Erstellen benutzerverwalteter Richtlinien in AWS-Dummies

Wenn Sie Ihr AWS-Konto (Amazon Web Services) zum ersten Mal erstellen, ist nur eine von AWS verwaltete Richtlinie vorhanden: AdministratorAccess. Nachdem Sie jedoch den ersten Benutzer erstellt und sich mit Ihrem neuen Administratorkonto bei AWS angemeldet haben, können Sie auf eine große Anzahl von AWS-verwalteten Richtlinien zugreifen.

Wann immer möglich sollten Sie die von AWS verwalteten Richtlinien verwenden, um sicherzustellen, dass die Richtlinie automatische Updates erhält, die Änderungen in der AWS-Funktionalität widerspiegeln. Wenn Sie eine vom Kunden verwaltete Richtlinie verwenden, müssen Sie die erforderlichen Updates manuell durchführen. Mit den folgenden Schritten können Sie mit benutzerverwalteten Richtlinien beginnen.

1. Melden Sie sich mit Ihrem Administratorkonto bei AWS an.
2. Navigieren Sie zur IAM-Verwaltungskonsole .
3. Wählen Sie im Navigationsbereich Richtlinien aus. Sie sehen die Seite Willkommen bei verwalteten Richtlinien.

   

   Auf der Seite "Willkommen zu verwalteten Richtlinien" werden die Verwendung der Richtlinien erklärt und Sie können beginnen.
4. Klicken Sie auf Erste Schritte. Eine Liste der verfügbaren AWS-verwalteten Richtlinien wird angezeigt (siehe Abbildung). Jeder der Richtliniennamen beginnt mit dem Wort Amazon (um anzuzeigen, dass es sich um eine AWS-verwaltete Richtlinie handelt), gefolgt vom Dienstnamen (EC2 in der Abbildung), optional gefolgt vom Ziel der Berechtigung (z. B. ContainerRegistry) und endet. mit der Art der gewährten Berechtigung (wie FullAccess). Wenn Sie eigene, von Kunden verwaltete Richtlinien erstellen, empfiehlt es sich, die gleiche Vorgehensweise zu befolgen, um die Verwendung der Namen zu erleichtern und mit ihren AWS-verwalteten Gegenstücken übereinzustimmen.

   

   Die Liste der von AWS verwalteten Richtlinien ist relativ lang.

   Beachten Sie, dass die Richtlinienliste die Anzahl der an eine Richtlinie angehängten Entitäten angibt, damit Sie wissen, ob eine Richtlinie tatsächlich verwendet wird. Außerdem können Sie die Erstellungszeit der Richtlinie und die Uhrzeit sehen, zu der sie zuletzt bearbeitet wurden. Das Symbol auf der linken Seite der Richtlinie zeigt den Richtlinientyp an, der ein stilisierter Würfel für von AWS verwaltete Richtlinien ist.

   Stellen Sie vor dem Erstellen einer vom Kunden verwalteten Richtlinie sicher, dass keine AWS-verwaltete Richtlinie vorhanden ist, die denselben Zweck erfüllt. Die Verwendung der von AWS verwalteten Richtlinie ist einfacher, weniger fehleranfällig und bietet bei Bedarf automatische Aktualisierungen.

5. Klicken Sie auf Richtlinie erstellen.

   

   AWS bietet drei Optionen zum Erstellen von kundenverwalteten Richtlinien.

   Sie sehen die Seite "Richtlinie erstellen". AWS bietet drei Optionen zum Erstellen einer neuen Richtlinie (in der Reihenfolge der Komplexität):

   • Kopieren einer von AWS verwalteten Richtlinie: Eine von AWS verwaltete Richtlinie fungiert als Ausgangspunkt. Sie nehmen dann Änderungen vor, um die Richtlinie an Ihre Bedürfnisse anzupassen.Da diese Option sicherstellt, dass Sie eine verwendbare Richtlinie erstellen und am wenigsten arbeiten müssen, sollten Sie sie nach Möglichkeit verwenden. In diesem Beispiel wird davon ausgegangen, dass Sie eine vorhandene AWS-verwaltete Richtlinie kopieren, da Sie dieser Route am häufigsten folgen.
   • Richtliniengenerator: Unterstützt eine assistentenähnliche Schnittstelle, um Aktionen gegen einen AWS-Dienst zuzulassen oder zu verweigern. Sie können die Berechtigung bestimmten Ressourcen (in einigen Fällen) mithilfe eines Amazon-Ressourcennamens (ARN) oder aller Ressourcen (mit einem *, Sternchen) zuweisen. (In der Beschreibung wird beschrieben, wie Sie ARNs erstellen und verwenden.) Eine Richtlinie kann mehrere Berechtigungen enthalten, von denen jede als Anweisung in der Richtlinie angezeigt wird. Nachdem Sie Richtlinien definiert haben, zeigt Ihnen der Assistent das Richtliniendokument an, das Sie bei Bedarf manuell bearbeiten können. Der Assistent verwendet das Richtliniendokument zum Generieren der Richtlinie. Dies ist die beste Option, wenn Sie eine einzelne Richtlinie für mehrere Dienste benötigen.
   • Erstellen Sie Ihre eigene Richtlinie: Definiert eine Richtlinie vollständig von Hand. Sie sehen nur die Richtliniendokumentseite, die Sie manuell mit der entsprechenden Syntax und Grammatik ausfüllen müssen. In der Diskussion erfahren Sie mehr darüber, wie Sie eine Richtlinie vollständig manuell erstellen. Sie verwenden diese Option nur, wenn dies erforderlich ist, da der Zeitaufwand für die Erstellung des Dokuments erheblich und das Fehlerpotenzial groß ist.
6. Klicken Sie auf Eine AWS-verwaltete Richtlinie kopieren.

   Sie sehen eine Liste der von AWS verwalteten Richtlinien.

   

   Wählen Sie die Richtlinie aus, die Sie ändern möchten.
7. Klicken Sie neben der von AWS verwalteten Richtlinie auf Auswählen, die Sie als Grundlage für Ihre vom Kunden verwaltete Richtlinie verwenden möchten. In diesem Beispiel wird die AmazonEC2FullAccess-Richtlinie als Ausgangspunkt verwendet, aber die gleichen Schritte gelten für das Ändern anderer Richtlinien. Sie sehen die Seite "Bewertungsrichtlinie".

   

   Auf der Seite "Überprüfungsrichtlinie" werden die Details zu der Richtlinie angezeigt, die Sie ändern.

   Das Starten mit einer Richtlinie, die zu viele Rechte hat, und das Entfernen der Rechte, die Sie nicht möchten, ist wesentlich einfacher als mit einer Richtlinie zu beginnen, die zu wenig Rechte hat, und die erforderlichen Rechte hinzuzufügen. Das Hinzufügen von Rechten erfordert das Eingeben neuer Einträge in das Richtliniendokument, was detaillierte Kenntnisse der Richtlinien erfordert. Das Entfernen von Rechten bedeutet, die richtigen Anweisungen hervorzuheben, die Sie nicht möchten, und sie zu löschen.

8. Geben Sie einen neuen Namen in das Feld Richtlinienname ein.

   Im Beispiel wird MyCompanyEC2FullAccessNoCloudWatch als Richtlinienname verwendet.

9. Ändern Sie das Beschreibungsfeld nach Bedarf, um die vorgenommenen Änderungen zu definieren. Das Beispiel fügt hinzu, dass die Richtlinie keinen Zugriff auf CloudWatch zulässt.
10. Ändern Sie das Feld "Richtliniendokument" nach Bedarf, um Richtlinienänderungen widerzuspiegeln. Das Beispiel entfernt den folgenden Richtlinienabschnitt aus dem Dokument:

    {

    "Effect": "Allow",

    "Action": "cloudwatch: *",

    "Resource": " * "

    },

    Stellen Sie sicher, dass Sie nach Bedarf zwischen den Richtlinien Kommas hinzufügen und entfernen oder dass die Richtlinie nicht wie erwartet funktioniert.

11. Klicken Sie auf Richtlinie überprüfen. Wenn die vorgenommenen Änderungen wie vorgesehen funktionieren, wird oben auf der Seite die Meldung Diese Richtlinie ist gültig erfolgreich angezeigt. Validieren Sie Ihre Richtlinie immer, bevor Sie sie erstellen.
12. Klicken Sie auf Richtlinie erstellen. Sie sehen eine Erfolgsmeldung auf der Seite "Richtlinien" sowie einen neuen Eintrag für Ihre Richtlinie (siehe Abbildung). Beachten Sie, dass Ihre Richtlinie kein Richtlinientypsymbol enthält. Das Fehlen eines Symbols erleichtert das Auffinden der Richtlinie in der Liste.

    

    AWS informiert Sie darüber, wenn Sie eine neue Richtlinie erfolgreich hinzugefügt haben.