Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Resource-based Richtlinien für AWS Zahlungskryptografie
<a name="security_iam_resource-based-policies"></a>

Resource-based Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anhängen, z. B. einen AWS Payment Cryptography Key. In einer ressourcenbasierten Richtlinie geben Sie an, wer auf den Schlüssel zugreifen kann und welche Aktionen mit ihm ausgeführt werden können. Sie können ressourcenbasierte Richtlinien für Folgendes verwenden:
+ Gewähren Sie mehreren Benutzern und Rollen Zugriff auf einen einzelnen Schlüssel.
+ Gewähren Sie Benutzern oder Rollen in anderen AWS Konten Zugriff.

**Topics**
+ [Überlegungen](#security_iam_resource-based-policies-considerations)
+ [Verwaltung ressourcenbasierter Richtlinien](#security_iam_resource-based-policies-manage)
+ [Resource-based Beispiele für Richtlinien](#security_iam_resource-based-policies-examples)

Wenn Sie einem AWS Payment Cryptography Key eine ressourcenbasierte Richtlinie zuordnen, AWS verwendet Payment Cryptography die Bewertungslogik der IAM-Richtlinie, um zu ermitteln, ob ein bestimmter Principal berechtigt ist, die angeforderte Aktion auszuführen. [Um den kontoübergreifenden Zugriff zu ermöglichen, können Sie in einer ressourcenbasierten Richtlinie ein ganzes Konto oder IAM-Entitäten in einem anderen Konto als Principal angeben.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) Cross-account Für den Zugriff sind zwei Richtlinien erforderlich:

1. *Resource-based Richtlinie (Konto des Schlüsselbesitzers)* — Der Schlüsselinhaber gewährt `PutResourcePolicy` damit Zugriff auf das Konto oder den IAM-Principal des Anrufers.

1. *Identity-based Richtlinie (Konto des Anrufers)* — Der IAM-Administrator des Anrufers muss in der IAM-Richtlinie des Anrufers auch die Aktion „ AWS Zahlungskryptografie“ zulassen (z. B.`payment-cryptography:EncryptData`).

Beide Richtlinien müssen die Aktion zulassen. Fehlt eine der beiden Optionen, wird die kontoübergreifende Anfrage mit `AccessDeniedException` abgelehnt.

Wenn eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. *Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Unterschiede zwischen IAM-Rollen und Resource-based Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html).*

**Betrieb der Kontrollebene für Ressourcenrichtlinien**  
Resource-based Richtlinien gelten nicht für Operationen auf der Kontrollebene für Ressourcenrichtlinien wie [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_PutResourcePolicy.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_PutResourcePolicy.html), und [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_DeleteResourcePolicy.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_DeleteResourcePolicy.html). Dadurch werden mögliche Aussperrungsszenarien vermieden, in denen eine Ressourcenrichtlinie die Möglichkeit verweigern könnte, die Richtlinie selbst zu ändern oder zu entfernen. Der Zugriff auf diese Vorgänge auf der Kontrollebene wird ausschließlich durch identitätsbasierte IAM-Richtlinien geregelt.

## Überlegungen
<a name="security_iam_resource-based-policies-considerations"></a>

Beachten Sie Folgendes, wenn Sie ressourcenbasierte Richtlinien mit Payment Cryptography verwenden. AWS 
+ AWS Zahlungskryptografie erzwingt automatisch, dass kein öffentlicher Zugriff auf Schlüssel möglich ist. Sie können keine ressourcenbasierte Richtlinie erstellen, die anonymen oder öffentlichen Prinzipalen Zugriff gewährt. Jeglicher Zugriff auf AWS Payment Cryptography Keys erfordert authentifizierte AWS Principals, und der öffentliche Zugriff ist immer gesperrt.
+ Resource-based Richtlinien werden pro Schlüssel angewendet. Jedem AWS Payment Cryptography Key kann maximal eine ressourcenbasierte Richtlinie zugeordnet werden.
+ Resource-based Richtlinien gelten nicht für Aliase. Wenn Sie anhand seines Alias auf einen Schlüssel verweisen, wird die dem zugrunde liegenden Schlüssel zugeordnete Ressourcenrichtlinie ausgewertet.
+ Resource-based Richtlinien gelten derzeit nicht für schreibgeschützte Replica-Regionsschlüssel, die mithilfe der Multi-Region Schlüsselreplikation erstellt wurden. Ressourcenrichtlinien können nur an den Schlüssel für die primäre Region angehängt werden.
+ Das `Resource` Element in einer ressourcenbasierten Richtlinie muss dem ARN des Schlüssels entsprechen, an den die Richtlinie angehängt ist, `"*"` oder genau diesem entsprechen. Die Verwendung `"*"` wird empfohlen, da damit dasselbe Richtliniendokument für mehrere Schlüssel wiederverwendet werden kann.
+ Die APIs (`PutResourcePolicy``GetResourcePolicy`, und`DeleteResourcePolicy`) zur Verwaltung von Ressourcenrichtlinien sind auf die Person beschränkt AWS-Konto , die den Schlüssel besitzt. Nur Prinzipale innerhalb des Kontos des Schlüsselbesitzers können Ressourcenrichtlinien verwalten.

## Verwaltung ressourcenbasierter Richtlinien
<a name="security_iam_resource-based-policies-manage"></a>

Sie können ressourcenbasierte Richtlinien für AWS Payment Cryptography Keys mithilfe der API oder verwalten. AWS CLI AWS Um diesen Befehl zu verwenden, ersetzen Sie den Befehl {{italicized placeholder text}} im Beispiel durch Ihre eigenen Informationen.

**Hängen Sie eine ressourcenbasierte Richtlinie an**  
Verwenden Sie die [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_PutResourcePolicy.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_PutResourcePolicy.html)API-Aktion oder den [https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/put-resource-policy.html](https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/put-resource-policy.html)CLI-Befehl, um eine ressourcenbasierte Richtlinie an einen Schlüssel anzuhängen. Wenn eine Richtlinie bereits vorhanden ist, wird sie durch den Befehl ersetzt.

Im folgenden Beispiel wird eine ressourcenbasierte Richtlinie aus einer JSON-Datei an einen Schlüssel angehängt.

```
aws payment-cryptography put-resource-policy \
    --resource-arn arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}} \
    --policy file://{{policy.json}}
```

**Rufen Sie eine ressourcenbasierte Richtlinie ab**  
Verwenden Sie die [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetResourcePolicy.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetResourcePolicy.html)API-Aktion oder den [https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/get-resource-policy.html](https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/get-resource-policy.html)CLI-Befehl, um die ressourcenbasierte Richtlinie abzurufen, die einem Schlüssel zugeordnet ist.

Im folgenden Beispiel wird die ressourcenbasierte Richtlinie abgerufen, die einem Schlüssel zugeordnet ist.

```
aws payment-cryptography get-resource-policy \
    --resource-arn arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}
```

Die Antwort gibt das Richtliniendokument zurück:

```
{
    "Policy": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "AWS": "arn:aws:iam::{{111122223333}}:role/{{ExampleRole}}"
                },
                "Action": [
                    "payment-cryptography:EncryptData",
                    "payment-cryptography:DecryptData"
                ],
                "Resource": "*"
            }
        ]
    }
}
```

**Löschen Sie eine ressourcenbasierte Richtlinie**  
Verwenden Sie die [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_DeleteResourcePolicy.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_DeleteResourcePolicy.html)API-Aktion oder den [https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/delete-resource-policy.html](https://docs.aws.amazon.com/cli/latest/reference/payment-cryptography/delete-resource-policy.html)CLI-Befehl, um die ressourcenbasierte Richtlinie aus einem Schlüssel zu entfernen.

Im folgenden Beispiel wird die ressourcenbasierte Richtlinie gelöscht, die einem Schlüssel zugeordnet ist.

```
aws payment-cryptography delete-resource-policy \
    --resource-arn arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}
```

## Resource-based Beispiele für Richtlinien
<a name="security_iam_resource-based-policies-examples"></a>

### Gewähren Sie kontoübergreifenden Zugriff auf einen Schlüssel
<a name="security_iam_resource-based-policies-cross-account"></a>

Die folgende ressourcenbasierte Richtlinie gewährt einer Rolle in einem anderen AWS Konto die Erlaubnis, einen AWS Zahlungskryptografie-Schlüssel für kryptografische Operationen zu verwenden.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/{{ExampleRole}}"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData",
                "payment-cryptography:VerifyCardValidationData"
            ],
            "Resource": "*"
        }
    ]
}
```

### Erteilen Sie verschiedenen Konten unterschiedliche Berechtigungen
<a name="security_iam_resource-based-policies-restrict-actions"></a>

Die folgende ressourcenbasierte Richtlinie zeigt, wie Prinzipalen in separaten Konten unterschiedliche Berechtigungen erteilt werden können. In diesem Beispiel kann ein 3DS Access Control Server (ACS) in einem Konto Kartenvalidierungsdaten generieren, während ein Zahlungsautorisierungsdienst in einem anderen Konto nur 3DS-Kryptogramme validieren kann.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "Allow3DSACSToGenerate",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/{{3dsAcsRole}}"
            },
            "Action": [
                "payment-cryptography:GenerateCardValidationData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPaymentAuthToVerify",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{444455556666}}:role/{{PaymentAuthRole}}"
            },
            "Action": [
                "payment-cryptography:VerifyAuthRequestCryptogram"
            ],
            "Resource": "*"
        }
    ]
}
```