Rollenbegriffe und -konzepte - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollenbegriffe und -konzepte

Im Folgenden finden Sie einige grundlegende Begriffe, die Ihnen bei den ersten Schritten mit Rollen helfen.

Rolle

Eine IAM-Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt. Es gibt gewisse Ähnlichkeiten zwischen einer IAM-Rolle und einem IAM-Benutzer. Sowohl Rollen als auch Benutzer sind AWS -Identitäten mit Berechtigungsrichtlinien, die bestimmen, was die Identität in AWS tun kann und was nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Rollen können von folgenden Personen und Services verwendet werden:

  • Ein IAM-Benutzer in derselben AWS-Konto wie die Rolle

  • Ein IAM-Benutzer in einer anderen AWS-Konto als der Rolle

  • Ein von angebotener Webservice AWS wie Amazon Elastic Compute Cloud (Amazon EC2)

  • Ein externer Benutzer, der von einem externen Identitätsanbieter(IdP)-Service authentifiziert wurde, der mit SAML 2.0 oder OpenID Connect kompatibel ist, oder ein kundenspezifischer Identity Broker.

AWS Servicerolle

Eine Servicerolle ist eine IAM-Rolle, die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

AWS -Servicerolle für eine EC2-Instance

Eine besondere Art von Servicerolle, die eine Anwendung, die auf einer Amazon EC2-Instance ausgeführt wird, übernehmen kann, um Aktionen in Ihrem Konto auszuführen. Diese Rolle ist der EC2-Instance zugewiesen, wenn sie gestartet wird. Anwendungen, die auf dieser Instance ausgeführt werden, können temporäre Anmeldeinformationen abrufen und Aktionen ausführen, die die Rolle erlaubt. Weitere Informationen über die Verwendung einer Servicerolle für eine EC2-Instance finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

AWS serviceverknüpfte Rolle

Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einem verknüpft ist AWS-Service. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem angezeigt AWS-Konto und gehören dem Service. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.

Anmerkung

Wenn Sie einen Service bereits verwenden, wenn er mit der Unterstützung serviceverknüpfter Rollen beginnt, erhalten Sie möglicherweise eine E-Mail zur Benachrichtigung über die neue Rolle in Ihrem Konto. In diesem Fall erstellt der Service die serviceverknüpfte Rolle automatisch in Ihrem Konto. Sie müssen keine Aktion zum Unterstützen dieser Rolle durchführen und Sie sollten sie nicht manuell löschen. Weitere Informationen finden Sie unter In meinem AWS-Konto wird eine neue Rolle angezeigt.

Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen.

Verketten von Rollen

Die Rollenverkettung liegt vor, wenn Sie eine Rolle verwenden, um eine zweite Rolle über die - AWS CLI oder -API zu übernehmen. Zum Beispiel: RoleA verfügt über die Berechtigung RoleB anzunehmen. Sie können User1 aktivieren, RoleA indem Sie seine langfristigen Benutzeranmeldeinformationen in der AssumeRole API-Operation verwenden. Diese gibt die kurzfristigen Anmeldeinformationen von RoleA zurück. Für das Verketten von Rollen können Sie die kurzfristigen Anmeldeinformationen von RoleA verwenden, um User1 zu ermöglichen RoleB anzunehmen.

Wenn Sie eine Rolle übernehmen, können Sie ein Sitzungs-Tag übergeben und dieses als transitiv festlegen. Transitive Sitzungs-Tags werden an alle nachfolgenden Sitzungen in einer Rollenkette übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Die Rollenverkettung begrenzt Ihre - AWS CLI oder AWS -API-Rollensitzung auf maximal eine Stunde. Wenn Sie die AssumeRole -API-Operation verwenden, um eine Rolle zu übernehmen, können Sie die Dauer Ihrer Rollensitzung mit dem DurationSeconds Parameter angeben. Sie können einen Parameterwert von bis zu 43200 Sekunden (12 Stunden) angeben, abhängig von der Einstellung maximale Sitzungsdauer für Ihre Rolle. Wenn Sie eine Rolle durch Verkettung übernehmen und für den Parameter DurationSeconds einen Wert größer als eine Stunde angeben, schlägt die Operation jedoch fehl.

AWS behandelt nicht die Verwendung von Rollen, um Anwendungen, die auf EC2-Instances ausgeführt werden, Berechtigungen als Rollenverkettung zu erteilen.

Delegierung

Die Erteilung von Berechtigungen für jemanden, um den Zugriff auf Ressourcen zu gewähren, die Sie kontrollieren. Die Delegierung beinhaltet die Einrichtung einer Vertrauensstellung zwischen zwei Konten. Das erste Konto ist Eigentümer der Ressource (das vertrauensvolle Konto). Das zweite Konto enthält die Benutzer, die auf die Ressource zugreifen müssen (das vertrauenswürdige Konto). Die vertrauenswürdigen und vertrauensvollen Konten können Folgende sein:

  • Das gleiche Konto.

  • Separate Konten, die beide von Ihrer Organisation kontrolliert werden.

  • Zwei Konten im Besitz von unterschiedlichen Organisationen.

Zum Delegieren einer Berechtigung für den Zugriff auf eine Ressource erstellen Sie eine IAM-Rolle im vertrauenden Konto, der zwei Richtlinien angefügt sind. Die Berechtigungsrichtlinie erteilt dem Benutzer der Rolle die erforderlichen Berechtigungen zum Ausführen der vorgesehenen Aufgaben auf der Ressource. Die Vertrauensrichtlinie gibt an, welche vertrauenswürdigen Kontomitglieder die Rolle übernehmen dürfen.

Wenn Sie eine Vertrauensrichtlinie erstellen, können Sie keinen Platzhalter (*) als Teil eines ARN im Prinzipalelement angeben. Die Vertrauensrichtlinie ist an die Rolle im vertrauenden Konto angefügt und eine Hälfte der Berechtigungen. Die andere Hälfte ist eine Berechtigungsrichtlinie, die dem Benutzer im vertrauenswürdigen Konto angefügt ist und zulässt, dass ein Benutzer zur Rolle wechselt bzw. diese übernimmt. Ein Benutzer, der eine Rolle übernimmt, gibt vorübergehend seine eigenen Berechtigungen auf und übernimmt stattdessen die Berechtigungen der Rolle. Wenn der Benutzer die Rolle beendet oder nicht mehr verwendet, werden die ursprünglichen Benutzerberechtigungen wiederhergestellt. Ein zusätzlicher Parameter namens external ID kann helfen, die sichere Verwendung von Rollen zwischen Konten sicherzustellen, die nicht von der gleichen Organisation kontrolliert werden.

Verbund

Die Erstellung einer Vertrauensstellung zwischen einem externen Identitätsanbieter und AWS. Benutzer können sich bei einem OIDC-Anbieter anmelden, z. B. Login with Amazon ,Facebook ,Google oder einem beliebigen IdP, der mit OpenID Connect (OIDC) kompatibel ist. Benutzer können sich auch bei einem Unternehmens-Identitätssystem anmelden, das kompatibel mit Security Assertion Markup Language (SAML) 2.0, wie Microsoft Active Directory Federation Services, ist. Wenn Sie OIDC und SAML 2.0 verwenden, um eine Vertrauensstellung zwischen diesen externen Identitätsanbietern und zu konfigurieren AWS, wird der Benutzer einer IAM-Rolle zugewiesen. Der Benutzer erhält auch temporäre Anmeldeinformationen, mit denen er auf Ihre - AWS Ressourcen zugreifen kann.

Verbundbenutzer

Anstatt einen IAM-Benutzer zu erstellen, können Sie vorhandene Identitäten von AWS Directory Service, Ihrem Unternehmensbenutzerverzeichnis oder einem OIDC-Anbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und -rollen.

Vertrauensrichtlinie

Ein JSON-Richtliniendokument, in dem Sie die Auftraggeber definieren, denen Sie es anvertrauen, die Rolle zu übernehmen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie die einer Rolle in IAM angefügt ist. Zu den Auftraggeber, die Sie in der Vertrauensrichtlinie angeben können, gehören Benutzer, Rollen, Konten und Services.

Berechtigungsrichtlinie

Ein Berechtigungsdokument im JSON-Format, in dem Sie definieren, welche Aktionen und Ressourcen die Rolle verwenden kann. Das Dokument wird entsprechend den Regeln der IAM-Richtliniensprache geschrieben.

Berechtigungsgrenze

Ein erweitertes Feature, in der Sie Richtlinien verwenden, um die maximalen Berechtigungen einzuschränken, die eine identitätsbasierte Richtlinie einer Rolle gewähren kann. Sie können eine Berechtigungsgrenze nicht auf eine servicegebundene Rolle anwenden. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.

Auftraggeber

Eine Entität in AWS , die Aktionen ausführen und auf Ressourcen zugreifen kann. Ein Prinzipal kann ein Root-Benutzer des AWS-Kontos, ein IAM-Benutzer oder eine Rolle sein. Sie können Berechtigungen für den Zugriff auf eine Ressource auf eine von zwei Arten gewähren:

  • Sie können eine Berechtigungsrichtlinie an einen Benutzer (direkt oder indirekt durch eine Gruppe) oder an eine Rolle anfügen.

  • Für Services, die ressourcenbasierte Richtlinien unterstützen, können Sie den Auftraggeber im Principal-Element einer Richtlinie, die an die Ressource angefügt ist, identifizieren.

Wenn Sie auf einen AWS-Konto als Prinzipal verweisen, bedeutet dies im Allgemeinen jeden Prinzipal, der in diesem Konto definiert ist.

Anmerkung

Sie können keinen Platzhalter (*) verwenden, um einen Teil eines Prinzipalnamens oder eines ARNs in der Vertrauensrichtlinie einer Rolle zu ersetzen. Details hierzu finden Sie unter AWS JSON-Richtlinienelemente: Principal.

Rolle für kontoübergreifenden Zugriff

Eine Rolle gewährt Ressourcen in einem Konto Zugriff auf einen vertrauenswürdigen Auftraggeber in einem anderen Konto. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Einige AWS -Services ermöglichen Ihnen, eine Richtlinie direkt an eine Ressource anzufügen (anstatt eine Rolle als Proxy zu verwenden). Diese werden als ressourcenbasierte Richtlinien bezeichnet und Sie können sie verwenden, um Prinzipalen in einem anderen AWS-Konto Zugriff auf die Ressource zu gewähren. Einige dieser Ressourcen umfassen Amazon Simple Storage Service (S3) Buckets, S3 Glacier Tresore, Amazon Simple Notification Service (SNS) -Themen und Amazon Simple Queue Service (SQS) Warteschlangen. Weitere Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.