Ausfallsicherheit in AWS Identity and Access Management - AWS Identitäts- und Zugriffsverwaltung
Bewährte Methoden für IAM-Resilienz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ausfallsicherheit in AWS Identity and Access Management

Im Zentrum der globalen AWS Infrastruktur stehen die AWS-Regionen und Availability Zones (Verfügbarkeitszonen, AZs). AWS Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Weitere Informationen über AWS-Regionen und Availability Zones finden Sie unter AWS Globale Infrastruktur.

AWS Identity and Access Management (IAM) und AWS Security Token Service (AWS STS) sind autarke, regionsbasierte Services, die weltweit verfügbar sind.

IAM ist ein kritischer AWS-Service. Jeder Vorgang, der in AWS ausgeführt wird, muss von IAM authentifiziert und autorisiert werden. IAM überprüft jede Anforderung anhand der in IAM gespeicherten Identitäten und Richtlinien, um festzustellen, ob die Anforderung erlaubt oder abgelehnt wird. IAM wurde mit einer separaten Steuerebene und Datenebene erstellt, sodass sich der Service auch bei unerwarteten Ausfällen authentifiziert. IAM-Ressourcen, die in Berechtigungen verwendet werden, wie Rollen und Richtlinien, werden in der Steuerebene gespeichert. IAM-Kunden können die Konfiguration dieser Ressourcen mithilfe von IAM-Vorgängen wie DeletePolicy und AttachRolePolicy ändern. Diese Anforderungen an Konfigurationsänderungen gehen an die Steuerebene. Es gibt eine IAM-Steuerebene für alle kommerziellen AWS-Regionen, die sich in der Region USA Ost (Nord-Virginia) befindet. Das IAM-System propagiert dann Konfigurationsänderungen auf die IAM-Datenebenen in jeder aktivierten AWS-Region. Die IAM-Datenebene ist im Wesentlichen eine schreibgeschützte Replik der Konfigurationsdaten der IAM-Steuerebene. Jede AWS-Region hat eine völlig unabhängige Instance der IAM-Datenebene, die Authentifizierung und Autorisierung für Anforderungen aus derselben Region durchführt. In jeder Region ist die IAM-Datenebene über mindestens drei Availability Zones verteilt und verfügt über ausreichende Kapazität, um den Verlust einer Availability Zone ohne Beeinträchtigung für den Kunden zu tolerieren. Sowohl die IAM-Steuer- als auch die Datenebene wurden für Null geplante Ausfallzeit entwickelt, wobei alle Software-Updates und Skalierungsvorgänge auf eine Weise ausgeführt werden, die für Kunden unsichtbar ist.

AWS STS-Anforderungen gehen standardmäßig immer an einen einzigen globalen Endpunkt. Sie können einen regionalen AWS STS-Endpunkt verwenden, um die Latenz zu reduzieren oder zusätzliche Redundanz für Ihre Anwendungen bereitzustellen. Weitere Informationen hierzu finden Sie unter Verwaltung AWS STS in einem AWS-Region.

Bestimmte Ereignisse können die Kommunikation zwischen AWS-Regionen über das Netzwerk unterbrechen. Aber auch wenn Sie nicht mit dem globalen IAM-Endpunkt kommunizieren können, kann AWS STS weiterhin IAM-Prinzipale authentifizieren und IAM kann Ihre Anforderungen autorisieren. Die spezifischen Details eines Ereignisses, das die Kommunikation unterbricht, bestimmen Ihre Fähigkeit auf AWS-Services zuzugreifen. In den meisten Situationen können Sie weiterhin IAM-Anmeldeinformationen in Ihrer AWS-Umgebung verwenden. Die folgenden Bedingungen können für ein Ereignis gelten, das die Kommunikation unterbricht.

Zugriffsschlüsseln für IAM-Benutzer

Sie können sich auf unbestimmte Zeit in einer Region mit langfristigen Zugriffsschlüsseln für IAM-Benutzer authentifizieren. Wenn Sie die AWS Command Line Interface und APIs verwenden, können Sie AWS-Zugriffsschlüssel angeben, damit AWS Ihre Identität in programmgesteuerten Anforderungen verifizieren kann.

Wichtig

Als bewährte Methode empfehlen wir, dass sich Ihre Benutzer mit temporären Anmeldeinformationen, anstelle von langfristigen Zugriffsschlüsseln, anmelden.

Temporäre Anmeldeinformationen

Sie können mindestens 24 Stunden lang mit dem regionalen AWS STS-Service-Endpunkt neue temporäre Anmeldeinformationen anfordern. Die folgenden API-Operationen generieren temporäre Anmeldeinformationen.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

Prinzipale und Berechtigungen

  • Möglicherweise können Sie in IAM keine Prinzipale oder Berechtigungen hinzufügen, ändern oder entfernen.

  • Ihre Anmeldeinformationen spiegeln möglicherweise keine Änderungen an Ihren Berechtigungen wider, die Sie kürzlich in IAM angewendet haben. Weitere Informationen finden Sie unter Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

AWS Management Console

  • Möglicherweise können Sie einen regionalen Anmelde-Endpunkt verwenden, um sich in der AWS Management Console als IAM-Benutzer anzumelden. Regionale Anmelde-Endpunkte haben das folgende URL-Format.

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    Beispiel: https://111122223333.signin.aws.amazon.com/console?region=us-west-2

  • Möglicherweise können Sie die Universal 2nd Factor (U2F) Multi-Faktor-Authentifizierung (MFA) nicht abschließen.

Bewährte Methoden für IAM-Resilienz

AWS hat Resilienz in AWS-Regionen und den Availability Zones eingebaut. Wenn Sie die folgenden bewährten IAM-Methoden in den Systemen beachten, die mit Ihrer Umgebung interagieren, profitieren Sie von dieser Resilienz.

  1. Verwenden Sie einen regionalen AWS STS-Service-Endpunkt anstelle des standardmäßigen globalen Endpunkts.

  2. Überprüfen Sie die Konfiguration Ihrer Umgebung auf wichtige Ressourcen, die routinemäßig IAM-Ressourcen erstellen oder ändern, und bereiten Sie eine Fallback-Lösung vor, die vorhandene IAM-Ressourcen nutzt.