IAMRollen - AWS Identitäts- und Zugriffsverwaltung
Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt werdenRollenbegriffe und -konzepteWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRollen

Eine IAM Rolle ist eine IAM Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM Rolle ähnelt einem IAM Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und welche nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Sie können Rollen verwenden, um den Zugriff an Benutzer, Anwendungen oder Dienste zu delegieren, die normalerweise keinen Zugriff auf Ihre AWS Ressourcen haben. Möglicherweise möchten Sie Benutzern in Ihrem AWS Konto Zugriff auf Ressourcen gewähren, über die sie normalerweise nicht verfügen, oder Benutzern in einem Konto AWS-Konto Zugriff auf Ressourcen in einem anderen Konto gewähren. Oder Sie möchten einer mobilen App die Nutzung von AWS Ressourcen ermöglichen, aber keine AWS Schlüssel in die App einbetten (wo sie schwierig zu aktualisieren sein können und Benutzer sie möglicherweise extrahieren können). Manchmal möchten Sie Benutzern AWS Zugriff gewähren, für die bereits Identitäten außerhalb von definiert wurden AWS, z. B. in Ihrem Unternehmensverzeichnis. Oder Sie können auch Drittanbietern Zugriff auf Ihr Konto gewähren, sodass sie eine Prüfung Ihrer Ressourcen ausführen können.

In diesen Szenarien können Sie den Zugriff auf AWS Ressourcen mithilfe einer IAM Rolle delegieren. Dieser Abschnitt bietet eine Einführung in Rollen und in die verschiedenen Verwendungsmöglichkeiten, wann und wie Sie unter den Methoden auswählen können und wie Sie Rollen erstellen, verwalten, annehmen und löschen bzw. zu diesen wechseln können.

Anmerkung

Wenn Sie Ihre zum ersten Mal erstellen AWS-Konto, werden standardmäßig keine Rollen erstellt. Wenn Sie Ihrem Konto Services hinzufügen, können sie zur Unterstützung ihrer Anwendungsfälle serviceverknüpfte Rollen hinzufügen.

Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer AWS-Service verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Bevor Sie die serviceverknüpften Rollen löschen können, müssen Sie zunächst die zugehörigen Ressourcen löschen. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Themen

Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt werden

Wir empfehlen, IAM Benutzer nur für Anwendungsfälle zu verwenden, die von Verbundbenutzern nicht unterstützt werden. Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, die keine IAM Rollen verwenden können — Möglicherweise führen Sie einen Workload von einem Ort aus, auf den zugegriffen werden muss. AWS In einigen Situationen können Sie IAM Rollen nicht verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für WordPress Plugins. Verwenden Sie in diesen Situationen langfristige IAM Benutzerzugriffsschlüssel für diesen Workload, um sich zu authentifizieren. AWS

  • AWS Drittanbieter-Clients — Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, wie z. B. AWS Drittanbieter-Clients oder Anbieter, die nicht auf gehostet werden AWS, verwenden Sie langfristige IAM Benutzerzugriffsschlüssel.

  • AWS CodeCommit Zugriff — Wenn Sie Ihren Code CodeCommit zum Speichern verwenden, können Sie einen IAM Benutzer mit SSH Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, um sich bei Ihren Repositorys CodeCommit zu authentifizieren. Wir empfehlen, dass Sie dies zusätzlich zur Verwendung eines Benutzers in IAM Identity Center für die normale Authentifizierung tun. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen benötigen. Um Benutzern Zugriff auf Ihre CodeCommit Repositorys zu gewähren, ohne IAM Benutzer zu konfigurieren, können Sie das git-remote-codecommit Hilfsprogramm konfigurieren. Weitere Informationen zu IAM und finden Sie CodeCommit unterIAMAnmeldeinformationen für CodeCommit: Git-Anmeldeinformationen, SSH Schlüssel und AWS Zugriffsschlüssel. Weitere Informationen zur Konfiguration des git-remote-codecommit Dienstprogramms finden Sie unter Herstellen einer Verbindung zu AWS CodeCommit Repositorys mit wechselnden Anmeldeinformationen im AWS CodeCommit Benutzerhandbuch.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) — In Situationen, in denen Sie keine Benutzer in IAM Identity Center verwenden können, z. B. zu Testzwecken für Cassandra-Kompatibilität, können Sie einen IAM Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre oder Ihre AWS-Konten Cloud-Anwendungen benötigen. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwenden temporärer Anmeldeinformationen für die Verbindung mit Amazon Keyspaces mithilfe einer IAM Rolle und des SigV4-Plug-ins im Amazon Keyspaces (für Apache Cassandra) Developer Guide.

  • Notfallzugriff – In einer Situation, in der Sie keinen Zugriff auf Ihren Identitätsanbieter haben und in Ihrem AWS-Konto Maßnahmen ergreifen müssen. Die Einrichtung von IAM Benutzern mit Notfallzugriff kann Teil Ihres Resilienzplans sein. Wir empfehlen, die Benutzeranmeldedaten für Notfälle streng zu kontrollieren und mithilfe einer Multi-Faktor-Authentifizierung () MFA zu sichern.

Rollenbegriffe und -konzepte

Im Folgenden finden Sie einige grundlegende Begriffe, die Ihnen bei den ersten Schritten mit Rollen helfen.

Rolle

Eine IAM Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM Rolle weist einige Ähnlichkeiten mit einem IAM Benutzer auf. Sowohl Rollen als auch Benutzer sind AWS -Identitäten mit Berechtigungsrichtlinien, die bestimmen, was die Identität in AWS tun kann und was nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Rollen können wie folgt übernommen werden:

  • Ein IAM Benutzer in derselben AWS-Konto oder einer anderen AWS-Konto

  • IAMRollen im selben Konto

  • Dienstprinzipale zur Verwendung mit AWS Diensten und Funktionen wie:

    • Dienste, mit denen Sie Code auf Rechendiensten ausführen können, wie Amazon EC2 oder AWS Lambda

    • Funktionen, die in Ihrem Namen Aktionen an Ihren Ressourcen ausführen, z. B. die Amazon S3 S3-Objektreplikation

    • Dienste, die temporäre Sicherheitsanmeldedaten für Ihre Anwendungen bereitstellen, die außerhalb von ausgeführt werden AWS, wie z. B. IAM Roles Anywhere oder Amazon ECS Anywhere

  • Ein externer Benutzer, der von einem externen Identity Provider (IdP) -Dienst authentifiziert wurde, der mit SAML 2.0 oder OpenID Connect kompatibel ist

AWS Servicerolle

Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine.

AWS Mit einem Dienst verknüpfte Rolle

Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Anmerkung

Wenn Sie einen Service bereits verwenden, wenn er mit der Unterstützung serviceverknüpfter Rollen beginnt, erhalten Sie möglicherweise eine E-Mail zur Benachrichtigung über die neue Rolle in Ihrem Konto. In diesem Fall erstellt der Service die serviceverknüpfte Rolle automatisch in Ihrem Konto. Sie müssen keine Aktion zum Unterstützen dieser Rolle durchführen und Sie sollten sie nicht manuell löschen. Weitere Informationen finden Sie unter In meinem AWS -Konto wird eine neue Rolle angezeigt.

Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle.

Verketten von Rollen

Von Rollenverkettung spricht man, wenn Sie eine Rolle verwenden, um über das AWS CLI Oder eine zweite Rolle anzunehmen. API Zum Beispiel: RoleA verfügt über die Berechtigung RoleB anzunehmen. Sie können Benutzer1 die Übernahme ermöglichen, RoleA indem Sie bei dem Vorgang dessen langfristige Benutzeranmeldedaten verwenden. AssumeRole API Diese gibt die kurzfristigen Anmeldeinformationen von RoleA zurück. Für das Verketten von Rollen können Sie die kurzfristigen Anmeldeinformationen von RoleA verwenden, um User1 zu ermöglichen RoleB anzunehmen.

Wenn Sie eine Rolle übernehmen, können Sie ein Sitzungs-Tag übergeben und dieses als transitiv festlegen. Transitive Sitzungs-Tags werden an alle nachfolgenden Sitzungen in einer Rollenkette übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Sitzungs-Tags übergeben AWS STS.

Durch die Rollenverkettung wird Ihre Sitzung AWS CLI oder Ihre AWS API Rollensitzung auf maximal eine Stunde begrenzt. Wenn Sie die AssumeRoleAPIOperation verwenden, um eine Rolle anzunehmen, können Sie die Dauer Ihrer Rollensitzung mit dem DurationSeconds Parameter angeben. Sie können einen Parameterwert von bis zu 43200 Sekunden (12 Stunden) angeben, abhängig von der Einstellung maximale Sitzungsdauer für Ihre Rolle. Wenn Sie eine Rolle durch Verkettung übernehmen und für den Parameter DurationSeconds einen Wert größer als eine Stunde angeben, schlägt die Operation jedoch fehl.

Delegierung

Die Erteilung von Berechtigungen für jemanden, um den Zugriff auf Ressourcen zu gewähren, die Sie kontrollieren. Die Delegierung beinhaltet die Einrichtung einer Vertrauensstellung zwischen zwei Konten. Das erste Konto ist Eigentümer der Ressource (das vertrauensvolle Konto). Das zweite Konto enthält die Benutzer, die auf die Ressource zugreifen müssen (das vertrauenswürdige Konto). Die vertrauenswürdigen und vertrauensvollen Konten können Folgende sein:

  • Das gleiche Konto.

  • Separate Konten, die beide von Ihrer Organisation kontrolliert werden.

  • Zwei Konten im Besitz von unterschiedlichen Organisationen.

Um die Zugriffsberechtigung für eine Ressource zu delegieren, erstellen Sie eine IAM Rolle in dem vertrauenswürdigen Konto, dem zwei Richtlinien zugeordnet sind. Die Berechtigungsrichtlinie erteilt dem Benutzer der Rolle die erforderlichen Berechtigungen zum Ausführen der vorgesehenen Aufgaben auf der Ressource. Die Vertrauensrichtlinie gibt an, welche vertrauenswürdigen Kontomitglieder die Rolle übernehmen dürfen.

Wenn Sie eine Vertrauensrichtlinie erstellen, können Sie keinen Platzhalter (*) als Teil und ARN im Hauptelement angeben. Die Vertrauensrichtlinie ist an die Rolle im vertrauenden Konto angefügt und eine Hälfte der Berechtigungen. Die andere Hälfte ist eine Berechtigungsrichtlinie, die dem Benutzer im vertrauenswürdigen Konto angefügt ist und zulässt, dass ein Benutzer zur Rolle wechselt bzw. diese übernimmt. Ein Benutzer, der eine Rolle übernimmt, gibt vorübergehend seine eigenen Berechtigungen auf und übernimmt stattdessen die Berechtigungen der Rolle. Wenn der Benutzer die Rolle beendet oder nicht mehr verwendet, werden die ursprünglichen Benutzerberechtigungen wiederhergestellt. Ein zusätzlicher Parameter namens external ID kann helfen, die sichere Verwendung von Rollen zwischen Konten sicherzustellen, die nicht von der gleichen Organisation kontrolliert werden.

Vertrauensrichtlinie

Ein JSONRichtliniendokument, in dem Sie die Prinzipale definieren, denen Sie vertrauen, dass sie die Rolle übernehmen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie, die einer Rolle in zugeordnet ist. IAM Zu den Auftraggeber, die Sie in der Vertrauensrichtlinie angeben können, gehören Benutzer, Rollen, Konten und Services.

Rolle für kontoübergreifenden Zugriff

Eine Rolle gewährt Ressourcen in einem Konto Zugriff auf einen vertrauenswürdigen Auftraggeber in einem anderen Konto. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen AWS Diensten können Sie jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). Diese werden als ressourcenbasierte Richtlinien bezeichnet und Sie können sie verwenden, um anderen Benutzern AWS-Konto Zugriff auf die Ressource zu gewähren. Einige dieser Ressourcen umfassen Amazon Simple Storage Service (S3) -Buckets, S3 Glacier-Tresore, Amazon Simple Notification Service (SNS) -Themen und Amazon Simple Queue Service (SQS) -Warteschlangen. Weitere Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen helfen, mehr über die IAM Terminologie im Zusammenhang mit Rollen zu erfahren. IAM

  • Principals sind Entitäten AWS , die Aktionen ausführen und auf Ressourcen zugreifen können. Ein Principal kann ein Root-Benutzer des AWS-Kontos, ein IAM Benutzer oder eine Rolle sein. Ein Principal, der die Identität eines AWS Dienstes darstellt, ist ein Dienstprinzipal. Verwenden Sie das Principal-Element in Rollenvertrauensrichtlinien, um die Prinzipale zu definieren, denen Sie vertrauen, dass sie die Rolle übernehmen.

    Weitere Informationen und Beispiele für Prinzipale, denen Sie erlauben können, eine Rolle zu übernehmen, finden Sie unter. AWS JSONpolitische Elemente: Principal

  • Ein Identitätsverbund schafft eine Vertrauensbeziehung zwischen einem externen Identitätsanbieter und AWS. Sie können Ihren vorhandenen OpenID Connect (OIDC) - oder Security Assertion Markup Language (SAML) 2.0-Anbieter verwenden, um zu verwalten, wer auf Ressourcen zugreifen kann. AWS Wenn Sie OIDC und SAML 2.0 verwenden, um eine Vertrauensstellung zwischen diesen externen Identitätsanbietern und zu konfigurieren AWS , wird dem Benutzer eine Rolle zugewiesen. IAM Der Benutzer erhält auch temporäre Anmeldeinformationen, die ihm den Zugriff auf Ihre AWS -Ressourcen ermöglichen.

    Weitere Informationen zu Verbundbenutzern finden Sie unter Identitätsanbieter und Verbund.

  • Verbundbenutzer sind vorhandene Identitäten aus AWS Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem OIDC Anbieter. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird.

    Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und -rollen.

  • Berechtigungsrichtlinien sind identitätsbasierte Richtlinien, die definieren, welche Aktionen und Ressourcen die Rolle verwenden kann. Das Dokument wurde gemäß den Regeln der IAM Richtliniensprache verfasst.

    Weitere Informationen finden Sie unter IAM-JSON-Richtlinienreferenz.

  • Bei Berechtigungsgrenzen handelt es sich um eine erweiterte Funktion, bei der Sie mithilfe von Richtlinien die maximalen Berechtigungen einschränken, die eine identitätsbasierte Richtlinie einer Rolle gewähren kann. Sie können eine Berechtigungsgrenze nicht auf eine servicegebundene Rolle anwenden.

    Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.