IAM-Identitäten (Benutzer, Gruppen und Rollen) - AWS Identity and Access Management

Sofern wir eine Übersetzung der englischsprachigen Version des Handbuchs bereitstellen, gilt im Fall von Widersprüchen die englischsprachige Version des Handbuchs. Bei der Übersetzung handelt es sich um eine maschinelle Übersetzung.

IAM-Identitäten (Benutzer, Gruppen und Rollen)

Haben Sie Probleme, sich bei AWS anzumelden? Stellen Sie sicher, dass Sie sich auf der richtigen AWS-Anmeldeseite für Ihren Benutzertyp befinden. Wenn Sie die Stammbenutzer des AWS-Kontos (Kontoeigentümer) können Sie sich mit den Anmeldeinformationen, die Sie beim Erstellen der eingerichtet haben, bei AWS anmelden. AWS -Konto. Wenn Sie ein IAM -Benutzer können Sie von Ihrem Kontoadministrator die Anmeldeinformationen erhalten, mit denen Sie sich bei AWS anmelden können. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite, da das Formular vom AWS-Dokumentationsteam und nicht vom AWS-Support empfangen wird. Stattdessen können Sie auf der Kontaktieren Sie uns Seite, erweitern Ich kann mich nicht bei meinem AWS-Konto anmelden und wählen Sie Support für AWS-Konto-Anmeldeinformationen anfordern.

Die Schaltfläche Stammbenutzer des AWS-Kontos oder eine IAM Administrator für das Konto können IAM Identitäten. und eine IAM -Identität bietet Zugriff auf eine AWS -Konto. Eine Gruppe ist eine Sammlung von IAM Benutzer verwaltet als Einheit. und eine IAM Identität einen Benutzer darstellt und authentifiziert und dann autorisiert werden kann, Aktionen in AWS. Jeder IAM Identität kann mit einem oder mehreren Richtlinien. Richtlinien bestimmen, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Gruppe ausführen kann, für die AWS und unter welchen Bedingungen.

AWS Stammbenutzer des Kontos

Wenn Sie ein Amazon Web Services (AWS)-Konto erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcen im Konto verfügt. Diese Identität wird als Root-Benutzer des AWS-Kontos bezeichnet. Um auf es zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden.

Wichtig

Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen bei der bewährten Methode, den Root-Benutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen. Anschließend legen Sie die Anmeldedaten für den Root-Benutzer an einem sicheren Ort ab und verwenden ihn nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. Weitere Informationen zu den Aufgaben, die Sie nur als Root-Benutzer ausführen können, finden Sie unter AWS-Aufgaben, für die ein Stammbenutzer erforderlich ist.

IAM Benutzer

Ein IAM-Benutzer ist eine von Ihnen in AWS erstellte Entität. Der IAM-Benutzer stellt die Person oder den Service dar, der den IAM-Benutzer verwendet, um mit AWS zu interagieren. Eine Hauptanwendung für IAM-Benutzer besteht darin, den Benutzern die Anmeldung bei der AWS Management Console für interaktive Aufgaben zu ermöglichen und programmgesteuerte Anforderungen an AWS-Services mithilfe der API oder Befehlszeilenschnittstelle (CLI) zu stellen. Ein Benutzer in AWS besteht aus einem Namen und einem Passwort zur Anmeldung bei der AWS Management Console sowie bis zu zwei Zugriffsschlüsseln, die mit der API oder Befehlszeilenschnittstelle verwendet werden können. Wenn Sie einen IAM-Benutzer erstellen, erteilen Sie ihm Berechtigungen, indem Sie ihn zu einem Mitglied einer Gruppe mit den entsprechenden Berechtigungsrichtlinien (empfohlen) machen oder die Richtlinien direkt mit dem Benutzer verknüpfen. Sie können auch die Berechtigungen eines vorhandenen IAM-Benutzers klonen, wodurch der neue Benutzer automatisch zu einem Mitglied derselben Gruppen wird und dieselben Richtlinien angefügt werden.

IAM Gruppen

Eine IAM-Gruppe ist eine Sammlung von IAM-Benutzern. Sie können mithilfe von Gruppen Berechtigungen für eine Auswahl von Benutzern angeben, was die Verwaltung der Berechtigungen dieser Benutzer erleichtert. Sie können beispielsweise eine Gruppe mit dem Namen Admins erstellen und dieser Gruppe die für Administratoren üblichen Berechtigungen zuweisen. Jeder Benutzer in der Gruppe verfügt automatisch über die Berechtigungen, die dieser Gruppe erteilt wurden. Einem neu zu Ihrer Organisation hinzugekommenen Benutzer, der Administratorprivilegien haben soll, können Sie diese zuweisen, indem der Benutzer in die entsprechende Gruppe aufgenommen wird. Gleichermaßen können Sie bei einem Wechsel eines Benutzers innerhalb Ihrer Organisation diesen aus der bisherigen Gruppe entfernen und ihn zur neuen entsprechenden Gruppe hinzufügen, anstatt die Berechtigungen dieses Benutzers zu bearbeiten. Beachten Sie, dass eine Gruppe keine Identität darstellt, da sie nicht als ein Principal in einer ressourcenbasierten oder Vertrauensrichtlinie identifiziert werden kann. Sie dient nur zum Zuordnen von Richtlinien an mehrere Benutzer.

IAM Rollen

Eine IAM-Rolle ist einem Benutzer insofern sehr ähnlich, als dass sie eine Identität mit Berechtigungsrichtlinien ist, die festlegen, welche Aktionen die Identitäten in AWS ausführen können und welche nicht. Einer Rolle sind jedoch keine Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Eine Rolle ist nicht einer einzigen Person zugeordnet, sondern kann von allen angenommen werden, die diese Rolle benötigen. Ein IAM-Benutzer kann eine Rolle annehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen. Eine Rolle kann einem verbundenen Benutzer zugewiesen werden, der sich mithilfe eines externen Identitätsanbieters anstatt über IAM anmeldet. AWS verwendet die vom Identitätsanbieter übermittelten Angaben, um zu bestimmen, welche Rolle dem verbundenen Benutzer zugeordnet ist.

Temporäre Anmeldeinformationen in IAM

Temporäre Anmeldeinformationen werden hauptsächlich mit IAM-Rollen verwendet, es gibt aber auch andere Verwendungsmöglichkeiten. Sie können temporäre Anmeldeinformationen mit eingeschränkteren Berechtigungen als Ihr standardmäßiger IAM-Benutzer anfordern. Dadurch wird verhindert, dass Sie versehentlich Aufgaben ausführen, die den eingeschränkteren Berechtigungen zufolge nicht zulässig sind. Ein Vorteil der temporären Anmeldeinformationen besteht darin, dass sie automatisch nach einem bestimmten Zeitraum ablaufen. Sie kontrollieren die Gültigkeitsdauer der Anmeldeinformationen.

Wann eine IAM Benutzer (anstelle einer Rolle)

Da ein IAM-Benutzer nur eine Identität mit bestimmten Berechtigungen in Ihrem Konto ist, müssen Sie nicht unbedingt jedes Mal, wenn Sie Anmeldeinformationen benötigen, einen neuen IAM-Benutzer erstellen. In vielen Fällen können Sie die Vorteile von IAM-Rollen und deren temporären Sicherheitsanmeldeinformationen anstelle der langfristigen Anmeldeinformationen eines IAM-Benutzers nutzen.

  • Sie haben eine AWS und Sie sind die einzige Person, die in Ihrem Konto arbeitet.

    Sie können mit AWS arbeiten, indem Sie mit Ihren Root-Benutzer-Anmeldeinformationen auf Ihr AWS-Konto zugreifen, wir raten jedoch davon ab. Wir empfehlen stattdessen ausdrücklich, dass Sie einen IAM-Benutzer für sich selbst erstellen und die Anmeldeinformationen dieses Benutzers verwenden, um sich bei AWS anzumelden. Weitere Informationen finden Sie im Bewährte Methoden für die Sicherheit in IAM.

  • Andere Personen in Ihrer Gruppe müssen in Ihrem AWS und Ihre -Gruppe verwendet keinen anderen Identitätsmechanismus.

    Erstellen Sie IAM-Benutzer für die Personen, die Zugriff auf Ihre AWS-Ressourcen benötigen, weisen Sie jedem Benutzer entsprechende Berechtigungen zu und erstellen Sie für jeden Benutzer eigene Anmeldeinformationen. Wir raten unbedingt davon ab, Anmeldeinformationen mit mehreren Benutzern zu teilen.

Wann eine IAM Rolle (anstelle eines Benutzers)

Erstellen Sie in folgenden Fällen eine IAM-Rolle:

Sie erstellen eine Anwendung, die auf einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance ausgeführt wird, und diese Anwendung sendet Anforderungen an AWS.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und die Benutzer-Anmeldeinformationen an die Anwendung zu übermitteln oder die Anmeldeinformationen in die Anwendung einzubetten. Erstellen Sie stattdessen eine IAM-Rolle, die Sie an die EC2-Instance anfügen, um den auf der Instance ausgeführten Anwendungen temporäre Sicherheitsanmeldeinformationen bereitzustellen. Wenn eine Anwendung diese Anmeldeinformationen in AWS verwendet, kann sie alle Operationen ausführen, die durch die Richtlinien zugelassen werden, die der Rolle angefügt sind. Details dazu finden Sie unter Verwenden eines IAM -Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf ausgeführt werden Amazon EC2 -Instances.

Sie erstellen eine Anwendung, die auf einem Mobiltelefon ausgeführt wird und Anforderungen an AWS sendet.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und den Zugriffsschlüssel des Benutzers mit der Anwendung zu verteilen. Verwenden Sie stattdessen einen Identitätsanbieter wie Login with Amazon, Amazon Cognito, Facebook oder Google, um Benutzer zu authentifizieren und die Benutzer einer IAM-Rolle zuzuordnen. Die Anwendung kann die Rolle verwenden, um temporäre Sicherheitsanmeldeinformationen zu erhalten, die über die Richtlinien verfügen, die den Berechtigungen entsprechend zur Rolle angefügt sind. Weitere Informationen finden Sie im Folgenden:

Benutzer in Ihrem Unternehmen sind in Ihrem Unternehmensnetzwerk authentifiziert und möchten in der Lage sein, AWS zu verwenden, ohne sich erneut anmelden zu müssen — das heißt, Sie möchten, dass Sie mit AWS verbundene Benutzer sind.

Wir raten davon ab, IAM-Benutzer zu erstellen. Konfigurieren Sie stattdessen eine Verbund-Beziehung zwischen dem Identitätssystem Ihres Unternehmens und AWS. Es gibt zwei Methoden dafür: