Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien - AWS Identitäts- und Zugriffsverwaltung
Erste Schritte mit verwalteten RichtlinienVerwenden von eingebundenen Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien

Berücksichtigen Sie Ihre Anwendungsfälle, wenn Sie zwischen verwalteten und Inline-Richtlinien entscheiden. In den meisten Fällen empfehlen wir, dass Sie verwaltete Richtlinien anstelle von eingebundenen Richtlinien verwenden.

Anmerkung

Sie können sowohl verwaltete als auch Inline-Richtlinien zusammen verwenden, um gemeinsame und eindeutige Berechtigungen für eine Prinzipal-Entität zu definieren.

Verwaltete Richtlinien bieten die folgenden Funktionen:

Wiederverwendbarkeit

Eine einzelne verwaltete Richtlinie kann an mehrere Auftraggeber-Entitäten (Benutzer, Gruppen und Rollen) angefügt werden. Sie können eine Bibliothek mit Richtlinien erstellen, die nützliche Berechtigungen für Sie definieren AWS-Konto, und diese Richtlinien dann nach Bedarf an Prinzipalentitäten anhängen.

Zentrale Änderungsverwaltung

Wenn Sie eine verwaltete Richtlinie ändern, wird die Änderung auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist. Wenn Sie beispielsweise Berechtigungen für eine neue AWS API hinzufügen möchten, können Sie eine vom Kunden verwaltete Richtlinie aktualisieren oder eine AWS verwaltete Richtlinie zuordnen, um die Berechtigung hinzuzufügen. Wenn Sie eine AWS verwaltete Richtlinie verwenden, AWS aktualisiert die Richtlinie. Bei der Aktualisierung einer verwalteten Richtlinie werden die Änderungen auf alle Prinzipal-Entitäten angewendet, denen die verwaltete Richtlinie angefügt ist. Im Gegensatz dazu müssen Sie zum Ändern einer Inline-Richtlinie jede Identität einzeln bearbeiten, die die Inline-Richtlinie enthält. Wenn beispielsweise eine Gruppe und eine Rolle dieselbe Inline-Richtlinie enthalten, müssen Sie beide Prinzipal-Entitäten individuell bearbeiten, um diese Richtlinie zu ändern.

Versioning und Rollback

Wenn Sie eine kundenverwaltete Richtlinie ändern, wird die vorhandene Richtlinie nicht von der geänderten Richtlinie überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. IAM speichert bis zu fünf Versionen Ihrer vom Kunden verwalteten Richtlinien. Sie können Richtlinienversionen verwenden, um eine frühere Version einer Richtlinie wiederherzustellen, sofern dies erforderlich ist.

Anmerkung

Eine Richtlinienversion ist nicht mit dem Richtlinienelement Version identisch. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version.

Delegieren der Berechtigungsverwaltung

Sie können Benutzern in Ihren AWS-Konto Richtlinien das Anhängen und Trennen von Richtlinien gestatten und gleichzeitig die Kontrolle über die in diesen Richtlinien definierten Berechtigungen behalten. Sie können einige Benutzer als Administratoren mit vollständigen Rechten bestimmen, d. h. Administratoren, die Richtlinien erstellen, aktualisieren und löschen können. Anschließend können Sie andere Benutzer als Administratoren mit eingeschränkten Rechten bestimmen. Dies bedeutet, dass Administratoren zwar Richtlinien an andere Prinzipal-Entitäten anfügen können, aber nur die Richtlinien, für die Sie ihnen die Berechtigungen zum Anfügen erteilt haben.

Weitere Informationen zum Delegieren der Berechtigungsverwaltung finden Sie unter Steuern des Zugriffs auf Richtlinien.

Größere Zeichenbeschränkungen für Richtlinien

Die maximale Zeichengrößenbeschränkung für verwaltete Richtlinien ist größer als die Zeichenbeschränkung für für Gruppen von Inline-Richtlinien. Wenn Sie die Zeichengrößenbeschränkung der eingebundenen Richtlinie erreichen, können Sie weitere IAM-Gruppen erstellen und die verwaltete Richtlinie der Gruppe zuweisen.

Weitere Informationen zu Kontingenten und Limits finden Sie unter IAM und Kontingente AWS STS.

Automatische Updates für AWS verwaltete Richtlinien

AWS verwaltet AWS verwaltete Richtlinien und aktualisiert sie bei Bedarf, um beispielsweise Berechtigungen für neue AWS Dienste hinzuzufügen, ohne dass Sie Änderungen vornehmen müssen. Die Updates werden automatisch auf die Prinzipalentitäten angewendet, denen Sie die AWS verwaltete Richtlinie zugeordnet haben.

Erste Schritte mit verwalteten Richtlinien

Es wird empfohlen, Richtlinien zu verwenden, die die geringsten Rechte gewähren, d. h. nur die für die Durchführung einer Aufgabe erforderlichen Berechtigungen zu gewähren. Die sicherste Methode, die geringste Berechtigung zu erteilen, besteht darin, eine vom Kunden verwaltete Richtlinie mit nur den Berechtigungen zu schreiben, die Ihr Team benötigt. Sie müssen einen Prozess erstellen, damit Ihr Team bei Bedarf weitere Berechtigungen anfordern kann. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten.

Um mit dem Hinzufügen von Berechtigungen zu Ihren IAM-Identitäten (Benutzern, Benutzergruppen und Rollen) zu beginnen, können Sie Folgendes verwenden. AWS verwaltete Richtlinien AWS verwaltete Richtlinien gewähren keine Berechtigungen mit den geringsten Rechten. Sie müssen das Sicherheitsrisiko berücksichtigen, wenn Sie Ihren Auftraggeber mehr Berechtigungen gewähren, als sie für ihre Arbeit benötigen.

Sie können AWS verwaltete Richtlinien, einschließlich Jobfunktionen, an jede IAM-Identität anhängen. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie Access Analyzer ausführen AWS Identity and Access Management , um die Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine vom Kunden verwaltete Richtlinie schreiben oder generieren, die nur die erforderlichen Berechtigungen für Ihr Team beinhaltet. Das ist weniger sicher, bietet aber mehr Flexibilität, wenn Sie erfahren, wie Ihr Team die Daten verwendet AWS. Weitere Informationen finden Sie unter Generieren von IAM Access Analyzer-Richtlinien.

AWS verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgaben konzipiert sind, finden Sie unterAWS verwaltete Richtlinien für Jobfunktionen.

Eine Liste der AWS verwalteten Richtlinien finden Sie im Referenzhandbuch für AWS verwaltete Richtlinien.

Verwenden von eingebundenen Richtlinien

Inline-Richtlinien sind nützlich, wenn Sie eine strikte one-to-one Beziehung zwischen einer Richtlinie und der Identität, auf die sie angewendet wird, aufrechterhalten möchten. Sie sollten beispielsweise darauf achten, dass die Berechtigungen einer Richtlinie nicht versehentlich einer Identität zugewiesen werden, für die sie nicht vorgesehen sind. Bei Verwendung einer Inline-Richtlinie können die Berechtigungen in der Richtlinie nicht versehentlich der falschen Identität zugeordnet werden. Wenn Sie AWS-Managementkonsole zum Löschen dieser Identität verwenden, werden außerdem die in der Identität eingebetteten Richtlinien ebenfalls gelöscht, da sie Teil der Prinzipalentität sind.