Identity and Access Management für Amazon EC2 - Amazon Elastic Compute Cloud

Identity and Access Management für Amazon EC2

Mit Ihren Sicherheitsanmeldeinformationen identifizieren Sie sich bei den Services in AWS und erhalten unbegrenzten Zugriff auf Ihre AWS-Ressourcen, wie die Amazon EC2-Ressourcen. Sie können anderen Benutzern, Services und Anwendungen mithilfe von Funktionen in Amazon EC2 und AWS Identity and Access Management (IAM) die Nutzung Ihrer Amazon EC2-Ressourcen erlauben, ohne Ihre Sicherheitsanmeldeinformationen teilen zu müssen. Kontrollieren Sie mit IAM, wie andere Benutzer die Ressourcen in Ihrem AWS-Konto nutzen, und verwalten Sie den Zugriff auf Ihre Amazon EC2-Instances mithilfe von Sicherheitsgruppen. Sie können die Verwendung der Amazon EC2-Ressourcen einschränken oder vollständig zulassen.

Netzwerkzugriff auf die Instance

Eine Sicherheitsgruppe agiert als Firewall, die den zulässigen Verkehr steuert, der in eine oder mehrere -Instances eingeht. Wenn Sie eine Instance starten, können Sie diese einer oder mehreren Sicherheitsgruppen zuweisen. Sie fügen jeder Sicherheitsgruppe Regeln hinzu, um den Datenverkehr für die Instance zu kontrollieren. Diese Regeln können Sie jederzeit ändern, wobei die neuen Regeln automatisch auf alle Instances angewendet werden, denen die entsprechende Sicherheitsgruppe zugeordnet ist.

Weitere Informationen finden Sie unter Autorisieren von eingehendem Datenverkehr für Linux-Instances.

Amazon EC2-Berechtigungsattribute

Ihre Organisation verfügt u. U. über mehrere AWS-Konten. Mit Amazon EC2 haben Sie die Möglichkeit, zusätzliche AWS-Konten anzugeben, die Ihre Amazon Machine Images (AMIs) und Amazon EBS-Snapshots verwenden können. Diese Berechtigungen funktionieren nur auf der AWS-Kontoebene. Innerhalb des angegebenen AWS-Kontos ist daher keine Beschränkung der Berechtigung für bestimmte Benutzer möglich. Alle Benutzer des AWS-Kontos haben Zugriff auf das AMI bzw. den Snapshot.

Jedes AMI besitzt ein LaunchPermission-Attribut, das steuert, welche AWS-Konten Zugriff auf das AMI haben. Weitere Informationen finden Sie unter Veröffentlichen eines AMI.

Die Amazon EBS-Snapshots enthalten das createVolumePermission-Attribut, um jeweils festzulegen, von welchen AWS-Konten der Snapshot genutzt werden darf. Weitere Informationen finden Sie unter Freigeben eines Amazon EBS-Snapshots.

IAM und Amazon EC2

Mit IAM haben Sie folgende Möglichkeiten:

  • Erstellen von Benutzern und Gruppen für Ihr AWS-Konto

  • Zuweisen eindeutiger Sicherheitsanmeldeinformationen zu jedem Benutzer in Ihrem AWS-Konto

  • Steuern der Berechtigungen der einzelnen Benutzer zum Durchführen von Aufgaben mit AWS-Ressourcen

  • Zulassen der Freigabe Ihrer AWS-Ressourcen für Benutzer in einem anderen AWS-Konto

  • Erstellen von Rollen für Ihr AWS-Konto und Festlegen der Benutzer oder Services, die sie übernehmen können

  • Verwenden bestehender Identitäten für Ihr Unternehmen, um Berechtigungen zum Ausführen von Aufgaben mit AWS-Ressourcen zu gewähren

Wenn Sie IAM zusammen mit Amazon EC2 verwenden, können Sie steuern, ob Benutzer im Unternehmen Aufgaben mit bestimmten Amazon EC2-API-Aktionen ausführen und spezifische AWS-Ressourcen verwenden können.

In diesem Thema erhalten Sie Antworten zu den folgenden Fragen:

  • Wie erstelle ich Gruppen und Benutzer in IAM?

  • Wie erstelle ich eine Richtlinie?

  • Welche IAM-Richtlinien benötige ich, um Aufgaben in Amazon EC2 durchzuführen?

  • Wie erteile ich Berechtigungen, um Aktionen in Amazon EC2 auszuführen?

  • Wie kann ich Berechtigungen gewähren, um Aktionen für bestimmte Ressourcen in Amazon EC2 auszuführen?

Erstellen von IAM-Gruppen und -Benutzern

So erstellen Sie eine IAM-Gruppe

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Groups und Create New Group aus.

  3. Geben Sie in das Feld Group Name (Gruppenname) einen Namen für die Gruppe ein. Wählen Sie dann Next Step (Nächster Schritt) aus.

  4. Wählen Sie auf der Seite Attach Policy eine AWS-verwaltete Richtlinie und Next Step aus. Für Amazon EC2 kann beispielsweise eine der folgenden AWS-verwalteten Richtlinien Ihre Anforderungen erfüllen:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  5. Wählen Sie Create Group.

Ihre neue Gruppe wird unter Group Name aufgeführt.

So erstellen Sie einen IAM-Benutzer, fügen ihn Ihrer Gruppe hinzu und definieren ein Passwort für den Benutzer

  1. Klicken Sie im Navigationsbereich auf Users und Add user.

  2. Geben Sie in das Feld User name (Benutzername) einen Benutzernamen ein.

  3. Aktivieren Sie für Access type die Optionen Programmatic access und AWS Management Console access.

  4. Wählen Sie für Console password eine der nachstehenden Optionen aus:

    • Autogenerated password. Jeder Benutzer erhält ein zufallsgeneriertes Password, das die aktuelle Passwortrichtlinie (falls vorhanden) erfüllt. Sie können die Passwörter auf der Seite Final ansehen oder herunterladen.

    • Custom password. Jedem Benutzer wird das von Ihnen in das Feld eingegebene Passwort zugewiesen.

  5. Wählen Sie Next: Permissions aus.

  6. Markieren Sie auf der Seite Set permissions die Option Add user to group. Aktivieren Sie das Kontrollkästchen neben der Gruppe der zuvor erstellten Richtlinie und klicken Sie auf Next: Review.

  7. Wählen Sie Create user aus.

  8. Um die Zugriffsschlüssel der Benutzer (Zugriffsschlüssel-IDs und geheime Zugriffsschlüssel) angezeigt zu bekommen, klicken Sie neben dem jeweiligen Passwort und dem geheimen Zugriffsschlüssel auf Show. Zum Speichern der Zugriffsschlüssel wählen Sie Download .csv aus. Speichern Sie die Datei an einem sicheren Speicherort.

    Wichtig

    Sie können den geheimen Zugriffsschlüssel nicht mehr abrufen, wenn Sie diesen Schritt abgeschlossen haben; wenn Sie Ihn verlieren, müssen Sie einen neuen erstellen.

  9. Klicken Sie auf Close.

  10. Weisen Sie den einzelnen Benutzern die entsprechenden Anmeldeinformationen (Zugriffsschlüssel und Passwort) zu. Dadurch können die Benutzer die Services auf Basis der Berechtigungen verwenden, die Sie für die IAM-Gruppe festgelegt haben.

Weitere Informationen zu IAM finden Sie unter: