Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Rollen
Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer ähnlich, weil es sich um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.
Sie können mithilfe von Rollen den Zugriff an Benutzer, Anwendungen oder Services delegieren, die normalerweise keinen Zugriff auf Ihre AWS-Ressourcen haben. Beispielsweise können Sie Benutzern in Ihrem AWS Zugriff auf Ressourcen gewähren, die sie üblicherweise nicht besitzen. Sie können Benutzern in einem AWS-Konto auch Zugriff auf Ressourcen in einem anderen Konto erteilen. Oder Sie möchten, dass eine mobile App AWS-Ressourcen verwenden kann, aber Sie möchten keine AWS-Schlüssel in der App integrieren (wo sie schwer zu aktualisieren sind und vom Benutzer möglicherweise extrahiert werden können). Manchmal möchten Sie den Benutzern AWS-Zugriff gewähren, für die bereits Identitäten außerhalb von AWS definiert sind, z. B. in Ihrem Unternehmensverzeichnis. Oder Sie können auch Drittanbietern Zugriff auf Ihr Konto gewähren, sodass sie eine Prüfung Ihrer Ressourcen ausführen können.
In solchen Fällen können Sie den Zugriff auf AWS-Ressourcen mithilfe einer IAM-Rolle delegieren. Dieser Abschnitt bietet eine Einführung in Rollen und in die verschiedenen Verwendungsmöglichkeiten, wann und wie Sie unter den Methoden auswählen können und wie Sie Rollen erstellen, verwalten, annehmen und löschen bzw. zu diesen wechseln können.
Anmerkung
Wenn Sie Ihr AWS-Konto zum ersten Mal erstellen, werden standardmäßig keine Rollen erstellt. Wenn Sie Ihrem Konto Services hinzufügen, können sie zur Unterstützung ihrer Anwendungsfälle serviceverknüpfte Rollen hinzufügen.
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einem AWS-Service verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem AWS-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Bevor Sie die serviceverknüpften Rollen löschen können, müssen Sie zunächst die zugehörigen Ressourcen löschen. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Themen
Erstellen eines IAM-Benutzers (anstatt eine Rolle)
Wir empfehlen, IAM-Benutzer nur für Anwendungsfälle zu verwenden, die von Verbundbenutzern nicht unterstützt werden. Einige der Anwendungsfälle umfassen Folgendes:
-
Workloads, die IAM-Rollen nicht verwenden können – Sie könnten einen Workload von einem Speicherort ausführen, der auf AWS zugreifen muss. In manchen Situationen können Sie keine IAM-Rollen verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für WordPress-Plugins. Verwenden Sie in diesen Situationen langfristige IAM-Benutzerzugriffsschlüssel für diesen Workload, um sich bei AWS zu authentifizieren.
-
AWS-Clients von Drittanbietern – Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, z. B. AWS-Clients von Drittanbietern oder Anbieter, die nicht in AWS gehostet werden, verwenden Sie langfristige IAM-Benutzerzugriffsschlüssel.
-
AWS CodeCommit-Zugriff – Wenn Sie CodeCommit zum Speichern Ihres Codes verwenden, können Sie einen IAM-Benutzer mit SSH-Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, damit CodeCommit sich bei Ihren Repositorys authentifiziert. Wir empfehlen Ihnen, dies zusätzlich zu einem Benutzer im IAM Identity Center für die normale Authentifizierung zu verwenden. Benutzer im IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder für Ihre Cloud-Anwendungen haben. Um Benutzern den Zugriff auf Ihre CodeCommit-Repositories zu ermöglichen, ohne IAM-Benutzer zu konfigurieren, können Sie das Dienstprogramm git-remote-codecommit konfigurieren. Weitere Informationen über IAM und CodeCommit finden Sie unter Anmeldeinformationen für CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS-Zugriffsschlüssel. Weitere Informationen zur Konfiguration des git-remote-codecommit-Dienstprogramms finden Sie unter Verbinden mit AWS CodeCommit-Repositories mit rotierenden Anmeldeinformationen im AWS CodeCommit-Benutzerhandbuch.
-
Zugriff auf Amazon Keyspaces (für Apache Cassandra) – In einer Situation, in der Sie Benutzer im IAM Identity Center nicht verwenden können, z. B. zu Testzwecken für die Cassandra-Kompatibilität, können Sie einen IAM-Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer im IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder für Ihre Cloud-Anwendungen haben. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen für die Verbindung zu Amazon Keyspaces mithilfe einer IAM-Rolle und des SigV4-Plugins im Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch.
-
Notfallzugriff – In einer Situation, in der Sie keinen Zugriff auf Ihren Identitätsanbieter haben und in Ihrem AWS-Konto Maßnahmen ergreifen müssen. Die Einrichtung von IAM-Benutzern für den Notfallzugriff kann Teil Ihres Resilienzplans sein. Wir empfehlen Ihnen, die Anmeldeinformationen für den Notfallbenutzer genau zu kontrollieren und sie mit Multi-Faktor-Authentifizierung (MFA) zu sichern.
Rollenbegriffe und -konzepte
Im Folgenden finden Sie einige grundlegende Begriffe, die Ihnen bei den ersten Schritten mit Rollen helfen.
- Rolle
-
Eine IAM-Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt. Es gibt gewisse Ähnlichkeiten zwischen einer IAM-Rolle und einem IAM-Benutzer. Sowohl Rollen als auch Benutzer sind AWS-Identitäten mit Berechtigungsrichtlinien, die bestimmen, was die Identität in AWS tun kann und was nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.
Rollen können von folgenden Personen übernommen werden:
-
Ein IAM-Benutzer im selben AWS-Konto oder einem anderen AWS-Konto
-
IAM-Rollen im selben Konto
-
Service-Prinzipale zur Verwendung mit AWS-Services und -Features wie:
-
Services, mit denen Sie Code in Rechenservices wie Amazon EC2 oder AWS Lambda ausführen können
-
Features, die in Ihrem Namen Aktionen an Ihren Ressourcen ausführen, wie z. B. die Amazon-S3-Objektreplikation
-
Services, die temporäre Anmeldeinformationen für Ihre Anwendungen bereitstellen, die außerhalb von AWS ausgeführt werden, z. B. IAM Roles Anywhere oder Amazon ECS Anywhere
-
-
Ein externer Benutzer, der von einem externen Identitätsanbieter (IdP) authentifiziert wurde, der mit SAML 2.0 oder OpenID Connect kompatibel ist
-
- AWS-Service – -Rolle
-
Eine Servicerolle ist eine IAM-Rolle, die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.
- AWS-Serviceverknüpfte Rolle
-
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einem AWS-Service verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem AWS-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Anmerkung
Wenn Sie einen Service bereits verwenden, wenn er mit der Unterstützung serviceverknüpfter Rollen beginnt, erhalten Sie möglicherweise eine E-Mail zur Benachrichtigung über die neue Rolle in Ihrem Konto. In diesem Fall erstellt der Service die serviceverknüpfte Rolle automatisch in Ihrem Konto. Sie müssen keine Aktion zum Unterstützen dieser Rolle durchführen und Sie sollten sie nicht manuell löschen. Weitere Informationen finden Sie unter In meinem AWS-Konto wird eine neue Rolle angezeigt.
Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle.
- Verketten von Rollen
-
Das Verketten von Rollen tritt auf, wenn Sie eine Rolle verwenden, um eine zweite Rolle über die AWS CLI oder API anzunehmen. Zum Beispiel:
RoleA
verfügt über die BerechtigungRoleB
anzunehmen. Sie können es User1 ermöglichen,RoleA
anzunehmen, indem Sie seine langfristigen Benutzeranmeldeinformationen im AssumeRole-API-Vorgang verwenden. Diese gibt die kurzfristigen Anmeldeinformationen vonRoleA
zurück. Für das Verketten von Rollen können Sie die kurzfristigen Anmeldeinformationen vonRoleA
verwenden, um User1 zu ermöglichenRoleB
anzunehmen.Wenn Sie eine Rolle übernehmen, können Sie ein Sitzungs-Tag übergeben und dieses als transitiv festlegen. Transitive Sitzungs-Tags werden an alle nachfolgenden Sitzungen in einer Rollenkette übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.
Das Verketten von Rollen beschränkt Ihre AWS CLI- oder AWS-API-Rollensitzung auf maximal eine Stunde. Wenn Sie die AssumeRole-API-Operation verwenden, um eine Rolle anzunehmen, können Sie mit dem
DurationSeconds
-Parameter eine Sitzungslänge für Ihre Rolle angeben. Sie können einen Parameterwert von bis zu 43200 Sekunden (12 Stunden) angeben, abhängig von der Einstellung maximale Sitzungsdauer für Ihre Rolle. Wenn Sie eine Rolle durch Verkettung übernehmen und für den ParameterDurationSeconds
einen Wert größer als eine Stunde angeben, schlägt die Operation jedoch fehl. - Delegierung
-
Die Erteilung von Berechtigungen für jemanden, um den Zugriff auf Ressourcen zu gewähren, die Sie kontrollieren. Die Delegierung beinhaltet die Einrichtung einer Vertrauensstellung zwischen zwei Konten. Das erste Konto ist Eigentümer der Ressource (das vertrauensvolle Konto). Das zweite Konto enthält die Benutzer, die auf die Ressource zugreifen müssen (das vertrauenswürdige Konto). Die vertrauenswürdigen und vertrauensvollen Konten können Folgende sein:
-
Das gleiche Konto.
-
Separate Konten, die beide von Ihrer Organisation kontrolliert werden.
-
Zwei Konten im Besitz von unterschiedlichen Organisationen.
Zum Delegieren einer Berechtigung für den Zugriff auf eine Ressource erstellen Sie eine IAM-Rolle im vertrauenden Konto, der zwei Richtlinien angefügt sind. Die Berechtigungsrichtlinie erteilt dem Benutzer der Rolle die erforderlichen Berechtigungen zum Ausführen der vorgesehenen Aufgaben auf der Ressource. Die Vertrauensrichtlinie gibt an, welche vertrauenswürdigen Kontomitglieder die Rolle übernehmen dürfen.
Wenn Sie eine Vertrauensrichtlinie erstellen, können Sie keinen Platzhalter (*) als Teil eines ARN im Prinzipalelement angeben. Die Vertrauensrichtlinie ist an die Rolle im vertrauenden Konto angefügt und eine Hälfte der Berechtigungen. Die andere Hälfte ist eine Berechtigungsrichtlinie, die dem Benutzer im vertrauenswürdigen Konto angefügt ist und zulässt, dass ein Benutzer zur Rolle wechselt bzw. diese übernimmt. Ein Benutzer, der eine Rolle übernimmt, gibt vorübergehend seine eigenen Berechtigungen auf und übernimmt stattdessen die Berechtigungen der Rolle. Wenn der Benutzer die Rolle beendet oder nicht mehr verwendet, werden die ursprünglichen Benutzerberechtigungen wiederhergestellt. Ein zusätzlicher Parameter namens external ID kann helfen, die sichere Verwendung von Rollen zwischen Konten sicherzustellen, die nicht von der gleichen Organisation kontrolliert werden.
-
- Vertrauensrichtlinie
-
Ein JSON-Richtliniendokument, in dem Sie die Auftraggeber definieren, denen Sie es anvertrauen, die Rolle zu übernehmen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie die einer Rolle in IAM angefügt ist. Zu den Auftraggeber, die Sie in der Vertrauensrichtlinie angeben können, gehören Benutzer, Rollen, Konten und Services.
- Rolle für kontoübergreifenden Zugriff
-
Eine Rolle gewährt Ressourcen in einem Konto Zugriff auf einen vertrauenswürdigen Auftraggeber in einem anderen Konto. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Einige AWS-Services ermöglichen Ihnen, eine Richtlinie direkt an eine Ressource anzufügen (anstatt eine Rolle als Proxy zu verwenden). Diese werden als ressourcenbasierte Richtlinien bezeichnen und Sie können sie verwenden, um Prinzipal in einem anderen AWS-Konto Zugriff auf die Ressource zu gewähren. Einige dieser Ressourcen umfassen Amazon Simple Storage Service (S3) Buckets, S3 Glacier Tresore, Amazon Simple Notification Service (SNS) -Themen und Amazon Simple Queue Service (SQS) Warteschlangen. Weitere Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.
Weitere Ressourcen
Mithilfe der folgenden Ressourcen erfahren Sie mehr über die IAM-Terminologie im Zusammenhang mit IAM-Rollen.
-
Prinzipale sind Entitäten in AWS, die Aktionen durchführen und auf Ressourcen zugreifen können. Ein Prinzipal kann ein Root-Benutzer des AWS-Kontos, ein IAM-Benutzer oder eine Rolle sein. Ein Prinzipal, der die Identität eines AWS-Services darstellt, ist ein Service-Prinzipal. Verwenden Sie das Prinzipal-Element in Vertrauensrichtlinien für Rollen, um die Prinzipale zu definieren, denen Sie die Übernahme der Rolle anvertrauen.
Weitere Informationen und Beispiele zu Prinzipale, denen Sie die Übernahme einer Rolle erlauben können, finden Sie unter AWS JSONpolitische Elemente: Principal.
-
Die Verbundidentität erstellt eine Vertrauensbeziehung zwischen einem externen Identitätsanbieter und AWS. Sie können Ihren vorhandenen Anbieter für OpenID Connect (OIDC) oder Security Assertion Markup Language (SAML) 2.0 verwenden, um zu verwalten, wer auf AWS-Ressourcen zugreifen kann. Wenn Sie OIDC und SAML 2.0 zum Konfigurieren einer Vertrauensbeziehung zwischen diesen externen Identitätsanbietern und AWS verwenden, wird der Benutzer einer IAM-Rolle zugewiesen. Der Benutzer erhält auch temporäre Anmeldeinformationen, die ihm den Zugriff auf Ihre AWS-Ressourcen ermöglichen.
Weitere Informationen zu Verbundbenutzern finden Sie unter Identitätsanbieter und Verbund.
-
Verbundbenutzer sind vorhandene Identitäten von AWS Directory Service, aus Ihrem Unternehmens-Benutzerverzeichnis oder von einem OIDC-Anbieter. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn Zugriff über einen Identitätsanbieter angefordert wird.
Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und -rollen.
-
Berechtigungsrichtlinien sind identitätsbasierte Richtlinien, die definieren, welche Aktionen und Ressourcen die Rolle verwenden kann. Das Dokument wird entsprechend den Regeln der IAM-Richtliniensprache geschrieben.
Weitere Informationen finden Sie unter IAM-JSON-Richtlinienreferenz.
-
Berechtigungsgrenzen sind ein erweitertes Feature, bei dem Sie Richtlinien verwenden, um die maximalen Berechtigungen einzuschränken, die eine identitätsbasierte Richtlinie einer Rolle gewähren kann. Sie können eine Berechtigungsgrenze nicht auf eine servicegebundene Rolle anwenden.
Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.