Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Ressource: Beschränken Sie sich bei der Auftragseingabe auf POSIX-Benutzer, Docker-Image, Rechtestufe und Rolle
<a name="iam-example-job-def"></a>

Die folgende Richtlinie ermöglicht es einem POSIX-Benutzer, seinen eigenen Satz von eingeschränkten Jobdefinitionen zu verwalten.

Verwenden Sie die erste und die zweite Anweisung, um jeden Jobdefinitionsnamen zu registrieren und zu deregistrieren, dessen Name ein Präfix hat. *JobDefA\$1*

Die erste Anweisung verwendet auch bedingte Kontextschlüssel zum Beschränken des POSIX-Benutzers, des privilegierten Status und der Container-Image-Werte innerhalb der `containerProperties` einer Auftragsdefinition. Weitere Informationen finden Sie unter [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) in der *AWS Batch -API-Referenz*. In diesem Beispiel können Jobdefinitionen nur registriert werden, wenn der POSIX-Benutzer auf gesetzt ist. `nobody` Das privilegierte Flag ist auf `false` gesetzt. Zuletzt wird das Bild `myImage` in einem Amazon ECR-Repository gespeichert.

**Wichtig**  
Docker löst den `user` Parameter innerhalb des Container-Images für diesen Benutzer `uid` auf. In den meisten Fällen befindet sich dies in der `/etc/passwd` Datei im Container-Image. Diese Namensauflösung kann vermieden werden, indem direkte `uid` Werte sowohl in der Auftragsdefinition als auch in allen zugehörigen IAM-Richtlinien verwendet werden. Sowohl die AWS Batch API-Operationen als auch die bedingten `batch:User` IAM-Schlüssel unterstützen numerische Werte.

Verwenden Sie die dritte Anweisung, um eine Jobdefinition nur auf eine bestimmte Rolle zu beschränken.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "batch:RegisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
            ],
            "Condition": {
                "StringEquals": {
                    "batch:User": [
                        "nobody"
                    ],
                    "batch:Image": [
                        "999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
                    ]
                },
                "Bool": {
                    "batch:Privileged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "batch:DeregisterJobDefinition"
            ],
            "Resource": [
                "arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::999999999999:role/MyBatchJobRole"
            ]
        }
    ]
}
```

------