützt keine SMTP Anmeldeinformationen, die aus temporären Sicherheitsanmeldedaten abgeleitet wurden.
Amazon Simple Storage Service
Amazon S3 unterstützt die Tag-basierte Autorisierung nur für Objekt-Ressourcen.
Amazon S3 unterstützt serviceverknüpfte Rollen für Amazon S3 Storage Lens.
AWS Trusted Advisor
APIDer Zugriff darauf Trusted Advisor erfolgt über die Support API und wird durch Support IAM Richtlinien gesteuert.
Amazon Virtual Private Cloud
In einer IAM Benutzerrichtlinie können Sie die Berechtigungen nicht auf einen bestimmten VPC Amazon-Endpunkt beschränken. Jedes Action
Element, das die ec2:DescribePrefixLists
API Aktionen ec2:*VpcEndpoint*
oder enthält, muss ""Resource":
"*"
" angeben. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Identitäts- und Zugriffsmanagement für VPC VPC Endgeräte und Endpunktdienste.
Amazon VPC unterstützt das Anhängen einer einzigen Ressourcenrichtlinie an einen VPC Endpunkt, um einzuschränken, auf was über diesen Endpunkt zugegriffen werden kann. Weitere Informationen zur Verwendung ressourcenbasierter Richtlinien zur Steuerung des Zugriffs auf Ressourcen von bestimmten VPC Amazon-Endpunkten aus finden Sie im Leitfaden unter Steuern des Zugriffs auf Dienste mithilfe von Endpunktrichtlinien.AWS PrivateLink
Amazon VPC hat keine servicebezogenen Rollen, AWS Transit Gateway tut es aber. Weitere Informationen finden Sie im VPC AWS Transit Gateway Amazon-Leitfaden unter Verwenden von serviceverknüpften Rollen für das Transit-Gateway.
AWS X-Ray
X-Ray unterstützt nicht für alle Aktionen Berechtigungen auf Ressourcenebene.
X-Ray unterstützt Tag-basierte Zugriffskontrolle für Gruppen und Probenregeln.