Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für IAM-Richtlinien für AWS Artifact kommerzielle Regionen AWS
Sie können Berechtigungsrichtlinien erstellen, die IAM-Benutzern Berechtigungen gewähren. Sie können Benutzern Zugriff auf AWS Artifact Berichte und die Möglichkeit gewähren, Vereinbarungen entweder im Namen eines einzelnen Kontos oder einer Organisation anzunehmen und herunterzuladen.
Die folgenden Beispielrichtlinien zeigen Berechtigungen, die Sie IAM-Benutzern auf der Grundlage der benötigten Zugriffsebene zuweisen können.
Diese Richtlinien gelten in kommerziellen AWS [Regionen](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#region). Richtlinien, die für gelten AWS GovCloud (US) Regions, finden Sie unter [Beispiele für IAM-Richtlinien für AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/example-govcloud-iam-policies.html) in AWS GovCloud (US) Regions
+ [Beispielrichtlinien für die Verwaltung von AWS Berichten mit detaillierten Berechtigungen](#example-policy-manage-aws-reports-with-finegrained-permissions)
+ [Beispielrichtlinien für die Verwaltung von Berichten von Drittanbietern](#example-policy-manage-third-party-reports)
+ [Beispielrichtlinien zur Verwaltung von Vereinbarungen](#example-policy-manage-agreements)
+ [Beispielrichtlinien zur Integration AWS Organizations](#example-policy-integrate-with-organizations)
+ [Beispielrichtlinien zur Verwaltung von Vereinbarungen für das Verwaltungskonto](#example-policy-agreements-master)
+ [Beispielrichtlinien für die Verwaltung von Organisationsvereinbarungen](#example-policy-organizational-agreements)
+ [Beispielrichtlinien zur Verwaltung von Benachrichtigungen](#example-policy-notifications)
**Example Beispielrichtlinien für die Verwaltung von AWS Berichten mithilfe detaillierter Berechtigungen**
Sie sollten erwägen, die [AWSArtifactReportsReadOnlyAccess verwaltete Richtlinie](security-iam-awsmanpol.html) zu verwenden, anstatt Ihre eigene Richtlinie zu definieren.
Die folgende Richtlinie gewährt die Erlaubnis, alle AWS Berichte mithilfe detaillierter Berechtigungen herunterzuladen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*"
}
]
}
```
Mit der folgenden Richtlinie wird nur das Herunterladen der AWS SOC-, PCI- und ISO-Berichte anhand detaillierter Berechtigungen gestattet.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport",
"artifact:ListReportVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"artifact:ReportSeries": [
"SOC",
"PCI",
"ISO"
],
"artifact:ReportCategory": [
"Certifications and Attestations"
]
}
}
}
]
}
```
**Example Beispielrichtlinien für die Verwaltung von Berichten von Drittanbietern**
Sie sollten erwägen, die [AWSArtifactReportsReadOnlyAccess verwaltete Richtlinie](security-iam-awsmanpol.html) zu verwenden, anstatt Ihre eigene Richtlinie zu definieren.
Berichte von Drittanbietern werden mit der IAM-Ressource gekennzeichnet. `report`
Die folgende Richtlinie gewährt Zugriff auf alle Berichtsfunktionen von Drittanbietern.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports",
"artifact:GetReportMetadata",
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, Berichte von Drittanbietern herunterzuladen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReport",
"artifact:GetTermForReport"
],
"Resource": "*"
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, Berichte von Drittanbietern aufzulisten.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListReports"
],
"Resource": "*"
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, die Details eines Drittanbieterberichts für alle Versionen einzusehen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:*"
]
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, die Details eines Drittanbieter-Berichts für eine bestimmte Version einzusehen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetReportMetadata"
],
"Resource": [
"arn:aws:artifact:us-east-1::report/report-jRVRFP8HxUN5zpPh:1"
]
}
]
}
```
**Tipp**
Sie sollten erwägen, die [AWSArtifactAgreementsReadOnlyAccess oder die AWSArtifact AgreementsFullAccess verwaltete Richtlinie](security-iam-awsmanpol.html) zu verwenden, anstatt Ihre eigene Richtlinie zu definieren.
**Example Beispielrichtlinien zur Verwaltung von Vereinbarungen**
Die folgende Richtlinie gewährt die Erlaubnis, alle Vereinbarungen herunterzuladen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
Die folgende Richtlinie erteilt die Erlaubnis, alle Vereinbarungen zu akzeptieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:ListAgreements"
],
"Resource": [
"*"
]
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, alle Vereinbarungen zu kündigen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
Die folgende Richtlinie gewährt Berechtigungen zum Anzeigen und Ausführen von Vereinbarungen auf Kontoebene.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
}
]
}
```
**Example Beispielrichtlinien für die Integration AWS Organizations**
Die folgende Richtlinie erteilt die Berechtigung zum Erstellen der IAM-Rolle, die für die Integration mit AWS Artifact AWS Organizations verwendet wird. Das Verwaltungskonto Ihrer Organisation muss über diese Berechtigungen verfügen, um mit Organisationsvereinbarungen beginnen zu können.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
}
]
}
```
Die folgende Richtlinie erteilt die Erlaubnis, AWS Artifact die Nutzungsberechtigungen zu erteilen AWS Organizations. Das Verwaltungskonto Ihrer Organisation muss über diese Berechtigungen verfügen, um mit Organisationsvereinbarungen beginnen zu können.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example Beispielrichtlinien zur Verwaltung von Vereinbarungen für das Verwaltungskonto**
Die folgende Richtlinie gewährt Berechtigungen zur Verwaltung von Vereinbarungen für das Verwaltungskonto.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Sid": "CreateServiceLinkedRoleForOrganizationsIntegration",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/artifact.amazonaws.com/AWSServiceRoleForArtifact",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"artifact.amazonaws.com"
]
}
}
},
{
"Sid": "EnableServiceTrust",
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Sid": "EnableServiceTrustForArtifact",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"aws-artifact-account-sync.amazonaws.com"
]
}
}
}
]
}
```
**Example Beispielrichtlinien für die Verwaltung von Organisationsvereinbarungen**
Die folgende Richtlinie gewährt Berechtigungen zur Verwaltung von Organisationsvereinbarungen. Ein anderer Benutzer mit den erforderlichen Berechtigungen muss die Organisationsvereinbarungen einrichten.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement",
"artifact:AcceptAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement",
"artifact:TerminateAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
Die folgende Richtlinie gewährt Berechtigungen zum Einsehen von Organisationsvereinbarungen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:ListAgreements",
"artifact:ListCustomerAgreements"
],
"Resource": "*"
},
{
"Sid": "AWSAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetAgreement",
"artifact:AcceptNdaForAgreement",
"artifact:GetNdaForAgreement"
],
"Resource": "arn:aws:artifact:::agreement/*"
},
{
"Sid": "CustomerAgreementActions",
"Effect": "Allow",
"Action": [
"artifact:GetCustomerAgreement"
],
"Resource": "arn:aws:artifact::*:customer-agreement/*"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
**Example Beispielrichtlinien zur Verwaltung von Benachrichtigungen**
Die folgende Richtlinie gewährt vollständige Berechtigungen zur Verwendung von AWS Artifact Benachrichtigungen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:DeleteEventRule",
"notifications:DeleteNotificationConfiguration",
"notifications:DisassociateChannel",
"notifications:GetEventRule",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:DeleteEmailContact",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts",
"notifications-contacts:SendActivationCode"
],
"Resource": [
"*"
]
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, alle Konfigurationen aufzulisten.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListNotificationConfigurations",
"notifications:ListNotificationHubs",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
Die folgende Richtlinie erteilt die Erlaubnis, eine Konfiguration zu erstellen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications-contacts:CreateEmailContact",
"notifications-contacts:SendActivationCode",
"notifications:AssociateChannel",
"notifications:CreateEventRule",
"notifications:CreateNotificationConfiguration",
"notifications:ListEventRules",
"notifications:ListNotificationHubs",
"notifications:TagResource",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, eine Konfiguration zu bearbeiten.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"artifact:GetAccountSettings",
"artifact:PutAccountSettings",
"notifications:AssociateChannel",
"notifications:DisassociateChannel",
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications:TagResource",
"notifications:UntagResource",
"notifications:UpdateEventRule",
"notifications:UpdateNotificationConfiguration",
"notifications-contacts:GetEmailContact",
"notifications-contacts:ListEmailContacts"
],
"Resource": [
"*"
]
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, eine Konfiguration zu löschen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeleteNotificationConfiguration",
"notifications:ListEventRules"
],
"Resource": [
"*"
]
}
]
}
```
Die folgende Richtlinie gewährt die Erlaubnis, Details einer Konfiguration anzuzeigen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:GetNotificationConfiguration",
"notifications:ListChannels",
"notifications:ListEventRules",
"notifications:ListTagsForResource",
"notifications-contacts:GetEmailContact"
],
"Resource": [
"*"
]
}
]
}
```
Die folgende Richtlinie erteilt die Erlaubnis, Notification Hubs zu registrieren oder deren Registrierung aufzuheben.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"notifications:DeregisterNotificationHub",
"notifications:RegisterNotificationHub"
],
"Resource": [
"*"
]
}
]
}
```