Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie funktioniert re:POST Private mit IAM
<a name="security_iam_service-with-iam"></a>

Bevor Sie IAM verwenden, um den Zugriff auf AWS re:POST Private zu verwalten, müssen Sie wissen, welche IAM-Funktionen für die Verwendung mit re:POST Private verfügbar sind. *Einen allgemeinen Überblick darüber, wie re:POST Private und andere AWS Services mit IAM funktionieren, finden Sie im IAM-Benutzerhandbuch unter [AWS Services, die](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) mit IAM funktionieren.*

## Auf privaten Identitäten basierende Richtlinien von re:POST
<a name="security-with-iam-id-based-policies"></a>

Mit identitätsbasierten IAM-Richtlinien können Sie zulässige oder verweigerte Aktionen angeben. re:POST Private unterstützt bestimmte Aktionen. Informationen zu den Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Aktionen
<a name="security-with-iam-id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Richtlinienaktionen in re:POST Private verwenden vor der Aktion das folgende Präfix:. `repostspace:` Um beispielsweise jemandem die Erlaubnis zu erteilen, den privaten `CreateSpace` API-Vorgang re:POST auszuführen, nehmen Sie die `repostspace:CreateSpace` Aktion in seine Richtlinie auf. Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. re:Post Private definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

```
"Action": [
      "repostspace:CreateSpace",
      "repostspace:DeleteSpace"
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "repostspace:Describe*"
```



*Eine Liste der privaten re:POST-Aktionen finden Sie im IAM-Benutzerhandbuch unter [Von re:POST Private definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkdocs.html#amazonworkdocs-actions-as-permissions).*

### Ressourcen
<a name="security-with-iam-id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

### Bedingungsschlüssel
<a name="security-with-iam-id-based-policies-conditionkeys"></a>

re:POST Private stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

### Beispiele
<a name="security-with-iam-id-based-policies-examples"></a>

Beispiele für identitätsbasierte Richtlinien von re:POST Private finden Sie unter. [AWS re:Post — Beispiele für Richtlinien, die auf privaten Identitäten basieren](security-iam-policy-examples.md)

## Auf Ressourcen basierende Richtlinien von re:POST Private
<a name="security-with-iam-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder Dienste gehören. AWS Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

Re:Post Private unterstützt keine ressourcenbasierten Richtlinien.

## Autorisierung auf der Basis von Markierungen
<a name="security-with-iam-tags"></a>

re:POST Private unterstützt das Markieren von Ressourcen oder die Steuerung des Zugriffs anhand von Tags. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS-Ressourcen mithilfe von Tags](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html).

## re:POST Private IAM-Rollen
<a name="security-with-iam-roles"></a>

Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

### Verwendung temporärer Anmeldeinformationen mit re:POST Private
<a name="security-with-iam-roles-tempcreds"></a>

Wir empfehlen dringend, temporäre Anmeldeinformationen zu verwenden, um sich bei Federation anzumelden, eine IAM-Rolle anzunehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 

re:POST Private unterstützt die Verwendung temporärer Anmeldeinformationen. 

## Service-verknüpfte Rollen
<a name="security-with-iam-roles-service-linked"></a>

Mit [dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion für Sie abzuschließen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

## Servicerollen
<a name="security-with-iam-roles-service"></a>

Diese Funktion ermöglicht es einem Dienst, eine [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) für Sie zu übernehmen. Diese Rolle ermöglicht es dem Dienst, auf Ressourcen in anderen Diensten zuzugreifen, um eine Aktion für Sie abzuschließen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-service.html). Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

# Verwenden von serviceverknüpften Rollen für re:POST Private
<a name="using-service-linked-roles"></a>

[AWS re:POST Private verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit re:POST Private verknüpft ist. Mit Diensten verknüpfte Rollen sind von re:POST Private vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere Dienste in Ihrem Namen aufzurufen. AWS 

Eine dienstbezogene Rolle erleichtert die Einrichtung von re:POST Private, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. re:POST Private definiert die Berechtigungen seiner dienstverknüpften Rollen, und sofern nicht anders definiert, kann nur re:Post Private seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

****Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die Ja steht.**** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Berechtigungen für dienstverknüpfte Rollen für re:POST Private
<a name="slr-permissions"></a>

re:POST Private verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen **AWSServiceRoleForrePostPrivate**. re:Post Private verwendet diese dienstverknüpfte Rolle, um Daten zu veröffentlichen. CloudWatch

Die AWSService RoleForrePostPrivate dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `repostspace.amazonaws.com`

Die genannte Rollenberechtigungsrichtlinie `AWSrePostPrivateCloudWatchAccess` ermöglicht es re:POST Private, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:
+ Aktion für: `cloudwatch` `PutMetricData` 

Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

Weitere Informationen finden Sie unter [AWSrePostPrivateCloudWatchAccess](security-with-iam-managed-policy.md#cloudwatch-metric-manpol).

## Eine serviceverknüpfte Rolle für re:POST Private erstellen
<a name="create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn du deinen ersten privaten re:POST in der AWS-Managementkonsole, der oder der AWS API erstellst, erstellt re:POST Private die serviceverknüpfte Rolle für dich. AWS CLI

**Wichtig**  
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den Dienst re:POST Private vor dem 1. Dezember 2023 genutzt haben, als er begann, serviceverknüpfte Rollen zu unterstützen, hat re:POST Private die Rolle außerdem in Ihrem Konto erstellt. `AWSServiceRoleForrePostPrivate` Weitere Informationen findest du unter [Eine neue](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) Rolle ist in meinem erschienen. AWS-Konto

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn du deinen ersten privaten re:Post erstellst, erstellt re:Post Private die serviceverknüpfte Rolle erneut für dich. 

Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem Dienstnamen. `repostspace.amazonaws.com` Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

## Bearbeitung einer serviceverknüpften Rolle für re:POST Private
<a name="edit-slr"></a>

Mit re:POST Private können Sie die mit dem Dienst verknüpfte Rolle nicht bearbeiten. `AWSServiceRoleForrePostPrivate` Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für re:POST Private
<a name="delete-slr"></a>

Sie müssen die Rolle `AWSServiceRoleForrePostPrivate` nicht manuell löschen. Wenn du deinen privaten re:POST in der AWS-Managementkonsole, der oder der AWS API löschst, löscht re:POST Private die dienstverknüpfte Rolle für dich. AWS CLI

Sie können auch die IAM-Konsole, die oder die AWS API verwenden, um die AWS CLI dienstverknüpfte Rolle manuell zu löschen.

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSService RoleForrePostPrivate Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für dienstverknüpfte re:POST Private-Rollen
<a name="slr-regions"></a>

re:POST Private unterstützt die Verwendung von serviceverknüpften Rollen in den AWS Regionen, in denen der Dienst verfügbar ist.


****  

| Name der Region | Regions-ID | Support in re:POST Private | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 | Ja | 
| USA Ost (Ohio) | us-east-2 | Nein | 
| USA West (Nordkalifornien) | us-west-1 | Nein | 
| USA West (Oregon) | us-west-2 | Ja | 
| Afrika (Kapstadt) | af-south-1 | Nein | 
| Asien-Pazifik (Hongkong) | ap-east-1 | Nein | 
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Nein | 
| Asien-Pazifik (Mumbai) | ap-south-1 | Nein | 
| Asia Pacific (Osaka) | ap-northeast-3 | Nein | 
| Asien-Pazifik (Seoul) | ap-northeast-2 | Nein | 
| Asien-Pazifik (Singapur) | ap-southeast-1 | Ja | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja | 
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Nein | 
| Kanada (Zentral) | ca-central-1 | Ja | 
| Europa (Frankfurt) | eu-central-1 | Ja | 
| Europa (Ireland) | eu-west-1 | Ja | 
| Europa (London) | eu-west-2 | Nein | 
| Europa (Milan) | eu-south-1 | Nein | 
| Europa (Paris) | eu-west-3 | Nein | 
| Europa (Stockholm) | eu-north-1 | Nein | 
| Naher Osten (Bahrain) | me-south-1 | Nein | 
| Naher Osten (VAE) | me-central-1 | Nein | 
| Südamerika (São Paulo) | sa-east-1 | Nein | 

# AWS re:Post — Beispiele für Richtlinien, die auf privaten Identitäten basieren
<a name="security-iam-policy-examples"></a>

**Anmerkung**  
Um die Sicherheit zu erhöhen, sollten Sie nach Möglichkeit Verbundbenutzer anstelle von IAM-Benutzern erstellen.

Standardmäßig sind AWS Identity and Access Management Benutzer und Rollen nicht berechtigt, private AWS re:POST-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.

**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security-with-iam-policy-examples-view-own-permissions)

## Best Practices für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand private re:POST-Ressourcen in deinem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn du identitätsbasierte Richtlinien erstellst oder bearbeitest, befolge diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
<a name="security-with-iam-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

# Eingebundene Richtlinien
<a name="security-with-iam-inline-policies"></a>

Inline-Richtlinien sind Richtlinien, die Sie erstellen und verwalten. Sie können Inline-Richtlinien direkt in einen Benutzer, eine Gruppe oder eine Rolle einbetten. Die folgenden Richtlinienbeispiele zeigen, wie Berechtigungen zur Ausführung von AWS re:POST Private-Aktionen zugewiesen werden. Allgemeine Informationen zu Inline-Richtlinien finden Sie unter [Verwaltung von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *AWS IAM-Benutzerhandbuch*. Sie können die AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder die AWS Identity and Access Management API verwenden, um Inline-Richtlinien zu erstellen und einzubetten.

**Topics**
+ [Schreibgeschützter Zugriff auf re:POST Private](#read-only-access)
+ [Voller Zugriff auf re:POST Private](#full-access)

## Schreibgeschützter Zugriff auf re:POST Private
<a name="read-only-access"></a>

Die folgende Richtlinie gewährt einem Benutzer Lesezugriff für das IAM Identity Center und die re:POST Private-Konsole. Diese Richtlinie ermöglicht es dem Benutzer, re:POST-Private-Aktionen auszuführen, die nur lesbar sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                
                "sso:DescribeRegisteredRegions",
                "sso:ListDirectoryAssociations",
                "sso:GetSSOStatus",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                
                "sso-directory:DescribeDirectory",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                
                "repostspace:GetSpace",
                "repostspace:ListSpaces",
                "repostspace:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Voller Zugriff auf re:POST Private
<a name="full-access"></a>

Die folgende Richtlinie gewährt einem Benutzer vollen Zugriff auf das IAM Identity Center und die re:POST Private-Konsole. Diese Richtlinie ermöglicht es dem Benutzer, alle re:POST Private-Aktionen durchzuführen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                
                "sso:DescribeRegisteredRegions",
                "sso:ListDirectoryAssociations",
                "sso:GetSSOStatus",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                
                "sso-directory:DescribeDirectory",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",

                "kms:ListAliases",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                
                "repostspace:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS verwaltete Richtlinien für AWS re:Post Private
<a name="security-with-iam-managed-policy"></a>

Durch die Verwendung AWS verwalteter Richtlinien ist das Hinzufügen von Berechtigungen für Benutzer, Gruppen und Rollen einfacher, als wenn Sie selbst Richtlinien schreiben müssen. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Verwenden Sie AWS verwaltete Richtlinien, um schnell loszulegen. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste können gelegentlich zusätzliche Berechtigungen zu einer AWS verwalteten Richtlinie hinzufügen, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

 AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

**Topics**
+ [AWS verwaltete Richtlinie: AWSRepost SpaceSupportOperationsPolicy](#support-case-manpol)
+ [AWS verwaltete Richtlinie: AWSre PostPrivateCloudWatchAccess](#cloudwatch-metric-manpol)
+ [AWS re:POST Private Updates für verwaltete Richtlinien AWS](#security-iam-awsmanpol-updates)

## AWS verwaltete Richtlinie: AWSRepost SpaceSupportOperationsPolicy
<a name="support-case-manpol"></a>

Diese Richtlinie ermöglicht es dem AWS re:POST Private-Service, Support Fälle zu erstellen, zu verwalten und zu lösen, die über die re:POST Private-Webanwendung erstellt wurden.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "RepostSpaceSupportOperations",
			"Effect": "Allow",
			"Action": [
				"support:AddAttachmentsToSet",
				"support:AddCommunicationToCase",
				"support:CreateCase",
				"support:DescribeCases",
				"support:DescribeCommunications",
				"support:ResolveCase"
			],
			"Resource": "*"
		}
	]
}
```

------

## AWS verwaltete Richtlinie: AWSre PostPrivateCloudWatchAccess
<a name="cloudwatch-metric-manpol"></a>

Diese Richtlinie ermöglicht es dem re:POST Private-Dienst, Daten zu veröffentlichen. CloudWatch

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "CloudWatchPublishMetrics",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/rePostPrivate",
						"AWS/Usage"
					]
				}
			}
		}
	]
}
```

------

## AWS re:POST Private Updates für verwaltete Richtlinien AWS
<a name="security-iam-awsmanpol-updates"></a>

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für re:POST Private an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentverlauf](doc-history.md)-Seite.



In der folgenden Tabelle werden wichtige Aktualisierungen der verwalteten Richtlinien von re:POST Private seit dem 26. November 2023 beschrieben.


| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|  Neue Richtlinie - [AWSrePostPrivateCloudWatchAccess](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#cloudwatch-metric-manpol)  |  Neue verwaltete Richtlinie für die Veröffentlichung von Daten in CloudWatch  |  26. November 2023  | 
|  Neue Richtlinie - [AWSRepostSpaceSupportOperationsPolicy](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#support-case-manpol)  |  Neue verwaltete Richtlinie für die AWS-Supportfunktion in AWS re:Post Private  |  26. November 2023  | 
|  re:POST Private hat mit der Nachverfolgung von Änderungen begonnen  |  re:POST Private hat damit begonnen, Änderungen für seine verwalteten Richtlinien zu verfolgen AWS   |  26. November 2023  | 

# Fehlerbehebung bei AWS re:Post Private Identität und Zugriff
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit re:POST Private und IAM auftreten können.

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in re:POST Private durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine privaten re:POST-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion in re:POST Private durchzuführen
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `repostPrivate:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: repostPrivate:GetWidget on resource: my-example-widget
```

In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `repostPrivate:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich bin nicht berechtigt, iam durchzuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn du die Fehlermeldung erhältst, dass du nicht autorisiert bist, die `iam:PassRole` Aktion durchzuführen, müssen deine Richtlinien aktualisiert werden, damit du eine Rolle an re:POST Private übergeben kannst.

Einige AWS-Services ermöglichen es dir, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in re:POST Private auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Administrator. AWS Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine privaten re:POST-Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Du kannst eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb deiner Organisation auf deine Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Um zu erfahren, ob re:POST Private diese Funktionen unterstützt, siehe. [Wie funktioniert re:POST Private mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.