Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Planen Sie Ihren Einsatz
In diesem Abschnitt werden die [Kosten](cost.md), die [Sicherheit](security.md), die [Kontingente](quotas.md) und andere Überlegungen vor der Bereitstellung der Lösung beschrieben.
## Unterstützte AWS Regionen
Abhängig von den von Ihnen definierten Werten für die Eingabeparameter der Vorlage benötigt diese Lösung unterschiedliche Ressourcen. Diese Ressourcen (in der folgenden Tabelle aufgeführt) sind möglicherweise nicht in allen AWS-Regionen verfügbar. Daher müssen Sie diese Lösung in einer AWS-Region starten, in der diese Services verfügbar sind. Die aktuelle Verfügbarkeit von AWS-Services nach Regionen finden Sie in der [regionalen AWS-Serviceliste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
| | AWS WAF-Web-ACL | AWS Glue | Amazon Athena | Amazon Kinesis Data Firehose |
| --- | --- | --- | --- | --- |
| **Endpunkttyp** | | | | |
| CloudFront | ✓ | | | |
| Application Load Balancer (ALB) | ✓ | | | |
| **Aktivieren Sie den HTTP-Flood-Schutz** | | | | |
| ja — AWS Lambda Lambda-Protokollparser | | | | ✓ |
| ja — Amazon Athena Athena-Protokollparser | | ✓ | ✓ | ✓ |
| **Aktivieren Sie den Scanner- und Sondenschutz** | | | | |
| ja — Amazon Athena Athena-Protokollparser | | ✓ | ✓ | |
**Anmerkung**
Wenn Sie sich für Ihren **Endpunkt** entscheiden`CloudFront`, müssen Sie die Lösung in der Region USA Ost (Nord-Virginia) bereitstellen (`us-east-1`).
# Cost (Kosten)
Sie sind für die Kosten der AWS-Services verantwortlich, die beim Betrieb der WAF-Lösung Security Automations for AWS verwendet werden. Die Gesamtkosten für den Betrieb dieser Lösung hängen vom aktivierten Schutz und der Menge der aufgenommenen, gespeicherten und verarbeiteten Daten ab.
Wir empfehlen, über den [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) ein [Budget](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-create.html) zu erstellen, um die Kosten besser verwalten zu können. Vollständige Informationen finden Sie auf der Preisseite für jeden AWS-Service, den Sie in dieser Lösung verwendet haben.
Die folgenden Tabellen sind Beispiele für die Aufschlüsselung der Kosten für den Betrieb dieser Lösung in der Region USA Ost (Nord-Virginia) (ohne das kostenlose AWS-Kontingent). Die Preise sind freibleibend.
**Beispiel 1: Reputation List Protection, Bad Bot Protection, AWS Lambda Log Parser für HTTP Flood Protection und Scanner & Probe Protection aktivieren**
| AWS Service | Abmessungen/Monat | Kosten [USD] |
| --- | --- | --- |
| Amazon Data Firehose | 100 GB | \$12,90 \$1 |
| Amazon S3 | 100 GB | \$12,30 \$1 |
| AWS Lambda | 128 MB: 3 Funktionen, 1 Million Aufrufe und durchschnittliche Dauer von 500 Millisekunden pro Lambda-Lauf 512 MB: 2 Funktionen, 1 Million Aufrufe und durchschnittliche Dauer von 500 Millisekunden pro Lambda-Lauf | \$15,40 \$1 |
| AWS WAF WAF-Web-ACL | 1 | 5,00\$1 |
| AWS-WAF-Regel | 4 | 4,00\$1 |
| AWS WAF WAF-Anfrage | 1 Mio. | 0,60\$1 |
| **Gesamt** | | **\$120,60 \$1 pro Monat** |
**Beispiel 2: Reputation List Protection, Bad Bot Protection, Amazon Athena Log Parser für HTTP Flood Protection und Scanner & Probe Protection aktivieren**
| AWS Service | Abmessungen/Monat | Kosten [USD] |
| --- | --- | --- |
| Amazon Data Firehose | 100 GB | \$12,90 \$1 |
| Amazon S3 | 100 GB | \$12,30 \$1 |
| AWS Lambda | 128 MB: 3 Funktionen, 1 Million Aufrufe und durchschnittliche Dauer von 500 Millisekunden pro Lambda-Lauf 512 MB: 2 Funktionen, 7560 Aufrufe und durchschnittliche Dauer von 500 Millisekunden pro Lambda-Lauf | \$11,26 \$1 |
| Amazon Athena | 1,2 Mio. CloudFront Objektzugriffe oder 1,2 Mio. ALB-Anfragen pro Tag, wodurch pro Treffer oder Anfrage ein Protokolldatensatz von \$1500 Byte generiert wird | \$14,32 \$1 |
| AWS WAF WAF-Web-ACL | 1 | 5,00\$1 |
| AWS-WAF-Regel | 4 | 4,00\$1 |
| AWS WAF WAF-Anfrage | 1 Mio. | 0,60\$1 |
| **Gesamt** | | ****\$120,38 \$1 pro Monat**** |
**Beispiel 3: Aktivieren Sie die IP-Aufbewahrung für erlaubte und verweigerte IP-Sets**
| AWS Service | Abmessungen/Monat | Kosten [USD] |
| --- | --- | --- |
| Amazon DynamoDB | 1.000 Schreibvorgänge und 1 MB Datenspeicher | \$10,00 \$1 |
| AWS Lambda | 128 MB: 1 Funktion, 2.000 Aufrufe und durchschnittliche Dauer von 500 Millisekunden pro Lambda-Lauf 512 MB: 1 Funktion, 2.000 Aufrufe und durchschnittliche Dauer von 500 Millisekunden pro Lambda-Lauf | \$10,01 \$1 |
| Amazon CloudWatch | 2K-Ereignisse | \$10,00 \$1 |
| AWS WAF-Web-ACL | 1 | 5,00\$1 |
| AWS-WAF-Regel | 2 | 2,00\$1 |
| WAS WAF-Anfrage | 1 Mio. | 0,60\$1 |
| **Gesamt** | | ****\$17,61 \$1 pro Monat**** |
## Kostenschätzung für Logs CloudWatch
Einige in dieser Lösung verwendete AWS-Services, wie Lambda, generieren CloudWatch Protokolle. [Für diese Protokolle fallen Gebühren an.](https://aws.amazon.com/cloudwatch/pricing/) Wir empfehlen, Protokolle zu löschen oder zu archivieren, um die Kosten zu senken. Einzelheiten zum Protokollarchiv finden Sie unter [Exportieren von Protokolldaten nach Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
Wenn Sie sich dafür entscheiden, den Athena-Protokollparser bei der Installation zu verwenden, plant diese Lösung, dass eine Abfrage anhand der AWS WAF- oder Anwendungszugriffsprotokolle in Ihren Amazon S3 S3-Buckets wie konfiguriert ausgeführt wird. Die Gebühren richten sich nach der Menge der bei jeder Abfrage gescannten Daten. Die Lösung partitioniert Protokolle und Abfragen, um die Kosten zu minimieren. Standardmäßig verschiebt die Lösung Anwendungszugriffsprotokolle von ihrem ursprünglichen Amazon S3 S3-Speicherort in eine partitionierte Ordnerstruktur. Sie können auch das Original behalten, der doppelte Protokollspeicher wird Ihnen jedoch in Rechnung gestellt. Diese Lösung verwendet [Arbeitsgruppen, um Arbeitslasten](https://docs.aws.amazon.com/athena/latest/ug/manage-queries-control-costs-with-workgroups.html) zu segmentieren, und Sie können beide konfigurieren, um den Abfragezugriff und die Kosten zu verwalten. Ein Beispiel für eine Berechnung [eines Kostenvoranschlags finden Sie unter Kostenvoranschlag von Athena](#cost-estimate-of-athena). Weitere Informationen finden Sie unter [Amazon Athena Pricing](https://aws.amazon.com/athena/pricing/).
## Kostenvoranschlag von Athena
Wenn Sie die Athena Log Parser-Option verwenden, während Sie die Regeln **HTTP Flood Protection**, **Scanner & Probe Protection** oder **Bad Bot Protection** ausführen, wird Ihnen die Nutzung von Athena in Rechnung gestellt. Standardmäßig wird jede Athena-Abfrage alle fünf Minuten ausgeführt und scannt die Daten der letzten vier Stunden. Die Lösung wendet Partitionierung auf Protokolle und Athena-Abfragen an, um die Kosten zu minimieren. Sie können die Anzahl der Datenstunden, die eine Abfrage scannt, konfigurieren, indem Sie den Wert für den Vorlagenparameter **WAF Block Period** ändern. Eine Erhöhung der Menge der gescannten Daten wird jedoch wahrscheinlich die Athena-Kosten erhöhen.
**Tipp**
Im Folgenden finden Sie ein Beispiel für die Berechnung der CloudFront Protokollkosten:
Im Durchschnitt kann jeder CloudFront Treffer etwa 500 Byte an Daten generieren.
Wenn pro Tag 1,2 Millionen CloudFront Objekte getroffen werden, sind es 200.000 (1,2 M/6) Treffer pro vier Stunden, vorausgesetzt, die Daten werden mit einer gleichbleibenden Geschwindigkeit aufgenommen. Berücksichtigen Sie bei der Berechnung Ihrer Kosten Ihre tatsächlichen Verkehrsmuster.
`[500 bytes of data] * [200K hits per four hours] = [an average 100 MB (0.0001TB) data scanned per query]`
Athena berechnet 5,00 USD pro TB gescannter Daten.
`[0.0001 TB] * [$5] = [$0.0005 per query scan]`
Die Athena-Abfrage wird alle fünf Minuten ausgeführt, was 12 Durchläufen pro Stunde entspricht.
`[12 runs] * [24 hours] = [288 runs per day]`
`[$0.0005 per query scan] * [288 runs per day] * [30 days] = [$4.32 per month]`
Die tatsächlichen Kosten hängen von den Datenverkehrsmustern Ihrer Anwendung ab. Weitere Informationen finden Sie unter [Amazon Athena Pricing](https://aws.amazon.com/athena/pricing/).
# Sicherheit
Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) reduziert Ihren betrieblichen Aufwand, da AWS die Komponenten wie das Host-Betriebssystem, die Virtualisierungsebene und die physische Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur AWS-Sicherheit finden Sie unter [AWS Cloud Security](https://aws.amazon.com/security/).
## IAM-Rollen
Mit IAM-Rollen können Sie Services und Benutzern in der AWS-Cloud detaillierten Zugriff, Richtlinien und Berechtigungen zuweisen. Diese Lösung erstellt IAM-Rollen mit den geringsten Rechten, und diese Rollen gewähren den Ressourcen der Lösung die erforderlichen Berechtigungen.
## Daten
Alle in Amazon S3 S3-Buckets und DynamoDB-Tabellen gespeicherten Daten sind im Ruhezustand verschlüsselt. Daten, die mit Firehose übertragen werden, sind ebenfalls verschlüsselt.
## Schutzfunktionen
Webanwendungen sind anfällig für eine Vielzahl von Angriffen. Zu diesen Angriffen gehören speziell gestaltete Anfragen, die darauf abzielen, eine Sicherheitslücke auszunutzen oder die Kontrolle über einen Server zu übernehmen, volumetrische Angriffe, die darauf abzielen, eine Website lahmzulegen, oder bösartige Bots und Scraper, die darauf programmiert sind, Webinhalte zu durchsuchen und zu stehlen.
Diese Lösung konfiguriert AWS-WAF-Regeln, einschließlich Regelgruppen und benutzerdefinierter Regeln für AWS Managed Rules, um die folgenden häufigen Angriffe zu blockieren: CloudFormation
+ **AWS Managed Rules** — Dieser verwaltete Service bietet Schutz vor häufigen Anwendungsschwachstellen oder anderem unerwünschten Datenverkehr. Diese Lösung umfasst [AWS Managed IP-Reputationsregelgruppen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html), [AWS Managed-Basisregelgruppen und AWS Managed-Regelgruppen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) [für anwendungsspezifische Anwendungsfälle](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html). Sie haben die Möglichkeit, eine oder mehrere Regelgruppen für Ihre Web-ACL bis zum maximalen WCU-Kontingent (Web ACL Capacity Unit) auszuwählen.
+ **SQL-Injection** — Angreifer fügen bösartigen SQL-Code in Webanfragen ein, um Daten aus Ihrer Datenbank zu extrahieren. Wir haben diese Lösung entwickelt, um Webanfragen zu blockieren, die potenziell bösartigen SQL-Code enthalten.
+ **XSS** — Angreifer nutzen Sicherheitslücken auf einer harmlosen Website, um bösartige Client-Site-Skripte in den Webbrowser eines legitimen Benutzers einzuschleusen. Wir haben dies so konzipiert, dass es häufig untersuchte Elemente eingehender Anfragen untersucht, um XSS-Angriffe zu identifizieren und zu blockieren.
+ **HTTP-Floods** — Webserver und andere Backend-Ressourcen sind dem Risiko von DDo S-Angriffen wie HTTP-Floods ausgesetzt. Diese Lösung ruft automatisch eine ratenbasierte Regel auf, wenn Webanfragen von einem Client ein konfigurierbares Kontingent überschreiten. Alternativ können Sie dieses Kontingent erzwingen, indem Sie AWS-WAF-Protokolle mithilfe einer Lambda-Funktion oder einer Athena-Abfrage verarbeiten.
+ **Scanner und Sonden** — Böswillige Quellen scannen und untersuchen Internetanwendungen auf Sicherheitslücken, indem sie eine Reihe von Anfragen senden, die HTTP 4xx-Fehlercodes generieren. Sie können diesen Verlauf verwenden, um bösartige Quell-IP-Adressen zu identifizieren und zu blockieren. Diese Lösung erstellt eine Lambda-Funktion oder Athena-Abfrage, die automatisch CloudFront oder ALB-Zugriffsprotokolle analysiert, die Anzahl der fehlerhaften Anfragen von eindeutigen Quell-IP-Adressen pro Minute zählt und AWS WAF aktualisiert, um weitere Scans von Adressen zu blockieren, die die definierte Fehlerquote erreicht haben.
+ **Bekannte Herkunft der Angreifer (IP-Reputationslisten)** — Viele Unternehmen führen Reputationslisten mit IP-Adressen, die von bekannten Angreifern wie Spammern, Malware-Verteilern und Botnetzen betrieben werden. Diese Lösung nutzt die Informationen in diesen Reputationslisten, um Ihnen zu helfen, Anfragen von bösartigen IP-Adressen zu blockieren. Darüber hinaus blockiert diese Lösung Angreifer, die von IP-Reputationsregelgruppen auf der Grundlage interner Bedrohungsinformationen von Amazon identifiziert wurden.
+ **Bots und Scraper** — Betreiber öffentlich zugänglicher Webanwendungen müssen darauf vertrauen können, dass sich die Kunden, die auf ihre Inhalte zugreifen, korrekt identifizieren und dass sie Dienste wie vorgesehen nutzen. Einige automatisierte Clients, wie Content Scraper oder bösartige Bots, geben sich jedoch falsch aus, um Einschränkungen zu umgehen. Diese Lösung hilft Ihnen dabei, bösartige Bots und Scraper zu identifizieren und zu blockieren.
# Kontingente
Service Quotas, auch als Limits bezeichnet, sind die maximale Anzahl von Serviceressourcen oder -vorgängen für Ihr AWS-Konto.
## Kontingente für AWS-Services in dieser Lösung
Stellen Sie sicher, dass Sie über ein ausreichendes Kontingent für jeden der [in dieser Lösung implementierten Services](architecture-details.md#aws-services-in-this-solution) verfügen. Weitere Informationen finden Sie unter [AWS-Servicekontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). Um die Service-Kontingente für alle AWS-Services in der Dokumentation zu sehen, ohne zwischen den Seiten zu wechseln, schauen Sie sich stattdessen die Informationen auf der Seite [Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) in der PDF-Datei an.
## AWS-WAF-Kontingente
AWS WAF kann pro IP-Übereinstimmungsbedingung maximal 10.000 IP-Adressbereiche in Classless Inter-Domain Routing (CIDR) -Notation blockieren. Jede Liste, die diese Lösung erstellt, unterliegt diesem Kontingent. Weitere Informationen finden Sie unter [AWS-WAF-Kontingente](https://docs.aws.amazon.com/waf/latest/developerguide/limits.html). Ab Version 3.0 erstellt diese Lösung zwei IP-Sätze, die an jede Regel angehängt werden, einen für IPv4 und einen für IPv6.
AWS WAF erlaubt maximal eine Anfrage pro Sekunde, pro Konto und AWS-Region für API-Aufrufe an eine Person `Create` oder `Update` Aktion. `Put` Wenn Sie diese API-Aufrufe außerhalb der Lösung tätigen, kann ein Problem mit der API-Drosselung auftreten. Um das Problem zu vermeiden, empfehlen wir, andere Anwendungen, die diese API-Aufrufe tätigen, nicht in demselben Konto und derselben Region auszuführen, in der diese Lösung bereitgestellt wird.
# Überlegungen zur Bereitstellung
Die folgenden Abschnitte enthalten Einschränkungen und Überlegungen zur Implementierung dieser Lösung.
## AWS-WAF-Regeln
Die Web-ACL, die diese Lösung generiert, wurde entwickelt, um umfassenden Schutz für Webanwendungen zu bieten. Die Lösung bietet eine Reihe von AWS Managed Rules und benutzerdefinierten Regeln, die Sie der Web-ACL hinzufügen können. Um eine Regel einzubeziehen, wählen Sie `yes` beim Starten des CloudFormation Stacks die entsprechenden Parameter aus. Siehe [Schritt 1. Starten Sie den Stack](step-1.-launch-the-stack.md) für die Liste der Parameter.
**Anmerkung**
Die out-of-box Lösung unterstützt [AWS Firewall Manager](https://aws.amazon.com/firewall-manager) nicht. Wenn Sie die Regeln in Firewall Manager verwenden möchten, empfehlen wir Ihnen, Anpassungen am [Quellcode](https://github.com/aws-solutions/aws-waf-security-automations) vorzunehmen.
## Protokollierung des Web-ACL-Datenverkehrs
Wenn Sie den Stack in einer anderen AWS-Region als USA Ost (Nord-Virginia) erstellen und den **Endpunkt** als festlegen`CloudFront`, müssen Sie **Activate HTTP Flood Protection** auf `no` oder setzen`yes - AWS WAF rate based rule`.
Die anderen beiden Optionen (`yes - AWS Lambda log parser`und`yes - Amazon Athena log parser`) erfordern die Aktivierung von AWS-WAF-Protokollen auf einer Web-ACL, die an allen AWS-Edge-Standorten ausgeführt wird. Dies wird außerhalb der USA Ost (Nord-Virginia) nicht unterstützt. Weitere Informationen zur Protokollierung von Web-ACL-Verkehr finden Sie im [AWS WAF Developer Guide](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html).
## Bearbeitung zu großer Mengen von Anforderungskomponenten
AWS WAF unterstützt nicht die Überprüfung übergroßer Inhalte für den Hauptteil, die Header oder Cookies der Webanforderungskomponente. Wenn Sie eine Regelanweisung schreiben, die einen dieser Anforderungskomponententypen untersucht, können Sie eine der folgenden Optionen wählen, um AWS WAF mitzuteilen, was mit diesen Anfragen geschehen soll:
+ `yes`(weiter) — Untersuchen Sie die Anforderungskomponente auf normale Weise gemäß den Regelprüfungskriterien. AWS WAF überprüft den Inhalt der Anforderungskomponente, der innerhalb der Größenbeschränkungen liegt. Dies ist die Standardoption, die in der Lösung verwendet wird.
+ `yes - MATCH` – Behandeln der Web-Anforderung als übereinstimmend mit der Regelanweisung. AWS WAF wendet die Regelaktion auf die Anfrage an, ohne sie anhand der Prüfkriterien der Regel zu bewerten. Bei einer Regel mit der `Block`-Aktion wird die Anforderung mit der übergroßen Komponente blockiert.
+ `yes - NO_MATCH`— Behandeln Sie die Webanfrage so, als ob sie nicht mit der Regelaussage übereinstimmt, ohne sie anhand der Prüfkriterien der Regel zu bewerten. AWS WAF setzt die Prüfung der Webanforderung fort, indem sie die restlichen Regeln in der Web-ACL verwendet, wie dies bei jeder Regel der Fall wäre, die nicht übereinstimmend ist.
Weitere Informationen finden Sie unter [Umgang mit übergroßen Webanforderungskomponenten in AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-oversize-handling.html).
## Bereitstellungen mehrerer Lösungen
Sie können die Lösung mehrmals im selben Konto und in derselben Region bereitstellen. Sie müssen für jede Bereitstellung einen eindeutigen CloudFormation Stack-Namen und einen Amazon S3 S3-Bucket-Namen verwenden. Für jede einzelne Bereitstellung fallen zusätzliche Gebühren an und unterliegen den [AWS-WAF-Kontingenten](https://docs.aws.amazon.com/waf/latest/developerguide/limits.html) pro Konto und Region.
## Minimale Rollenberechtigungen für die Bereitstellung (optional)
Kunden können manuell eine IAM-Rolle mit den für die Bereitstellung erforderlichen Mindestberechtigungen erstellen:
+ WAF-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"wafv2:CreateWebACL",
"wafv2:UpdateWebACL",
"wafv2:DeleteWebACL",
"wafv2:GetWebACL",
"wafv2:ListWebACLs",
"wafv2:CreateIPSet",
"wafv2:UpdateIPSet",
"wafv2:DeleteIPSet",
"wafv2:GetIPSet",
"wafv2:AssociateWebACL",
"wafv2:DisassociateWebACL",
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration",
"wafv2:ListWebACLs",
"wafv2:ListIPSets",
"wafv2:ListTagsForResource"
],
"Resource": [
"arn:aws:wafv2:*:*:regional/webacl/*",
"arn:aws:wafv2:*:*:regional/ipset/*",
"arn:aws:wafv2:*:*:global/webacl/*",
"arn:aws:wafv2:*:*:global/ipset/*"
]
}
```
+ Lambda-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration",
"lambda:AddPermission",
"lambda:RemovePermission"
],
"Resource": "arn:aws:lambda:*:*:function:*"
}
```
+ Firehose-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"firehose:CreateDeliveryStream",
"firehose:DeleteDeliveryStream",
"firehose:DescribeDeliveryStream",
"firehose:StartDeliveryStreamEncryption",
"firehose:StopDeliveryStreamEncryption",
"firehose:UpdateDestination"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/*"
}
```
+ S3-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:PutBucketAcl",
"s3:PutBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutBucketTagging",
"s3:PutLifecycleConfiguration",
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:PutBucketLogging",
"s3:GetBucketLogging"
],
"Resource": "arn:aws:s3:::*"
}
```
+ Athena-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"athena:CreateWorkGroup",
"athena:DeleteWorkGroup",
"athena:GetWorkGroup",
"athena:UpdateWorkGroup",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/WAF*"
}
```
+ Glue-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:GetTable",
"glue:GetTables",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:userDefinedFunction/*"
]
}
```
+ CloudWatch Protokolliert Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"logs:PutRetentionPolicy",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/lambda/*",
"arn:aws:logs:*:*:log-group:*",
"arn:aws:logs:*:*:log-group:/aws/kinesisfirehose/*"
]
}
```
+ CloudWatch Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:GetDashboard",
"cloudwatch:ListDashboards",
"cloudwatch:PutDashboard",
"cloudwatch:PutMetricData"
],
"Resource": "*"
}
```
+ SNS-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:Subscribe",
"sns:Unsubscribe",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:*"
}
```
+ DynamoDB-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"dynamodb:CreateTable",
"dynamodb:DeleteTable",
"dynamodb:DescribeTable",
"dynamodb:PutItem",
"dynamodb:GetItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem"
],
"Resource": "arn:aws:dynamodb:*:*:table/*"
}
```
+ CloudFormation Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack",
"cloudformation:ListStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/*/*"
}
```
+ Registrierungsberechtigungen für Service Catalog-Apps
```
{
"Effect": "Allow",
"Action": [
"servicecatalog:CreateApplication",
"servicecatalog:DeleteApplication",
"servicecatalog:GetApplication",
"servicecatalog:TagResource",
"servicecatalog:CreateAttributeGroup",
"servicecatalog:DeleteAttributeGroup",
"servicecatalog:GetAttributeGroup",
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup",
"servicecatalog:AssociateResource",
"servicecatalog:DisassociateResource"
],
"Resource": "arn:aws:servicecatalog:*:*:*"
}
```
+ X-Ray-Genehmigungen
```
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords"
],
"Resource": "*"
}
```
+ IAM-Berechtigungen
```
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRoles",
"iam:PassRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/*"
}
```
+ EventBridge Genehmigungen
```
{
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:RemoveTargets",
"events:DescribeRule",
"events:EnableRule",
"events:ListRules",
"events:PutRule",
"events:DeleteRule",
"events:ListEventSources",
"events:DescribeEventSource",
"events:ActivateEventSource",
"events:DeactivateEventSource"
],
"Resource": "arn:aws:events:*:*:rule/*"
}
```