Was ist IAM? - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist IAM?

AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf Ressourcen sicher kontrollieren können. AWS Mit IAM können Sie Berechtigungen zentral verwalten, mit denen gesteuert wird, auf welche AWS Ressourcen Benutzer zugreifen können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.

Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.

Videoeinführung in IAM

AWS Training and Certification bietet eine 10-minütige Videoeinführung in IAM:

Einführung in AWS Identity and Access Management

IAM-Features

IAM bietet Ihnen die folgenden Features:

Gemeinsamer Zugriff auf Ihre AWS-Konto

Sie können anderen Benutzern die Berechtigung zum Verwalten und Verwenden von Ressourcen in Ihrem AWS -Konto erteilen, ohne dass Sie Ihr Passwort oder Ihren Zugriffsschlüssel freigeben müssen.

Differenzierte Berechtigungen

Sie können verschiedenen Benutzern verschiedene Berechtigungen für verschiedene Ressourcen erteilen. Sie könnten beispielsweise einigen Benutzern vollständigen Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift und andere Dienste gewähren. AWS Anderen Benutzern können Sie Lesezugriff auf nur einige S3-Buckets, die Berechtigung zum Verwalten von nur einigen EC2-Instances oder den Zugriff auf Ihre Abrechnungsdaten gewähren, aber nichts anderes.

Sicherer Zugriff auf AWS Ressourcen für Anwendungen, die auf Amazon EC2 ausgeführt werden

Sie können IAM-Features verwenden, um Anmeldeinformationen für Anwendungen, die auf EC2-Instances ausgeführt werden, sicher bereitzustellen. Diese Anmeldeinformationen berechtigen Ihre Anwendung zum Zugriff auf andere AWS Ressourcen. Beispiele hierfür sind S3-Buckets und DynamoDB-Tabellen.

Multi-Faktor-Authentifizierung (MFA)

Sie können eine Zwei-Faktor-Authentifizierung zu Ihrem Konto und einzelnen Benutzern hinzufügen, um mehr Sicherheit zu erhalten. Mit MFA müssen Sie oder Ihre Benutzer nicht nur ein Passwort oder einen Zugriffsschlüssel angeben, um mit Ihrem Konto zu arbeiten, sondern auch einen Code eines speziell konfigurierten Geräts. Wenn Sie bereits einen FIDO-Sicherheitsschlüssel mit anderen Diensten verwenden und dieser über eine AWS unterstützte Konfiguration verfügt, können Sie ihn WebAuthn für die MFA-Sicherheit verwenden. Weitere Informationen finden Sie unter Unterstützte Konfigurationen für die Verwendung von FIDO-Sicherheitsschlüsseln.

Identitätsverbund

Sie können Benutzern, die bereits an anderer Stelle über ein Passwort verfügen – z. B. in Ihrem Unternehmensnetzwerk oder bei einem Internet-Identitätsanbieter – vorübergehend Zugang zu Ihrem AWS-Konto gewähren.

Identitätsinformationen für Zusicherung

Wenn Sie AWS CloudTrail verwenden, erhalten Sie Protokolldatensätze mit Informationen zu den Benutzern, die Anforderungen nach Ressourcen in Ihrem Konto gestellt haben. Diese Informationen basieren auf IAM-Identitäten.

Compliance mit PCI DSS

IAM unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen zu PCI DSS, einschließlich der Möglichkeit, eine Kopie des AWS PCI Compliance Package anzufordern, finden Sie unter PCI DSS Level 1.

In viele Dienste integriert AWS

Eine Liste der AWS Dienste, die mit IAM funktionieren, finden Sie unterAWS Dienste, die mit IAM funktionieren.

Eventually Consistent-Konzept

IAM ist, wie viele andere AWS Dienste, letztlich konsistent. IAM erreicht eine hohe Verfügbarkeit, indem die Daten innerhalb der weltweit verteilten Amazon-Rechenzentren über mehrere Server repliziert werden. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Allerdings muss die Änderung in IAM repliziert werden, was einige Zeit dauern kann. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie unter Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

Kostenlos

AWS Identity and Access Management (IAM) und AWS Security Token Service (AWS STS) sind Funktionen Ihres AWS Kontos, die ohne zusätzliche Kosten angeboten werden. Es fallen nur Gebühren an, wenn Sie mit Ihren IAM-Benutzern oder AWS STS temporären Sicherheitsanmeldedaten auf andere AWS Dienste zugreifen. Informationen zu den Preisen anderer AWS Produkte finden Sie auf der Preisseite von Amazon Web Services.

Zugriff auf IAM

Sie können auf jede AWS Identity and Access Management der folgenden Arten damit arbeiten.

AWS Management Console

Die Konsole ist eine browserbasierte Oberfläche zur Verwaltung von IAM und AWS Ressourcen. Weitere Informationen zum Zugriff auf IAM über die Konsole finden Sie im AWS-Anmeldung -Benutzerhandbuch unter So melden Sie sich bei AWS an.

AWS Befehlszeilentools

Sie können die AWS Befehlszeilentools verwenden, um Befehle an der Befehlszeile Ihres Systems auszugeben, um IAM und AWS Aufgaben auszuführen. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilentools sind auch nützlich, wenn Sie Skripts erstellen möchten, die AWS Aufgaben ausführen.

AWS stellt zwei Gruppen von Befehlszeilentools bereit: das AWS Command Line Interface(AWS CLI) und das AWS Tools for Windows PowerShell. Informationen zur Installation und Verwendung von finden Sie im AWS Command Line Interface Benutzerhandbuch. AWS CLI Informationen zur Installation und Verwendung der Tools für Windows PowerShell finden Sie im AWS Tools for Windows PowerShell Benutzerhandbuch.

Nachdem Sie sich bei der Konsole angemeldet haben, können Sie CLI- oder SDK-Befehle AWS CloudShell von Ihrem Browser aus ausführen. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich bei der Konsole angemeldet haben. Abhängig von Ihrer Erfahrung ist die CLI möglicherweise eine effizientere Methode zur Verwaltung Ihres AWS-Konto. Weitere Informationen finden Sie unter Wird verwendet AWS CloudShell , um mit AWS Identity and Access Management zu arbeiten.

AWS SDKs

AWS bietet SDKs (Software Development Kits), die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android usw.) bestehen. Die SDKs bieten eine bequeme Möglichkeit, programmatischen Zugriff auf IAM und zu erstellen. AWS Mithilfe der SDKs lassen sich unter anderem Anforderungen kryptografisch signieren, Fehler verwalten und Anforderungen automatisch wiederholen. Informationen zu den AWS SDKs, einschließlich deren Download und Installation, finden Sie auf der Seite Tools für Amazon Web Services.

IAM-Query-API

Sie können mithilfe der IAM-Abfrage-API AWS programmgesteuert auf IAM zugreifen, sodass Sie HTTPS-Anfragen direkt an den Service senden können. Wenn Sie die Abfrage-API nutzen, müssen Sie Code zur digitalen Signierung von Anforderungen mittels Ihrer Anmeldeinformationen einschließen. Weitere Informationen finden Sie unter Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen und der IAM-API-Referenz.