Identitäts- und Zugriffsmanagement in AWS Control Tower - AWS Control Tower
AuthentifizierungZugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitäts- und Zugriffsmanagement in AWS Control Tower

Um jeden Vorgang in Ihrer landing zone durchzuführen, z. B. die Bereitstellung von Konten in Account Factory oder die Erstellung neuer Organisationseinheiten (OUs) in der AWS Control Tower Tower-Konsole, entweder AWS Identity and Access Management (IAM), oder Sie AWS IAM Identity Center müssen sich authentifizieren, dass Sie ein zugelassener Benutzer sind. AWS Wenn Sie beispielsweise die AWS Control Tower Tower-Konsole verwenden, authentifizieren Sie Ihre Identität, indem Sie Ihre von Ihrem Administrator bereitgestellten AWS Anmeldeinformationen angeben.

Nachdem Sie Ihre Identität authentifiziert haben, steuert IAM Ihren Zugriff AWS mit einem definierten Satz von Berechtigungen für eine bestimmte Gruppe von Vorgängen und Ressourcen. Wenn Sie ein Kontoadministrator sind, können Sie IAM verwenden, um den Zugriff anderer IAM-Benutzer auf die Ressourcen zu kontrollieren, die Ihrem Konto zugeordnet sind.

Themen

Authentifizierung

Sie haben Zugriff auf AWS eine der folgenden Arten von Identitäten:

  • AWS Kontostammbenutzer — Wenn Sie zum ersten Mal ein AWS Konto erstellen, beginnen Sie mit einer Identität, die vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Diese Identität wird als Root-Benutzer des AWS Kontos bezeichnet. Sie haben Zugriff auf diese Identität, wenn Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit dem Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Halten Sie sich stattdessen an die bewährte Methode, den Root-Benutzer nur zu verwenden, um Ihren ersten IAM Identity Center-Benutzer (empfohlen) oder Ihren ersten IAM-Benutzer (in den meisten Anwendungsfällen keine bewährte Methode) zu erstellen. Anschließend legen Sie die Anmeldedaten für den Root-Benutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. Weitere Informationen finden Sie unter Wann sollten Sie sich als Root-Benutzer anmelden.

  • IAM-Benutzer — Ein IAM-Benutzer ist eine Identität innerhalb Ihres AWS Kontos, die über spezifische, benutzerdefinierte Berechtigungen verfügt. Sie können die IAM-Benutzeranmeldedaten verwenden, um sich auf sicheren AWS Webseiten wie der AWS Management Console, den AWS Diskussionsforen oder dem AWS Support Center anzumelden. AWS Es wird empfohlen, einen IAM Identity Center-Benutzer anstelle eines IAM-Benutzers zu erstellen, da ein höheres Sicherheitsrisiko besteht, wenn Sie einen IAM-Benutzer mit langfristigen Anmeldeinformationen erstellen.

    Wenn Sie für einen bestimmten Zweck einen IAM-Benutzer erstellen müssen, können Sie zusätzlich zu den Anmeldeinformationen Zugriffsschlüssel für jeden IAM-Benutzer generieren. Sie können diese Schlüssel verwenden, wenn Sie AWS Dienste programmgesteuert aufrufen, entweder über eines der verschiedenen SDKs oder mithilfe der AWS Befehlszeilenschnittstelle (CLI). Das SDK und die CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie keine AWS Tools verwenden, müssen Sie die Anfrage selbst signieren. AWS Control Tower unterstützt Signature Version 4, ein Protokoll zur Authentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter Signaturprozess für Signature Version 4 in der AWS Allgemeinen Referenz.

  • IAM-Rolle – Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität handelt und sie über Berechtigungsrichtlinien verfügt, die festlegen, was die Identität tun kann und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

    • Föderierter Benutzerzugriff — Anstatt einen IAM-Benutzer zu erstellen, können Sie vorhandene Identitäten aus AWS Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen im IAM-Leitfaden.

    • AWS Dienstzugriff — Eine Servicerolle ist eine IAM-Rolle, die ein Dienst übernimmt, um in Ihrem Namen Aktionen in Ihrem Konto auszuführen. Wenn Sie einige AWS Serviceumgebungen einrichten, müssen Sie eine Rolle definieren, die der Dienst übernehmen soll. Diese Servicerolle muss alle Berechtigungen enthalten, die der Dienst für den Zugriff auf die benötigten AWS Ressourcen benötigt. Servicerollen unterscheiden sich von Service zu Service, aber viele erlauben Ihnen, Ihre Berechtigungen auszuwählen, solange Sie die dokumentierten Anforderungen für diesen Service erfüllen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Sie können eine Servicerolle in IAM erstellen, ändern und löschen. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon Redshift-Cluster laden kann. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst.

    • Auf Amazon EC2 ausgeführte Anwendungen — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer Amazon EC2 EC2-Instance ausgeführt werden und AWS CLI- oder AWS API-Anfragen stellen. Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der Amazon EC2 EC2-Instance vorzuziehen. Um einer Amazon EC2 EC2-Instance eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der Amazon-EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen zu erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

  • Die IAM Identity Center-Benutzerauthentifizierung im IAM Identity Center-Benutzerportal wird durch das Verzeichnis gesteuert, das Sie mit IAM Identity Center verbunden haben. Die Autorisierung der AWS Konten, die Endbenutzern vom Benutzerportal aus zur Verfügung stehen, wird jedoch von zwei Faktoren bestimmt:

    • Wem wurde der Zugriff auf diese AWS Konten in der AWS IAM Identity Center-Konsole zugewiesen. Weitere Informationen finden Sie unter Single Sign-On-Zugriff im AWS IAM Identity Center Benutzerhandbuch.

    • Welche Berechtigungen wurden den Endbenutzern in der AWS IAM Identity Center-Konsole gewährt, um ihnen den entsprechenden Zugriff auf diese Konten zu ermöglichen. AWS Weitere Informationen finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Berechtigungssätze.

Zugriffskontrolle

Um AWS Control Tower Tower-Ressourcen oder andere AWS Ressourcen in Ihrer landing zone zu erstellen, zu aktualisieren, zu löschen oder aufzulisten, benötigen Sie Berechtigungen, um den Vorgang durchzuführen, und Sie benötigen Berechtigungen für den Zugriff auf die entsprechenden Ressourcen. Darüber hinaus benötigen Sie gültige Zugriffsschlüssel, um die Operation programmgesteuert ausführen zu können.

In den folgenden Abschnitten wird beschrieben, wie Sie Berechtigungen für AWS Control Tower verwalten:

Themen