IAM-Rollen - AWS Identity and Access Management

IAM-Rollen

Eine IAMRolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer insofern sehr ähnlich, weil es sich hierbei um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Sie können mithilfe von Rollen den Zugriff an Benutzer, Anwendungen oder Services delegieren, die normalerweise keinen Zugriff auf Ihre AWS-Ressourcen haben. Beispielsweise können Sie Benutzern in Ihrem AWS-Konto Zugriff auf Ressourcen gewähren, die sie üblicherweise nicht besitzen. Sie können Benutzern in einem AWS-Konto auch Zugriff auf Ressourcen in einem anderen Konto erteilen. Oder Sie möchten, dass eine mobile App AWS-Ressourcen verwenden kann, aber Sie möchten keine AWS-Schlüssel in der App integrieren (wo sie schwer zu wechseln sind und vom Benutzer möglicherweise extrahiert werden können). Manchmal möchten Sie den Benutzern AWS-Zugriff gewähren, für die bereits Identitäten außerhalb von AWS definiert sind, z. B. in Ihrem Unternehmensverzeichnis. Oder Sie können auch Drittanbietern Zugriff auf Ihr Konto gewähren, sodass sie eine Prüfung Ihrer Ressourcen ausführen können.

In solchen Fällen können Sie den Zugriff auf AWS-Ressourcen mithilfe einer IAM-Rolle delegieren. Dieser Abschnitt bietet eine Einführung in Rollen und in die verschiedenen Verwendungsmöglichkeiten, wann und wie Sie unter den Methoden auswählen können und wie Sie Rollen erstellen, verwalten, annehmen und löschen bzw. zu diesen wechseln können.