Unternehmensanwendungsfälle für IAM - AWS Identitäts- und Zugriffsverwaltung
Ersteinrichtung von Example CorpAnwendungsfall für IAM mit Amazon EC2Anwendungsfall für IAM mit Amazon S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unternehmensanwendungsfälle für IAM

Ein einfacher geschäftlicher Anwendungsfall für IAM kann Ihnen helfen, grundlegende Möglichkeiten zur Implementierung des Services zu verstehen, damit Sie den AWS-Zugriff Ihrer Benutzer kontrollieren können. Der Anwendungsfall wird allgemein beschrieben, ohne auf die Mechanik einzugehen, wie die IAM-API zum Erreichen der gewünschten Ergebnisse eingesetzt wird.

Dieser Anwendungsfall prüft zwei typische Möglichkeiten, wie ein fiktives Unternehmen mit dem Namen Example Corp IAM verwenden kann. Das erste Szenario betrachtet Amazon Elastic Compute Cloud (Amazon EC2). Die zweite betrachtet Amazon Simple Storage Service (Amazon S3).

Weitere Informationen zur Verwendung von IAM mit anderen Services von AWS finden Sie unter AWS Dienste, die mit IAM funktionieren.

Ersteinrichtung von Example Corp

Nikki Wolf und Mateo Jackson sind die Gründer von Example Corp. Nach der Gründung des Unternehmens erstellen sie ein AWS-Konto und richten AWS IAM Identity Center (IAM Identity Center) ein, um Administratorkonten zur Verwendung mit ihren AWS-Ressourcen zu erstellen. Wenn Sie den Kontozugriff für den Administratorbenutzer einrichten, erstellt IAM Identity Center eine entsprechende IAM-Rolle. Diese Rolle, die von IAM Identity Center gesteuert wird, wird im entsprechenden AWS-Konto erstellt, und die im AdministratorAccess (AdministratorZugriff)-Berechtigungssatz angegebenen Richtlinien werden an die Rolle angehängt.

Da sie jetzt Administratorkonten haben, müssen Nikki und Mateo ihren Root-Benutzer nicht mehr verwenden, um auf ihr AWS-Konto zuzugreifen. Sie planen, den Root-Benutzer nur für Aufgaben zu verwenden, die nur der Root-Benutzer ausführen kann. Nachdem sie die bewährten Sicherheitsmethoden durchgesehen haben, konfigurieren sie die Multi-Faktor-Authentifizierung (MFA) für ihre Root-Benutzeranmeldeinformationen und entscheiden, wie sie ihre Root-Benutzeranmeldeinformationen schützen.

Während ihr Unternehmen wächst, stellen sie Mitarbeiter ein, die als Entwickler, Administratoren, Tester, Manager und Systemadministratoren arbeiten. Nikki ist für den Betrieb verantwortlich, während Mateo die Engineering-Teams leitet. Sie richten einen Active-Directory-Domänenserver ein, um die Mitarbeiterkonten und den Zugriff auf interne Unternehmensressourcen zu verwalten.

Um ihren Mitarbeitern Zugriff auf AWS-Ressourcen zu gewähren, verwenden sie IAM Identity Center, um das Active Directory ihres Unternehmens mit ihrem AWS-Konto zu verbinden.

Da sie Active Directory mit IAM Identity Center verbunden haben, werden die Benutzer, Gruppen und Gruppenmitgliedschaften synchronisiert und definiert. Sie müssen den verschiedenen Gruppen Berechtigungssätze und Rollen zuweisen, um den Benutzern den richtigen Zugriff auf AWS-Ressourcen zu gewähren. Sie verwenden AWS Von verwaltete Richtlinien für Auftragsfunktionen in der AWS Management Console, um diese Berechtigungssätze zu erstellen:

  • Administrator

  • Fakturierung

  • Entwickler

  • Netzwerkadministratoren

  • Datenbankadministratoren

  • Systemadministratoren

  • Support-Benutzer

Anschließend weisen sie diese Berechtigungssätze den Rollen zu, die ihren Active Directory-Gruppen zugewiesen sind.

Eine schrittweise Anleitung zur Erstkonfiguration von IAM Identity Center finden Sie im AWS IAM Identity Center-Benutzerhandbuch unter Erste Schritte. Weitere Informationen zur Bereitstellung des IAM Identity Center-Benutzerzugriffs finden Sie im AWS IAM Identity Center-Benutzerhandbuch unter Single Sign-On (SSO)-Zugriff auf AWS-Konten.

Anwendungsfall für IAM mit Amazon EC2

Ein Unternehmen wie Example Corp verwendet IAM in der Regel für die Interaktion mit Diensten wie Amazon EC2. Um diesen Teil des Anwendungsfalls zu verstehen, müssen Sie ein grundlegendes Verständnis von Amazon EC2 haben. Weitere Informationen zum Zugriff auf Ihr Schlüsselpaar finden Sie unter Amazon EC2-Schlüsselpaare im Amazon EC2-Leitfaden für Linux-Instances.

Amazon EC2 Berechtigungen für die Benutzergruppen

Für eine „Perimeter“-Kontrolle fügt Nikki eine Richtlinie an die AllUsers-Gruppe an. Diese Richtlinie verweigert jede AWS-Anfrage eines Benutzers, wenn sich die ursprüngliche IP-Adresse außerhalb des Unternehmensnetzwerks von Example Corp befindet.

Bei Example Corp erfordern verschiedene Gruppen unterschiedliche Berechtigungen:

  • System Administrators – Benötigen eine Berechtigung zum Erstellen und Verwalten von AMIs, Instances, Snapshots, Volumes, Sicherheitsgruppen und so weiter. Nikki fügt die von verwaltete Richtlinie AmazonEC2FullAccess AWS an die SysAdmins-Gruppe an, die Mitgliedern der Gruppe die Berechtigung zur Nutzung aller Amazon-EC2-Aktionen erteilt.

  • Developers – Müssen nur mit Instances arbeiten können. Daher erstellt Mateo eine Richtlinie und fügt sie an die Gruppe „Developers“ an, mit der Entwickler DescribeInstances, RunInstances, StopInstances, StartInstances und TerminateInstances aufrufen können.

    Anmerkung

    Amazon EC2 verwendet SSH-Schlüssel, Windows-Passwörter und Sicherheitsgruppen, um zu kontrollieren, wer Zugriff auf das Betriebssystem bestimmter Amazon EC2-Instances hat. Es gibt keine Methode im IAM-System, um Zugriff auf das Betriebssystem einer bestimmten Instance zu erlauben oder zu verweigern.

  • Support-Benutzer – Sollten nicht in der Lage sein, Amazon EC2-Instances durchzuführen, mit Ausnahme des Auflistens der aktuell verfügbaren Amazon EC2-Ressourcen. Daher erstellt Nikki eine Richtlinie für die Benutzergruppe „Support-Benutzer“, die nur den Aufruf der Amazon-EC2-API-Vorgänge „Beschreiben“ erlaubt.

Beispiele für diese Richtlinien finden Sie unter Beispiele für identitätsbasierte Richtlinien in IAM und Verwenden des AWS Identity and Access Managements im Amazon EC2 User Guide for Linux Instances.

Änderung der Auftragsfunktion des Benutzers

An einem gewissen Punkt wechselt einer der Entwickler, Paulo Santos, die Auftragsfunktion und wird zum Manager. Als Manager wird Paulo Teil der Support-Benutzergruppe, sodass er Support-Anfragen für seine Entwickler eröffnen kann. Mateo verschiebt Paulo aus der Gruppe „Entwickler“ in die Gruppe „Support-Benutzer“. Infolge dieses Schritts ist seine Fähigkeit, mit Amazon EC2 Instances zu interagieren, beschränkt. Er kann keine Instances in Betrieb nehmen oder starten. Er kann auch keine vorhandenen Instances anhalten oder beenden, selbst wenn er der Benutzer war, der die Instance in Betrieb genommen oder gestartet hat. Er kann nur die Instances auflisten, die Example Corp-Benutzer gestartet haben.

Anwendungsfall für IAM mit Amazon S3

Unternehmen wie Example Corp würden in der Regel den IAM mit Amazon S3 verwenden. John hat einen Amazon S3-Bucket mit den Namen aws-s3-bucket für das Unternehmen erstellt.

Erstellen von anderen Benutzern und Gruppen

Als Mitarbeiter müssen Zhang Wei und Mary Major jeweils in der Lage sein, ihre eigenen Daten im Unternehmens-Buckets zu erstellen. Sie müssen auch freigegebene Daten, an denen alle Entwickler arbeiten, lesen und schreiben können. Um dies zu ermöglichen, ordnet Mateo die Daten logisch in aws-s3-bucket, wobei er ein Amazon-S3-Schlüsselpräfixschema wie in der folgenden Abbildung gezeigt verwendet.

/aws-s3-bucket
    /home
        /zhang
        /major
    /share
        /developers
        /managers

Mateo unterteilt den /aws-s3-bucket in eine Reihe von Stammverzeichnissen für jeden Mitarbeiter sowie in einen gemeinsam genutzten Bereich für Gruppen aus Entwicklern und Managern.

Mateo erstellt nun eine Reihe von Richtlinien, um Berechtigungen für Benutzer und Gruppen zuzuweisen:

  • Startverzeichniszugriff für Zhang – Mateo fügt eine Richtlinie an Wei an, mit der er beliebige Objekte mit dem Amazon S3-Schlüsselpräfix /aws-s3-bucket/home/zhang/ lesen, schreiben und auflisten kann

  • Startverzeichniszugriff für Major – Mateo fügt eine Richtlinie an Mary an, mit der sie beliebige Objekte mit dem Amazon S3-Schlüsselpräfix /aws-s3-bucket/home/major/ lesen, schreiben und auflisten kann

  • Freigegebene Verzeichniszugriff für die Entwicklergruppe – Mateo fügt eine Richtlinie an die Gruppe an, mit der Entwickler beliebige Objekte in lesen, schreiben und auflisten können. /aws-s3-bucket/share/developers/

  • Freigegebener Verzeichniszugriff für die Managergruppe – Mateo fügt eine Richtlinie an die Gruppe an, mit die Manager Objekte in /aws-s3-bucket/share/managers/ lesen, schreiben und auflisten können.

Anmerkung

Amazon S3 erteilt einem Benutzer, der einen Bucket oder ein Objekt erstellt, nicht automatisch die Berechtigung zum Ausführen anderer Aktionen auf diesem Bucket oder Objekt. Aus diesem Grund müssen Sie in Ihren IAM-Richtlinien die Benutzer zur Verwendung der Amazon S3-Ressourcen, die sie erstellen, explizit berechtigen.

Beispiele für diese Richtlinien finden Sie unter Zugriffskontrolle im Benutzerhandbuch für Amazon Simple Storage Service. Weitere Informationen über das Auswerten von Richtlinien zur Laufzeit finden Sie unter Auswertungslogik für Richtlinien.

Änderung der Auftragsfunktion des Benutzers

An einem gewissen Punkt wechselt einer der Entwickler, Zhang Wei, die Funktion und wird zum Manager. Wir gehen davon aus, dass er keinen Zugriff mehr auf die Dokumente im share/developers-Verzeichnis benötigt. Mateo, als Admin, verschiebt Wei in die Managers-Benutzergruppe und nimmt ihn aus der Developers-Benutzergruppe heraus. Mit dieser einfachen Neuzuweisung erhält Wei automatisch alle Berechtigungen der Managers-Benutzergruppe, kann aber nicht mehr auf Daten im share/developers-Verzeichnis zugreifen.

Integration in ein Drittunternehmen

Organisationen arbeiten häufig mit Partnerunternehmen, Beratern und Auftragnehmern. Example Corp hat eine Partner namens Widget Company und eine Mitarbeiterin dieses Unternehmens mit dem Namen Shirley Rodriguez muss Daten in einen Bucket platzieren, damit Example Corp sie nutzen kann. Nikki erstellt eine Gruppe mit dem Namen WidgetCo und einen Benutzer mit dem Namen Shirley und fügt Shirley zur Benutzergruppe „WidgetCo“ hinzu. Nikki erstellt auch einen speziellen Bucket namens aws-s3-bucket1, den Shirley verwenden kann.

Nikki aktualisiert vorhandene Richtlinien oder fügt neue hinzu, um den Partner Widget Company zu berücksichtigen. Nikki kann beispielsweise eine neue Richtlinie erstellen, mit der Mitglieder der Gruppe WidgetCo keine Aktionen abgesehen vom Schreiben vornehmen können. Diese Richtlinie wäre nur erforderlich, wenn es eine breite Richtlinie gibt, die allen Benutzern Zugriff auf eine große Menge von Amazon S3-Aktionen bietet.