Was ist IAM? - AWS Identity and Access Management

Sofern wir eine Übersetzung der englischsprachigen Version des Handbuchs bereitstellen, gilt im Fall von Widersprüchen die englischsprachige Version des Handbuchs. Bei der Übersetzung handelt es sich um eine maschinelle Übersetzung.

Was ist IAM?

AWS Identity and Access Management (IAM) ist ein Webservice, der Ihnen hilft, den Zugriff auf AWS-Ressourcen zu steuern. Sie verwenden IAM, um zu steuern, wer zur Verwendung von Ressourcen authentifiziert (angemeldet) und autorisiert (berechtigt) ist.

Wenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcen im Konto verfügt. Diese Identität wird als Root-Benutzer des AWS-Kontos bezeichnet. Um auf es zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen bei der bewährten Methode, den Root-Benutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen. Anschließend legen Sie die Anmeldedaten für den Root-Benutzer an einem sicheren Ort ab und verwenden ihn nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

Einführungsvideo für IAM

AWS-Schulungen und -Zertifizierung bietet ein zehnminütiges Einführungsvideo in IAM an.

Einführung in . AWS Identity and Access Management

IAM-Funktionen

IAM bietet Ihnen folgende Funktionen:

Gemeinsamer Zugriff auf Ihr AWS-Konto

Sie können anderen Benutzern die Berechtigung zum Verwalten und Verwenden von Ressourcen in Ihrem AWS-Konto erteilen, ohne dass Sie Ihr Passwort oder Ihren Zugriffsschlüssel freigeben müssen.

Differenzierte Berechtigungen

Sie können verschiedenen Benutzern verschiedene Berechtigungen für verschiedene Ressourcen erteilen. Sie können beispielsweise einigen Benutzern vollständigen Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift und andere AWS-Services gewähren. Anderen Benutzern können Sie Lesezugriff auf nur einige S3-Buckets, die Berechtigung zum Verwalten von nur einigen EC2-Instances oder den Zugriff auf Ihre Abrechnungsdaten gewähren, aber nichts anderes.

Sicherer Zugriff auf AWS-Ressourcen für die auf Amazon EC2 ausgeführten Anwendungen

Für Anwendungen, die auf EC2-Instances ausgeführt werden, können Sie IAM-Funktionen verwenden, um Anmeldeinformationen sicher bereitzustellen. Diese Anmeldeinformationen bieten Berechtigungen für Ihre Anwendung, um auf andere AWS-Ressourcen zuzugreifen. Beispiele hierfür sind S3-Buckets und DynamoDB-Tabellen.

Multifaktor-Authentifizierung (MFA)

Sie können eine Zwei-Faktor-Authentifizierung zu Ihrem Konto und einzelnen Benutzern hinzufügen, um mehr Sicherheit zu erhalten. Mit MFA müssen Sie oder Ihre Benutzer nicht nur ein Passwort oder einen Zugriffsschlüssel angeben, um mit Ihrem Konto zu arbeiten, sondern auch einen Code eines speziell konfigurierten Geräts.

Identitätsverbund

Sie können Benutzern erlauben, die bereits Passwörter für einen anderen Ort besitzen — z. B. für Ihr Unternehmensnetzwerk oder bei einem Internet-Identitätsanbieter — temporär auf Ihr AWS-Konto zuzugreifen.

Identitätsinformationen für Zusicherung

Wenn Sie AWS CloudTrail verwenden, erhalten Sie Protokolldatensätze mit Informationen zu den Benutzern, die Anforderungen nach Ressourcen in Ihrem Konto gestellt haben. Diese Informationen basieren auf IAM-Identitäten.

PCI-DSS-Compliance

IAM unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstanbieter. Außerdem wurde seine Konformität mit dem Payment Card Industry (PCI) Data Security Standard (DSS) bestätigt. Weitere Informationen über PCI DSS, einschließlich der Anforderung einer Kopie des AWS PCI Compliance Package finden Sie unter PCI DSS Level 1.

Integriert in vielen AWS-Services

Eine Liste der AWS-Services, die mit IAM funktionieren, finden Sie unter AWS Dienstleistungen, die mit IAM.

Eventually Consistent-Konzept

IAM, wie viele andere AWS-Services, arbeitet mit einem Eventually Consistent-Konzept. IAM erreicht eine Hochverfügbarkeit durch die Replikation von Daten auf mehrere Server in den Rechenzentren von Amazon auf der ganzen Welt. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Die Änderung muss jedoch in IAM repliziert werden. Dies kann einige Zeit in Anspruch nehmen. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie im Änderungen, die ich vornehme, sind nicht immer direkt sichtbar..

Kostenlos

AWS Identity and Access Management (IAM) und AWS Security Token Service (AWS STS) sind Funktionen des AWS-Kontos, die ohne Aufpreis genutzt werden können. Es wird Ihnen nur der Zugriff auf andere AWS-Services über Ihre IAM-Benutzer oder temporäre AWS STS-Sicherheitsanmeldeinformationen in Rechnung gestellt. Informationen zu den Preisen anderer AWS-Produkte finden Sie in der Amazon Web Services-Preisliste.

Zugriff auf IAM

Sie können auf folgende Art und Weise mit AWS Identity and Access Management arbeiten:

AWS Management Console

Die Konsole ist eine browserbasierte Schnittstelle zur Verwaltung von IAM- und AWS-Ressourcen. Weitere Informationen zum Zugriff auf IAM über die Konsole finden Sie unter Anmelden bei der AWS Management Console als eine IAM Benutzer oder Root-Benutzer. Ein Tutorial zur Verwendung der Konsole finden Sie unter Erstellen Sie Ihre erste IAM Admin-Benutzer und -Gruppe.

AWS-Befehlszeilen-Tools

Sie können die Befehlszeilen-Tools von AWS verwenden, um Befehle in der Befehlszeile Ihres Systems auszugeben, mit denen IAM- und AWS-Aufgaben durchgeführt werden. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilen-Tools können auch beim Erstellen von Skripts für AWS-Aufgaben hilfreich sein.

AWS bietet zwei Sätze an Befehlszeilen-Tools: AWS Command Line Interface (AWS CLI) und AWS-Tools für Windows PowerShell. Weitere Informationen zur Installation und Verwendung der AWS CLI finden Sie im Benutzerhandbuch für AWS Command Line Interface. Weitere Informationen zur Installation und Verwendung der Tools für Windows PowerShell finden Sie im AWS-Tools für Windows PowerShell-Benutzerhandbuch.

AWS-SDKs

AWS stellt SDKs (Software Development Kits) zur Verfügung, die aus Bibliotheken und Beispiel-Codes für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android usw.) bestehen. Die SDKs sind gut zur Einrichtung des programmgesteuerten Zugriffs auf IAM und AWS geeignet. Mithilfe der SDKs lassen sich unter anderem Anforderungen kryptografisch signieren, Fehler verwalten und Anforderungen automatisch wiederholen. Weitere Informationen zu den AWS-SDKs, inklusive einer Anleitung zum Herunterladen und Installieren, finden Sie auf der Seite Tools für Amazon Web Services.

IAM-HTTPS-API

Sie können auf IAM und AWS programmgesteuert über die HTTPS-API von IAM zugreifen, mit der Sie HTTPS-Anfragen direkt an den Service ausgeben können. Wenn Sie die HTTPS-API nutzen, müssen Sie Code zur digitalen Signierung von Anfragen über Ihre Anmeldeinformationen einsetzen. Weitere Informationen finden Sie unter Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen und im IAM API Reference.