Identity and Access Management (IAM) in CloudFront - Amazon CloudFront

Identity and Access Management (IAM) in CloudFront

Um eine Operation über CloudFront-Ressourcen wie das Erstellen einer Web-Verteilung oder einer Invalidierung eines Objekts durchzuführen, erfordert AWS Identity and Access Management (IAM), dass Sie sich als genehmigter AWS-Benutzer authentifizieren. Wenn Sie die CloudFront-Konsole verwenden, authentifizieren Sie Ihre Identität durch Angabe Ihres AWS-Benutzernamens und des zugehörigen Passworts. Wenn Sie programmgesteuert auf CloudFront zugreifen, wird Ihre Identität von der Anwendung unter Verwendung von Zugriffsschlüsseln oder durch Signieren von Anforderungen authentifiziert.

Nachdem Sie Ihre Identität authentifiziert haben, steuert IAM Ihren Zugriff auf AWS, indem die Software überprüft, ob Sie über die Berechtigungen zur Durchführung von Operationen und für den Zugriff auf Ressourcen verfügen. Wenn Sie ein Kontoadministrator sind, können Sie mithilfe von IAM den Zugriff anderer Benutzer auf die mit Ihrem Konto verknüpften Ressourcen steuern.

In diesem Abschnitt wird erläutert, wie Sie AWS Identity and Access Management (IAM) und CloudFront verwenden, um Ihre Ressourcen zu schützen.

Topics

Authentifizierung

Sie können mit einer der folgenden Identitäten auf AWS zugreifen:

  • AWS-Konto-Root-Benutzer

    Wenn Sie ein AWS-Konto neu erstellen, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat. Diese Identität wird als AWS-Konto-Stammbenutzer bezeichnet. Für den Zugriff auf den Stammbenutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern in der Allgemeinen AWS-Referenz.

  • IAM-Benutzer und -Gruppen

    Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmten Berechtigungen für eine einzelne Person oder eine einzelne Anwendung. Ein IAM-Benutzer kann langfristige Anmeldeinformationen wie Benutzername und Passwort oder einen Satz von Zugriffsschlüsseln haben. Informationen zum Generieren von Zugriffsschlüsseln finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch. Achten Sie beim Generieren von Zugriffsschlüsseln für einen IAM-Benutzer darauf, dass Sie das Schlüsselpaar anzeigen und sicher speichern. Sie können den geheimen Zugriffsschlüssel später nicht wiederherstellen. Stattdessen müssen Sie ein neues Zugriffsschlüsselpaar generieren.

    Eine IAM-Gruppe ist eine Identität, die eine Sammlung von IAM-Benutzern angibt. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise einer Gruppe mit dem Namen IAMAdmins Berechtigungen zum Verwalten von IAM-Ressourcen erteilen.

    Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie unter Erstellen eines IAM-Benutzers (anstatt einer Rolle) im IAM-Benutzerhandbuch.

  • IAM role (IAM-Rolle)

    Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer ähnlich, weil es sich um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

    • Verbundbenutzerzugriff – Anstatt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Identitäten aus AWS Directory Service, aus dem Benutzerverzeichnis Ihres Unternehmens, einem webbasierten Identitätsanbieters oder dem IAM-Identity-Center-Identitätsspeicher verwenden. Diese Identitäten werden als Verbundidentitäten bezeichnet. Um Verbundidentitäten Berechtigungen zuzuweisen, können Sie eine Rolle erstellen und Berechtigungen für die Rolle definieren. Wenn eine externe Identität authentifiziert wird, wird die Identität der Rolle zugeordnet und erhält die von ihr definierten Berechtigungen. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. IAM Identity Center korreliert den Berechtigungssatz mit einer Rolle in IAM, um zu steuern, worauf Ihre Identitäten zugreifen können, nachdem sie sich authentifiziert haben. Weitere Informationen zum Identitätsverbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter im IAM-Benutzerhandbuch. Weitere Informationen zu IAM Identity Center finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.

    • Zugriff auf AWS-Service – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Konto für Sie auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-BenutzerAWS-Service im IAM-Benutzerhandbuch.

    • Anwendungen in Amazon EC2 – Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Zugriffskontrolle

Um CloudFront-Ressourcen zu erstellen, zu aktualisieren, zu löschen oder zu aktualisieren, benötigten Sie die Berechtigungen zum Ausführen der Operation sowie die Berechtigungen für den Zugriff auf die entsprechenden Ressourcen. Darüber hinaus benötigen Sie gültige Zugriffsschlüssel, um die Operation programmgesteuert ausführen zu können.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für CloudFront beschrieben.