Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMIdentitäten und Anmeldeinformationen vergleichen
Die in verwalteten Identitäten AWS Identity and Access Management sind IAM Benutzer, IAM Rollen und IAM Gruppen. Diese Identitäten gelten zusätzlich zu Ihrem Root-Benutzer, der zusammen mit Ihrem AWS erstellt wurde. AWS-Konto
Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Stellen Sie stattdessen zusätzliche Benutzer bereit und gewähren Sie ihnen die erforderlichen Berechtigungen, um die erforderlichen Aufgaben auszuführen. Sie können Benutzer hinzufügen, indem Sie entweder Personen zu Ihrem IAM Identity Center-Verzeichnis hinzufügen, einen externen Identitätsanbieter mit IAM Identity Center verbinden IAM oder IAM Benutzer mit den geringsten Rechten erstellen.
Nachdem Sie Ihre Benutzer eingerichtet haben, können Sie bestimmten Personen Zugriff auf Ihre AWS-Konto Benutzer gewähren und ihnen Berechtigungen für den Zugriff auf Ressourcen gewähren.
Als bewährte Methode AWS empfiehlt es sich, menschlichen Benutzern vorzuschreiben, eine IAM Rolle für den Zugriff zu übernehmen, AWS sodass sie temporäre Anmeldeinformationen verwenden. Wenn Sie Identitäten im IAM Identity Center-Verzeichnis verwalten oder den Verbund mit einem Identitätsanbieter verwenden, befolgen Sie bewährte Methoden.
Bedingungen
Diese Begriffe werden häufig bei der Arbeit mit IAM Identitäten verwendet:
- IAMRessource
-
Der IAM Dienst speichert diese Ressourcen. Sie können sie der Konsole hinzufügen, bearbeiten und aus der IAM Konsole entfernen.
-
IAMBenutzer
-
IAMGruppe
-
IAMRolle
-
Berechtigungsrichtlinie
-
Identity-Provider-Objekt
-
- IAMEntität
-
IAMRessourcen, die für die Authentifizierung AWS verwendet werden. Geben Sie die Entität in einer ressourcenbasierten Richtlinie als Principal an.
-
IAMBenutzer
-
IAMRolle
-
- IAMIdentität
-
Die IAM Ressource, die in Richtlinien zum Ausführen von Aktionen und zum Zugriff auf Ressourcen autorisiert ist. Zu den Identitäten gehören IAM Benutzer, IAM Gruppen und IAM Rollen.
- Prinzipale
-
Ein IAM Benutzer oder eine IAM Rolle Root-Benutzer des AWS-Kontos, die eine Anfrage für eine Aktion oder einen Vorgang für eine AWS Ressource stellen kann. Zu den Hauptbenutzern gehören menschliche Benutzer, Workloads, Verbundbenutzer und übernommene Rollen. IAMGewährt dem Prinzipal nach der Authentifizierung entweder permanente oder temporäre Anmeldeinformationen AWS, an die er je nach Prinzipaltyp Anfragen stellen kann.
Menschliche Benutzer werden auch als menschliche Identitäten bezeichnet, z. B. die Personen, Administratoren, Entwickler, Betreiber und Nutzer Ihrer Anwendungen.
Workloads sind eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen bieten, z. B. eine Anwendung, ein Prozess, betriebliche Tools und andere Komponenten.
Verbundbenutzer sind Benutzer, deren Identität und Anmeldeinformationen von einem anderen Identitätsanbieter wie Active Directory, Okta oder Microsoft Entra verwaltet werden.
IAMRollen sind eine IAM Identität, die Sie in Ihrem Konto erstellen können und die über spezifische Berechtigungen verfügt, die festlegen, welche Funktionen die Identität ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen.
IAMgewährt IAM Benutzern und dem Root-Benutzer langfristige Anmeldeinformationen und IAM Rollen temporäre Anmeldeinformationen. Verbundene Benutzer und Benutzer im AWS IAM Identity Center nehmen IAM Rollen an, wenn sie sich anmelden AWS, wodurch ihnen temporäre Anmeldeinformationen gewährt werden. Als bewährte Methode empfehlen wir, menschlichen Benutzern und Workloads den Zugriff auf AWS Ressourcen mithilfe temporärer Anmeldeinformationen vorzuschreiben.
Unterschied zwischen IAM Benutzern und Benutzern in IAM Identity Center
IAMBenutzer sind keine separaten Konten, sondern einzelne Benutzer innerhalb Ihres Kontos. Jeder Benutzer hat sein eigenes Passwort für den Zugriff auf AWS Management Console. Darüber hinaus können Sie individuelle Zugriffsschlüssel für jeden Benutzer erstellen, sodass der Benutzer programmgesteuerte Anforderungen an die Ressourcen in Ihrem Konto stellen kann.
IAMBenutzer und ihre Zugangsschlüssel verfügen über langfristige Anmeldeinformationen für Ihre AWS Ressourcen. Der Hauptzweck von IAM Benutzern besteht darin, Workloads, die keine IAM Rollen verwenden können, die Möglichkeit zu geben, mithilfe von oder programmatische Anfragen an AWS Dienste zu stellen. API CLI
Anmerkung
Für Szenarien, in denen Sie IAM Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir, die Zugriffsschlüssel bei Bedarf zu aktualisieren. Weitere Informationen finden Sie unter Zugangsschlüssel aktualisieren.
Personalidentitäten (Personen) haben je nach der Rolle Benutzer im AWS IAM Identity Center, die sie ausüben, unterschiedliche Berechtigungsanforderungen und können AWS-Konten innerhalb eines Unternehmens für verschiedene Zwecke verwendet werden. Wenn Sie Anwendungsfälle haben, für die Zugriffsschlüssel erforderlich sind, können Sie diese Anwendungsfälle mit Benutzer im AWS IAM Identity Center unterstützen. Personen, die sich über das AWS Zugriffsportal anmelden, können Zugangsschlüssel mit kurzfristigen Anmeldeinformationen für Ihre AWS Ressourcen erhalten. Für eine zentralisierte Zugriffsverwaltung empfehlen wir Ihnen, AWS IAM Identity Center (IAMIdentity Center) zu verwenden, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. IAMIdentity Center wird automatisch mit einem Identity Center-Verzeichnis als Standard-Identitätsquelle konfiguriert, in dem Sie Personen und Gruppen hinzufügen und deren Zugriffsebene Ihren AWS Ressourcen zuweisen können. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.
Der Hauptunterschied zwischen diesen beiden Benutzertypen besteht darin, dass Benutzer in IAM Identity Center automatisch eine IAM Rolle übernehmen, wenn sie sich anmelden, AWS bevor sie auf die Verwaltungskonsole oder AWS Ressourcen zugreifen. IAMRollen gewähren bei jeder Anmeldung des Benutzers temporäre Anmeldeinformationen. AWS Damit sich IAM Benutzer mit einer IAM Rolle anmelden können, müssen sie berechtigt sein, Rollen anzunehmen und zu wechseln, und sie müssen sich ausdrücklich dafür entscheiden, nach dem Zugriff auf das Konto zu der Rolle zu wechseln, die AWS sie übernehmen möchten.
Führen Sie Benutzer aus einer vorhandenen Identitätsquelle zusammen
Wenn die Benutzer in Ihrer Organisation bereits authentifiziert sind, wenn sie sich in Ihrem Unternehmensnetzwerk anmelden, müssen Sie keine separaten IAM Benutzer oder Benutzer in IAM Identity Center für sie erstellen. Stattdessen können Sie diese Benutzeridentitäten so zusammenführen, dass sie entweder oder AWS verwenden. IAM AWS IAM Identity Center Verbundbenutzer nehmen eine IAM Rolle an, die ihnen Berechtigungen für den Zugriff auf bestimmte Ressourcen gewährt. Weitere Informationen zu Rollen finden Sie unter Rollenbegriffe und -konzepte.
Ein Verbund ist in folgenden Fällen nützlich:
-
Ihre Benutzer sind bereits in einem Unternehmensverzeichnis vorhanden.
Wenn Ihr Unternehmensverzeichnis mit Security Assertion Markup Language 2.0 (SAML2.0) kompatibel ist, können Sie Ihr Unternehmensverzeichnis so konfigurieren, dass es Ihren Benutzern Single-Sign-On-Zugriff (SSO) ermöglicht AWS Management Console . Weitere Informationen finden Sie unter Gängige Szenarien für temporäre Anmeldeinformationen.
Wenn Ihr Unternehmensverzeichnis nicht mit SAML 2.0 kompatibel ist, können Sie eine Identity Broker-Anwendung erstellen, die Ihren Benutzern Single-Sign-On-Zugriff (SSO) ermöglicht. AWS Management Console Weitere Informationen finden Sie unter Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren.
Wenn es sich bei Ihrem Unternehmensverzeichnis AWS IAM Identity Center um Microsoft Active Directory handelt, können Sie damit ein selbstverwaltetes Verzeichnis in Active Directory oder ein Verzeichnis in verbinden, AWS Directory Service
um eine Vertrauensstellung zwischen Ihrem Unternehmensverzeichnis und Ihrem AWS-Konto herzustellen. Wenn Sie einen externen Identitätsanbieter (IdP) wie Okta oder Microsoft Entra verwenden AWS IAM Identity Center , um Benutzer zu verwalten, können Sie damit Vertrauen zwischen Ihrem IdP und Ihrem herstellen. AWS-Konto Weitere Informationen finden Sie unter Verbinden mit einem externen Identitätsanbieter im AWS IAM Identity Center -Benutzerhandbuch.
-
Ihre Benutzer verfügen bereits über Internet-Identitäten.
Wenn Sie eine mobile App oder eine webbasierte App erstellen, mit der sich Benutzer über einen Internet-Identitätsanbieter wie Login with Amazon, Facebook, Google oder einen anderen OpenID Connect (OIDC) -kompatiblen Identitätsanbieter identifizieren können, kann die App den Verbund für den Zugriff AWS verwenden. Weitere Informationen finden Sie unter OIDCföderation.
Tipp
Um den Identitätsverbund mit Internet-Identitätsanbietern zu verwenden, empfehlen wir die Nutzung von Amazon Cognito.
Verschiedene Methoden zur Bereitstellung des Benutzerzugriffs
Hier sind die Möglichkeiten, wie Sie Zugriff auf Ihre AWS Ressourcen gewähren können.
Typ des Benutzerzugriffs | Wann wird es verwendet? | Wo gibt es mehr Informationen? |
---|---|---|
Single Sign-On-Zugriff für Personen, wie z. B. Benutzer Ihrer Belegschaft, auf AWS Ressourcen, die IAM Identity Center verwenden |
IAMIdentity Center bietet einen zentralen Ort, an dem die Verwaltung von Benutzern und deren Zugriff auf Cloud-Anwendungen sowie deren Zugriff AWS-Konten auf Cloud-Anwendungen zusammengeführt werden. Sie können einen Identitätsspeicher in IAM Identity Center einrichten oder den Verbund mit einem vorhandenen Identitätsanbieter (IdP) konfigurieren. Bewährte Sicherheitsmethoden empfehlen, Ihren menschlichen Benutzern nur begrenzte Zugangsdaten für AWS Ressourcen zu gewähren. Benutzer können sich leichter anmelden, und Sie behalten die Kontrolle über ihren Zugriff auf Ressourcen von einem einzigen System aus. IAMIdentity Center unterstützt die Multi-Faktor-Authentifizierung (MFA) für zusätzliche Kontosicherheit. |
Weitere Informationen zur Einrichtung von IAM Identity Center finden Sie unter Erste Schritte im AWS IAM Identity Center Benutzerhandbuch Weitere Informationen zur Verwendung MFA in IAM Identity Center finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center Benutzerhandbuch |
Föderierter Zugriff für menschliche Benutzer, z. B. Benutzer Ihrer Belegschaft, auf AWS Dienste, die IAM Identitätsanbieter verwenden () IdPs |
IAMunterstützt IdPs , die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind. Nachdem Sie einen IAM Identitätsanbieter erstellt haben, erstellen Sie eine oder mehrere IAM Rollen, die einem Verbundbenutzer dynamisch zugewiesen werden können. |
Weitere Informationen zu IAM Identitätsanbietern und Verbund finden Sie unterIdentitätsanbieter und Verbund. |
Kontoübergreifender Zugriff zwischen AWS-Konten |
Sie möchten den Zugriff auf bestimmte AWS Ressourcen mit Benutzern in anderen AWS-Konten teilen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Einige AWS Dienste unterstützen jedoch ressourcenbasierte Richtlinien, mit denen Sie eine Richtlinie direkt an eine Ressource anhängen können (anstatt eine Rolle als Proxy zu verwenden). |
Weitere Informationen zu IAM Rollen finden Sie unter. IAMRollen Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle. Informationen dazu, welche Services die Verwendung serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie in der Spalte „Serviceverknüpfte Rolle“ nach den Diensten, für die Ja angegeben ist. Um die serviceverknüpfte Rollendokumentation für diesen Service anzuzeigen, wählen Sie den mit Ja verknüpften Link in der Spalte. |
Langfristige Anmeldeinformationen für bestimmte IAM Benutzer in Ihrem AWS-Konto |
Möglicherweise haben Sie spezielle Anwendungsfälle, für die langfristige Anmeldeinformationen mit IAM Benutzern erforderlich sind AWS. Sie können IAM sie verwenden, um diese IAM Benutzer in Ihrem AWS-Konto zu erstellen und ihre Berechtigungen IAM zu verwalten. Zu einigen Anwendungsfällen gehören die folgenden:
Als bewährte Methode in Szenarien, in denen Sie IAM Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir, die Zugriffsschlüssel bei Bedarf zu aktualisieren. Weitere Informationen finden Sie unter Zugangsschlüssel aktualisieren. |
Weitere Informationen zum Einrichten eines IAM Benutzers finden Sie unterErstelle einen IAM Benutzer in deinem AWS-Konto. Weitere Informationen zu IAM Benutzerzugriffsschlüsseln finden Sie unterZugangsschlüssel für IAM Benutzer verwalten. Weitere Informationen zu dienstspezifischen Anmeldeinformationen für AWS CodeCommit Amazon Keyspaces finden Sie unter IAMAnmeldeinformationen für CodeCommit: Git-Anmeldeinformationen, SSH Schlüssel und AWS Zugriffsschlüssel und. Verwendung IAM mit Amazon Keyspaces (für Apache Cassandra) |
Support Sie den programmatischen Benutzerzugriff
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS Management Console Die Art und Weise, wie der programmgesteuerte Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift: AWS
-
Wenn Sie Identitäten in IAM Identity Center verwalten, AWS APIs benötigen sie ein Profil und dann ein Profil oder eine Umgebungsvariable. AWS Command Line Interface
-
Wenn Sie IAM Benutzer haben, AWS Command Line Interface benötigen die AWS APIs und die Zugriffsschlüssel. Wenn möglich, erstellen Sie temporäre Anmeldeinformationen, die aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token bestehen, das angibt, wann die Anmeldeinformationen ablaufen.
Wählen Sie eine der folgenden Optionen aus, um den Benutzern programmgesteuerten Zugriff zu gewähren.
Welcher Benutzer benötigt programmgesteuerten Zugriff? | Option | Weitere Informationen |
---|---|---|
Identitäten der Belegschaft (Personen und Benutzer, die im IAM Identity Center verwaltet werden) |
Verwenden Sie kurzfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI oder zu signieren AWS APIs (direkt oder mithilfe von AWS SDKs). |
Folgen Sie dazu den AWS CLI Anweisungen unter Abrufen von IAM Rollenanmeldedaten für den CLI Zugriff im AWS IAM Identity Center Benutzerhandbuch. Folgen Sie dazu den AWS APIs Anweisungen unter SSOAnmeldeinformationen im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch. |
IAMBenutzer | Verwenden Sie kurzfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI oder zu signieren AWS APIs (direkt oder mithilfe von AWS SDKs). | Folgen Sie den Anweisungen unter Temporäre Anmeldeinformationen mit AWS Ressourcen verwenden. |
IAMBenutzer | Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI oder zu signieren AWS
APIs (direkt oder mithilfe von AWS SDKs). (Nicht empfohlen) |
Folgen Sie den Anweisungen unter Zugriffsschlüssel für IAM Benutzer verwalten. |
Verbundene Benutzer | Verwenden Sie einen AWS STS API Vorgang, um eine neue Sitzung mit temporären Sicherheitsanmeldeinformationen zu erstellen, die ein Zugriffsschlüsselpaar und ein Sitzungstoken enthalten. | Erläuterungen zu den API Vorgängen finden Sie unter Temporäre Sicherheitsnachweise anfordern |