Gewähren des Zugriffs auf AWS-Konten im Besitz von Drittanbietern - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewähren des Zugriffs auf AWS-Konten im Besitz von Drittanbietern

Wenn externe Benutzer Zugriff auf die AWS-Ressourcen Ihrer Organisation benötigen, können Sie Rollen verwenden, um den Zugriff an diese Benutzer zu delegieren. Zum Beispiel könnte ein externer Benutzer einen Service zur Verwaltung Ihrer AWS-Ressourcen anbieten. Mithilfe von IAM-Rollen können Sie diesen externen Benutzern Zugriff auf Ihre AWS-Ressourcen gewähren, ohne Ihre AWS-Sicherheits-Anmeldeinformationen bekanntgeben zu müssen. Stattdessen können Drittanbieter auf Ihre AWS-Ressourcen zugreifen, indem Sie eine von Ihnen in Ihrem AWS-Konto erstellte Rolle übernehmen. Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?.

Externe Benutzer müssen Ihnen die folgenden Informationen bereitstellen, damit Sie eine von ihnen übernehmbare Rolle erstellen können:

  • Die AWS-Konto-ID des Drittanbieters. Sie legen diese AWS-Konto-ID als Prinzipal fest, wenn Sie die Vertrauensrichtlinie für die Rolle definieren.

  • Eine externe ID zur eindeutigen Zuordnung der Rolle. Die externe ID kann eine beliebige geheime Kennung sein, die Ihnen und dem Drittanbieter bekannt ist. Sie können beispielsweise eine Rechnungs-ID zwischen Ihnen und dem externen Benutzer verwenden. Benutzen Sie aber keine leicht zu erratenden Zeichenfolgen wie den Namen oder die Telefonnummer des externen Benutzers. Sie müssen diese ID festlegen, wenn Sie die Vertrauensrichtlinie für die Rolle definieren. Der externe Benutzer muss diese ID angeben, wenn er die Rolle übernimmt. Weitere Informationen über die externe ID finden Sie unter Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren.

  • Die Berechtigungen, die der externe Benutzer benötigt, um mit Ihren AWS-Ressourcen arbeiten zu können. Sie müssen diese Berechtigungen festlegen, wenn Sie die Berechtigungsrichtlinie für die Rolle definieren. Diese Richtlinie bestimmt, welche Aktionen der externe Benutzer ausführen darf und auf welche Ressourcen er Zugriff hat.

Nachdem Sie die Rolle erstellt haben, müssen Sie dem externen Benutzer den Amazon Resource Name (ARN) der Rolle mitteilen. Dieser benötigt den ARN der Rolle, um sie übernehmen zu können.

Wichtig

Wenn Sie einem externen Benutzer Zugriff auf Ihre AWS-Ressourcen erteilen, kann dieser auf alle in der Richtlinie angegebenen Ressourcen zugreifen. Die vom externen Benutzer genutzten Ressourcen werden Ihnen in Rechnung gestellt. Stellen Sie sicher, dass Sie die Nutzung Ihrer Ressourcen sinnvoll einschränken.