Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Eine Berechtigungsgrenze erstellen Nachdem Sie die Berechtigungssätze bereitgestellt haben, legen Sie eine Berechtigungsgrenze fest. Diese *Berechtigungsgrenze* ist ein Mechanismus, um den IAM-Zugriff nur an die Benutzer zu delegieren, die Ihre Cloud-Infrastruktur entwickeln, testen, einführen und verwalten. Diese Benutzer können nur die Aktionen ausführen, die gemäß der Richtlinie und der Berechtigungsgrenze zulässig sind. Sie können die Berechtigungsgrenze in einer AWS CloudFormation Vorlage definieren und dann verwenden CloudFormation StackSets , um die Vorlage für mehrere Konten bereitzustellen. Auf diese Weise können Sie mit einem einzigen Vorgang standardisierte Richtlinien in Ihrer gesamten Organisation einrichten und beibehalten. Weitere Informationen und Anweisungen finden Sie unter [Arbeiten mit AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) (CloudFormation Dokumentation). Die folgende CloudFormation Vorlage stellt eine IAM-Rolle bereit und erstellt eine IAM-Richtlinie, die als Berechtigungsgrenze dient. Mithilfe eines Stack-Sets können Sie diese Vorlage für alle Mitgliedskonten in Ihrer Organisation bereitstellen. ``` CloudFormationRole: Type: "AWS::IAM::Role" Properties: AssumeRolePolicyDocument: Version: "2012-10-17" Statement: Effect: Allow Principal: Service: !Sub "cloudformation.${AWS::URLSuffix}" Action: "sts:AssumeRole" Condition: StringEquals: "aws:SourceAccount": !Ref "AWS::AccountId" Description: !Sub "DO NOT DELETE - Used by CloudFormation. Created by CloudFormation ${AWS::StackId}" ManagedPolicyArns: - !Sub "arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess" PermissionsBoundary: !Ref DeveloperBoundary RoleName: CloudFormationRole DeveloperBoundary: Type: "AWS::IAM::ManagedPolicy" Properties: Description: Permission boundary for developers ManagedPolicyName: PermissionsBoundary PolicyDocument: Version: "2012-10-17" Statement: - Sid: AllowModifyIamRolesWithBoundary Effect: Allow Action: - "iam:AttachRolePolicy" - "iam:CreateRole" - "iam:DeleteRolePolicy" - "iam:DetachRolePolicy" - "iam:PutRolePermissionsBoundary" - "iam:PutRolePolicy" Resource: !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:role/app/*" Condition: ArnEquals: "iam:PermissionsBoundary": !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/PermissionsBoundary" - Sid: AllowModifyIamRoles Effect: Allow Action: - "iam:DeleteRole" - "iam:TagRole" - "iam:UntagRole" - "iam:UpdateAssumeRolePolicy" - "iam:UpdateRole" - "iam:UpdateRoleDescription" Resource: !Sub "arn:${AWS::Partition}:iam::${AWS::AccountId}:role/app/*" - Sid: OverlyPermissiveAllowedServices Effect: Allow Action: - "lambda:*" - "apigateway:*" - "events:*" - "s3:*" - "logs:*" Resource: "*" ``` Die **CloudFormationRole**Rolle, die **PermissionsBoundary**Richtlinie und der **DeveloperAccess**Berechtigungssatz gewähren zusammen die folgenden Berechtigungen: + Benutzer haben über die **ReadOnlyAccess** AWS verwaltete Richtlinie nur Lesezugriff auf die meisten AWS-Services. + Benutzer haben über die AWS verwaltete Access-Richtlinie **AWSSupportZugriff auf** offene Supportanfragen. + Benutzer haben über die **AWSBillingReadOnlyAccess** AWS verwaltete Richtlinie nur Lesezugriff auf das AWS Billing Konsolen-Dashboard. + Benutzer können über die **AWSServiceCatalogEndUserFullAccess** AWS verwaltete Richtlinie Produkte aus dem Service Catalog bereitstellen. + Benutzer können mithilfe der Inline-Richtlinie die Kosten jeder CloudFormation Vorlage überprüfen und abschätzen. + Mithilfe der **CloudFormationRole**IAM-Rolle können Benutzer jeden CloudFormation Stack erstellen, aktualisieren oder löschen, der mit **app/** beginnt. + **Benutzer können IAM-Rollen, CloudFormation die mit app/ beginnen, erstellen, aktualisieren oder löschen.** Die **PermissionsBoundary**IAM-Richtlinie verhindert, dass Benutzer ihre Rechte erweitern. + Benutzer können Amazon AWS Lambda-, Amazon EventBridge - CloudWatch, Amazon Simple Storage Service (Amazon S3) - und Amazon API Gateway Gateway-Ressourcen nur mithilfe von bereitstellen CloudFormation. Die folgende Abbildung zeigt, wie ein autorisierter Benutzer, z. B. ein Entwickler, mithilfe der in diesem Handbuch beschriebenen Berechtigungssätze, IAM-Rollen und Berechtigungsgrenzen eine neue IAM-Rolle in einem Mitgliedskonto erstellen kann: 1. Der Benutzer authentifiziert sich im IAM Identity Center und übernimmt die **DeveloperAccess**IAM-Rolle. 1. Der Benutzer initiiert die `cloudformation:CreateStack` Aktion und übernimmt die IAM-Rolle. **CloudFormationRole** 1. Der Benutzer initiiert die `iam:CreateRole` Aktion und erstellt CloudFormation damit eine neue IAM-Rolle. 1. Die **PermissionsBoundary**IAM-Richtlinie wird auf die neue IAM-Rolle angewendet. ![\[Benutzer, der eine IAM-Rolle erstellt, die der Berechtigungsgrenze im Mitgliedskonto unterliegt\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/2_create-iam-role.png) Der **CloudFormationRole**Rolle ist die [AdministratorAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)verwaltete Richtlinie angehängt, aber aufgrund der **PermissionsBoundary**IAM-Richtlinie entsprechen die effektiven Berechtigungen der **CloudFormationRole**Rolle der Richtlinie. **PermissionsBoundary** Die **PermissionsBoundary**Richtlinie bezieht sich beim Zulassen der `iam:CreateRole` Aktion auf sich selbst, wodurch sichergestellt wird, dass Rollen nur erstellt werden können, wenn die Berechtigungsgrenze eingehalten wird.