Rollenbegriffe und -konzepte - AWS Identity and Access Management

Rollenbegriffe und -konzepte

Im Folgenden finden Sie einige grundlegende Begriffe, die Ihnen bei den ersten Schritten mit Rollen helfen.

Rolle

Eine IAM-Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt. Es gibt gewisse Ähnlichkeiten zwischen einer IAM-Rolle und einem IAM-Benutzer. Sowohl Rollen als auch Benutzer sind AWS-Identitäten mit Berechtigungsrichtlinien, die bestimmen, was die Identität in AWS tun kann und was nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Rollen können von folgenden Personen und Services verwendet werden:

  • Ein IAM-Benutzer im selben AWS-Konto wie die Rolle

  • Ein IAM-Benutzer in einem anderen AWS-Konto wie die Rolle

  • Ein von AWS angebotener Webservice, Amazon Elastic Compute Cloud (Amazon EC2)

  • Ein externer Benutzer, der von einem externen Identitätsanbieter(IdP)-Service authentifiziert wurde, der mit SAML 2.0 oder OpenID Connect kompatibel ist, oder ein kundenspezifischer Identity Broker.

AWS-Service-Rolle

Eine Rolle, die ein Service übernimmt, um Aktionen in Ihrem Konto für Sie auszuführen. Beim Einrichten einiger AWS-Serviceumgebungen müssen Sie eine Rolle für den zu übernehmenden Service definieren. Diese Servicerolle muss alle für den Service erforderlichen Berechtigungen für den Zugriff auf die AWS-Ressourcen, die erforderlich sind, enthalten. Servicerollen unterscheiden sich von Service zu Service, aber viele erlauben Ihnen, Ihre Berechtigungen auszuwählen, solange Sie die dokumentierten Anforderungen für diesen Service erfüllen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Sie können eine Servicerolle in IAM erstellen, ändern und löschen.

AWS-Servicerolle für eine EC2 Instance

Eine besondere Art von Servicerolle, die eine Anwendung, die auf einer Amazon EC2-Instance ausgeführt wird, annehmen kann, um Aktionen in Ihrem Konto auszuführen. Diese Rolle ist der EC2-Instance zugewiesen, wenn sie gestartet wird. Anwendungen, die auf dieser Instance ausgeführt werden, können temporäre Anmeldeinformationen abrufen und Aktionen ausführen, die die Rolle erlaubt. Weitere Informationen über die Verwendung einer Servicerolle für eine EC2-Instance finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

AWS-Serviceverknüpfte Rolle

Eine eindeutige Art von Servicerolle, die direkt mit einem AWS-Service verknüpft ist. Serviceverknüpfte Rollen werden vom Service vordefinierten und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert. Der verknüpfte Service definiert auch, wie Sie eine serviceverknüpfte Rolle erstellen, ändern und löschen. Ein Service kann die Rolle automatisch erstellen oder löschen. Er kann Ihnen erlauben, die Rolle als Teil eines Assistenten oder Prozesses im Service zu erstellen, zu ändern oder zu löschen. Er kann auch erfordern, dass Sie zum Erstellen oder Löschen der Rolle IAM verwenden. Unabhängig von der Methode wird durch serviceverknüpfte Rollen das Einrichten eines Services vereinfacht, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen.

Anmerkung

Wenn Sie einen Service bereits verwenden, wenn er mit der Unterstützung serviceverknüpfter Rollen beginnt, erhalten Sie möglicherweise eine E-Mail zur Benachrichtigung über die neue Rolle in Ihrem Konto. In diesem Fall erstellt der Service die serviceverknüpfte Rolle automatisch in Ihrem Konto. Sie müssen keine Aktion zum Unterstützen dieser Rolle durchführen und Sie sollten sie nicht manuell löschen. Weitere Informationen finden Sie unter In meinem AWS-Konto wird eine neue Rolle angezeigt.

Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen. Wenn der Service keine Dokumentation für das Erstellen, Ändern oder Löschen der serviceverknüpften Rolle enthält, können Sie die IAM-Konsole, die AWS CLI oder die API verwenden. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen.

Verketten von Rollen

Das Verketten von Rollen tritt auf, wenn Sie eine Rolle verwenden, um eine zweite Rolle über die AWS CLI oder API anzunehmen. Angenommen, User1 verfügt über die Berechtigung, RoleA und RoleB anzunehmen. Darüber hinaus verfügt RoleA über die Berechtigung, RoleB anzunehmen. Sie können RoleA annehmen, indem Sie die langfristigen Benutzeranmeldeinformationen von User1in der AssumeRole-API-Operation verwenden. Diese Operation gibt die kurzfristigen Anmeldeinformationen von RoleA zurück. Für das Verketten von Rollen können Sie die kurzfristigen Anmeldeinformationen von RoleAverwenden, um RoleB anzunehmen.

Wenn Sie eine Rolle annehmen, können Sie ein Sitzungs-Tag übergeben und dieses als transitiv festlegen. Transitive Sitzungs-Tags werden an alle nachfolgenden Sitzungen in einer Rollenkette übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Das Verketten von Rollen beschränkt Ihre AWS CLI- oder AWS-API-Rollensitzung auf maximal eine Stunde. Wenn Sie die AssumeRole-API-Operation verwenden, um eine Rolle anzunehmen, können Sie mit dem DurationSeconds-Parameter eine Sitzungslänge für Ihre Rolle angeben. Sie können einen Parameterwert von bis zu 43200 Sekunden (12 Stunden) angeben, abhängig von der Einstellung maximale Sitzungsdauer für Ihre Rolle. Wenn Sie eine Rolle durch Verkettung annehmen und für den Parameter DurationSeconds einen Wert größer als eine Stunde angeben, schlägt die Operation jedoch fehl.

AWS verarbeitet die Verwendung von Rollen zum Erteilen von Berechtigungen für Anwendungen, die auf EC2-Instances ausgeführt werden, nicht als Rollenverkettung.

Delegierung

Die Erteilung von Berechtigungen für jemanden, um den Zugriff auf Ressourcen zu gewähren, die Sie kontrollieren. Die Delegierung beinhaltet die Einrichtung einer Vertrauensstellung zwischen zwei Konten. Das erste Konto ist Eigentümer der Ressource (das vertrauensvolle Konto). Das zweite Konto enthält die Benutzer, die auf die Ressource zugreifen müssen (das vertrauenswürdige Konto). Die vertrauenswürdigen und vertrauensvollen Konten können Folgende sein:

  • Das gleiche Konto.

  • Separate Konten, die beide von Ihrer Organisation kontrolliert werden.

  • Zwei Konten im Besitz von unterschiedlichen Organisationen.

Zum Delegieren einer Berechtigung für den Zugriff auf eine Ressource erstellen Sie eine IAM-Rolle im vertrauenden Konto, der zwei Richtlinien angefügt sind. Die Berechtigungsrichtlinie erteilt dem Benutzer der Rolle die erforderlichen Berechtigungen zum Ausführen der vorgesehenen Aufgaben auf der Ressource. Die Vertrauensrichtlinie gibt an, welche vertrauenswürdigen Kontomitglieder die Rolle übernehmen dürfen.

Wenn Sie eine Vertrauensrichtlinie erstellen, können Sie keinen Platzhalter (*) als Prinzipal angeben. Die Vertrauensrichtlinie ist an die Rolle im vertrauenden Konto angefügt und eine Hälfte der Berechtigungen. Die andere Hälfte ist eine Berechtigungsrichtlinie, die dem Benutzer im vertrauenswürdigen Konto angefügt ist und zulässt, dass ein Benutzer zur Rolle wechselt bzw. diese übernimmt. Ein Benutzer, der eine Rolle übernimmt, gibt vorübergehend seine eigenen Berechtigungen auf und übernimmt stattdessen die Berechtigungen der Rolle. Wenn der Benutzer die Rolle beendet oder nicht mehr verwendet, werden die ursprünglichen Benutzerberechtigungen wiederhergestellt. Ein zusätzlicher Parameter namens external ID kann helfen, die sichere Verwendung von Rollen zwischen Konten sicherzustellen, die nicht von der gleichen Organisation kontrolliert werden.

Verbund

Die Erstellung einer Vertrauensbeziehung zwischen einem externen Identitätsanbieter und AWS. Benutzer können sich bei einem Web-Identitätsanbieter, wie Login with Amazon, Facebook, Google oder einem anderen beliebigen Identitätsanbieter anmelden, der kompatibel mit OpenID Connect (OIDC) ist. Benutzer können sich auch bei einem Unternehmens-Identitätssystem anmelden, das kompatibel mit Security Assertion Markup Language (SAML) 2.0, wie Microsoft Active Directory Federation Services, ist. Wenn Sie OIDC und SAML 2.0 zum Konfigurieren einer Vertrauensbeziehung zwischen diesen externen Identitätsanbietern und AWS verwenden, wird der Benutzer einer IAM-Rolle zugewiesen. Der Benutzer erhält auch temporäre Anmeldeinformationen, die ihm den Zugriff auf Ihre AWS-Ressourcen ermöglichen.

Verbundener Benutzer

Statt einen IAM-Benutzer zu erstellen, können Sie vorhandene Identitäten von AWS Directory Service, aus Ihrem Unternehmens-Benutzerverzeichnis oder von einem Web-Identitätsanbieter verwenden. Diese werden als verbundene Benutzer bezeichnet. AWS weist einem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer und Rollen im IAM-Benutzerhandbuch.

Vertrauensrichtlinie

Ein JSON-Richtliniendokument, in dem Sie die Prinzipale definieren, denen Sie es anvertrauen, die Rolle zu übernehmen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie die einer Rolle in IAM angefügt ist. Zu den Prinzipalen, die Sie in der Vertrauensrichtlinie angeben können, gehören Benutzer, Rollen, Konten und Services.

Berechtigungsrichtlinie

Ein Berechtigungsdokument im JSON-Format, in dem Sie definieren, welche Aktionen und Ressourcen die Rolle verwenden kann. Das Dokument wird entsprechend den Regeln der IAM-Richtliniensprache geschrieben.

Berechtigungsgrenze

Eine erweiterte Funktion, in der Sie Richtlinien verwenden, um die maximalen Berechtigungen einzuschränken, die eine identitätsbasierte Richtlinie einer Rolle gewähren kann. Sie können eine Berechtigungsgrenze nicht auf eine servicegebundene Rolle anwenden. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.

Prinzipal

Eine Entität in AWS, die Aktionen durchführen und auf Ressourcen zugreifen kann. Ein Prinzipal kann ein Stammbenutzer des AWS-Kontos, ein IAM-Benutzer oder eine Rolle sein. Sie können Berechtigungen für den Zugriff auf eine Ressource auf eine von zwei Arten gewähren:

  • Sie können eine Berechtigungsrichtlinie an einen Benutzer (direkt oder indirekt durch eine Gruppe) oder an eine Rolle anfügen.

  • Für Services, die ressourcenbasierte Richtlinien unterstützen, können Sie den Prinzipal im Principal-Element einer Richtlinie, die an die Ressource angefügt ist, identifizieren.

Wenn Sie ein AWS-Konto als Prinzipal referenzieren, ist damit in der Regel jeder Prinzipal gemeint, der in diesem Konto definiert ist.

Anmerkung

Sie können keinen Platzhalter (*) im Principal-Element in der Vertrauensrichtlinie einer Rolle verwenden.

Rolle für kontoübergreifenden Zugriff

Eine Rolle gewährt Ressourcen in einem Konto Zugriff auf einen vertrauenswürdigen Prinzipal in einem anderen Konto. Rollen sind die primäre Möglichkeit, um kontoübergreifenden Zugriff zu gewähren. Einige AWS-Services ermöglichen Ihnen, eine Richtlinie direkt an eine Ressource anzufügen (anstatt eine Rolle als Proxy zu verwenden). Diese werden als ressourcenbasierte Richtlinien bezeichnen und Sie können sie verwenden, um Prinzipalen in einem anderen AWS-Konto Zugriff auf die Ressource zu gewähren. Einige dieser Ressourcen umfassen Amazon Simple Storage Service (S3)-Buckets, S3 Glacier-Tresore, Amazon Simple Notification Service (SNS)-Themen und Amazon Simple Queue Service (SQS)-Warteschlangen. Weitere Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter So unterscheiden sich IAM-Rollen von ressourcenbasierten Richtlinien.