Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Health Beispiele für identitätsbasierte Richtlinien
IAM-Benutzer besitzen keine Berechtigungen zum Erstellen oder Ändern von AWS Health -Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS Health](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugriff auf das AWS Health Dashboard und die API AWS Health](#security_iam_id-based-policy-examples-access-dashboard)
+ [Ressourcen- und aktionsbasierte Bedingungen](#resource-action-based-conditions)
## Best Practices für Richtlinien
Identity-based Richtlinien legen fest, ob jemand AWS Health Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole AWS Health
Um auf die AWS Health Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Informationen zu den AWS Health Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten die AWS Health Konsole weiterhin verwenden können, können Sie die folgende AWS verwaltete Richtlinie anhängen: [https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess).
Die `AWSHealthFullAccess` Richtlinie gewährt einer Entität vollen Zugriff auf Folgendes:
+ Aktiviert oder deaktiviert die Funktion zur Ansicht der AWS Health Organisation für alle Konten in einer AWS Organisation
+ Das AWS Health Dashboard in der AWS Health Konsole
+ AWS Health API-Operationen und Benachrichtigungen
+ Informationen zu Konten anzeigen, die Teil Ihrer AWS Organisation sind
+ Zeigen Sie die Organisationseinheiten (OU) des Verwaltungskontos an
**Example : AWSHealthFullAccess**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
**Anmerkung**
Sie können auch die `Health_OrganizationsServiceRolePolicy` AWS verwaltete Richtlinie verwenden, AWS Health um Ereignisse für andere Konten in Ihrer Organisation anzuzeigen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS Health](using-service-linked-roles.md).
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugriff auf das AWS Health Dashboard und die API AWS Health
Das AWS Health Dashboard ist für alle AWS Konten verfügbar. Die AWS Health API ist nur für Konten mit einem AWS Business Support\+-, AWS Enterprise Support- oder AWS Unified Operations-Plan verfügbar. Weitere Informationen finden Sie unter [Support](https://aws.amazon.com/premiumsupport/).
Sie können IAM verwenden, um Entitäten (Benutzer, Gruppen oder Rollen) zu erstellen und diesen Entitäten dann Berechtigungen für den Zugriff auf das AWS Health Dashboard und die AWS Health API zu erteilen.
Standardmäßig haben IAM-Benutzer keinen Zugriff auf das AWS Health Dashboard oder die AWS Health API. Sie gewähren Benutzern Zugriff auf die AWS Health Informationen Ihres Kontos, indem Sie IAM-Richtlinien einem einzelnen Benutzer, einer Benutzergruppe oder einer Rolle zuordnen. Weitere Informationen finden Sie unter [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) und [Übersicht über IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Nachdem Sie die IAM-Benutzer erstellt haben, können Sie diesen individuelle Passwörter zuordnen. Anschließend können sie sich über eine kontospezifische Anmeldeseite bei Ihrem Konto anmelden und AWS Health Informationen einsehen. Weitere Informationen finden Sie unter [Wie sich Benutzer bei Ihrem Konto anmelden](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**Anmerkung**
Ein IAM-Benutzer mit Berechtigungen zum Anzeigen des AWS Health Dashboards hat schreibgeschützten Zugriff auf Gesundheitsinformationen für alle AWS Dienste auf dem Konto. Dazu können unter anderem AWS Ressourcen-IDs wie Amazon EC2 EC2-Instance-IDs, EC2-Instance-IP-Adressen und allgemeine Sicherheitsbenachrichtigungen gehören.
Wenn eine IAM-Richtlinie beispielsweise nur Zugriff auf das AWS Health Dashboard und die AWS Health API gewährt, kann der Benutzer oder die Rolle, für die die Richtlinie gilt, auf alle Informationen zugreifen, die über AWS Dienste und zugehörige Ressourcen gepostet wurden, auch wenn andere IAM-Richtlinien diesen Zugriff nicht zulassen.
Sie können zwei Gruppen von APIs für verwenden. AWS Health
+ Individuelle Konten — Sie können die Operationen wie [DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html)und verwenden [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html), um Informationen über AWS Health Ereignisse für Ihr Konto abzurufen.
+ Organisationskonto — Sie können Vorgänge wie [DescribeEventsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventsForOrganization.html)und verwenden [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html), um Informationen über AWS Health Ereignisse für Konten abzurufen, die Teil Ihrer Organisation sind.
Weitere Informationen zu den verfügbaren API-Vorgängen finden Sie in der [AWS Health API-Referenz](https://docs.aws.amazon.com/health/latest/APIReference/).
### Individuelle Aktionen
Sie können das `Action` Element einer IAM-Richtlinie auf `health:Describe*` festlegen. Dies ermöglicht den Zugriff auf das AWS Health Dashboard und AWS Health. AWS Health unterstützt die Zugriffskontrolle auf Ereignisse basierend auf dem Dienst `eventTypeCode` und.
#### Zugriffsbeschreibung
Diese Grundsatzerklärung gewährt Zugriff auf das AWS Health Dashboard und alle `Describe*` AWS Health API-Operationen. Beispielsweise kann ein IAM-Benutzer mit dieser Richtlinie auf das AWS Health Dashboard im zugreifen AWS-Managementkonsole und den AWS Health `DescribeEvents` API-Vorgang aufrufen.
**Example : Zugriffsbeschreibung**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
```
#### Zugriffsverweigerung
Diese Richtlinienerklärung verweigert den Zugriff auf das AWS Health Dashboard und die AWS Health API. Ein IAM-Benutzer mit dieser Richtlinie kann das AWS Health Dashboard im nicht aufrufen AWS-Managementkonsole und keine der AWS Health API-Operationen aufrufen.
**Example : Zugriffsverweigerung**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
```
### Organisationsansicht
Wenn Sie die organisatorische Ansicht für aktivieren möchten AWS Health, müssen Sie den Zugriff auf die AWS Organizations Aktionen AWS Health und zulassen.
Das `Action` Element einer IAM-Richtlinie muss die folgenden Berechtigungen enthalten:
+ `iam:CreateServiceLinkedRole`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:DescribeAccount`
+ `organizations:DisableAWSServiceAccess`
+ `organizations:ListAccounts`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListParents`
Informationen zu den genauen Berechtigungen, die für die einzelnen APIs erforderlich sind, finden Sie im *IAM-Benutzerhandbuch* unter [Durch AWS Health APIs definierte Aktionen und Benachrichtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions).
**Anmerkung**
Sie müssen die Anmeldeinformationen des Verwaltungskontos einer Organisation verwenden, um auf die AWS Health APIs für AWS Organizations zugreifen zu können. Weitere Informationen finden Sie unter [AWS Health Ereignisse kontenübergreifend aggregieren](aggregate-events.md).
#### Erlauben Sie den Zugriff auf die AWS Health Unternehmensansicht
Diese Richtlinienerklärung gewährt Zugriff auf alle AWS Health AWS Organizations Aktionen, die Sie für die Funktion „Organisationsansicht“ benötigen.
**Example : Erlaubt den Zugriff auf die AWS Health Organisationsansicht**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
#### Zugriff auf die AWS Health Organisationsansicht verweigern
Diese Grundsatzerklärung verweigert den Zugriff auf die AWS Organizations Aktionen, gewährt jedoch den Zugriff auf die AWS Health Aktionen für ein einzelnes Konto.
**Example : Verweigern Sie den Zugriff auf die AWS Health Organisationsansicht**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
**Anmerkung**
Wenn der Benutzer oder die Gruppe, dem/der Sie Berechtigungen erteilen möchten, bereits über eine IAM-Richtlinie verfügt, können Sie die AWS Health-spezifische Richtlinienanweisung zu dieser Richtlinie hinzufügen.
## Ressourcen- und aktionsbasierte Bedingungen
AWS Health unterstützt [IAM-Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) für die [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)und [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API-Operationen. Sie können ressourcen- und aktionsbasierte Bedingungen verwenden, um Ereignisse einzuschränken, die die AWS Health API an einen Benutzer, eine Gruppe oder eine Rolle sendet.
Aktualisieren Sie dazu den `Condition` Block der IAM-Richtlinie oder legen Sie das `Resource` Element fest. Sie können [String-Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) verwenden, um den Zugriff auf der Grundlage bestimmter AWS Health Ereignisfelder einzuschränken.
Sie können die folgenden Felder verwenden, wenn Sie ein AWS Health Ereignis in Ihrer Richtlinie angeben:
+ `eventTypeCode`
+ `service`
**Hinweise**
Die Operationen [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)und die [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API unterstützen Berechtigungen auf Ressourcenebene. Sie können beispielsweise eine Richtlinie erstellen, um bestimmte AWS Health Ereignisse zuzulassen oder abzulehnen.
Die [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)API-Operationen [ DescribeAffectedEntitiesForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntitiesForOrganization.html)und unterstützen keine Berechtigungen auf Ressourcenebene.
Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Health APIs und Benachrichtigungen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthapisandnotifications.html) in der *Serviceautorisierungsreferenz*.
**Example : Action-based Zustand**
Diese Datenschutzerklärung gewährt Zugriff auf das AWS Health Dashboard und die AWS Health `Describe*` API-Operationen, verweigert jedoch den Zugriff auf AWS Health Ereignisse, die sich auf Amazon EC2 beziehen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
```
**Example : Zustand Resource-based**
Die folgende Richtlinie hat den gleichen Effekt, verwendet aber stattdessen das Element `Resource`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
```
**Example : TypeCode Zustand des Ereignisses**
Diese Grundsatzerklärung gewährt Zugriff auf das AWS Health Dashboard und die AWS Health `Describe*` API-Operationen, verweigert jedoch den Zugriff auf alle AWS Health Ereignisse, bei denen `eventTypeCode` `AWS_EC2_*` das zutrifft.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
```
**Wichtig**
Wenn Sie die [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)Operationen [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)und aufrufen und nicht berechtigt sind, auf das AWS Health Ereignis zuzugreifen, wird der `AccessDeniedException` Fehler angezeigt. Weitere Informationen finden Sie unter [Fehlerbehebung bei AWS Health Identität und Zugriff](security_iam_troubleshoot.md).