Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# SCP-Syntax
Service Control Policies (SCPs) verwenden eine ähnliche Syntax wie AWS Identity and Access Management (IAM) -Berechtigungsrichtlinien und [ressourcenbasierte Richtlinien (wie Amazon S3 S3-Bucket-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)). Weitere Informationen über IAM-Richtlinien und ihre Syntax finden Sie in der [Übersicht über IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
Eine Service-Kontrollrichtlinie ist eine Textdatei, die den Regeln der [JSON-Struktur](http://json.org) folgt. Sie verwendet die Elemente, die in diesem Thema beschrieben werden.
**Anmerkung**
Alle Zeichen in Ihrer SCP werden auf deren [Maximalgröße](orgs_reference_limits.md#min-max-values) angerechnet. Die Beispiele in diesem Handbuch zeigen die SCPs Formatierung mit zusätzlichem Leerraum, um ihre Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.
Allgemeine Informationen zu finden Sie SCPs unter. [Richtlinien zur Dienstkontrolle (SCPs)](orgs_manage_policies_scps.md)
## Übersicht über die Elemente
In der folgenden Tabelle sind die Richtlinienelemente zusammengefasst, die Sie in SCPs verwenden können. Einige Richtlinienelemente sind nur in SCPs diesen Ablehnungsaktionen verfügbar. In der Spalte **Unterstützte Effekte** ist der Effekttyp aufgeführt, den Sie für jedes Richtlinienelement verwenden können SCPs.
| Element | Zweck | Unterstützte Auswirkungen |
| --- | --- | --- |
| [Action (Aktion)](#scp-syntax-action) | Gibt AWS Dienste und Aktionen an, die der SCP zulässt oder verweigert. | `Allow`, `Deny` |
| [Effect (Effekt)](#scp-syntax-effect) | Definiert, ob die SCP-Anweisung den Zugriff auf die IAM-Benutzer und -Rollen in einem Konto [erlaubt](orgs_manage_policies_scps_evaluation.md#how_scps_allow) oder [verweigert](orgs_manage_policies_scps_evaluation.md#how_scps_deny). | `Allow`, `Deny` |
| [Statement](#scp-syntax-statement) | Dient als Container für Richtlinienelemente. Sie können mehrere Anweisungen enthalten. SCPs | `Allow`, `Deny` |
| [Anweisungs-ID (SID)](#scp-syntax-sid) | (Optional) Stellt einen Anzeigenamen für die Anweisung bereit. | `Allow`, `Deny` |
| [Version](#scp-syntax-version) | Gibt die Regeln für die Sprachsyntax an, die für die Verarbeitung der Richtlinie verwendet wird. | `Allow`, `Deny` |
| [Bedingung](#scp-syntax-condition) | Gibt die Bedingungen dafür an, wann die Anweisung wirksam ist. | `Allow,``Deny` |
| [NotAction](#scp-syntax-action) | Gibt AWS Dienste und Aktionen an, die vom SCP ausgenommen sind. Wird anstelle des Elements `Action` verwendet. | `Allow,``Deny` |
| [Ressource](#scp-syntax-resource) | Gibt die AWS Ressourcen an, für die der SCP gilt. | `Allow,``Deny` |
| [NotResource](#scp-syntax-resource) | Gibt AWS Ressourcen an, die vom SCP ausgenommen sind. Wird anstelle des Elements Resource verwendet. | `Allow`, `Deny` |
Die folgenden Abschnitte enthalten weitere Informationen und Beispiele für die Verwendung von Richtlinienelementen in SCPs.
**Topics**
+ [Übersicht über die Elemente](#scp-elements-table)
+ [Elemente `Action` und `NotAction`](#scp-syntax-action)
+ [`Condition`-Element](#scp-syntax-condition)
+ [`Effect`-Element](#scp-syntax-effect)
+ [`Resource`und `NotResource` Element](#scp-syntax-resource)
+ [`Statement`-Element](#scp-syntax-statement)
+ [Element der Anweisungs-ID (`Sid`)](#scp-syntax-sid)
+ [`Version`-Element](#scp-syntax-version)
+ [Nicht unterstützte Elemente](#scp-syntax-unsupported)
## Elemente `Action` und `NotAction`
Der Wert für das `NotAction` Element `Action` or ist eine Liste (ein JSON-Array) von Zeichenfolgen, die AWS Dienste und Aktionen identifizieren, die durch die Anweisung zugelassen oder verweigert werden.
Jede Zeichenfolge besteht aus der Abkürzung für den Service (z. B. "s3", "ec2", "iam" oder "organizations"), in Kleinbuchstaben, gefolgt von einem Doppelpunkt und einer Aktion aus dem entsprechenden Service. Bei den Aktionen und Notaktionen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Im Allgemeinen werden sie alle eingegeben, wobei jedes Wort mit einem Großbuchstaben und der Rest mit einem Kleinbuchstaben beginnt. Beispiel: `"s3:ListAllMyBuckets"`.
Sie können auch Platzhalterzeichen wie Sternchen (\$1) oder ein Fragezeichen (?) in einem SCP verwenden:
+ Sie können auch ein Sternchen als Platzhalter verwenden, der mit mehreren Aktionen übereinstimmt, die Teile eines Namens gemeinsam haben. Der Wert `"s3:*"` bezeichnet alle Aktionen im Amazon-S3-Service. Der Wert `"ec2:Describe*"` entspricht nur den EC2-Aktionen, die mit "Describe" beginnen.
+ Verwenden Sie das Fragezeichen (?) als Platzhalter für die Übereinstimmung mit einem einzelnen Zeichen.
Eine Liste aller Dienste und der Aktionen, die sie sowohl in den IAM-Berechtigungsrichtlinien als auch AWS Organizations SCPs in den IAM-Berechtigungsrichtlinien unterstützen, finden Sie im *IAM-Benutzerhandbuch* unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actionsconditions.html).
*Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Aktion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) und [IAM-JSON-Richtlinienelemente: NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) im IAM-Benutzerhandbuch.*
### Beispiel für das `Action`-Element
Das folgende Beispiel zeigt eine SCP mit einer Anweisung, die Kontoadministratoren erlaubt, Berechtigungen für EC2-Instances zu delegieren, zu starten, zu stoppen und zu beenden. Dies ist ein Beispiel für eine [Whitelist](orgs_manage_policies_scps_evaluation.md#how_scps_allow). Es ist hilfreich, wenn die `Allow *`-Standardrichtlinien ***nicht*** zugewiesen sind, sodass Berechtigungen implizit automatisch abgelehnt werden. Wenn die `Allow *`-Standardrichtlinie nach wie vor an den Root-Benutzer, die Organisationseinheit oder das Konto angehängt ist, an die die folgende Richtlinie angehängt ist, ist die Richtlinie wirkungslos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances",
"ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances"
],
"Resource": "*"
}
}
```
------
Das folgende Beispiel zeigt, wie Sie Services, die Sie nicht in zugewiesenen Konten verwenden möchten, in eine [Sperrliste](orgs_manage_policies_scps_evaluation.md#how_scps_deny) aufnehmen können. Es wird vorausgesetzt, dass die standardmäßigen `"Allow *"`-SCPs nach wie vor an alle Organisationseinheiten und an den Root angefügt sind. Dieses Beispielrichtlinie verhindert, dass die Kontoadministratoren in angefügten Konten Berechtigungen für die Services IAM, Amazon EC2 und Amazon RDS delegieren können. Aktionen von anderen Services können delegiert werden, solange keine Richtlinie angefügt ist, die diese abgelehnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": [ "iam:*", "ec2:*", "rds:*" ],
"Resource": "*"
}
}
```
------
### Beispiel für das `NotAction`-Element
Das folgende Beispiel zeigt, wie Sie ein `NotAction` Element verwenden können, um AWS Dienste von der Wirkung der Richtlinie auszuschließen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LimitActionsInRegion",
"Effect": "Deny",
"NotAction": "iam:*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": "us-west-1"
}
}
}
]
}
```
------
Mit dieser Aussage können die betroffenen Konten nur Aktionen in den angegebenen Fällen ausführen, es sei denn AWS-Region, sie verwenden IAM-Aktionen.
## `Condition`-Element
Sie können ein `Condition` Element in den Anweisungen „Zulassen“ und „Verweigern“ in einem SCP angeben.
Das folgende Beispiel zeigt, wie ein Condition-Element mit einer Allow-Anweisung in einem SCP verwendet wird, um bestimmten Prinzipalen den Zugriff auf Dienste zu ermöglichen. AWS
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowServicesForSpecificPrincipal",
"Effect":"Allow",
"Action":[
"ec2:*",
"s3:*",
"rds:*",
"lambda:*",
"cloudformation:*",
"iam:*",
"cloudwatch:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:PrincipalArn":[
"arn:aws:iam::123456789012:role/specific-role"
]
}
}
}
]
}
```
Das folgende Beispiel zeigt, wie ein Condition-Element mit einer Deny-Anweisung in einem SCP verwendet wird, um den Zugriff auf alle Operationen außerhalb der `eu-west-1` Regionen `eu-central-1` und mit Ausnahme von Aktionen in den angegebenen Diensten einzuschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1"
]
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
## `Effect`-Element
Jede Anweisung muss ein `Effect`-Element enthalten. Der Wert kann entweder `Allow` oder `Deny` sein. Dieser Wert wirkt sich auf alle in derselben Anweisung aufgeführten Aktionen aus.
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) im *IAM-Benutzerhandbuch*.
### `"Effect": "Allow"`
Das folgende Beispiel zeigt eine SCP mit einer Anweisung, die ein `Effect`-Element mit dem Wert `Allow` enthält, der Kontobenutzern erlaubt, Aktionen für den Amazon-S3-Service auszuführen. Dieses Beispiel ist in einer Organisation nützlich, die die [Zulassungslistenstrategie](orgs_manage_policies_scps_evaluation.md#how_scps_allow) verwendet (wo die `FullAWSAccess`-Standardrichtlinien alle getrennt sind, sodass Berechtigungen standardmäßig implizit verweigert werden). Das Ergebnis ist, dass die Anweisung die Amazon-S3-Berechtigungen für alle angehängten Konten [erlaubt](orgs_manage_policies_scps_evaluation.md#how_scps_allow):
```
{
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
}
```
Trotz der Verwendung desselben `Allow`-Wertschlüsselworts der Anweisung als IAM-Berechtigungsrichtlinie werden in einer Service-Kontrollrichtlinie (SCP) nicht tatsächlich Benutzerberechtigungen für irgendeine Aktion erteilt. Sie SCPs dienen stattdessen als Filter, die die maximalen Berechtigungen für die Konten in einer Organisation, Organisationseinheit (OU) oder einem Konto angeben. Auch wenn im vorherigen Beispiel für einen Benutzer im Konto die verwaltete `AdministratorAccess`-Richtlinie angehängt wäre, beschränkt die verwaltete SCP ***alle*** Benutzer im Konto auf Amazon-S3-Aktionen.
### `"Effect": "Deny"`
In einer Anweisung, in der das `Effect` Element den Wert von hat`Deny`, können Sie auch den Zugriff auf bestimmte Ressourcen einschränken oder Bedingungen definieren, unter denen sie gültig SCPs sind.
Nachfolgend sehen Sie ein Beispiel für die Verwendung eines Bedingungsschlüssel in einer Zugriffsverweigerungsanweisung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:InstanceType": "t2.micro"
}
}
}
}
```
------
Diese Anweisung in einer SCP dient als Leitlinie, um zu verhindern, dass betroffene Konten Amazon-EC2-Instances starten, wenn für die Amazon-EC2-Instance nicht `t2.micro` festgelegt ist (wobei die SCP dem Konto selbst oder dem Organisationsstamm oder der Organisationseinheit zugeordnet ist, der bzw. die das Konto enthält). Auch wenn dem Konto eine IAM-Richtlinie, die diese Aktion zulässt, zugeordnet ist, wird dies von der Leitlinie der SCP verhindert.
## `Resource`und `NotResource` Element
In Anweisungen, in denen das `Effect`-Element den Wert `Allow` hat, können Sie nur "\$1" im `Resource`-Element einer SCP angeben. Sie können keine einzelnen Amazon-Ressourcennamen (ARNs) angeben.
Sie können Platzhalterzeichen wie Sternchen (\$1) oder Fragezeichen (?) verwenden im Ressourcenelement:
+ Sie können auch ein Sternchen als Platzhalter verwenden, der mit mehreren Aktionen übereinstimmt, die Teile eines Namens gemeinsam haben.
+ Verwenden Sie das Fragezeichen (?) als Platzhalter für die Übereinstimmung mit einem einzelnen Zeichen.
In Anweisungen, in denen das `Effect` Element einen Wert von hat`Deny`, *können* Sie individual angeben ARNs, wie im folgenden Beispiel gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessToAdminRole",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::*:role/role-to-deny"
]
}
]
}
```
------
Dieser SCP schränkt IAM-Benutzer und -Rollen in betroffenen Konten ein, Änderungen an einer gemeinsamen administrativen IAM-Rolle vorzunehmen, die in allen Konten in Ihrer Organisation erstellt wurde.
Das folgende Beispiel zeigt, wie ein `NotResource` Element verwendet wird, um bestimmte Amazon Bedrock-Modelle von der Wirkung der Richtlinie auszuschließen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Statement1",
"Effect":"Deny",
"Action":[
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"NotResource":[
"arn:aws:bedrock:*::foundation-model/model-to-permit"
]
}
]
}
```
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *IAM-Benutzerhandbuch*.
## `Statement`-Element
Eine SCP besteht aus einem oder mehreren `Statement`-Elementen. Es kann nur ein `Statement`-Schlüsselwort in einer Richtlinie enthalten sein, doch der Wert kann ein JSON-Array von Anweisungen sein (in eckigen Klammern []).
Das folgende Beispiel zeigt eine einzelne Anweisung, die aus einzelnen `Effect`-, `Action`- und `Resource`-Elementen besteht.
```
"Statement": {
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
```
Das folgende Beispiel enthält zwei Anweisungen als Array-Liste innerhalb eines `Statement`-Elements. Die erste Anweisung lässt sämtliche Aktionen zu, während die zweite alle EC2-Aktionen ablehnt. Das Ergebnis ist, dass ein Administrator im Konto alle Berechtigungen *außer* denen von Amazon Elastic Compute Cloud (Amazon EC2) delegieren kann.
```
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"
}
]
```
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Anweisung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) im *IAM-Benutzerhandbuch*.
## Element der Anweisungs-ID (`Sid`)
Die `Sid` (Anweisungs-ID) ist eine optionale ID, die Sie für die Richtlinie angeben können. Sie können jeder Anweisung in einem Statement-Array einen `Sid`-Wert zuweisen. Die folgende Beispiel-SCP zeigt eine beispielhafte `Sid`-Anweisung.
```
{
"Statement": {
"Sid": "AllowsAllActions",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
}
```
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_id.html) im *IAM-Benutzerhandbuch*.
## `Version`-Element
Jede SCP muss ein `Version`-Element mit dem Wert `"2012-10-17"` enthalten. Dieser Wert entspricht der aktuellen Version der IAM-Berechtigungsrichtlinien.
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) im *IAM-Benutzerhandbuch*.
## Nicht unterstützte Elemente
Die folgenden Elemente werden in SCPs nicht unterstützt:
+ `NotPrincipal`
+ `Principal`