Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für identitätsbasierte Richtlinien für AWS HealthImaging
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, HealthImaging-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Awesome definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Awesome](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole HealthImaging](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Erteilung von Berechtigungen auf der Grundlage der Study Instance UID und der Series Instance UID](#security_iam_id-based-policy-examples-study-series-uid)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand HealthImaging Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole HealthImaging
Um auf die HealthImaging AWS-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den HealthImaging Ressourcen in Ihrem aufzulisten und einzusehen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die HealthImaging Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die HealthImaging `{{ConsoleAccess}}` oder die `{{ReadOnly}}` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erteilung von Berechtigungen auf der Grundlage der Study Instance UID und der Series Instance UID
HealthImaging DICOMWeb APIs unterstützt die Gewährung des Zugriffs auf Bilddatensätze auf der Grundlage der Study Instance UID und der Series Instance UID. Sie können IAM-Richtlinien definieren, die den Zugriff einschränken, indem Sie Bedingungsanweisungen mit den Kontextschlüsseln `StudyInstanceUID` und `SeriesInstanceUID` condition hinzufügen.
HealthImaging DICOMWeb APIs die `StudyInstanceUID` als erforderlichen Parameter verwenden, unterstützen IAM-Richtlinien, die den Zugriff auf der `StudyInstanceUID` Grundlage des Schlüssels einschränken. In ähnlicher Weise unterstützen diejenigen HealthImaging DICOMWeb APIs , die `SeriesInstanceUID` als erforderlichen Parameter verwenden, Richtlinien mit dem `SeriesInstanceUID` Schlüssel.
**HealthImaging APIs die IAM-Richtlinien mithilfe von `StudyInstanceUID` `SeriesInstanceUID` Kontextschlüsseln unterstützen**
| Name | Support für den `StudyInstanceUID` Zustand | Support für den `SeriesInstanceUID` Zustand |
| --- | --- | --- |
| GetDICOMInstance | Ja | Ja |
| GetDICOMInstanceFrames | Ja | Ja |
| GetDICOMInstanceMetadata | Ja | Ja |
| GetDICOMSeriesMetadata | Ja | Ja |
| GetDICOMBulkdata | Ja | Ja |
| SearchDICOMSeries | Ja | Nein |
| SearchDICOMInstances | Ja | Ja |
| StoreDICOMStudy | Ja | Nein |
**Anmerkung**
Eine HealthImaging API, die diesen Kontextschlüssel nicht unterstützt, funktioniert so, als ob kein Kontextschlüssel angegeben worden wäre, wenn sie mit einer Richtlinie aufgerufen wird, die einen `StudyInstanceUID` oder `SeriesInstanceUID` -Kontextschlüssel enthält.
### Beispiel 1: Zugriff auf der Grundlage einer StudyInstance UID gewähren
Um nur bestimmten DICOM-Studien Zugriff zu gewähren, fügen Sie der Rolle eine Richtlinie hinzu, die eine Bedingung für die festlegt. `StudyInstanceUID`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"medical-imaging:SearchDICOMSeries"
],
"Resource": [
"arn:aws:medical-imaging:us-west-2:{{account-id}}:datastore/{{your-datastore-id}}"
],
"Condition": {
"StringEquals": {
"medical-imaging:StudyInstanceUID": "{{your study instance UID}}"
}
}
}
]
}
```
Wenn diese Rolle übernommen wird`sts assume-role`, ist der Anrufer nur berechtigt, auf Bilddatensätze zuzugreifen, die der in der Rollenrichtlinie angegebenen Bedingung entsprechen. Andernfalls werden die Aufrufe abgewiesen und es wird ein `AccessDenied` Fehler ausgegeben. In diesem Fall erhält der Aufrufer Zugriff auf alle Bilddatensätze mit den angegebenen Werten. `StudyInstanceUID`
Sie können in Ihren Richtlinien alle IAM-String-Bedingungsoperatoren verwenden, einschließlich Platzhalterabgleich und Mehrfachübereinstimmungen.
Eine Beispielrichtlinie für den Platzhalterabgleich:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"medical-imaging:SearchDICOMSeries"
],
"Resource": [
"arn:aws:medical-imaging:us-west-2:{{account-id}}:datastore/{{your-datastore-id}}"
],
"Condition": {
"StringLike": {
"medical-imaging:StudyInstanceUID": "123.456.789*"
}
}
}
]
}
```
Eine Beispielrichtlinie für mehrere Treffer:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"medical-imaging:SearchDICOMSeries"
],
"Resource": [
"arn:aws:medical-imaging:us-west-2:{{account-id}}:datastore/{{your-datastore-id}}"
],
"Condition": {
"StringEquals": {
"medical-imaging:StudyInstanceUID": [
"123.456.789",
"1.2.3.4.5.6"
]
}
}
}
]
}
```
### Beispiel 2: Zugriff auf der Grundlage einer SeriesInstance UID gewähren
Um Zugriff nur auf bestimmte Bilddatensätze zu gewähren, die einer DICOM-Serie entsprechen, fügen Sie der Rolle eine Richtlinie hinzu, die eine Bedingung für die festlegt. `SeriesInstanceUID`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"medical-imaging:SearchDICOMInstances"
],
"Resource": [
"arn:aws:medical-imaging:us-west-2:{{account-id}}:datastore/{{your-datastore-id}}"
],
"Condition": {
"StringEquals": {
"medical-imaging:SeriesInstanceUID": [
"123.456.789",
"1.2.3.4.5.6"
]
}
}
}
]
}
```
### Beispiel 3: Zugriff auf der Grundlage von und gewähren StudyInstance UIDs SeriesInstance UIDs
Um nur Zugriff auf Bilddatensätze einer bestimmten DICOM-Studie und -Serie zu gewähren, fügen Sie der Rolle eine Richtlinie hinzu, die Bedingungen sowohl für als auch festlegt. `StudyInstanceUID` `SeriesInstanceUID`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"medical-imaging:SearchDICOMInstances"
],
"Resource": [
"arn:aws:medical-imaging:us-west-2:{{account-id}}:datastore/{{your-datastore-id}}"
],
"Condition": {
"StringEquals": {
"medical-imaging:StudyInstanceUID": ["123.456.789"],
"medical-imaging:SeriesInstanceUID": ["1.2.3.4.5.6"]
}
}
}
]
}
```