

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Struktur der IAM-Richtlinien
<a name="iam-policy-structure"></a>

In den folgenden Themen wird die Struktur einer IAM-Richtlinie erläutert.

**Topics**
+ [Richtliniensyntax](#policy-syntax)
+ [API-Aktionen für AWS Batch](#UsingWithbatch_Actions)
+ [Amazon-Ressourcennamen für AWS Batch](#batch_ARN_Format)
+ [Vergewissern Sie sich, dass Benutzer über die erforderlichen Berechtigungen verfügen](#check-required-permissions)

## Richtliniensyntax
<a name="policy-syntax"></a>

Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jede Anweisung ist folgendermaßen strukturiert.

```
{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}
```

Eine Aussage besteht aus vier Hauptelementen:
+ **Effect:** Der *effect*-Wert kann `Allow` oder `Deny` lauten. Standardmäßig sind Benutzer nicht berechtigt, Ressourcen und API-Aktionen zu verwenden. Daher werden alle Anfragen abgelehnt. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis.
+ **Aktion**: Die *Aktion* ist die spezifische API-Aktion, für die Sie die Erlaubnis erteilen oder verweigern. Anweisungen zur Spezifizierung der *Aktion* finden Sie unter[API-Aktionen für AWS Batch](#UsingWithbatch_Actions). 
+ **Resource**: Die von einer Aktion betroffene Ressource. Bei einigen AWS Batch API-Aktionen können Sie bestimmte Ressourcen in Ihre Richtlinie aufnehmen, die durch die Aktion erstellt oder geändert werden können. Um eine Ressource in der Anweisung anzugeben, verwenden Sie deren Amazon-Ressourcennamen (ARN). Weitere Informationen erhalten Sie unter [Unterstützte Berechtigungen auf Ressourcenebene für API-Aktionen AWS Batch](batch-supported-iam-actions-resources.md) und [Amazon-Ressourcennamen für AWS Batch](#batch_ARN_Format). Wenn der AWS Batch API-Vorgang derzeit keine Berechtigungen auf Ressourcenebene unterstützt, fügen Sie einen Platzhalter (\$1) hinzu, um anzugeben, dass alle Ressourcen von der Aktion betroffen sein können. 
+ **Condition**: Bedingungen sind optional. Mit ihrer Hilfe können Sie bestimmen, wann Ihre Richtlinie wirksam ist.

Weitere Informationen zu beispielhaften IAM-Richtlinienanweisungen für finden Sie unter. AWS Batch[Ressource: Beispielrichtlinien für AWS Batch](ExamplePolicies_BATCH.md) 

## API-Aktionen für AWS Batch
<a name="UsingWithbatch_Actions"></a>

In einer IAM-Richtlinienanweisung können Sie jede API-Aktion von jedem Service, der IAM unterstützt, angeben. Verwenden Sie für AWS Batch das folgende Präfix mit dem Namen der API-Aktion: `batch:` (zum Beispiel `batch:SubmitJob` und`batch:CreateComputeEnvironment`).

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie jede Aktion durch ein Komma.

```
"Action": ["batch:action1", "batch:action2"]
```

Sie können auch mehrere Aktionen angeben, indem Sie einen Platzhalter (\$1) angeben. Sie können beispielsweise alle Aktionen mit einem Namen angeben, der mit dem Wort „Describe“ beginnt.

```
"Action": "batch:Describe*"
```

Um alle AWS Batch API-Aktionen anzugeben, fügen Sie einen Platzhalter (\$1) hinzu.

```
"Action": "batch:*"
```

Eine Liste der AWS Batch Aktionen finden Sie unter [Aktionen](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) in der *AWS Batch API-Referenz.*

## Amazon-Ressourcennamen für AWS Batch
<a name="batch_ARN_Format"></a>

Jede IAM-Richtlinienerklärung gilt für die Ressourcen, die Sie mit ihren Amazon-Ressourcennamen (ARNs) angeben. 

Ein Amazon-Ressourcenname (ARN) hat die folgende allgemeine Syntax:

```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```

*Service nicht zulässig*  
Der Service (z. B. `batch`)

*Region*  
Der AWS-Region für die Ressource (zum Beispiel`us-east-2`).

*Konto*  
Die AWS-Konto ID ohne Bindestriche (z. B.`123456789012`).

*RessourcenTyp*  
Der Typ der Ressource (z. B. `compute-environment`)

*resourcePath*  
Ein Pfad zur Identifizierung der Ressource. Sie können in Ihren Pfaden einen Platzhalter (\$1) verwenden.

AWS Batch API-Operationen unterstützen derzeit Berechtigungen auf Ressourcenebene für mehrere API-Operationen. Weitere Informationen finden Sie unter [Unterstützte Berechtigungen auf Ressourcenebene für API-Aktionen AWS Batch](batch-supported-iam-actions-resources.md). Um alle Ressourcen anzugeben oder falls eine bestimmte API-Aktion dies nicht unterstützt ARNs, fügen Sie dem Element einen Platzhalter (\$1) hinzu. `Resource`

```
"Resource": "*"
```

## Vergewissern Sie sich, dass Benutzer über die erforderlichen Berechtigungen verfügen
<a name="check-required-permissions"></a>

Bevor Sie eine IAM-Richtlinie in Betrieb nehmen, stellen Sie sicher, dass sie Benutzern die Berechtigungen zur Nutzung der spezifischen API-Aktionen und Ressourcen gewährt, die sie benötigen.

Erstellen Sie dazu zunächst einen Benutzer zu Testzwecken und hängen Sie die IAM-Richtlinie an den Testbenutzer an. Anschließend initiieren Sie mit dem Testbenutzer eine Anforderung. Anforderungen erfolgen über die Konsole oder die AWS CLI. 

**Anmerkung**  
Sie können Ihre Richtlinien auch mit dem [IAM Policy](https://policysim.aws.amazon.com/home/index.jsp?#) Simulator testen. Weitere Informationen zum Richtliniensimulator finden Sie unter [Arbeiten mit dem IAM Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) im *IAM-Benutzerhandbuch*.

Falls die Richtlinie dem Benutzer nicht die erwarteten Berechtigungen erteilt oder zu viele Berechtigungen gewährt, können Sie die Richtlinie entsprechend anpassen. Testen Sie so lange, bis Sie die gewünschten Ergebnisse erhalten. 

**Wichtig**  
Es kann einige Minuten dauern, bis Richtlinienänderungen wirksam werden. Daher empfehlen wir, dass Sie mindestens fünf Minuten verstreichen lassen, bevor Sie Ihre Richtlinienaktualisierungen testen.

Bei einer fehlgeschlagenen Autorisierungsprüfung gibt die Anforderung eine codierte Nachricht mit Diagnoseinformationen zurück. Sie können die Nachricht mit der Aktion `DecodeAuthorizationMessage` decodieren. Weitere Informationen finden Sie [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)in der *AWS -Security-Token-Service API-Referenz* und [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)in der *AWS CLI Befehlsreferenz*.