Was ist IAM? - AWS Identity and Access Management
Videoeinführung in IAMIAM-FunktionenZugriff auf IAM

Was ist IAM?

AWS Identity and Access Management (IAM) ist ein Webservice, der Ihnen hilft, den Zugriff auf AWS-Ressourcen zu steuern. Mit IAM können Sie Berechtigungen, die festlegen, auf welche AWS-Ressourcen Benutzer zugreifen dürfen, zentral verwalten. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.

Wenn Sie ein AWS-Konto erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über kompletten Zugriff auf sämtliche AWS-Services und Ressourcen im Konto verfügt. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern in der AWS Account Management-Referenz.

Inhalt

Videoeinführung in IAM

AWS-Schulung und Zertifizierung bietet eine 10-minütige Videoeinführung in IAM:

Einführung in AWS Identity and Access Management

IAM-Funktionen

IAM bietet Ihnen die folgenden Funktionen:

Gemeinsamer Zugriff auf Ihr AWS-Konto

Sie können anderen Benutzern die Berechtigung zum Verwalten und Verwenden von Ressourcen in Ihrem AWS-Konto erteilen, ohne dass Sie Ihr Passwort oder Ihren Zugriffsschlüssel freigeben müssen.

Differenzierte Berechtigungen

Sie können verschiedenen Benutzern verschiedene Berechtigungen für verschiedene Ressourcen erteilen. Sie können beispielsweise einigen Benutzern vollständigen Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift und andereAWS-Services. Anderen Benutzern können Sie Lesezugriff auf nur einige S3-Buckets, die Berechtigung zum Verwalten von nur einigen EC2-Instances oder den Zugriff auf Ihre Abrechnungsdaten gewähren, aber nichts anderes.

Sicherer Zugang zu AWS-Ressourcen für Anwendungen, die auf Amazon EC2 laufen

Sie können IAM-Funktionen verwenden, um Anmeldeinformationen für Anwendungen, die auf EC2-Instances ausgeführt werden, sicher bereitzustellen. Diese Anmeldeinformationen bieten Berechtigungen für Ihre Anwendung, um auf andere AWS-Ressourcen zuzugreifen. Beispiele hierfür sind S3-Buckets und DynamoDB-Tabellen.

Multifaktor-Authentifizierung (MFA)

Sie können eine Zwei-Faktor-Authentifizierung zu Ihrem Konto und einzelnen Benutzern hinzufügen, um mehr Sicherheit zu erhalten. Mit MFA müssen Sie oder Ihre Benutzer nicht nur ein Passwort oder einen Zugriffsschlüssel angeben, um mit Ihrem Konto zu arbeiten, sondern auch einen Code eines speziell konfigurierten Geräts. Wenn Sie bereits einen FIDO-Sicherheitsschlüssel mit anderen Services verwenden und dieser eine von AWS unterstützte Konfiguration hat, können Sie WebAuthn für die MFA-Sicherheit verwenden. Weitere Informationen finden Sie unter Unterstützte Konfigurationen für die Verwendung von FIDO-Sicherheitsschlüsseln.

Identitätsverbund

Sie können Benutzern, die bereits an anderer Stelle über ein Passwort verfügen – z. B. in Ihrem Unternehmensnetzwerk oder bei einem Internet-Identitätsanbieter – vorübergehend Zugang zu Ihrem AWS-Konto gewähren.

Identitätsinformationen für Zusicherung

Wenn Sie AWS CloudTrail verwenden, erhalten Sie Protokolldatensätze mit Informationen zu den Benutzern, die Anforderungen nach Ressourcen in Ihrem Konto gestellt haben. Diese Informationen basieren auf IAM-Identitäten.

Compliance mit PCI DSS

IAM unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen über PCI DSS, einschließlich der Anforderung einer Kopie des AWS PCI Compliance Package, finden Sie unter PCI DSS Level 1.

Integriert in vielen AWS-Services

Eine Liste der AWS-Services, die mit IAM funktionieren, finden Sie unter AWS-Services, die mit IAM funktionieren.

Eventually Consistent-Konzept

Wie viele andere AWS-Services arbeitet IAM mit einem Eventually Consistent-Konzept. IAM erreicht eine hohe Verfügbarkeit, indem die Daten innerhalb der weltweit verteilten Amazon-Rechenzentren über mehrere Server repliziert werden. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Allerdings muss die Änderung in IAM repliziert werden, was einige Zeit dauern kann. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie unter Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

Kostenlos

AWS Identity and Access Management (IAM) und AWS Security Token Service (AWS STS) sind Funktionen Ihres AWS-Kontos, die ohne zusätzliche Kosten angeboten werden. Sie werden nur berechnet, wenn Sie auf andere AWS-Dienste mit Ihren IAM-Benutzern oder AWS STS temporäre Sicherheitsanmeldeinformationen. Informationen zu den Preisen andererAWS-Produkten finden Sie in der Amazon Web Services Preise-Seite.

Zugriff auf IAM

Sie können AWS Identity and Access Management auf folgende Art und Weise nutzen.

AWS Management Console

Die Konsole ist eine browserbasierte Schnittstelle zur Verwaltung von IAM und AWS-Ressourcen. Weitere Informationen zum Zugriff auf IAM über die Konsole finden Sie im AWS-Anmeldung-Benutzerhandbuch unter So melden Sie sich bei AWS an.

AWS-Befehlszeilen-Tools

Sie können die Befehlszeilen-Tools von AWS verwenden, um Befehle in der Befehlszeile Ihres Systems auszugeben, mit denen IAM- und AWS-Aufgaben durchgeführt werden. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilen-Tools können auch beim Erstellen von Skripts für AWS-Aufgaben hilfreich sein.

AWS bietet zwei Sätze an Befehlszeilen-Tools: AWS Command Line Interface (AWS CLI) und AWS Tools for Windows PowerShell. Weitere Informationen zum Installieren und Konfigurieren der AWS CLI finden Sie im AWS Command Line InterfaceLeitfaden. Informationen zu der Installation und Verwendung der Tools for Windows PowerShell finden Sie im AWS Tools for Windows PowerShell-Leitfaden.

AWS-SDKs

AWS stellt SDKs (Software Development Kits) zur Verfügung, die aus Bibliotheken und Beispiel-Codes für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android usw.) bestehen. Die SDKs sind gut zur Einrichtung des programmgesteuerten Zugriffs auf IAM und AWS geeignet. Mithilfe der SDKs lassen sich unter anderem Anforderungen kryptografisch signieren, Fehler verwalten und Anforderungen automatisch wiederholen. Weitere Informationen zu den AWS-SDKs, inklusive einer Anleitung zum Herunterladen und Installieren, finden Sie auf der Seite Tools für Amazon Web Services.

IAM-Query-API

Sie können auf IAM und AWS programmgesteuert über die HTTPS-Abfrage-API zugreifen, mit der Sie HTTPS-Anforderungen direkt an den Service ausgeben können. Wenn Sie die Abfrage-API nutzen, müssen Sie Code zur digitalen Signierung von Anforderungen mittels Ihrer Anmeldeinformationen einschließen. Weitere Informationen finden Sie unter Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen und der IAM-API-Referenz.