

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Identity-based Richtlinien und ressourcenbasierte Richtlinien
<a name="access_policies_identity-vs-resource"></a>

Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. Wenn Sie eine Berechtigungsrichtlinie erstellen, um den Zugriff auf eine Ressource einzuschränken, können Sie zwischen einer *identitätsbasierten Richtlinie* und einer *ressourcenbasierten Richtlinie* wählen.

**Identity-based Richtlinien** sind einem IAM-Benutzer, einer Gruppe oder einer Rolle zugeordnet. Mit diesen Richtlinien können Sie festlegen, welche Aktionen diese Identität durchführen darf (ihre Berechtigungen). Sie können die Richtlinie beispielsweise dem IAM-Benutzer John zuordnen und ihm erlauben, die Aktion Amazon EC2 `RunInstances` auszuführen. Die Richtlinie könnte weiterhin besagen, dass John Elemente aus einer Amazon DynamoDB-Tabelle mit dem Namen `MyCompany` abrufen darf. Sie können John auch erlauben, seine eigenen IAM-Sicherheitsanmeldedaten zu verwalten. Identity-based Richtlinien können [verwaltet oder integriert werden.](access_policies_managed-vs-inline.md)

**Resource-based Richtlinien** sind an eine Ressource angehängt. Sie können beispielsweise ressourcenbasierte Richtlinien an Amazon S3-Buckets, Amazon SQS SQS-Warteschlangen, VPC-Endpunkte, AWS Key Management Service Verschlüsselungsschlüssel, Amazon DynamoDB-Tabellen und -Streams sowie Ressourcen anhängen. AWS Sign-In Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS Services, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf die Ressource hat und welche Aktionen ausgeführt werden können. [Informationen darüber, ob Principals in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff haben, um Ihre Rollen zu übernehmen, finden Sie unter Was ist IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) . Resource-based Richtlinien sind nur online und werden nicht verwaltet.

**Anmerkung**  
*Resource-based*Richtlinien unterscheiden sich von Berechtigungen *auf Ressourcenebene.* Sie können ressourcenbasierte Richtlinien direkt an eine Ressource anhängen, wie in diesem Thema beschrieben. Resource-level Berechtigungen beziehen sich auf die Fähigkeit, [ARNs](reference_identifiers.md#identifiers-arns) zu verwenden, um einzelne Ressourcen in einer Richtlinie anzugeben. Resource-based Richtlinien werden nur von einigen AWS Diensten unterstützt. Eine Liste der Services, die ressourcenbasierte Richtlinien und Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter [AWS Services, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

Wie identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien innerhalb desselben Kontos zusammenwirken, erfahren Sie unter [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md).

Wie die Richtlinien kontenübergreifend zusammenwirken, erfahren Sie unter [Cross-account Logik der politischen Bewertung](reference_policies_evaluation-logic-cross-account.md).

Um ein besseres Verständnis dieser Konzepte zu erhalten, betrachten Sie die folgende Abbildung. Der Administrator des Kontos `123456789012` hat *identitätsbasierten Richtlinien* an die Benutzer `John`, `Carlos` und `Mary` angefügt. Einige der Aktionen in diesen Richtlinien können für bestimmte Ressourcen ausgeführt werden. Der Benutzer `John` kann beispielsweise einige Aktionen für `Resource X` ausführen. Dies ist eine *Berechtigung auf Ressourcenebene* in einer identitätsbasierten Richtlinie. Der Administrator hat außerdem *ressourcenbasierte Richtlinien* zu `Resource X``Resource Y`, und hinzugefügt. `Resource Z` Resource-based Mithilfe von Richtlinien können Sie angeben, wer auf diese Ressource zugreifen kann. Die ressourcenbasierte Richtlinie für `Resource X` gewährt beispielsweise den Benutzern `John` und `Mary` Lese- und Schreibzugriff auf die Ressource.

![Identity-based im Vergleich zu ressourcenbasierten Richtlinien.](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


Das Kontobeispiel `123456789012` erlaubt den folgenden Benutzern, die aufgeführten Aktionen durchzuführen:
+ **John** – John kann Auflistungs- und Leseaktionen für `Resource X` durchführen. Er erhält diese Berechtigung über die identitätsbasierte Richtlinie seines Benutzers sowie die ressourcenbasierte Richtlinien von `Resource X`.
+ **Carlos** – Carlos kann Auflistungs-, Lese- und Schreibaktionen für `Resource Y` ausführen, nicht jedoch auf `Resource Z` zugreifen. Die identitätsbasierte Richtlinie von Carlos ermöglicht ihm, Auflistungs- und Leseaktionen für `Resource Y` auszuführen. Die ressourcenbasierte Richtlinie von `Resource Y` gewährt ihm Schreibberechtigungen. Aber obwohl er über seine identitätsbasierte Richtlinie Zugriff auf `Resource Z` erhält, wird ihm dieser Zugriff von der ressourcenbasierten Richtlinie `Resource Z` verweigert. Eine explizite Zugriffsverweigerung `Deny` hat Vorrang vor einer Zugriffserlaubnis `Allow` und sein Zugriff auf `Resource Z` wird verweigert. Weitere Informationen finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md). 
+ **Mary** – Mary kann Auflistungs-, Lese- und Schreibvorgänge für `Resource X`, `Resource Y` und `Resource Z` ausführen. Ihre identitätsbasierte Richtlinie gewährt ihr weitere Aktionen für weitere Ressourcen als die ressourcenbasierten Richtlinien, aber keine davon enthält eine Zugriffsverweigerung.
+ **Zhang** – Zhang hat Vollzugriff auf `Resource Z`. Zhang verfügt über keine identitätsbasierten Richtlinien, erhält jedoch über die ressourcenbasierte Richtlinie von `Resource Z` Vollzugriff auf die Ressource. Zhang kann auch Auflistungs- und Leseaktionen für `Resource Y` ausführen.

Identity-based Richtlinien und ressourcenbasierte Richtlinien sind beide Berechtigungsrichtlinien und werden zusammen bewertet. Bei einer Anfrage, für die nur Berechtigungsrichtlinien gelten, werden AWS zunächst alle Richtlinien auf eine überprüft. `Deny` Ist eine Zugriffsverweigerung vorhanden, wird die Anfrage abgelehnt. Danach sucht AWS nach jedem `Allow`. Wenn die Aktion in der Anforderung von mindestens einer Richtlinienanweisung gewährt wird, wird die Anforderung gewährt. Dabei spielt es keine Rolle, ob `Allow` in der identitätsbasierten oder der ressourcenbasierten Richtlinie vorhanden ist.

**Wichtig**  
Diese Logik gilt nur, wenn die Anforderung von einem einzelnen AWS-Konto gesendet wird. Bei Anfragen, die von einem Konto an ein anderes gesendet werden, muss der Anforderer in `Account A` über eine identitätsbasierte Richtlinie verfügen, die es ihm ermöglicht, Anforderungen an die Ressource in `Account B` zu senden. Darüber hinaus muss die ressourcenbasierte Richtlinie in `Account B` dem Anforderer in `Account A` Zugriff auf die Ressource gewähren. In beiden Konten müssen Richtlinien vorhanden sein, die die Operation. Andernfalls schlägt die Anforderung fehl. Weitere Informationen zur Verwendung von ressourcenbasierten Richtlinien für kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Zugriff auf Ressourcen in IAM](access_policies-cross-account-resource-access.md).

Ein Benutzer mit speziellen Berechtigungen kann eine Ressource anfordern, an die ebenfalls eine Berechtigungsrichtlinie angefügt ist. In diesem Fall werden bei der Entscheidung, ob Zugriff auf die Ressource gewährt werden soll, beide AWS Berechtigungssätze ausgewertet. Weitere Informationen über das Auswerten von Richtlinien finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md). 

**Anmerkung**  
Amazon S3 unterstützt identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (als *Bucket-Richtlinien* bezeichnet). Darüber hinaus unterstützt Amazon S3 einen Berechtigungsmechanismus, der auch als *Access Control List (ACL)* bezeichnet wird, der von IAM-Richtlinien und -Berechtigungen unabhängig ist. Sie können Sie IAM-Richtlinien in Kombination mit Amazon S3-ACLs verwenden. Weitere Informationen finden Sie unter [Access Control](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) im *Benutzerhandbuch für Amazon Simple Storage Service*. 