Zugriffsmanagement für AWS Ressourcen

AWS Identity and Access Management (IAM) ist ein Webdienst, mit dem Sie den Zugriff auf AWS Ressourcen sicher kontrollieren können. Wenn ein Principal eine Anfrage einreicht AWS, überprüft der AWS Durchsetzungscode, ob der Principal authentifiziert (angemeldet) und autorisiert ist (über Berechtigungen verfügt). Sie verwalten den Zugriff, AWS indem Sie Richtlinien erstellen und diese an IAM Identitäten oder Ressourcen anhängen. AWS Richtlinien sind JSON Dokumente, in AWS denen, wenn sie an eine Identität oder Ressource angehängt werden, deren Berechtigungen definiert werden. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.

Detaillierte Informationen zum Rest des Authentifizierungs- und Autorisierungsprozesses finden Sie unter Wie IAM funktioniert.

Während der Autorisierung überprüft der AWS Erzwingungscode anhand von Werten aus dem Anforderungskontext, ob die Richtlinien übereinstimmen, und bestimmt, ob die Anforderung zugelassen oder abgelehnt werden soll.

AWS überprüft jede Richtlinie, die für den Kontext der Anfrage gilt. Wenn eine einzelne Richtlinie die Anfrage ablehnt, AWS lehnt sie die gesamte Anfrage ab und beendet die Auswertung der Richtlinien. Dieser Vorgang wird als explizite Zugriffsverweigerung bezeichnet. Da Anfragen standardmäßig abgelehnt werden, wird Ihre Anfrage nur IAM autorisiert, wenn jeder Teil Ihrer Anfrage gemäß den geltenden Richtlinien zulässig ist. Die Auswertungslogik für eine Anforderung in einem einzelnen Konto folgt diesen Regeln:

• Standardmäßig werden alle Anforderungen implizit verweigert. (Alternativ hat Root-Benutzer des AWS-Kontos standardmäßig vollen Zugriff.)

• Eine explizite Zugriffserlaubnis in einer identitätsbasierten oder ressourcenbasierten Richtlinie hat Vorrang vor diesem Standardwert.

• Wenn eine Berechtigungsgrenze, eine Organisations SCP - oder eine Sitzungsrichtlinie vorhanden ist, kann sie das Zulassen durch eine implizite Verweigerung außer Kraft setzen.

• Eine explizite Zugriffsverweigerung überschreibt jede Zugriffserlaubnis in einer Richtlinie.

AWS Genehmigt die Anfrage, nachdem Ihre Anfrage authentifiziert und autorisiert wurde. Wenn Sie eine Anforderung in einem anderen Konto initiieren müssen, muss eine Richtlinie in dem anderen Konto Ihnen den Zugriff auf die Ressource erlauben. Darüber hinaus muss die IAM Entität, die Sie für die Anfrage verwenden, über eine identitätsbasierte Richtlinie verfügen, die die Anfrage zulässt.

Zugriffsmanagementressourcen

Weitere Informationen über Berechtigungen und zum Erstellen von Richtlinien finden Sie in folgenden Ressourcen:

Die folgenden Einträge im AWS Sicherheits-Blog behandeln gängige Methoden zum Schreiben von Richtlinien für den Zugriff auf Amazon S3 S3-Buckets und -Objekte.

• IAMRichtlinien schreiben: So gewähren Sie Zugriff auf einen Amazon S3 S3-Bucket

• IAMRichtlinien schreiben: Zugriff auf benutzerspezifische Ordner in einem Amazon S3 S3-Bucket gewähren

• IAMRichtlinien und Bucket-Richtlinien und! ACLs Oh je! (Steuern des Zugriffs auf S3-Ressourcen)

• Eine Einführung in Berechtigungen auf RDS Ressourcenebene

• Entmystifizierung von Berechtigungen auf Ressourcenebene EC2