Identitäts- und Zugriffsverwaltung für Service Quotas - Service Quotas
Erteilen Sie Berechtigungen mithilfe von IAM-RichtlinienAPI-Aktionen für Service QuotasRessourcen Service Quotas ServicekontingenteBerechtigungen auf Ressourcenebene für Service QuotasBedingungsschlüssel für -Service-QuotasVordefiniertAWSverwaltete Richtlinien für Service Quotas

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitäts- und Zugriffsverwaltung für Service Quotas

AWS verwendet Sicherheitsanmeldeinformationen, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS-Ressourcen zu gewähren. Sie können Funktionen vonAWS Identity and Access Management(IAM) um anderen Benutzern, Diensten und Anwendungen die Nutzung IhresAWSRessourcen vollständig oder in begrenzter Weise. Sie können dies tun, ohne Ihre Sicherheitsanmeldeinformationen zu teilen.

IAM-Benutzer sind standardmäßig nicht berechtigt, AWS-Ressourcen zu erstellen, anzuzeigen oder zu ändern. Um einem IAM-Benutzer den Zugriff auf Ressourcen wie einen Load Balancer und das Ausführen von Aufgaben zu ermöglichen, gehen Sie folgendermaßen vor:

  1. Erstellen Sie eine IAM-Richtlinie, die dem IAM-Benutzer die Berechtigung zur Nutzung der jeweiligen Ressourcen und API-Aktionen erteilt, die er benötigt.

  2. Fügen Sie die Richtlinie dem IAM-Benutzer oder der Gruppe an, zu der der IAM-Benutzer gehört.

Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.

Sie können beispielsweise IAM verwenden, um Benutzer und Gruppen unterAWS-Kontoaus. Ein IAM-Benutzer kann eine Person, ein System oder eine Anwendung sein. Anschließend gewähren Sie den Benutzern und Gruppen Berechtigungen, um bestimmte Aktionen für die angegebenen Ressourcen mithilfe einer IAM-Richtlinie durchzuführen.

Erteilen Sie Berechtigungen mithilfe von IAM-Richtlinien

Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.

Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jedes Statement ist dem folgenden Beispiel entsprechend strukturiert.

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • Effect— Der Wert füreffectkann eines der Folgenden seinAllowoderDenyaus. IAM-Benutzer verfügen standardmäßig nicht über die Berechtigung zur Verwendung von Ressourcen und API-Aktionen. Daher werden alle Anfragen abgelehnt. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis.

  • Action— Der Wert füractionist die API-Aktion, für die Sie Berechtigungen erteilen oder verweigern. Weitere Informationen über das AngebenActionfinden Sie unterAPI-Aktionen für Service Quotasaus.

  • Resource: die Ressource, die von der Aktion betroffen ist. Mit einigen -API-Aktionen für Servicekontingente können Sie die erteilten oder verweigerten Berechtigungen auf ein bestimmtes Kontingent beschränken. Geben Sie dazu den Amazon Resource Name (ARN) in diesem Statement an. Ansonsten können Sie das Platzhalterzeichen (*) um alle Service-Kontingentsressourcen anzugeben. Weitere Informationen finden Sie unter Ressourcen Service Quotas Servicekontingente.

  • Condition: Sie können optional Bedingungen verwenden, um zu steuern, wann die Richtlinie wirksam ist. Weitere Informationen finden Sie unter Bedingungsschlüssel für -Service-Quotas.

Weitere Informationen finden Sie im IAM-Benutzerhandbuch.

API-Aktionen für Service Quotas

In derActionIn Ihrer IAM-Richtlinienanweisung können Sie eine beliebige API-Aktion angeben, die Service Quotas bietet. Dem Namen der Aktion muss wie im folgenden Beispiel die Zeichenfolge servicequotas: in Kleinbuchstaben vorangestellt werden.

"Action": "servicequotas:GetServiceQuota"

Wenn Sie mehrere Aktionen in einer einzigen Anweisung angeben möchten, setzen Sie sie in eckige Klammern und trennen Sie sie wie im folgenden Beispiel dargestellt durch Kommas.

"Action": [
    "servicequotas:ListRequestedServiceQuotaChangeHistory",
    "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota"
]

Sie können auch mehrere Aktionen mithilfe des Platzhalters (*) enthalten. Das folgende Beispiel gibt alle API-Aktionsnamen für Service Quotas an, die mit beginnenGetaus.

"Action": "servicequotas:Get*"

Um alle -API-Aktionen für Service Quotas anzugeben, verwenden Sie das Platzhalterzeichen (*), wie im folgenden Beispiel gezeigt.

"Action": "servicequotas:*"

Eine Liste der API-Aktionen für Service Quotas finden Sie unterAktionen von Servicekontingenteaus.

Ressourcen Service Quotas Servicekontingente

Berechtigungen auf Ressourcenebene bedeutet, dass Sie angeben können, für welche Ressourcen die Benutzer Aktionen ausführen dürfen. Bei API-Aktionen, die Berechtigungen auf Ressourcenebene unterstützen, können Sie steuern, welche Ressourcen Benutzer mit der Aktion verwenden dürfen. Um eine Ressource in einer Richtlinienanweisung anzugeben, müssen Sie dessen Amazon-Ressourcennamen (ARN) verwenden.

Der ARN für ein Kontingent hat das im folgenden Beispiel gezeigte Format.

arn:aws:servicequotas:region-code:account-id:service-code/quota-code

Bei API-Aktionen, die Berechtigungen auf Ressourcenebene nicht unterstützen, müssen Sie die Ressourcenanweisung wie im folgenden Beispiel dargestellt angeben.

"Resource": "*"

Berechtigungen auf Ressourcenebene für Service Quotas

Die folgenden Service Quotas unterstützen keine Berechtigungen auf Ressourcenebene:

Weitere Informationen finden Sie unterVon Service Quotas definierte AktionenimService Authorization-Referenzaus.

Bedingungsschlüssel für -Service-Quotas

Beim Erstellen einer Richtlinie können Sie die Bedingungen angeben, die steuern, wann die Richtlinie wirksam wird. Jede Bedingung enthält ein oder mehrere Schlüssel-Wert-Paare. Es gibt globale Bedingungsschlüssel und servicespezifische Bedingungsschlüssel.

Dieservicequotas:serviceSchlüssel ist spezifisch für Service Quotas. Die folgenden API-Aktionen für Service Quotas unterstützen diesen Schlüssel:

Weitere Informationen über diese Bedingungsschlüssel finden Sie unterAWSGlobale -BedingungskontextschlüsselimIAM User Guideaus.

VordefiniertAWSverwaltete Richtlinien für Service Quotas

Die von AWS erstellten verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für häufige Anwendungsfälle. Sie können diese Richtlinien Ihren IAM-Benutzern entsprechend dem benötigten Zugriff auf Servicekontingente hinzufügen:

  • ServiceQuotasFullAccess— Gewährt vollen Zugriff, der für die Verwendung von Service-Quotas-Funktionen erforderlich ist.

  • ServiceQuotasReadOnlyAccess: gewährt Lesezugriff auf Service Quotas.