Identity and Access Management für Savings Plans - Savings Plans
RichtlinienstrukturAWS verwaltete RichtlinienBeispielrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identity and Access Management für Savings Plans

AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. Als Administrator können Sie unter Ihrem AWS Konto Rollen erstellen, die Ihre Benutzer übernehmen können. Sie kontrollieren die Berechtigungen, die Ihre Benutzer haben, um Aufgaben mithilfe von AWS Ressourcen auszuführen. Sie können es ohne zusätzliche Kosten nutzen. IAM

Standardmäßig haben Benutzer keine Berechtigungen für Ressourcen und Operationen von Savings Plans. Damit Benutzer die Ressourcen von Savings Plans verwalten können, müssen Sie eine Rolle erstellen, um Berechtigungen an einen Benutzer zu delegieren. Folgen Sie den Anweisungen unter Eine Rolle für einen Benutzer erstellen im IAMBenutzerhandbuch.

Richtlinienstruktur

Eine IAM Richtlinie ist ein JSON Dokument, das aus einer oder mehreren Aussagen besteht. Jede Anweisung ist folgendermaßen strukturiert.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Eine Anweisung kann aus verschiedenen Elementen bestehen:

  • Effect: Der effect-Wert kann Allow oder Deny lauten. Standardmäßig sind Benutzer nicht berechtigt, Ressourcen und API Aktionen zu verwenden, sodass alle Anfragen abgelehnt werden. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis.

  • Aktion: Die Aktion ist die spezifische API Aktion, für die Sie die Erlaubnis erteilen oder verweigern.

  • Resource: Die von einer Aktion betroffene Ressource. Bei einigen EC2 API Amazon-Aktionen können Sie bestimmte Ressourcen in Ihre Richtlinie aufnehmen, die durch die Aktion erstellt oder geändert werden können. Um eine Ressource in der Anweisung anzugeben, müssen Sie ihren Amazon-Ressourcennamen (ARN) verwenden. Weitere Informationen finden Sie unter Durch Savings Plans definierte Aktionen.

  • Condition: Bedingungen sind optional. Mit ihrer Hilfe können Sie bestimmen, wann Ihre Richtlinie wirksam ist. Weitere Informationen finden Sie unter Bedingungsschlüssel für Savings Plans.

AWS verwaltete Richtlinien

Die verwalteten Richtlinien, die von erstellt wurden, AWS gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle. Nachdem Sie eine Rolle erstellt haben, die Ihr Benutzer übernehmen kann, können Sie ihr je nach benötigtem Zugriff Ihre Richtlinie zuordnen. Jede Police gewährt Zugang zu allen oder einigen API Aktionen für Savings Plans.

Im Folgenden sind die AWS verwalteten Richtlinien für Savings Plans aufgeführt:

  • AWSSavingsPlansFullAccess— Gewährt vollen Zugriff auf Savings Plans.

  • AWSSavingsPlansReadOnlyAccess— Gewährt nur Lesezugriff auf Savings Plans.

Beispielrichtlinien

In einer IAM Richtlinienerklärung können Sie jede API Aktion aus jedem Dienst angeben, der dies unterstützt. IAM Verwenden Sie für Savings Plans das folgende Präfix mit dem Namen der API Aktion:savingsplans:. Beispielsweise:

  • savingsplans:CreateSavingsPlan

  • savingsplans:DescribeSavingsPlans

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

"Action": ["savingsplans:action1", "savingsplans:action2"]

Sie können auch mehrere Aktionen mittels Platzhaltern angeben. Sie können beispielsweise alle API Sparplanaktionen, deren Name mit dem Wort „Describe“ beginnt, wie folgt angeben:

"Action": "savingsplans:Describe*"

Um alle API Sparplanaktionen anzugeben, verwenden Sie den Platzhalter „*“ wie folgt:

"Action": "savingsplans:*"