AWS Identity and Access Management in AWS Cloud Map - AWS Cloud Map
AuthentifizierungZugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Identity and Access Management in AWS Cloud Map

Um Aktionen an AWS Cloud Map Ressourcen durchzuführen, wie z. B. die Registrierung einer Domain oder die Aktualisierung eines Eintrags, müssen Sie AWS Identity and Access Management (IAM) authentifizieren, dass Sie ein zugelassener AWS Benutzer sind. Wenn Sie die AWS Cloud Map Konsole verwenden, authentifizieren Sie Ihre Identität, indem Sie Ihren AWS Benutzernamen und ein Passwort angeben. Wenn Sie AWS Cloud Map programmgesteuert zugreifen, authentifiziert Ihre Anwendung Ihre Identität für Sie, indem sie Zugriffsschlüssel verwendet oder Anfragen signiert.

Nachdem Sie Ihre Identität authentifiziert haben, kontrolliert IAM Ihren Zugriff auf, AWS indem es überprüft, ob Sie berechtigt sind, Aktionen durchzuführen und auf Ressourcen zuzugreifen. Wenn Sie ein Kontoadministrator sind, können Sie mithilfe von IAM den Zugriff anderer Benutzer auf die mit Ihrem Konto verknüpften Ressourcen steuern.

In diesem Kapitel wird erklärt, wie Sie IAM verwenden und wie Sie Ihre Ressourcen AWS Cloud Map schützen können.

Topics

Authentifizierung

Sie können auf eine der folgenden Arten zugreifen AWS :

  • Root-Benutzer des AWS-Kontos— Wenn Sie zum ersten Mal ein AWS Konto erstellen, beginnen Sie mit einer einzigen Anmeldeidentität, die vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Diese Identität wird als Root-Benutzer des AWS-Kontos bezeichnet. Um darauf zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, das zur Erstellung des Kontos verwendet wurde. Wenn Sie ein Konto erstellen AWS-Konto, beginnen Sie mit einer einzigen Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern im IAM-Benutzerhandbuch.

  • IAM-Benutzer — Ein IAM-Benutzer ist eine Identität in Ihrem AWS Konto, die über bestimmte benutzerdefinierte Berechtigungen verfügt (z. B. Berechtigungen zum Erstellen eines HTTP-Namespace in). AWS Cloud MapSie können Ihre IAM-Anmeldeinformationen verwenden, um AWS Webseiten wie The, Re:Post oder das AWS Management ConsoleCenter zu schützen.AWSAWS Support

    Außer Anmeldeinformationen können Sie Zugriffsschlüssel für jeden Benutzer erstellen. Sie können diese Schlüssel verwenden, wenn Sie programmgesteuert auf AWS Dienste zugreifen, entweder über eines der verschiedenen SDKs oder mithilfe von. AWS Command Line Interface Das SDK und die CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie keine AWS Tools verwenden, müssen Sie die Anfrage selbst signieren. AWS Cloud Map unterstützt Signature Version 4, ein Protokoll zur Authentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anfragen finden Sie im Benutzerhandbuch unter Signieren von AWS API-Anfragen.AWS Identity and Access Management

  • IAM-Rolle – Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

    • Föderierter Benutzerzugriff — Anstatt einen IAM-Benutzer zu erstellen, können Sie vorhandene Benutzeridentitäten aus AWS Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen im IAM-Leitfaden.

    • AWS Dienstzugriff — Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem AWS Dienst Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon Redshift-Cluster laden kann. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst.

    • Auf Amazon EC2 ausgeführte Anwendungen — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer Amazon EC2 EC2-Instance ausgeführt werden und API-Anfragen stellen AWS . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der Amazon EC2 EC2-Instance vorzuziehen. Um einer Amazon EC2 EC2-Instance eine AWS Rolle zuzuweisen und sie für alle ihre Anwendungen verfügbar zu machen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der Amazon-EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen zu erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Zugriffskontrolle

Um AWS Cloud Map Ressourcen zu erstellen, zu aktualisieren, zu löschen oder aufzulisten, benötigen Sie Berechtigungen, um die Aktion auszuführen, und Sie benötigen die Erlaubnis, auf die entsprechenden Ressourcen zuzugreifen. Darüber hinaus benötigen Sie gültige Zugriffsschlüssel, um die Aktion programmgesteuert ausführen zu können.

In den folgenden Abschnitten wird beschrieben, wie Sie Berechtigungen für verwalten AWS Cloud Map. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.