AWS-Zugriff und -Berechtigungen mithilfe von Richtlinien steuern

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Konfigurieren Sie Richtlinien mit der erforderlichen Berechtigungsstufe, um Zugriff auf die AWS-Ressourcen für Cloud-Discovery und Cloud Provisioning and Governance bereitzustellen.

    Vorbereitungen

    Machen Sie sich mit dem Erstellen von IAM-Benutzern und Benutzerrichtlinien vertraut. Konsultieren Sie dazu die AWS-Dokumentation.

    Identifizieren Sie die Berechtigungsstufe, die zum Erkennen der Ressourcen mit Cloud-Discovery und zum Verwalten der Ressourcen mit Cloud Provisioning and Governance erforderlich ist. Zum Beispiel:
    • Zusätzliche S3-Berechtigungen sind als erforderlich AWS Verwendet einen S3-Bucket, um die Cloud-Formationsvorlagen zu speichern und auszuführen, um Stapel mit CloudFormation bereitzustellen. Diese Berechtigungen sind auch dann erforderlich, wenn Sie dieselbe CloudFormation-Vorlage über die AWS-Konsole ausführen.
    • Schreibgeschützter Zugriff ist erforderlich, um eine Muster-Discovery mit der anwenderdefinierten Richtlinie durchzuführen.
    Mit AWS CloudFormation werden Ressourcen bereitgestellt und konfiguriert, indem die in der Vorlage beschriebenen AWS-Services aufgerufen werden. Weitere Informationen hierzu finden Sie unter Funktionsweise von AWS CloudFormation.

    Laden Sie herunter Cloud-Discovery Mustertabelle Damit können Sie Anwenderberechtigungen gewähren, die für die Ausführung von erforderlich sind Discovery Muster. Neben Berechtigungen enthält die Tabelle auch nützliche Informationen wie Musternamen, Typen, CI-Klassen und Links zur Lieferantendokumentation. Neue Muster sind vierteljährlich verfügbar. Überprüfen Sie daher regelmäßig, um sicherzustellen, dass Sie über die neueste Version der Tabelle verfügen.

    Erforderliche Rollen:
    • AWS-Verwaltungskonsole-Administrator
    • Für Cloud-Discovery: Discovery_admin
    • Für Cloud Provisioning and Governance: admin oder sn_cmp.cloud_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der von Ihnen konfigurierten Richtlinie werden die AWS-Berechtigungen definiert, die Sie einem Benutzer, einer Gruppe oder einer Rolle zuweisen können. Geben Sie abhängig von den AWS-Services, die Sie verwenden, Aktionen für den Service an, um mit Cloud Provisioning and Governance Erkennungs-, Bereitstellungs- und Lebenszyklusaktionen auszuführen.

    Prozedur

    1. Melden Sie sich bei an AWS Verwaltungskonsole mit den Anmeldeinformationen des entsprechenden Service-Accounts.
      Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle verwendet haben, um Zugriff mit temporären Anmeldeinformationen bereitzustellen, melden Sie sich mit demselben IAM-Benutzer oder derselben IAM-Rolle an.
    2. Öffnen Sie den Benutzerdatensatz in der Instanz für den entsprechenden Benutzer.
    3. Definieren Sie eine Benutzerrichtlinie in der AWS-Managementkonsole mit einer der folgenden Methoden:
      • Gewähren Sie dem Administrator Zugriff auf die Instanz. Diese Methode bietet die gleiche Zugriffsebene wie die Verwendung der Zugriffsschlüssel-ID und des geheimen Zugriffsschlüssels. Hängen Sie die Richtlinie AdministratorAccess an das Benutzerprofil an.
        Hinweis:
        Zum Erstellen einer Benutzerrichtlinie, die nur Cloud-Discovery und nicht die Bereitstellung von Cloud-Ressourcen unterstützt, hängen Sie stattdessen die Richtlinie ReadOnlyAccess an.
      • Erstellen Sie eine benutzerdefinierte Richtlinie mit einem beschreibenden Namen. Geben Sie im Feld für das Richtliniendokument den Code ein, der die APIs enthält, deren Ausführung durch diese Richtlinie erlaubt wird.
        Hinweis:
        Das folgende JSON-Beispiel ist ein Teilbeispiel mit Berechtigungen für Cloud-Discovery. Es handelt sich nicht um eine vollständige Liste aller erforderlichen Berechtigungen.
        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsNeededForDiscovery",
         "Effect":"Allow",
         "Action":[
            "account:ListRegions",
            "apigateway:GET",
            "application-autoscaling:Describe*",
            "autoscaling-plans:Describe*",
            "autoscaling:Describe*",
            "autoscaling:DescribeAutoScalingGroups",
            "autoscaling:DescribeLaunchConfigurations",
            "cloudformation:Describe*",
            "cloudformation:DescribeStack*",
            "cloudformation:List*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "config:ListDiscoveredResources",
            "dynamodb:Describe*",
            "dynamodb:DescribeTable",
            "dynamodb:ListGlobalTables",
            "dynamodb:ListTables",
            "ec2:Describe*",
            "ec2:ReportInstanceStatus",
            "ecs:Describe*",
            "ecs:List*",
            "eks:Describe*",
            "eks:List*",
            "elasticache:Describe*",
            "elasticache:List*",
            "elasticfilesystem:Describe*",
            "elasticloadbalancing:Describe*",
            "lambda:Get*",
            "lambda:List*",
            "organizations:Describe*",
            "organizations:DescribeOrganization",
            "organizations:List*",
            "rds:Describe*",
            "redshift:Describe*",
            "route53:GetHostedZone",
            "route53:List*",
            "s3:GetAccountPublicAccessBlock",
            "s3:GetBucket*",
            "s3:GetBucketLocation",
            "s3:List*",
            "sdb:GetAttributes",
            "sns:GetEndpointAttributes",
            "sns:GetSubscriptionAttributes",
            "sns:List*",
            "sns:ListPlatformApplications",
            "sns:ListSubscriptions",
            "sns:ListSubscriptionsByTopic",
            "sns:ListTopics"
         ],
         "Resource":"*"
      }
   ]
}
      • Das folgende JSON-Beispiel ist ein Teilbeispiel mit Berechtigungen für Cloud-Discovery Und Cloud Provisioning and Governance. Es handelt sich nicht um eine vollständige Liste aller erforderlichen Berechtigungen.
        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsNeededForCPG",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "apigateway:GET",
                "application-autoscaling:Describe*",
                "autoscaling-plans:Describe*",
                "autoscaling:Describe*",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "cloudformation:Describe*",
                "cloudformation:DescribeStack*",
                "cloudwatch:Get*",
                "cloudwatch:List*",
                "config:ListDiscoveredResources"
                "dynamodb:Describe*",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTables",
                "ec2:Describe*",
                "ec2:ReportInstanceStatus",
                "ecs:Describe*",
                "ecs:List*",
                "eks:Describe*",
                "eks:List*",
                "elasticache:Describe*",
                "elasticache:List*",
                "elasticfilesystem:Describe*",
                "elasticloadbalancing:Describe*",
                "lambda:Get*",
                "lambda:List*",
                "organizations:Describe*",
                "organizations:DescribeOrganization",
                "organizations:List*",
                "rds:Describe*",
                "redshift:Describe*",
                "route53:GetHostedZone",
                "route53:List*",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucket*",
                "s3:GetBucketLocation",
                "s3:List*",
                "sdb:GetAttributes",
                "sns:GetEndpointAttributes",
                "sns:GetSubscriptionAttributes",
                "sns:List*",
                "sns:ListPlatformApplications",
                "sns:ListSubscriptions",
                "sns:ListSubscriptionsByTopic",
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "MinimalPermissionsNeededForEc2ProvisioningThroughCloudFormation",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateUploadBucket",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:GetTemplateSummary",
                "cloudformation:List*",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate"
                "ec2:*",
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}