Gängige Szenarien für Rollen: Benutzer, Anwendungen und Services - AWS Identity and Access Management

Gängige Szenarien für Rollen: Benutzer, Anwendungen und Services

Wie bei den meisten AWS-Funktionen verfügen Sie in der Regel über zwei Möglichkeiten zur Nutzung einer Rolle: interaktiv in der IAM-Konsole oder programmgesteuert mit der AWS CLI, Tools für Windows PowerShell oder der API.

  • IAM-Benutzer in Ihrem Konto können mithilfe der IAM-Konsole eine Rolle wechseln, um vorübergehend die Berechtigungen der Rolle in der Konsole zu verwenden. Die Benutzer verlieren ihre ursprünglichen Berechtigungen und übernehmen die Berechtigungen der zugewiesenen Rolle. Wenn der Benutzer die Rolle verlässt, werden die ursprünglichen Berechtigungen wiederhergestellt.

  • Eine Anwendung oder ein Service von AWS (z. B. Amazon EC2) kann eine Rolle übernehmen, indem temporäre Sicherheitsanmeldeinformationen für eine Rolle angefordert werden, mit denen programmgesteuerte Anforderungen an AWS gestellt werden. Wenn Sie eine Rolle auf diese Weise verwenden, müssen Sie keine langfristigen Anmeldeinformationen für jede Entität teilen oder pflegen (indem Sie beispielsweise einen IAM-Benutzer erstellen), die Zugriff auf eine Ressource benötigt.

Anmerkung

In diesem Handbuch stellen die Ausdrücke zu einer Rolle wechseln und eine Rolle übernehmen Synonyme dar.

Die einfachste Möglichkeit zur Verwendung von Rollen besteht darin, Ihren IAM-Benutzern Berechtigungen zum Wechseln der Rollen zu gewähren, die Sie in Ihrem oder einem anderen AWS-Konto erstellen. Sie können Rollen auf einfache Weise mit der IAM-Konsole wechseln, um Berechtigungen zu verwenden, über die die Rollen normalerweise nicht verfügen sollen, und dann die Rolle verlassen, um diese Berechtigungen zu entziehen. So können Sie den versehentlichen Zugriff auf oder die Änderung von sensible Ressourcen vermeiden.

Für komplexere Verwendungen von Rollen, z. B. Gewähren des Zugriffs auf externe Anwendungen und Services, rufen Sie das AssumeRole-API auf. Dieser API-Aufruf gibt einen Satz temporärer Anmeldeinformationen zurück, die die Anwendung in nachfolgenden API-Aufrufen verwenden kann. Aktionen, die mit den temporären Anmeldeinformationen aufgerufen werden, verfügen nur über die von der zugewiesenen Rolle gewährten Berechtigungen. Eine Anwendung muss die Rolle nicht wie der Benutzer über die Konsole "verlassen". Die Anwendung verwendet einfach nicht mehr die temporären Anmeldeinformationen und führt die Aufrufe nunmehr mit den ursprünglichen Anmeldeinformationen durch.

Verbundene Benutzer melden sich an, indem sie Anmeldeinformationen von einem Identitätsanbieter (IdP) verwenden. AWS stellt dann temporäre Anmeldeinformationen für den vertrauenswürdigen IdP zur Verfügung, die an den Benutzer weitergegeben werden, um sie in nachfolgende AWS-Ressourcenanforderungen aufzunehmen. Diese Anmeldeinformationen enthalten die Berechtigungen für die zugewiesene Rolle.

Dieser Abschnitt enthält eine Übersicht über die folgenden Szenarien: