Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie AWS App Mesh funktioniert mit IAM
<a name="security_iam_service-with-iam"></a>

**Wichtig**  
Hinweis zum Ende des Supports: Am 30. September 2026 AWS wird der Support für eingestellt. AWS App Mesh Nach dem 30. September 2026 können Sie nicht mehr auf die AWS App Mesh Konsole oder die Ressourcen zugreifen. AWS App Mesh Weitere Informationen finden Sie in diesem Blogbeitrag [Migration von AWS App Mesh zu Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect). 

Bevor Sie IAM verwenden, um den Zugriff auf App Mesh zu verwalten, sollten Sie wissen, welche IAM-Funktionen für die Verwendung mit App Mesh verfügbar sind. Einen allgemeinen Überblick darüber, wie App Mesh und andere AWS Dienste mit IAM funktionieren, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

**Topics**
+ [Identitätsbasierte Richtlinien für App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte App Mesh Mesh-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung basierend auf App Mesh-Tags](#security_iam_service-with-iam-tags)
+ [App Mesh IAM-Rollen](#security_iam_service-with-iam-roles)

## Identitätsbasierte Richtlinien für App Mesh
<a name="security_iam_service-with-iam-id-based-policies"></a>

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. App Mesh unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Aktionen
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Richtlinienaktionen in App Mesh verwenden vor der Aktion das folgende Präfix:`appmesh:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, Meshes in einem Konto mit der `appmesh:ListMeshes` API-Operation aufzulisten, nehmen Sie die `appmesh:ListMeshes` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten.

Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.

```
"Action": [
      "appmesh:ListMeshes",
      "appmesh:ListVirtualNodes"
]
```

Sie können auch Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "appmesh:Describe*"
```



Eine Liste der App Mesh Mesh-Aktionen finden Sie unter [Definierte Aktionen von AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) im *IAM-Benutzerhandbuch*.

### Ressourcen
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```



Die App Mesh `mesh` Mesh-Ressource hat den folgenden ARN.

```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```

Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Verwenden Sie beispielsweise den folgenden ARN, um das *apps* in Ihrer Anweisung in der *Region-code* Region benannte Netz anzugeben.

```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```

Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1).

```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```

Einige App Mesh Mesh-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.

```
"Resource": "*"
```

Viele App Mesh Mesh-API-Aktionen beinhalten mehrere Ressourcen. `CreateRoute`Erstellt beispielsweise eine Route mit einem virtuellen Knotenziel, sodass ein IAM-Benutzer über Berechtigungen zur Verwendung der Route und des virtuellen Knotens verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas. 

```
"Resource": [
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```

Eine Liste der App Mesh Mesh-Ressourcentypen und ihrer Eigenschaften ARNs finden Sie AWS App Mesh im *IAM-Benutzerhandbuch* unter [Defined by (Ressourcen definiert von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies)). Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS App Mesh definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).

### Bedingungsschlüssel
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

App Mesh unterstützt die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller globalen AWS -Bedingungsschlüssel finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Eine Liste der globalen Bedingungsschlüssel, die App Mesh unterstützt, finden Sie unter [Bedingungsschlüssel für AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert von AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).

### Beispiele
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Beispiele für identitätsbasierte App Mesh Mesh-Richtlinien finden Sie unter. [AWS App Mesh Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)

## Ressourcenbasierte App Mesh Mesh-Richtlinien
<a name="security_iam_service-with-iam-resource-based-policies"></a>

App Mesh unterstützt keine ressourcenbasierten Richtlinien. Wenn Sie jedoch den Dienst AWS Resource Access Manager (AWS RAM) verwenden, um ein Mesh für mehrere AWS Dienste gemeinsam zu nutzen, wird vom Dienst eine ressourcenbasierte Richtlinie auf Ihr Mesh angewendet. AWS RAM Weitere Informationen finden Sie unter [Erteilen von Berechtigungen für ein Mesh](sharing.md#sharing-permissions-resource).

## Autorisierung basierend auf App Mesh-Tags
<a name="security_iam_service-with-iam-tags"></a>

Sie können Tags an App Mesh-Ressourcen anhängen oder Tags in einer Anfrage an App Mesh übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von App Mesh Mesh-Ressourcen finden Sie unter [Tagging AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) Resources.

Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [App Mesh-Meshes mit eingeschränkten Tags erstellen](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).

## App Mesh IAM-Rollen
<a name="security_iam_service-with-iam-roles"></a>

Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

### Temporäre Anmeldeinformationen mit App Mesh verwenden
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

App Mesh unterstützt die Verwendung temporärer Anmeldeinformationen. 

### Service-verknüpfte Rollen
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Mit Diensten verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen es AWS Diensten, auf Ressourcen in anderen Diensten zuzugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

App Mesh unterstützt dienstverknüpfte Rollen. Einzelheiten zum Erstellen oder Verwalten von dienstverknüpften App Mesh Mesh-Rollen finden Sie unter[Verwenden von dienstverknüpften Rollen für App Mesh](using-service-linked-roles.md).

### Servicerollen
<a name="security_iam_service-with-iam-roles-service"></a>

Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

App Mesh unterstützt keine Servicerollen.