Wie verwalte ich IAM? - AWS Identitäts- und Zugriffsverwaltung
Verwenden Sie die AWS Management ConsoleAWS BefehlszeilentoolsVerwenden Sie den AWS SDKsVerwendung der IAM-Abfrage-API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie verwalte ich IAM?

Die Verwaltung AWS Identity and Access Management innerhalb einer AWS Umgebung erfordert die Nutzung einer Vielzahl von Tools und Schnittstellen. Die gängigste Methode ist die webbasierte Oberfläche AWS Management Console, mit der Sie eine Vielzahl von IAM-Verwaltungsaufgaben ausführen können, von der Erstellung von Benutzern und Rollen bis hin zur Konfiguration von Berechtigungen.

Für Benutzer, die sich mit Befehlszeilenschnittstellen besser auskennen, AWS stehen zwei Gruppen von Befehlszeilentools zur Verfügung: das AWS Command Line Interface und das AWS Tools for Windows PowerShell. Diese ermöglichen Ihnen die Ausgabe von IAM-bezogenen Befehlen direkt vom Terminal aus, was häufig effizienter ist als die Navigation durch die Konsole. Darüber hinaus AWS CloudShell können Sie CLI- oder SDK-Befehle direkt von Ihrem Webbrowser aus ausführen und dabei die mit Ihrer Konsolenanmeldung verknüpften Berechtigungen verwenden.

Neben der Konsole und der Befehlszeile AWS bietet es Software Development Kits (SDKs) für verschiedene Programmiersprachen, mit denen Sie IAM-Verwaltungsfunktionen direkt in Ihre Anwendungen integrieren können. Alternativ können Sie programmgesteuert über die IAM-Abfrage-API auf IAM zugreifen und HTTPS-Anfragen direkt an den Service senden. Die Nutzung dieser verschiedenen Managementansätze bietet Ihnen die Flexibilität, IAM in Ihre vorhandenen Workflows und Prozesse zu integrieren.

Verwenden Sie die AWS Management Console

Die AWS Management Console ist eine Webanwendung, die eine breite Sammlung von Servicekonsolen für die Verwaltung von AWS Ressourcen umfasst und sich auf diese bezieht. Wenn Sie sich zum ersten Mal anmelden, sehen Sie die Startseite der Konsole. Die Startseite bietet Zugriff auf jede Servicekonsole und bietet einen zentralen Ort, an dem Sie auf die Informationen zugreifen können, die Sie für die Ausführung der AWS damit verbundenen Aufgaben benötigen. Welche Dienste und Anwendungen Ihnen nach der Anmeldung an der Konsole zur Verfügung stehen, hängt davon ab, auf welche AWS Ressourcen Sie zugreifen dürfen. Sie können Berechtigungen für Ressourcen erhalten, indem Sie entweder eine Rolle übernehmen, Mitglied einer Gruppe sind, der Berechtigungen gewährt wurden, oder indem Ihnen explizit eine Berechtigung gewährt wird. Bei einem eigenständigen AWS -Konto konfiguriert der Root-Benutzer oder der IAM-Administrator den Zugriff auf Ressourcen. Für AWS Organizations konfiguriert das Verwaltungskonto oder der delegierte Administrator den Zugriff auf Ressourcen.

Wenn Sie planen, dass Benutzer die AWS Management Console zur Verwaltung von AWS Ressourcen verwenden, empfehlen wir aus Sicherheitsgründen, Benutzer mit temporären Anmeldeinformationen zu konfigurieren. IAM-Benutzer, die eine Rolle übernommen haben, Verbundprinzipale und Benutzer in IAM Identity Center verfügen über temporäre Anmeldeinformationen, während der IAM-Benutzer und der Root-Benutzer über langfristige Anmeldeinformationen verfügen. Root-Benutzeranmeldedaten bieten vollen Zugriff auf die AWS-Konto, während andere Benutzer über Anmeldeinformationen verfügen, die ihnen Zugriff auf die Ressourcen gewähren, die ihnen durch IAM-Richtlinien gewährt werden.

Das Anmeldeerlebnis ist für die verschiedenen Benutzertypen AWS Management Console unterschiedlich.

  • IAM-Benutzer und Root-Benutzer melden sich über die Haupt-Anmelde-URL an AWS (). https://signin.aws.amazon.com Sobald sie diese angemeldet haben, haben sie Zugriff auf die Ressourcen in dem Konto, für das ihnen die Berechtigung gewährt wurde.

    Um sich als Root-Benutzer anzumelden, benötigen Sie die E-Mail-Adresse und das Passwort für den Root-Benutzer.

    Um sich als IAM-Benutzer anzumelden, benötigen Sie die AWS-Konto Nummer oder den Alias, den IAM-Benutzernamen und das IAM-Benutzerkennwort.

    Wir empfehlen Ihnen, IAM-Benutzer in Ihrem Konto auf bestimmte Situationen zu beschränken, die langfristige Anmeldeinformationen erfordern, z. B. für den Zugriff in Notfällen, und den Root-Benutzer nur für Aufgaben zu verwenden, die Anmeldeinformationen des Root-Benutzers erfordern.

    Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich den IAM-Benutzernamen und die Kontoinformationen zu merken. Wenn der Benutzer das nächste Mal eine Seite in der aufruft AWS Management Console, verwendet die Konsole das Cookie, um den Benutzer auf die Anmeldeseite für das Konto weiterzuleiten.

    Melden Sie sich nach Abschluss Ihrer Sitzung von der Konsole ab, um eine Wiederverwendung Ihrer vorherigen Anmeldung zu verhindern.

  • IAM Identity Center-Benutzer melden sich über ein bestimmtes AWS Zugriffsportal an, das nur für ihre Organisation gilt. Sobald sie sich angemeldet haben, können sie auswählen, auf welches Konto oder welche Anwendung sie zugreifen möchten. Wenn diese auf ein Konto zugreifen möchten, wählen sie aus, welchen Berechtigungssatz sie für die Verwaltungssitzung verwenden möchten.

  • OIDC- und SAML-Verbundprinzipale, die in einem externen Identitätsanbieter verwaltet werden und mit einer AWS-Konto Anmeldung über ein benutzerdefiniertes Enterprise Access Portal verknüpft sind. Die den Benutzern zur Verfügung stehenden AWS Ressourcen hängen von den Richtlinien ab, die von ihrer Organisation ausgewählt wurden.

Anmerkung

Um ein zusätzliches Maß an Sicherheit zu bieten, können Root-Benutzer, IAM-Benutzer und Benutzer in IAM Identity Center die Multi-Faktor-Authentifizierung (MFA) verifizieren lassen, AWS bevor sie Zugriff auf Ressourcen gewähren. AWS Wenn MFA aktiviert ist, müssen Sie auch über Zugriff auf das MFA-Gerät verfügen, um sich anzumelden.

Weitere Informationen darüber, wie sich verschiedene Benutzer an der Management-Konsole anmelden, finden Sie im Anmelde-Benutzerhandbuch unter Anmeldung an der AWS Management Console.AWS

AWS Befehlszeilentools

Sie können die AWS Befehlszeilentools verwenden, um Befehle an der Befehlszeile Ihres Systems auszugeben, um IAM und AWS Aufgaben auszuführen. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilentools sind auch nützlich, wenn Sie Skripts erstellen möchten, die AWS Aufgaben ausführen.

AWS stellt zwei Gruppen von Befehlszeilentools bereit: das AWS Command Line Interface(AWS CLI) und das AWS Tools for Windows PowerShell. Informationen zur Installation und Verwendung von finden Sie im AWS Command Line Interface Benutzerhandbuch. AWS CLI Informationen zur Installation und Verwendung der Tools für Windows PowerShell finden Sie im AWS Tools for Windows PowerShell Benutzerhandbuch.

Nachdem Sie sich bei der Konsole angemeldet haben, können Sie CLI- oder SDK-Befehle AWS CloudShell von Ihrem Browser aus ausführen. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich bei der Konsole angemeldet haben. Abhängig von Ihrer Erfahrung ist die CLI möglicherweise eine effizientere Methode zur Verwaltung Ihres AWS-Konto. Weitere Informationen finden Sie unter AWS CloudShell für die Arbeit mit AWS Identity and Access Management verwenden.

AWS Befehlszeilenschnittstelle (CLI) und Softwareentwicklungskits (SDKs)

IAM Identity Center und IAM-Benutzer verwenden unterschiedliche Methoden zur Authentifizierung ihrer Anmeldeinformationen, wenn sie sich über die CLI oder die Anwendungsschnittstellen (APIs) in der zugehörigen Datenbank authentifizieren. SDKs

Anmeldeinformationen und Konfigurationseinstellungen befinden sich an mehreren Stellen, z. B. in den System- oder Benutzerumgebungsvariablen, in lokalen AWS Konfigurationsdateien, oder werden explizit in der Befehlszeile als Parameter deklariert. Bestimmte Speicherorte haben Vorrang vor anderen.

Sowohl IAM Identity Center als auch IAM stellen Zugriffsschlüssel bereit, die mit der CLI oder dem SDK verwendet werden können. Bei Zugriffsschlüsseln des IAM Identity Center handelt es sich um temporäre Anmeldeinformationen, die automatisch aktualisiert werden können. Sie werden im Vergleich zu Langzeit-Zugriffsschlüsseln für IAM-Benutzer empfohlen.

Um Ihre AWS-Konto Nutzung der CLI oder des SDK zu verwalten, können Sie sie AWS CloudShell von Ihrem Browser aus verwenden. Wenn Sie CloudShell CLI- oder SDK-Befehle ausführen, müssen Sie sich zuerst bei der Konsole anmelden. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich an der Konsole angemeldet haben. Abhängig von Ihrer Erfahrung ist die CLI möglicherweise eine effizientere Methode zur Verwaltung Ihres AWS-Konto.

Für die Anwendungsentwicklung können Sie die CLI oder das SDK auf Ihren Computer herunterladen und sich über die Eingabeaufforderung oder ein Docker-Fenster anmelden. In diesem Szenario konfigurieren Sie Authentifizierung und Zugangsdaten als Teil des CLI-Skripts oder der SDK-Anwendung. Sie können den programmgesteuerten Zugriff auf Ressourcen je nach Umgebung und verfügbarem Zugriff auf unterschiedliche Weise konfigurieren.

  • Zu den empfohlenen Optionen für die Authentifizierung von lokalem Code mit dem AWS Dienst gehören IAM Identity Center und IAM Roles Anywhere

  • Zu den empfohlenen Optionen für die Authentifizierung von Code, der in einer AWS -Umgebung ausgeführt wird, gehören die Verwendung von IAM-Rollen oder die Verwendung von IAM-Identity-Center-Anmeldeinformationen.

Wenn Sie sich über das AWS Zugriffsportal anmelden, können Sie auf der Startseite, auf der Sie Ihren Berechtigungssatz auswählen, kurzfristige Anmeldeinformationen abrufen. Diese Anmeldeinformationen haben eine definierte Dauer und werden nicht automatisch aktualisiert. Wenn Sie diese Anmeldeinformationen verwenden möchten, wählen Sie nach der Anmeldung im AWS Portal den AWS-Konto und anschließend den Berechtigungssatz aus. Wählen Sie Befehlszeilen- oder programmatischer Zugriff aus, um die Optionen anzuzeigen, mit denen Sie programmgesteuert oder über die CLI auf AWS Ressourcen zugreifen können. Weitere Informationen zu diesen Methoden finden Sie unter Abrufen und Aktualisieren temporärer Anmeldeinformationen im IAM-Identity-Center-Benutzerhandbuch. Diese Anmeldeinformationen werden häufig während der Anwendungsentwicklung verwendet, um Code schnell zu testen.

Wir empfehlen die Verwendung von IAM Identity Center-Anmeldeinformationen, die bei der Automatisierung des Zugriffs auf Ihre Ressourcen automatisch aktualisiert werden. AWS Wenn Sie Benutzer und Berechtigungssätze in IAM Identity Center konfiguriert haben, verwenden Sie den aws configure sso-Befehl, um einen Befehlszeilenassistenten zu verwenden, der Ihnen hilft, die für Sie verfügbaren Anmeldeinformationen zu identifizieren und sie in einem Profil zu speichern. Weitere Informationen zur Konfiguration Ihres Profils finden Sie unter Konfiguration Ihres Profils mit dem aws configure sso-Assistenten im Benutzerhandbuch für die AWS -Befehlszeilenschnittstelle für Version 2.

Anmerkung

Viele Beispielanwendungen verwenden Langzeit-Zugriffsschlüsseln, die IAM-Benutzern oder Root-Benutzern zugeordnet sind. Im Rahmen einer Lernübung sollten Sie langfristige Anmeldeinformationen nur in einer Sandbox-Umgebung verwenden. Informieren Sie sich über die Alternativen zu Langzeit-Zugriffsschlüsseln und planen Sie, Ihren Code so bald wie möglich auf alternative Anmeldeinformationen wie IAM-Identity-Center-Anmeldeinformationen oder IAM-Rollen umzustellen. Löschen Sie nach der Umstellung Ihres Codes die Zugriffsschlüssel.

Weitere Informationen zur Konfiguration der CLI finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI im AWS Command Line Interface User Guide für Version 2 und Authentifizierung und Access Credentials im AWS Command Line Interface User Guide.

Weitere Informationen zur Konfiguration des SDK finden Sie unter IAM Identity Center-Authentifizierung im AWS SDKs und Tools Reference Guide und IAM Roles Anywhere im AWS SDKs Tools-Referenzhandbuch.

Verwenden Sie den AWS SDKs

AWS stellt SDKs (Software Development Kits) bereit, die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android usw.) bestehen. SDKs Sie bieten eine bequeme Möglichkeit, programmatischen Zugriff auf IAM und zu erstellen. AWS SDKs Sie kümmern sich beispielsweise um Aufgaben wie das kryptografische Signieren von Anfragen, das Verwalten von Fehlern und das automatische Wiederholen von Anfragen. Informationen zu den AWS SDKs, einschließlich deren Download und Installation, finden Sie auf der Seite Tools für Amazon Web Services.

Verwendung der IAM-Abfrage-API

Sie können auf IAM und AWS programmgesteuert zugreifen, indem Sie die IAM-Abfrage-API verwenden, mit der Sie HTTPS-Anfragen direkt an den Service senden können. Wenn Sie die Abfrage-API nutzen, müssen Sie Code zur digitalen Signierung von Anforderungen mittels Ihrer Anmeldeinformationen einschließen. Weitere Informationen finden Sie unter Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen und der IAM-API-Referenz.