Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie den Zugriff auf VPC Lattice-Dienste mithilfe von Authentifizierungsrichtlinien
VPC Lattice-Authentifizierungsrichtlinien sind IAM-Richtliniendokumente, die Sie an Dienstnetzwerke oder Dienste anhängen, um zu steuern, ob ein bestimmter Principal Zugriff auf eine Gruppe von Diensten oder einen bestimmten Dienst hat. Sie können jedem Servicenetzwerk oder Service, auf das oder den Sie den Zugriff kontrollieren möchten, eine Authentifizierungsrichtlinie anhängen.
**Anmerkung**
Die Authentifizierungsrichtlinie im Dienstnetzwerk gilt nicht für Ressourcenkonfigurationen im Dienstnetzwerk.
Authentifizierungsrichtlinien unterscheiden sich von identitätsbasierten IAM-Richtlinien. Identitätsbasierte IAM-Richtlinien sind IAM-Benutzern, -Gruppen oder -Rollen zugeordnet und definieren, welche Aktionen diese Identitäten auf welchen Ressourcen ausführen können. Authentifizierungsrichtlinien sind an Dienste und Dienstnetzwerke angehängt. Damit die Autorisierung erfolgreich ist, müssen sowohl Authentifizierungsrichtlinien als auch identitätsbasierte Richtlinien explizite Zulassungsanweisungen enthalten. Weitere Informationen finden Sie unter [Wie funktioniert die Autorisierung](#auth-policies-evaluation-logic).
Sie können die AND-Konsole verwenden, um Authentifizierungsrichtlinien für Dienste AWS CLI und Dienstnetzwerke anzuzeigen, hinzuzufügen, zu aktualisieren oder zu entfernen. Wenn Sie eine Authentifizierungsrichtlinie hinzufügen, aktualisieren oder entfernen, kann es einige Minuten dauern, bis sie fertig ist. Stellen Sie bei der Verwendung von sicher AWS CLI, dass Sie sich in der richtigen Region befinden. Sie können entweder die Standardregion für Ihr Profil ändern oder den `--region` Parameter zusammen mit dem Befehl verwenden.
**Topics**
+ [Allgemeine Elemente einer Authentifizierungsrichtlinie](#auth-policies-common-elements)
+ [Ressourcenformat für Authentifizierungsrichtlinien](#auth-policies-resource-format)
+ [Bedingungsschlüssel, die in Authentifizierungsrichtlinien verwendet werden können](#auth-policies-condition-keys)
+ [Ressourcen-Tags](#resource-tags)
+ [Wichtigste Stichwörter](#principal-tags)
+ [Anonyme (nicht authentifizierte) Prinzipale](#anonymous-unauthenticated-principals)
+ [Beispiel für Authentifizierungsrichtlinien](#example-auth-policies)
+ [Wie funktioniert die Autorisierung](#auth-policies-evaluation-logic)
Um mit Authentifizierungsrichtlinien zu beginnen, folgen Sie dem Verfahren zum Erstellen einer Authentifizierungsrichtlinie, die für ein Dienstnetzwerk gilt. Für restriktivere Berechtigungen, die Sie nicht auf andere Dienste anwenden möchten, können Sie optional Authentifizierungsrichtlinien für einzelne Dienste festlegen.
## Verwalten Sie den Zugriff auf ein Servicenetzwerk mit Authentifizierungsrichtlinien
Die folgenden AWS CLI Aufgaben zeigen Ihnen, wie Sie den Zugriff auf ein Servicenetzwerk mithilfe von Authentifizierungsrichtlinien verwalten. Anweisungen zur Verwendung der Konsole finden Sie unter[Servicenetzwerke in VPC Lattice](service-networks.md).
**Topics**
+ [Fügen Sie einem Servicenetzwerk eine Authentifizierungsrichtlinie hinzu](#add-service-network-auth-policy)
+ [Ändern Sie den Authentifizierungstyp eines Servicenetzwerks](#change-service-network-auth-type)
+ [Entfernen Sie eine Authentifizierungsrichtlinie aus einem Servicenetzwerk](#remove-service-network-auth-policy)
### Fügen Sie einem Servicenetzwerk eine Authentifizierungsrichtlinie hinzu
Folgen Sie den Schritten in diesem Abschnitt, um Folgendes AWS CLI zu verwenden:
+ Aktivieren Sie die Zugriffskontrolle in einem Servicenetzwerk mithilfe von IAM.
+ Fügen Sie dem Dienstnetzwerk eine Authentifizierungsrichtlinie hinzu. Wenn Sie keine Authentifizierungsrichtlinie hinzufügen, wird für den gesamten Datenverkehr die Fehlermeldung „Zugriff verweigert“ angezeigt.
**Um die Zugriffskontrolle zu aktivieren und eine Authentifizierungsrichtlinie zu einem neuen Servicenetzwerk hinzuzufügen**
1. Um die Zugriffskontrolle in einem Dienstnetzwerk zu aktivieren, sodass dieses eine Authentifizierungsrichtlinie verwenden kann, verwenden Sie den **create-service-network** Befehl mit der `--auth-type` Option und dem Wert von. `AWS_IAM`
```
aws vpc-lattice create-service-network --name {{Name}} --auth-type AWS_IAM [--tags {{TagSpecification}}]
```
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"arn": "{{arn}}",
"authType": "AWS_IAM",
"id": "sn-0123456789abcdef0",
"name": "Name"
}
```
1. Verwenden Sie den **put-auth-policy** Befehl und geben Sie die ID des Dienstnetzwerks an, dem Sie die Authentifizierungsrichtlinie hinzufügen möchten, sowie die Authentifizierungsrichtlinie, die Sie hinzufügen möchten.
Verwenden Sie beispielsweise den folgenden Befehl, um eine Authentifizierungsrichtlinie für das Dienstnetzwerk mit der ID zu erstellen. {{`sn-0123456789abcdef0`}}
```
aws vpc-lattice put-auth-policy --resource-identifier {{sn-0123456789abcdef0}} --policy {{file://policy.json}}
```
Verwenden Sie JSON, um eine Richtliniendefinition zu erstellen. Weitere Informationen finden Sie unter [Allgemeine Elemente einer Authentifizierungsrichtlinie](#auth-policies-common-elements).
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"policy": "{{policy}}",
"state": "Active"
}
```
**Um die Zugriffskontrolle zu aktivieren und einem vorhandenen Servicenetzwerk eine Authentifizierungsrichtlinie hinzuzufügen**
1. Um die Zugriffskontrolle in einem Dienstnetzwerk zu aktivieren, sodass dieses eine Authentifizierungsrichtlinie verwenden kann, verwenden Sie den **update-service-network** Befehl mit der `--auth-type` Option und dem Wert von. `AWS_IAM`
```
aws vpc-lattice update-service-network --service-network-identifier {{sn-0123456789abcdef0}} --auth-type AWS_IAM
```
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"arn": "{{arn}}",
"authType": "AWS_IAM",
"id": "sn-0123456789abcdef0",
"name": "Name"
}
```
1. Verwenden Sie den **put-auth-policy** Befehl und geben Sie die ID des Dienstnetzwerks an, dem Sie die Authentifizierungsrichtlinie hinzufügen möchten, sowie die Authentifizierungsrichtlinie, die Sie hinzufügen möchten.
```
aws vpc-lattice put-auth-policy --resource-identifier {{sn-0123456789abcdef0}} --policy {{file://policy.json}}
```
Verwenden Sie JSON, um eine Richtliniendefinition zu erstellen. Weitere Informationen finden Sie unter [Allgemeine Elemente einer Authentifizierungsrichtlinie](#auth-policies-common-elements).
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"policy": "{{policy}}",
"state": "Active"
}
```
### Ändern Sie den Authentifizierungstyp eines Servicenetzwerks
**Um die Authentifizierungsrichtlinie für ein Servicenetzwerk zu deaktivieren**
Verwenden Sie den **update-service-network** Befehl mit der `--auth-type` Option und dem Wert. `NONE`
```
aws vpc-lattice update-service-network --service-network-identifier {{sn-0123456789abcdef0}} --auth-type NONE
```
Wenn Sie die Authentifizierungsrichtlinie später erneut aktivieren müssen, führen Sie diesen Befehl mit den für die `--auth-type` Option `AWS_IAM` angegebenen Werten aus.
### Entfernen Sie eine Authentifizierungsrichtlinie aus einem Servicenetzwerk
**Um eine Authentifizierungsrichtlinie aus einem Servicenetzwerk zu entfernen**
Verwenden Sie den Befehl **delete-auth-policy**.
```
aws vpc-lattice delete-auth-policy --resource-identifier {{sn-0123456789abcdef0}}
```
Die Anforderung schlägt fehl, wenn Sie eine Authentifizierungsrichtlinie entfernen, bevor Sie den Authentifizierungstyp eines Dienstnetzwerks in ändern. `NONE`
## Verwalten Sie den Zugriff auf einen Dienst mit Authentifizierungsrichtlinien
Die folgenden AWS CLI Aufgaben zeigen Ihnen, wie Sie den Zugriff auf einen Dienst mithilfe von Authentifizierungsrichtlinien verwalten. Anweisungen zur Verwendung der Konsole finden Sie unter[Dienstleistungen in VPC Lattice](services.md).
**Topics**
+ [Fügen Sie einem Dienst eine Authentifizierungsrichtlinie hinzu](#add-service-auth-policy)
+ [Ändern Sie den Authentifizierungstyp eines Dienstes](#change-service-auth-type)
+ [Entfernen Sie eine Authentifizierungsrichtlinie aus einem Dienst](#remove-service-auth-policy)
### Fügen Sie einem Dienst eine Authentifizierungsrichtlinie hinzu
Gehen Sie wie folgt vor, um das AWS CLI zu verwenden:
+ Aktivieren Sie die Zugriffskontrolle für einen Dienst mithilfe von IAM.
+ Fügen Sie dem Dienst eine Authentifizierungsrichtlinie hinzu. Wenn Sie keine Authentifizierungsrichtlinie hinzufügen, wird für den gesamten Datenverkehr die Fehlermeldung „Zugriff verweigert“ angezeigt.
**Um die Zugriffskontrolle zu aktivieren und einem neuen Dienst eine Authentifizierungsrichtlinie hinzuzufügen**
1. Um die Zugriffskontrolle für einen Dienst zu aktivieren, sodass dieser eine Authentifizierungsrichtlinie verwenden kann, verwenden Sie den **create-service** Befehl mit der `--auth-type` Option und dem Wert von. `AWS_IAM`
```
aws vpc-lattice create-service --name {{Name}} --auth-type AWS_IAM [--tags {{TagSpecification}}]
```
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"arn": "{{arn}}",
"authType": "AWS_IAM",
"dnsEntry": {
...
},
"id": "svc-0123456789abcdef0",
"name": "Name",
"status": "CREATE_IN_PROGRESS"
}
```
1. Verwenden Sie den **put-auth-policy** Befehl und geben Sie die ID des Dienstes an, dem Sie die Authentifizierungsrichtlinie hinzufügen möchten, sowie die Authentifizierungsrichtlinie, die Sie hinzufügen möchten.
Verwenden Sie beispielsweise den folgenden Befehl, um eine Authentifizierungsrichtlinie für den Dienst mit der ID zu erstellen. {{svc-0123456789abcdef0}}
```
aws vpc-lattice put-auth-policy --resource-identifier {{svc-0123456789abcdef0}} --policy {{file://policy.json}}
```
Verwenden Sie JSON, um eine Richtliniendefinition zu erstellen. Weitere Informationen finden Sie unter [Allgemeine Elemente einer Authentifizierungsrichtlinie](#auth-policies-common-elements).
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"policy": "{{policy}}",
"state": "Active"
}
```
**Um die Zugriffskontrolle zu aktivieren und einem vorhandenen Dienst eine Authentifizierungsrichtlinie hinzuzufügen**
1. Um die Zugriffskontrolle für einen Dienst zu aktivieren, sodass dieser eine Authentifizierungsrichtlinie verwenden kann, verwenden Sie den **update-service** Befehl mit der `--auth-type` Option und dem Wert von. `AWS_IAM`
```
aws vpc-lattice update-service --service-identifier {{svc-0123456789abcdef0}} --auth-type AWS_IAM
```
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"arn": "{{arn}}",
"authType": "AWS_IAM",
"id": "svc-0123456789abcdef0",
"name": "Name"
}
```
1. Verwenden Sie den **put-auth-policy** Befehl und geben Sie die ID des Dienstes an, dem Sie die Authentifizierungsrichtlinie hinzufügen möchten, sowie die Authentifizierungsrichtlinie, die Sie hinzufügen möchten.
```
aws vpc-lattice put-auth-policy --resource-identifier {{svc-0123456789abcdef0}} --policy {{file://policy.json}}
```
Verwenden Sie JSON, um eine Richtliniendefinition zu erstellen. Weitere Informationen finden Sie unter [Allgemeine Elemente einer Authentifizierungsrichtlinie](#auth-policies-common-elements).
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"policy": "{{policy}}",
"state": "Active"
}
```
### Ändern Sie den Authentifizierungstyp eines Dienstes
**Um die Authentifizierungsrichtlinie für einen Dienst zu deaktivieren**
Verwenden Sie den **update-service** Befehl mit der `--auth-type` Option und dem Wert. `NONE`
```
aws vpc-lattice update-service --service-identifier {{svc-0123456789abcdef0}} --auth-type NONE
```
Wenn Sie die Authentifizierungsrichtlinie später erneut aktivieren müssen, führen Sie diesen Befehl mit den für die `--auth-type` Option `AWS_IAM` angegebenen Werten aus.
### Entfernen Sie eine Authentifizierungsrichtlinie aus einem Dienst
**Um eine Authentifizierungsrichtlinie aus einem Dienst zu entfernen**
Verwenden Sie den Befehl **delete-auth-policy**.
```
aws vpc-lattice delete-auth-policy --resource-identifier {{svc-0123456789abcdef0}}
```
Die Anforderung schlägt fehl, wenn Sie eine Authentifizierungsrichtlinie entfernen, bevor Sie den Authentifizierungstyp des Dienstes in ändern. `NONE`
Wenn Sie Authentifizierungsrichtlinien aktivieren, die authentifizierte Anfragen an einen Dienst erfordern, müssen alle Anfragen an diesen Dienst eine gültige Anforderungssignatur enthalten, die mit Signature Version 4 (Sigv4) berechnet wurde. Weitere Informationen finden Sie unter [SIGv4 authentifizierte Anfragen für Amazon VPC Lattice](sigv4-authenticated-requests.md).
## Allgemeine Elemente einer Authentifizierungsrichtlinie
VPC Lattice-Authentifizierungsrichtlinien werden mit derselben Syntax wie IAM-Richtlinien angegeben. *Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im IAM-Benutzerhandbuch.*
Eine Authentifizierungsrichtlinie enthält die folgenden Elemente:
+ **Schulleiter** — Die Person oder Anwendung, der Zugriff auf die Aktionen und Ressourcen in der Anweisung gewährt wird. In einer Authentifizierungsrichtlinie ist der Principal die IAM-Entität, die der Empfänger dieser Berechtigung ist. Der Principal wird als IAM-Entität authentifiziert, um Anfragen an eine bestimmte Ressource oder eine Gruppe von Ressourcen zu stellen, wie dies bei Diensten in einem Dienstnetzwerk der Fall ist.
Sie müssen in einer ressourcenbasierten Richtlinie einen Prinzipal angeben. Prinzipale können Konten, Benutzer, Rollen, Verbundbenutzer oder Dienste umfassen. AWS Weitere Informationen finden Sie unter [AWS JSON-Richtlinienelemente: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) im *IAM-Benutzerhandbuch*.
+ **Effekt** — Der Effekt, wenn der angegebene Principal die bestimmte Aktion anfordert. Dies kann entweder `Allow` oder `Deny`sein. Wenn Sie die Zugriffskontrolle für einen Dienst oder ein Dienstnetzwerk mithilfe von IAM aktivieren, sind Prinzipale standardmäßig nicht berechtigt, Anfragen an den Dienst oder das Dienstnetzwerk zu stellen.
+ **Aktionen** — Die spezifische API-Aktion, für die Sie die Erlaubnis erteilen oder verweigern. VPC Lattice unterstützt Aktionen, die das Präfix verwenden. `vpc-lattice-svcs` Weitere Informationen finden Sie unter [Von Amazon VPC Lattice Services definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclatticeservices.html#amazonvpclatticeservices-actions-as-permissions) in der *Service Authorization* Reference.
+ **Ressourcen** — Die Dienste, die von der Aktion betroffen sind.
+ **Bedingung** — Die Bedingungen sind optional. Sie können sie verwenden, um zu kontrollieren, wann Ihre Richtlinie in Kraft tritt. Weitere Informationen finden Sie unter [Bedingungsschlüssel für Amazon VPC Lattice Services](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclatticeservices.html#amazonvpclatticeservices-policy-keys) in der *Service Authorization* Reference.
Wenn Sie Authentifizierungsrichtlinien erstellen und verwalten, möchten Sie möglicherweise den [IAM-Richtliniengenerator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-generator) verwenden.
**Anforderung**
Die Richtlinie in JSON darf keine neuen Zeilen oder Leerzeilen enthalten.
## Ressourcenformat für Authentifizierungsrichtlinien
Sie können den Zugriff auf bestimmte Ressourcen einschränken, indem Sie eine Authentifizierungsrichtlinie erstellen, die ein passendes Schema mit einem `/` Muster verwendet und das `Resource` Element codiert, wie in den folgenden Beispielen gezeigt.
| Protocol (Protokoll) | Beispiele |
| --- | --- |
| HTTP | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/vpc-lattice/latest/ug/auth-policies.html) |
| gRPC | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/vpc-lattice/latest/ug/auth-policies.html) |
Verwenden Sie das folgende Amazon Resource Name (ARN) -Ressourcenformat für``:
```
arn:aws:vpc-lattice:{{region}}:{{account-id}}:service/{{service-id}}
```
Beispiel:
```
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-0123456789abcdef0"
```
## Bedingungsschlüssel, die in Authentifizierungsrichtlinien verwendet werden können
Der Zugriff kann durch Bedingungsschlüssel im Element **Bedingung der Authentifizierungsrichtlinien** weiter gesteuert werden. Diese Bedingungsschlüssel stehen je nach Protokoll und davon, ob die Anfrage mit [Signature Version 4 (Sigv4)](sigv4-authenticated-requests.md) signiert oder anonym ist, zur Auswertung zur Verfügung. Bei Bedingungsschlüsseln wird die Groß- und Kleinschreibung beachtet.
AWS stellt globale Bedingungsschlüssel bereit, mit denen Sie den Zugriff steuern können, z. B. `aws:PrincipalOrgID` und`aws:SourceIp`. Eine Liste der AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
In der folgenden Tabelle sind die VPC Lattice-Bedingungsschlüssel aufgeführt. Weitere Informationen finden Sie unter [Bedingungsschlüssel für Amazon VPC Lattice Services](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclatticeservices.html#amazonvpclatticeservices-policy-keys) in der *Service Authorization* Reference.
| Bedingungsschlüssel | Description | Beispiel | Verfügbar für anonyme (nicht authentifizierte) Anrufer? | Verfügbar für gRPC? |
| --- | --- | --- | --- | --- |
| vpc-lattice-svcs:Port | Filtert den Zugriff nach dem Service-Port, an den die Anfrage gestellt wird | 80 | Ja | Ja |
| vpc-lattice-svcs:RequestMethod | Filtert den Zugriff nach der Methode der Anfrage | GET | Ja | Immer POSTEN |
| vpc-lattice-svcs:RequestPath | Filtert den Zugriff nach dem Pfadteil der Anforderungs-URL | /path | Ja | Ja |
| vpc-lattice-svcs:RequestHeader/{{header-name}}: {{value}} | Filtert den Zugriff nach einem Header-Name-Wert-Paar in den Anforderungsheadern | content-type: application/json | Ja | Ja |
| vpc-lattice-svcs:RequestQueryString/{{key-name}}: {{value}} | Filtert den Zugriff nach den Schlüssel-Wert-Paaren der Abfragezeichenfolge in der Anforderungs-URL | quux: [corge, grault] | Ja | Nein |
| vpc-lattice-svcs:ServiceNetworkArn | Filtert den Zugriff nach dem ARN des Servicenetzwerks des Dienstes, der die Anfrage empfängt | arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-0123456789abcdef0 | Ja | Ja |
| vpc-lattice-svcs:ServiceArn | Filtert den Zugriff nach dem ARN des Dienstes, der die Anfrage empfängt | arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-0123456789abcdef0 | Ja | Ja |
| vpc-lattice-svcs:SourceVpc | Filtert den Zugriff nach der VPC, von der aus die Anfrage gestellt wird | vpc-1a2b3c4d | Ja | Ja |
| vpc-lattice-svcs:SourceVpcOwnerAccount | Filtert den Zugriff durch das eigene Konto der VPC, von der aus die Anfrage gestellt wird | 123456789012 | Ja | Ja |
## Ressourcen-Tags
Ein *Tag* ist ein Metadaten-Label, das Sie zuweisen oder das einer AWS Ressource AWS zugewiesen wird. Jedes -Tag besteht aus zwei Teilen:
+ einem *Tag-Schlüssel* (z. B. `CostCenter`, `Environment` oder `Project`). Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.
+ einem optionalen Feld, dem sogenannten *Tag-Wert* (z. B. `111122223333` oder `Production`). Ein nicht angegebener Tag-Wert entspricht einer leeren Zeichenfolge. Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß- und Kleinschreibung unterschieden.
Weitere Informationen zum Tagging finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) Tags
Mithilfe des Kontextschlüssels für `aws:ResourceTag/key` AWS globale Bedingungen können Sie Tags in Ihren Authentifizierungsrichtlinien verwenden.
Die folgende Beispielrichtlinie gewährt Zugriff auf Dienste mit dem Tag`Environment=Gamma`. Mit dieser Richtlinie können Sie auf Dienste verweisen, für die der Dienst ARNs nicht fest codiert ist oder. IDs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGammaAccess",
"Effect": "Allow",
"Principal": "*",
"Action": "vpc-lattice-svcs:Invoke",
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-0124446789abcdef0/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "Gamma",
}
}
}
]
}
```
## Wichtigste Stichwörter
Sie können den Zugriff auf Ihre Dienste und Ressourcen anhand der Tags steuern, die mit der Identität des Anrufers verknüpft sind. VPC Lattice unterstützt die Zugriffskontrolle auf der Grundlage beliebiger Prinzipal-Tags in den Benutzer-, Rollen- oder Sitzungs-Tags, die die `aws:PrincipalTag/context` Variablen verwenden. Weitere Informationen finden Sie unter [Steuern des Zugriffs für IAM-Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals).
Die folgende Beispielrichtlinie gewährt Zugriff nur für Identitäten mit dem Tag. `Team=Payments` Mit dieser Richtlinie können Sie den Zugriff kontrollieren, ohne ein Konto IDs oder eine Rolle fest programmieren zu müssen. ARNs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPaymentsTeam",
"Effect": "Allow",
"Principal": "*",
"Action": "vpc-lattice-svcs:Invoke",
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-0123456789abcdef0/*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Team": "Payments",
}
}
}
]
}
```
## Anonyme (nicht authentifizierte) Prinzipale
Anonyme Principals sind Anrufer, die ihre AWS Anfragen nicht mit [Signature Version 4 (Sigv4)](sigv4-authenticated-requests.md) signieren und sich in einer VPC befinden, die mit dem Servicenetzwerk verbunden ist. Anonyme Prinzipale können nicht authentifizierte Anfragen an Dienste im Servicenetzwerk stellen, sofern eine Authentifizierungsrichtlinie dies zulässt.
## Beispiel für Authentifizierungsrichtlinien
Im Folgenden finden Sie Beispiele für Authentifizierungsrichtlinien, bei denen Anfragen von authentifizierten Prinzipalen gestellt werden müssen.
Alle Beispiele verwenden die `us-west-2` Region und enthalten ein fiktives Konto. IDs
**Beispiel 1: Beschränken Sie den Zugriff auf Dienste durch eine bestimmte Organisation AWS**
Das folgende Beispiel für eine Authentifizierungsrichtlinie gewährt jeder authentifizierten Anfrage Berechtigungen für den Zugriff auf alle Dienste im Dienstnetzwerk, für die die Richtlinie gilt. Die Anfrage muss jedoch von Prinzipalen stammen, die zu der in der Bedingung angegebenen AWS Organisation gehören.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "vpc-lattice-svcs:Invoke",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"{{o-123456example}}"
]
}
}
}
]
}
```
------
**Beispiel 2: Beschränken Sie den Zugriff auf einen Service durch eine bestimmte IAM-Rolle**
Das folgende Beispiel für eine Authentifizierungsrichtlinie gewährt Berechtigungen für jede authentifizierte Anfrage, die die IAM-Rolle verwendet, `rates-client` um HTTP-GET-Anfragen für den im Element angegebenen Dienst zu stellen. `Resource` Die Ressource im `Resource` Element entspricht dem Dienst, an den die Richtlinie angehängt ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{123456789012}}:role/rates-client"
]
},
"Action": "vpc-lattice-svcs:Invoke",
"Resource": [
"arn:aws:vpc-lattice:us-west-2:{{123456789012}}:service/{{svc-0123456789abcdef0}}/*"
],
"Condition": {
"StringEquals": {
"vpc-lattice-svcs:RequestMethod": "GET"
}
}
}
]
}
```
------
**Beispiel 3: Beschränken Sie den Zugriff auf Dienste durch authentifizierte Principals in einer bestimmten VPC**
Das folgende Beispiel für eine Authentifizierungsrichtlinie erlaubt nur authentifizierte Anfragen von Prinzipalen in der VPC, deren VPC-ID lautet. `{{vpc-1a2b3c4d}}`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "vpc-lattice-svcs:Invoke",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalType": "Anonymous"
},
"StringEquals": {
"vpc-lattice-svcs:SourceVpc": "{{vpc-1a2b3c4d}}"
}
}
}
]
}
```
------
## Wie funktioniert die Autorisierung
Wenn ein VPC Lattice-Dienst eine Anfrage erhält, bewertet der AWS Durchsetzungscode alle relevanten Berechtigungsrichtlinien zusammen, um zu bestimmen, ob die Anfrage autorisiert oder abgelehnt werden soll. Bei der Autorisierung werden alle identitätsbasierten IAM-Richtlinien und Authentifizierungsrichtlinien bewertet, die im Anforderungskontext gelten. Standardmäßig werden alle Anfragen implizit verweigert, wenn der Authentifizierungstyp ist. `AWS_IAM` Eine ausdrückliche Zulassung durch alle relevanten Richtlinien hat Vorrang vor der Standardeinstellung.
Die Autorisierung beinhaltet:
+ Erfassung aller relevanten identitätsbasierten IAM-Richtlinien und Authentifizierungsrichtlinien.
+ Bewertung der daraus resultierenden Richtlinien:
+ Es wird überprüft, ob der Anforderer (z. B. ein IAM-Benutzer oder eine IAM-Rolle) berechtigt ist, den Vorgang von dem Konto aus durchzuführen, zu dem der Anforderer gehört. Wenn es keine ausdrückliche Zulassungsanweisung gibt, wird die Anfrage AWS nicht autorisiert.
+ Es wird überprüft, ob die Anforderung gemäß der Authentifizierungsrichtlinie für das Dienstnetzwerk zulässig ist. Wenn eine Authentifizierungsrichtlinie aktiviert ist, es aber keine ausdrückliche Zulassungsanweisung gibt, wird die Anfrage AWS nicht autorisiert. Wenn es eine explizite Allow-Anweisung gibt oder der Authentifizierungstyp es ist`NONE`, wird der Code fortgesetzt.
+ Es wird überprüft, ob die Anforderung gemäß der Authentifizierungsrichtlinie für den Dienst zulässig ist. Wenn eine Authentifizierungsrichtlinie aktiviert ist, es aber keine ausdrückliche Zulassungsanweisung gibt, wird die Anfrage AWS nicht autorisiert. **Wenn es eine explizite Erlaubnis-Anweisung gibt oder der Authentifizierungstyp es ist`NONE`, gibt der Erzwingungscode die endgültige Entscheidung Allow zurück.**
+ Eine explizite Zugriffsverweigerung überschreibt jede Zugriffserlaubnis in einer Richtlinie.
Das Diagramm zeigt den Autorisierungsablauf. Wenn eine Anfrage gestellt wird, erlauben oder verweigern die entsprechenden Richtlinien der Anfrage den Zugriff auf einen bestimmten Dienst.
