Amazon Monitron steht Neukunden nicht mehr zur Verfügung. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Informationen zu Funktionen, die Amazon Monitron ähneln, finden Sie in unserem [Blogbeitrag](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# So funktioniert Amazon Monitron mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Monitron zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Amazon Monitron verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon Monitron und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter [AWS Services That Work with IAM im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Identitätsbasierte Richtlinien von Amazon Monitron](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien von Amazon Monitron](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf Amazon Monitron-Tags](#security_iam_service-with-iam-tags)
+ [Amazon Monitron IAM-Rollen](#security_iam_service-with-iam-roles)
+ [Beispiele für identitätsbasierte Richtlinien von Amazon Monitron](#security_iam_id-based-policy-examples)
+ [Fehlerbehebung bei Amazon Monitron Identity and Access](#security_iam_troubleshoot)
## Identitätsbasierte Richtlinien von Amazon Monitron
Verwenden Sie identitätsbasierte IAM-Richtlinien, um zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen anzugeben, unter denen Aktionen zulässig oder verweigert werden. Amazon Monitron unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Aktionen](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressourcen](#security_iam_service-with-iam-id-based-policies-resources)
+ [Bedingungsschlüssel](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Beispiele](#security_iam_service-with-iam-id-based-policies-examples)
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
In Amazon Monitron verwenden Richtlinienaktionen das folgende Präfix vor der Aktion:`monitron:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, ein Projekt mit dem Amazon Monitron `CreateProject` Monitron-Betrieb zu erstellen, nehmen Sie die `monitron:CreateProject` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Amazon Monitron definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.
**Anmerkung**
Für den `deleteProject` Vorgang benötigen Sie die AWS IAM Identity Center (SSO-) Berechtigungen zum Löschen. Ohne diese Berechtigungen wird das Projekt durch die Löschfunktion trotzdem entfernt. Die Ressourcen werden dadurch jedoch nicht aus SSO entfernt, und es kann sein, dass Sie am Ende nur noch vereinzelte Verweise auf SSO haben.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "monitron:List*"
```
### Ressourcen
Amazon Monitron unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht.
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Amazon Monitron definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon Monitron-Bedingungsschlüssel finden Sie unter [Von Amazon Monitron definierte Aktionen](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Bedingungsschlüssel für Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys).
### Beispiele
Beispiele für identitätsbasierte Richtlinien von Amazon Monitron finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon Monitron](#security_iam_id-based-policy-examples)
## Ressourcenbasierte Richtlinien von Amazon Monitron
Amazon Monitron unterstützt keine ressourcenbasierten Richtlinien.
## Autorisierung basierend auf Amazon Monitron-Tags
Sie können Tags bestimmten Arten von Amazon Monitron Monitron-Ressourcen zur Autorisierung zuordnen. Um den Zugriff anhand von Tags zu steuern, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe der `aws:TagKeys` Bedingungsschlüssel `Amazon Monitron:TagResource/${TagKey}``aws:RequestTag/${TagKey}`, oder an.
## Amazon Monitron IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Amazon Monitron verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich mit dem Verbund anzumelden, eine IAM-Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon Monitron unterstützt die Verwendung temporärer Anmeldeinformationen.
### Serviceverknüpfte Rollen
[Mit Services verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen es AWS Services, auf Ressourcen in anderen Services zuzugreifen, um eine Aktion in Ihrem Namen durchzuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Amazon Monitron unterstützt serviceverknüpfte Rollen.
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Amazon Monitron unterstützt Servicerollen.
## Beispiele für identitätsbasierte Richtlinien von Amazon Monitron
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Amazon Monitron Monitron-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit dem ausführen. AWS-Managementkonsole Ein IAM-Administrator muss den IAM-Benutzern, -Gruppen oder -Rollen, für die sie erforderlich sind, Berechtigungen erteilen. Anschließend können diese Benutzer, Gruppen oder Rollen die spezifischen Operationen mit den angegebenen Ressourcen ausführen, die sie benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Bewährte Methoden für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Monitron Monitron-Konsole](#security_iam_id-based-policy-examples-console)
+ [Beispiel: Alle Amazon Monitron Monitron-Projekte auflisten](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Beispiel: Amazon Monitron Monitron-Projekte anhand von Tags auflisten](#security_iam_id-based-policy-examples-view-widget-tags)
### Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Monitron Monitron-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
### Verwenden der Amazon Monitron Monitron-Konsole
Um Amazon Monitron über die Konsole einzurichten, schließen Sie bitte die Ersteinrichtung mit einem Benutzer mit hohen Rechten ab (z. B. einem Benutzer, dem die `AdministratorAccess` verwaltete Richtlinie angehängt ist).
Um nach der Ersteinrichtung auf die Amazon Monitron Monitron-Konsole für day-to-day Operationen zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Monitron Monitron-Ressourcen in Ihrem AWS Konto aufzulisten und anzuzeigen, und sie müssen eine Reihe von Berechtigungen im Zusammenhang mit IAM Identity Center beinhalten. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als diese erforderlichen Mindestberechtigungen, funktioniert die Konsole für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie nicht wie vorgesehen. Für grundlegende Funktionen der Amazon Monitron Monitron-Konsole müssen Sie die `AmazonMonitronFullAccess` verwaltete Richtlinie anhängen. Je nach den Umständen benötigen Sie möglicherweise auch zusätzliche Berechtigungen für die Organizations und den SSO-Dienst. Wenden Sie sich an den AWS Support, wenn Sie weitere Informationen benötigen.
### Beispiel: Alle Amazon Monitron Monitron-Projekte auflisten
Diese Beispielrichtlinie gewährt einem IAM-Benutzer in Ihrem AWS Konto die Erlaubnis, alle Projekte in Ihrem Konto aufzulisten.
### Beispiel: Amazon Monitron Monitron-Projekte anhand von Tags auflisten
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Amazon Monitron Monitron-Ressourcen anhand von Tags zu kontrollieren. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die das Auflisten von Projekten ermöglicht. Die Erlaubnis wird jedoch nur erteilt, wenn das Projekt-Tag den Wert von `location` hat`Seattle`. Diese Richtlinie gewährt auch die Berechtigungen, die für die Ausführung dieser Aktion auf der Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
## Fehlerbehebung bei Amazon Monitron Identity and Access
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Monitron und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Monitron durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Monitron Monitron-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
### Ich bin nicht berechtigt, eine Aktion in Amazon Monitron durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `monitron:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `monitron:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
### Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Monitron Monitron-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Monitron diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Monitron mit IAM](#security_iam_service-with-iam).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.