Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Was ist IAM?
AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf - AWS Ressourcen sicher steuern können. Mit IAM können Sie zentral Berechtigungen verwalten, die steuern, auf welche AWS Ressourcen Benutzer zugreifen können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.
Wenn Sie ein erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet und Sie melden sich mit der E-Mail-Adresse und dem Passwort an, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.
Inhalt
- Videoeinführung in IAM
- IAM-Features
- Zugriff auf IAM
- Wann verwende ich IAM?
- Funktionsweise von IAM
- Übersicht über AWS-Identitätsverwaltung: Benutzer
- Übersicht über die Zugriffsverwaltung: Berechtigungen und Richtlinien
- Was ist ABAC für AWS?
- Sicherheitsfunktionen außerhalb von IAM
- Quicklinks zu geläufigen Aufgaben
- IAM-Konsolensuche
- Erstellen von - AWS Identity and Access Management Ressourcen mit AWS CloudFormation
- Verwendung von AWS CloudShell zur Zusammenarbeit mit AWS Identity and Access Management
- Verwenden von IAM mit einem SDK AWS
Videoeinführung in IAM
AWS Training and Certification bietet eine 10-minütige Video-Einführung in IAM:
Einführung in AWS Identity and Access Management
IAM-Features
IAM bietet Ihnen die folgenden Features:
- Gemeinsamer Zugriff auf Ihr AWS-Konto
-
Sie können anderen Benutzern die Berechtigung zum Verwalten und Verwenden von Ressourcen in Ihrem AWS -Konto erteilen, ohne dass Sie Ihr Passwort oder Ihren Zugriffsschlüssel freigeben müssen.
- Differenzierte Berechtigungen
-
Sie können verschiedenen Benutzern verschiedene Berechtigungen für verschiedene Ressourcen erteilen. Sie können beispielsweise einigen Benutzern vollständigen Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB , Amazon Redshift und andere - AWS Services gewähren. Anderen Benutzern können Sie Lesezugriff auf nur einige S3-Buckets, die Berechtigung zum Verwalten von nur einigen EC2-Instances oder den Zugriff auf Ihre Abrechnungsdaten gewähren, aber nichts anderes.
- Sicherer Zugriff auf - AWS Ressourcen für Anwendungen, die auf Amazon EC2 ausgeführt werden
-
Sie können IAM-Features verwenden, um Anmeldeinformationen für Anwendungen, die auf EC2-Instances ausgeführt werden, sicher bereitzustellen. Diese Anmeldeinformationen bieten Ihrer Anwendung Berechtigungen für den Zugriff auf andere - AWS Ressourcen. Beispiele hierfür sind S3-Buckets und DynamoDB-Tabellen.
- Multi-Faktor-Authentifizierung (MFA)
-
Sie können eine Zwei-Faktor-Authentifizierung zu Ihrem Konto und einzelnen Benutzern hinzufügen, um mehr Sicherheit zu erhalten. Mit MFA müssen Sie oder Ihre Benutzer nicht nur ein Passwort oder einen Zugriffsschlüssel angeben, um mit Ihrem Konto zu arbeiten, sondern auch einen Code eines speziell konfigurierten Geräts. Wenn Sie bereits einen FIDO-Sicherheitsschlüssel mit anderen -Services verwenden und dieser über eine AWS unterstützte Konfiguration verfügt, können Sie WebAuthn für die MFA-Sicherheit verwenden. Weitere Informationen finden Sie unter Unterstützte Konfigurationen für die Verwendung von FIDO-Sicherheitsschlüsseln.
- Identitätsverbund
-
Sie können Benutzern, die bereits an anderer Stelle über ein Passwort verfügen – z. B. in Ihrem Unternehmensnetzwerk oder bei einem Internet-Identitätsanbieter – vorübergehend Zugang zu Ihrem AWS-Konto gewähren.
- Identitätsinformationen für Zusicherung
-
Wenn Sie AWS CloudTrail
verwenden, erhalten Sie Protokolldatensätze mit Informationen zu den Benutzern, die Anforderungen nach Ressourcen in Ihrem Konto gestellt haben. Diese Informationen basieren auf IAM-Identitäten. - Compliance mit PCI DSS
-
IAM unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen zu PCI DSS, einschließlich der Anforderung einer Kopie des AWS PCI Compliance Package, finden Sie unter PCI DSS Level 1
. - Integriert in viele - AWS Services
-
Eine Liste der AWS Services, die mit IAM funktionieren, finden Sie unter AWS Dienste, die mit IAM funktionieren.
- Eventually Consistent-Konzept
-
IAM ist wie viele andere - AWS Services letztendlich konsistent
. IAM erreicht eine hohe Verfügbarkeit, indem die Daten innerhalb der weltweit verteilten Amazon-Rechenzentren über mehrere Server repliziert werden. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Allerdings muss die Änderung in IAM repliziert werden, was einige Zeit dauern kann. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie unter Änderungen, die ich vornehme, sind nicht immer direkt sichtbar. - Kostenlos
-
AWS Identity and Access Management (IAM) und AWS Security Token Service (AWS STS) sind Funktionen Ihres AWS Kontos, die ohne zusätzliche Kosten angeboten werden. Ihnen werden nur Gebühren in Rechnung gestellt, wenn Sie mit Ihren IAM-Benutzern oder AWS STS temporären Sicherheitsanmeldeinformationen auf andere - AWS Services zugreifen. Informationen zu den Preisen anderer - AWS Produkte finden Sie auf der Seite Amazon Web Services – Preise.
Zugriff auf IAM
Sie können auf AWS Identity and Access Management eine der folgenden Arten mit arbeiten.
- AWS Management Console
-
Die Konsole ist eine browserbasierte Schnittstelle zur Verwaltung von IAM und - AWS Ressourcen. Weitere Informationen zum Zugriff auf IAM über die Konsole finden Sie im AWS-Anmeldung -Benutzerhandbuch unter So melden Sie sich bei AWS an.
- AWS Befehlszeilen-Tools
-
Sie können die AWS Befehlszeilen-Tools verwenden, um Befehle in der Befehlszeile Ihres Systems auszugeben, um IAM- und - AWS Aufgaben auszuführen. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilen-Tools sind auch nützlich, wenn Sie Skripts erstellen möchten, die AWS Aufgaben ausführen.
AWS bietet zwei Sätze von Befehlszeilen-Tools: die AWS Command Line Interface
(AWS CLI) und die AWS Tools for Windows PowerShell . Informationen zur Installation und Verwendung der AWS CLIfinden Sie im AWS Command Line Interface -Benutzerhandbuch. Informationen zur Installation und Verwendung der Tools for Windows PowerShellfinden Sie im AWS Tools for Windows PowerShell -Benutzerhandbuch. Nachdem Sie sich bei der Konsole angemeldet haben, können Sie AWS CloudShell in Ihrem Browser verwenden, um CLI- oder SDK-Befehle auszuführen. Die Berechtigungen für den Zugriff auf - AWS Ressourcen basieren auf den Anmeldeinformationen, die Sie für die Anmeldung bei der -Konsole verwendet haben. Abhängig von Ihrer Erfahrung ist die CLI möglicherweise eine effizientere Methode zur Verwaltung Ihres AWS-Konto. Weitere Informationen finden Sie unter Verwendung von AWS CloudShell zur Zusammenarbeit mit AWS Identity and Access Management.
- AWS SDKs
-
AWS stellt SDKs (Software Development Kits) bereit, die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android usw.) bestehen. Die SDKs bieten eine bequeme Möglichkeit, programmgesteuerten Zugriff auf IAM und zu erstellen AWS. Mithilfe der SDKs lassen sich unter anderem Anforderungen kryptografisch signieren, Fehler verwalten und Anforderungen automatisch wiederholen. Informationen zu den AWS SDKs , einschließlich deren Download und Installation, finden Sie auf der Seite Tools for Amazon Web Services
. - IAM-Query-API
-
Sie können auf IAM und AWS programmgesteuert über die IAM-Abfrage-API zugreifen, mit der Sie HTTPS-Anforderungen direkt an den Service ausgeben können. Wenn Sie die Abfrage-API nutzen, müssen Sie Code zur digitalen Signierung von Anforderungen mittels Ihrer Anmeldeinformationen einschließen. Weitere Informationen finden Sie unter Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen und der IAM-API-Referenz.
