Wann verwende ichIAM? - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wann verwende ichIAM?

AWS Identity and Access Management ist ein zentraler Infrastrukturdienst, der die Grundlage für die Zugriffskontrolle auf der Grundlage der darin enthaltenen AWS Identitäten bildet. Sie verwenden IAM jedes Mal, wenn Sie auf Ihr AWS Konto zugreifen. Die Art und Weise, wie Sie IAM es verwenden, hängt von den spezifischen Verantwortlichkeiten und Aufgabenbereichen in Ihrem Unternehmen ab. Benutzer von AWS Diensten greifen auf die AWS Ressourcen IAM zu, die sie für ihre day-to-day Arbeit benötigen, wobei Administratoren ihnen die entsprechenden Berechtigungen gewähren. IAMAdministratoren hingegen sind dafür verantwortlich, IAM Identitäten zu verwalten und Richtlinien zur Steuerung des Zugriffs auf Ressourcen zu verfassen. Unabhängig von Ihrer Rolle interagieren Sie mit IAM jeder Person, die Sie authentifizieren und den Zugriff auf Ressourcen autorisieren. AWS Dies kann die Anmeldung als IAM Benutzer, die Übernahme einer IAM Rolle oder die Nutzung eines Identitätsverbunds für einen nahtlosen Zugriff beinhalten. Das Verständnis der verschiedenen IAM Funktionen und Anwendungsfälle ist entscheidend für die effektive Verwaltung des sicheren Zugriffs auf Ihre AWS Umgebung. Wenn es um die Erstellung von Richtlinien und Berechtigungen geht, IAM bietet es einen flexiblen und detaillierten Ansatz. Sie können Vertrauensrichtlinien definieren, um zu kontrollieren, welche Principals eine Rolle übernehmen können, zusätzlich zu identitätsbasierten Richtlinien, die festlegen, auf welche Aktionen und Ressourcen ein Benutzer oder eine Rolle zugreifen kann. Durch die Konfiguration dieser IAM Richtlinien können Sie sicherstellen, dass Benutzer und Anwendungen über die entsprechenden Berechtigungen verfügen, um ihre erforderlichen Aufgaben auszuführen.

Wenn Sie verschiedene berufliche Funktionen ausüben

AWS Identity and Access Management ist ein zentraler Infrastrukturdienst, der die Grundlage für die Zugriffskontrolle auf der Grundlage der darin enthaltenen AWS Identitäten bildet. Sie verwenden IAM jedes Mal, wenn Sie auf Ihr AWS Konto zugreifen.

Wie Sie es verwendenIAM, hängt von der Arbeit ab, in der Sie tätig sind AWS.

  • Dienstbenutzer — Wenn Sie einen AWS Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit erweiterte Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Fuktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anzufordern müssen.

  • Dienstadministrator — Wenn Sie in Ihrem Unternehmen für eine AWS Ressource verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff daraufIAM. Es ist Ihre Aufgabe, zu bestimmen, auf welche IAM Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehenIAM.

  • IAMAdministrator — Wenn Sie ein IAM Administrator sind, verwalten Sie IAM Identitäten und schreiben Richtlinien, um den Zugriff darauf zu IAM verwalten.

Wenn Sie berechtigt sind, auf AWS -Ressourcen zuzugreifen

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM Benutzer authentifizieren (angemeldet bei AWS) oder indem Sie eine IAM Rolle übernehmen. Root-Benutzer des AWS-Kontos

Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAMIdentity Center-) Nutzer, die Single-Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als föderierte Identität anmelden, hat Ihr Administrator zuvor einen Identitätsverbund mithilfe von Rollen eingerichtet. IAM Wenn Sie AWS mithilfe eines Verbunds darauf zugreifen, übernehmen Sie indirekt eine Rolle.

Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS Management Console oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie AWS unter So melden Sie sich bei Ihrem an AWS-Konto im AWS-Anmeldung Benutzerhandbuch.

Wenn Sie AWS programmgesteuert darauf zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, mit der Sie Ihre Anfragen mithilfe Ihrer Anmeldeinformationen kryptografisch signieren können. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen zur Verwendung der empfohlenen Methode, um Anfragen selbst zu signieren, finden Sie im IAMBenutzerhandbuch unter AWS API Anfragen signieren.

Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise zusätzliche Sicherheitsinformationen angeben. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center Benutzerhandbuch und Verwenden der Multi-Faktor-Authentifizierung (MFA) AWS im IAM Benutzerhandbuch.

Wenn Sie sich als Benutzer anmelden IAM

Ein IAMBenutzer ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wir empfehlen, sich nach Möglichkeit auf temporäre Anmeldeinformationen zu verlassen, anstatt IAM Benutzer mit langfristigen Anmeldeinformationen wie Passwörtern und Zugriffsschlüsseln zu erstellen. Wenn Sie jedoch spezielle Anwendungsfälle haben, für die langfristige Anmeldeinformationen von IAM Benutzern erforderlich sind, empfehlen wir, die Zugriffsschlüssel abwechselnd zu verwenden. Weitere Informationen finden Sie im Benutzerhandbuch unter Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, für die IAM langfristige Anmeldeinformationen erforderlich sind.

Eine IAMGruppe ist eine Identität, die eine Sammlung von IAM Benutzern spezifiziert. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise einer Gruppe einen Namen geben IAMAdminsund dieser Gruppe Berechtigungen zur Verwaltung von IAM Ressourcen erteilen.

Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie unter Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt werden? im IAMBenutzerhandbuch.

Wenn Sie eine IAM Rolle übernehmen

Eine IAMRolle ist eine Identität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt. Sie ähnelt einem IAM Benutzer, ist jedoch keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM Rolle in der übernehmen, AWS Management Console indem Sie die Rollen wechseln. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI AWS API OR-Operation aufrufen oder eine benutzerdefinierte Operation verwendenURL. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter Verwenden von IAM Rollen im IAMBenutzerhandbuch.

IAMRollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:

  • Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle für einen externen Identitätsanbieter. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu kontrollieren, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in. IAM Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center -Benutzerhandbuch.

  • Temporäre IAM Benutzerberechtigungen — Ein IAM Benutzer oder eine Rolle kann eine IAM Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu übernehmen.

  • Kontoübergreifender Zugriff — Sie können eine IAM Rolle verwenden, um jemandem (einem vertrauenswürdigen Principal) in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen können Sie AWS-Services jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). Informationen zum Unterschied zwischen Rollen und ressourcenbasierten Richtlinien für den kontenübergreifenden Zugriff finden Sie IAMim Benutzerhandbuch unter Kontoübergreifender Ressourcenzugriff. IAM

  • Serviceübergreifender Zugriff — Einige AWS-Services verwenden Funktionen in anderen. AWS-Services Wenn Sie beispielsweise in einem Service einen Anruf tätigen, ist es üblich, dass dieser Service Anwendungen in Amazon ausführt EC2 oder Objekte in Amazon S3 speichert. Ein Dienst kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.

    • Zugriffssitzungen weiterleiten (FAS) — Wenn Sie einen IAM Benutzer oder eine Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FASverwendet die Berechtigungen des Prinzipals, der an aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. FASAnfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien beim Stellen von FAS Anfragen finden Sie unter Zugriffssitzungen weiterleiten.

    • Servicerolle — Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine.

    • Dienstbezogene Rolle — Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen erscheinen in Ihrem Dienst AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

  • Auf Amazon ausgeführte Anwendungen EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Instance ausgeführt werden und AWS API Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Instance vorzuziehen. Um einer EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

Informationen darüber, ob Sie IAM Rollen oder IAM Benutzer verwenden sollten, finden Sie im Benutzerhandbuch unter Wann sollte eine IAM Rolle (anstelle eines IAM Benutzers) erstellt werden.

Wenn Sie Richtlinien und Berechtigungen erstellen

Sie können einem Benutzer Berechtigungen erteilen, indem Sie eine Richtlinie erstellen, d. h. ein Dokument, in dem die Aktionen aufgeführt sind, die ein Benutzer ausführen kann, sowie die Ressourcen, auf die sich diese Aktionen auswirken können. Alle Aktionen oder Ressourcen, die nicht explizit erlaubt sind, werden standardmäßig verweigert. Richtlinien können erstellt und an Prinzipale (Benutzer, Benutzergruppen, von Benutzern angenommene Rollen und Ressourcen) angehängt werden.

Sie können diese Richtlinien mit einer IAM Rolle verwenden:

  • Vertrauensrichtlinie — Definiert, welcher Principal die Rolle übernehmen kann und unter welchen Bedingungen. Eine Vertrauensrichtlinie ist eine bestimmte Art von ressourcenbasierter Richtlinie für IAM Rollen. Eine Rolle kann nur eine Vertrauensrichtlinie haben.

  • Identitätsbasierte Richtlinien (intern und verwaltet) – Diese Richtlinien definieren die Berechtigungen, die der Benutzer der Rolle ausüben kann (oder denen die Ausführung verweigert wird) und für welche Ressourcen.

Verwenden Sie dieBeispiele für identitätsbasierte Richtlinien in IAM, um Ihnen bei der Definition von Berechtigungen für Ihre IAM Identitäten zu helfen. Nachdem Sie die Richtlinie gefunden haben, die Sie benötigen, wählen Sie Richtlinie anzeigen aus, um die JSON für die Richtlinie erforderliche Richtlinie anzuzeigen. Sie können das JSON Richtliniendokument als Vorlage für Ihre eigenen Richtlinien verwenden.

Anmerkung

Wenn Sie das IAM Identity Center zur Verwaltung Ihrer Benutzer verwenden, weisen Sie Berechtigungssätze in IAM Identity Center zu, anstatt einem Prinzipal eine Berechtigungsrichtlinie zuzuweisen. Wenn Sie einer Gruppe oder einen Berechtigungssatz zuweisen Benutzer im AWS IAM Identity Center, erstellt IAM Identity Center in jedem Konto entsprechende IAM Rollen und fügt diesen Rollen die im Berechtigungssatz angegebenen Richtlinien zu. IAMIdentity Center verwaltet die Rolle und ermöglicht es den von Ihnen definierten autorisierten Benutzern, die Rolle zu übernehmen. Wenn Sie den Berechtigungssatz ändern, stellt IAM Identity Center sicher, dass die entsprechenden IAM Richtlinien und Rollen entsprechend aktualisiert werden.

Weitere Informationen zu IAM Identity Center finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center Benutzerhandbuch.