Identity and Access Management für AWS Global Accelerator - AWS Global Accelerator
Konzepte und BegriffeErforderliche Berechtigungen für den Konsolenzugriff, die Authentifizierungsverwaltung und die ZugriffssteuerungFunktionsweise von Global Accelerator mit IAMFehlerbehebung bei der Authentifizierung und Zugriffskontrolle Tagbasierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identity and Access Management für AWS Global Accelerator

AWS Identity and Access Management (IAM) ist ein AWS -Service, der es einem Administrator ermöglicht, den Zugriff auf AWS-Ressourcen, einschließlich AWS Global Accelerator Ressourcen, sicher zu steuern. Administratoren verwenden IAM, um zu steuern, werauthentifiziert(angemeldet) undAuthorized(hat Berechtigungen), um Global Accelerator-Ressourcen zu verwenden. IAM ist eine Funktion, die ohne zusätzliche Gebühren in Ihrem AWS Konto enthalten ist.

Wichtig

Wenn Sie mit IAM nicht vertraut sind, lesen Sie die Informationen auf dieser Seite und dann unterErste Schritte mit IAM. Weitere Informationen zur Authentifizierung und Zugriffskontrolle finden Sie unterWas ist Authentifizierung?,Was ist Zugriffskontrolle?, undWas sind Richtlinien?.

Themen

Konzepte und Begriffe

Authentifizierung— Um sich bei AWS anzumelden, müssen Sie eine der folgenden Optionen verwenden: Root-Benutzeranmeldeinformationen (nicht empfohlen), IAM-Benutzeranmeldeinformationen oder temporäre Anmeldeinformationen mit IAM-Rollen. Weitere Informationen zu diesen Entitys finden Sie unter Was ist Authentifizierung?.

Zugriffskontrolle— AWS Administratoren verwenden Richtlinien zum Steuern des Zugriffs auf AWS-Ressourcen, wie z. B. Beschleuniger in Global Accelerator. Weitere Informationen hierzu finden Sie unter Was ist Zugriffskontrolle? und Was sind Richtlinien?.

Wichtig

Alle Ressourcen in einem Konto gehören diesem Konto, unabhängig davon, wer diese Ressourcen erstellt hat. Sie müssen Zugang erhalten, um eine Ressource zu erstellen. Nur weil Sie eine Ressource erstellt haben, bedeutet das jedoch nicht, dass Sie automatisch vollen Zugriff auf diese Ressource haben. Ein Administrator muss explizit Berechtigungen für jede Aktion erteilen, die Sie ausführen möchten. Dieser Administrator kann Ihre Berechtigungen jederzeit wieder aufheben.

Um die Grundlagen der Funktionsweise von IAM zu verstehen, schauen Sie sich die folgenden Begriffe an:

Ressourcen

AWS -Services wie Global Accelerator und IAM umfassen typischerweise Objekte, die Ressourcen genannt werden. In den meisten Fällen können Sie diese Ressourcen erstellen, verwalten und aus dem Service löschen. Zu den IAM-Ressourcen gehören Benutzer, Gruppen, Rollen und Richtlinien:

Benutzer

Ein IAM-Benutzer stellt die Person oder Anwendung dar, die ihre Anmeldeinformationen für die Interaktion mit AWS verwendet. Ein Benutzer besteht aus einem Namen und einem Passwort zur Anmeldung bei der AWS Management Console sowie bis zu zwei Zugriffsschlüsseln, die mit der AWS-CLI oder AWS-API verwendet werden können.

Gruppen

Eine IAM-Gruppe ist eine Auswahl von IAM-Benutzern. Mithilfe von Gruppen können Administratoren Berechtigungen für Mitgliederbenutzer angeben. Dies erleichtert den Administrator die Verwaltung von Berechtigungen für mehrere Benutzer.

Rollen

Einer Rolle eine IAM-Rolle sind keine langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Eine Rolle kann bei Bedarf von jedem angenommen werden, der dazu berechtigt ist. Ein IAM-Benutzer kann eine Rolle annehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen. Verbundene Benutzer können eine Rolle übernehmen, indem sie einen externen Identitätsanbieter verwenden, der der Rolle zugeordnet ist. Einige AWS -Services können davon ausgehen, dass-ServicerolleSie können in Ihrem Namen auf AWS Ressourcen zugreifen.

Richtlinien

Richtlinien sind JSON-Dokumente, die die Berechtigungen für das Objekt definieren, mit dem sie verbunden sind. AWS unterstütztIdentitätsbasierte -RichtlinienAnfügen von Identitäten (Benutzern, Gruppen oder Rollen). Einige AWS -Services ermöglichen es Ihnen,Ressourcenbasierte -RichtlinienUm zu steuern, was ein Prinzipal (Person oder Anwendung) mit dieser Ressource machen kann. Ressourcenbasierte Richtlinien werden von Global Accelerator nicht unterstützt.

Identitäten

Identitäten sind IAM-Ressourcen, für die Sie Berechtigungen definieren können. Dies sind beispielsweise Benutzer, Gruppen und Rollen.

Entitäten

Entitys sind IAM-Ressourcen, die Sie für die Authentifizierung verwenden. Dies sind beispielsweise Benutzer und Rollen.

Prinzipale

Prinzipale In AWS ist ein Prinzipal eine Person oder Anwendung, die eine Entity verwendet, um sich anzumelden und Anforderungen an AWS zu senden. Als Prinzipal können Sie die AWS Management Console, die AWS-CLI oder die AWS-API verwenden, um einen Vorgang auszuführen (z. B. Löschen eines Accelerators). Dies erstellt eine Anforderung für diese Operation. Ihre Anfrage gibt eine Aktion, eine Ressource, einen Prinzipal und ein Prinzipalkonto an und enthält alle zusätzlichen Informationen zu Ihrer Anfrage. Alle diese Informationen stellen AWS bereitcontextfür Ihre Anfrage. AWS prüft alle Richtlinien, die für den Kontext Ihrer Anfrage gelten. AWS autorisiert die Anfrage nur, wenn sämtliche Teile der Anfrage gemäß der Richtlinien zulässig sind.

Informationen zum Anzeigen eines Diagramms des Authentifizierungs- und Zugriffskontrollprozesses finden Sie unterGrundlegendes zur Funktionsweise von IAMimIAM-Benutzerhandbuch. Weitere Informationen darüber, wie AWS bestimmt, ob eine Anfrage zulässig ist, finden Sie unterAuswertungslogik für RichtlinienimIAM-Benutzerhandbuch.

Erforderliche Berechtigungen für den Konsolenzugriff, die Authentifizierungsverwaltung und die Zugriffssteuerung

Zum Verwenden des Global Accelerator oder zur Verwaltung der Autorisierung und der Zugriffskontrolle für sich selbst oder andere Personen benötigen Sie die richtigen Berechtigungen.

Erforderliche Berechtigungen zum Erstellen eines Global Accelerator Accelerators

Um einen AWS Global Accelerator Accelerator zu erstellen, müssen Benutzer über die Berechtigung verfügen, serviceverknüpfte Rollen zu erstellen, die dem Global Accelerator zugeordnet sind.

Um sicherzustellen, dass Benutzer über die richtigen Berechtigungen zum Erstellen von Beschleunigern in Global Accelerator verfügen, fügen Sie dem Benutzer eine Richtlinie wie die folgenden an.

Anmerkung

Wenn Sie eine identitätsbasierte Berechtigungsrichtlinie erstellen, die restriktiver ist, können Benutzer mit dieser Richtlinie keine Accelerator erstellen.

{
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "globalaccelerator.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
    }

Erforderliche Berechtigungen für die Verwendung der Global Accelerator-Konsole

Um auf die AWS Global Accelerator Konsole zugreifen zu können, müssen Sie über einen Mindestsatz von Berechtigungen verfügen, mit dem Sie Details zu den Global Accelerator-Ressourcen in Ihrem AWS Konto auflisten und anzeigen können. Wenn Sie eine identitätsbasierte Berechtigungsrichtlinie erstellen, die restriktiver als die mindestens erforderlichen Berechtigungen ist, funktioniert die Konsole für Entitäten mit dieser Richtlinie nicht wie vorgesehen.

Um sicherzustellen, dass diese Entitäten dennoch die Global Accelerator Console oder API-Aktionen verwenden können, fügen Sie dem -Benutzer auch eine der folgenden von AWS verwalteten Richtlinien an, wie unterErstellen von Richtlinien auf der Registerkarte "JSON":

        GlobalAcceleratorReadOnlyAccess
        GlobalAcceleratorFullAccess

Fügen Sie die erste Richtlinie,GlobalAcceleratorReadOnlyAccess, wenn Benutzer nur Informationen in der Konsole anzeigen oder Aufrufe an die AWS CLI oder die API tätigen müssen, dieList*oder .Describe*verwenden.

Fügen Sie die zweite RichtlinieGlobalAcceleratorFullAccessan Benutzer, die Beschleuniger erstellen oder Aktualisierungen vornehmen müssen. Die Vollzugriffsrichtlinie umfasstFULLBerechtigungen für Global Accelerator sowieBeschreibenBerechtigungen für Amazon EC2 und Elastic Load Balancing.

Anmerkung

Wenn Sie eine identitätsbasierte Berechtigungsrichtlinie erstellen, die nicht die erforderlichen Berechtigungen für Amazon EC2 und Elastic Load Balancing enthält, können Benutzer mit dieser Richtlinie keine Amazon EC2- und Elastic Load Balancing-Ressourcen zu Accelerators hinzufügen.

Im Folgenden finden Sie die Richtlinie für den vollständigen Zugriff:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Erforderliche Berechtigungen für die Authentifizierungsverwaltung

Um Ihre eigenen Anmeldeinformationen wie Passwort, Zugriffsschlüssel und Multifaktor-Authentifizierungs (MFA)-Geräte zu verwalten, muss Ihnen Ihr Administrator die erforderlichen Berechtigungen erteilen. Die Richtlinie mit diesen Berechtigungen finden Sie unter Berechtigen Sie Benutzern, ihre Anmeldeinformationen selbst zu verwalten.

Als AWS Administrator benötigen Sie vollen Zugriff auf IAM, damit Sie Benutzer, Gruppen, Rollen und Richtlinien in IAM erstellen und verwalten können. Verwenden Sie die OptionAdministratorAccessVon AWS verwaltete Richtlinie, die vollen Zugriff auf alle AWS umfasst. Diese Richtlinie bietet keinen Zugriff auf die AWS Fakturierung und die Kostenverwaltungskonsole und erlaubt Aufgaben, die AWS-Kontowurzel-Benutzeranmeldeinformationen erfordern. Weitere Informationen finden Sie unterAWS Aufgaben, die AWS Kontostammbenutzer erfordernimAllgemeine AWS-Referenz.

Warnung

Nur ein Benutzer mit Administratorrechten sollte vollen Zugriff auf AWS haben. Jeder, für den diese Richtlinie gilt, hat die Berechtigung, die Authentifizierung und die Zugriffskontrolle vollständig zu verwalten, zusätzlich zur Änderung aller Ressourcen in AWS. Informationen zum Erstellen dieses Benutzers finden Sie unter Erstellen Sie Ihren IAM-Admin-Benutzer.

Für die Zugriffskontrolle erforderliche Berechtigungen

Wenn Ihr Administrator Ihnen IAM-Benutzeranmeldeinformationen zur Verfügung gestellt hat, hat er Ihrem IAM-Benutzer Richtlinien zugewiesen, die festlegen, auf welche Ressourcen Sie zugreifen können. Zum Anzeigen der Richtlinien, die Ihrer Benutzeridentität in der AWS Management Console zugewiesen wurden, benötigen Sie folgende Berechtigungen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "ListUsersViewGroupsAndPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Wenn Sie zusätzliche Berechtigungen benötigen, bitten Sie Ihren Administrator, Ihre Richtlinien zu aktualisieren, damit Sie auf die von Ihnen benötigten Aktionen zugreifen können.

Funktionsweise von Global Accelerator mit IAM

Services können auf verschiedene Weise mit IAM arbeiten:

Aktionen

Global Accelerator unterstützt die Verwendung von Aktionen in einer Richtlinie. Dadurch kann ein Administrator steuern, ob eine Entity einen Vorgang in Global Accelerator durchführen kann. Um beispielsweise einer Entität zu erlauben, dieGetPolicyAWS API-Vorgang, um eine Richtlinie anzuzeigen, muss ein Administrator eine Richtlinie zuweisen, die dieiam:GetPolicyAktion

Mit der folgenden -Beispielrichtlinie kann ein Benutzer dieCreateAccelerator, um programmgesteuert einen Beschleuniger für Ihr AWS Konto zu erstellen:

{
   "Version": "2018-08-08",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "globalaccelerator:CreateAccelerator"
         ],
         "Resource":"*"
      }
   ]
}
Berechtigungen auf Ressourcenebene

Global Accelerator unterstützt Berechtigungen auf Ressourcenebene. Berechtigungen auf Ressourcenebene ermöglichen es Ihnen, ARNs zu verwenden, um einzelne Ressourcen in der Richtlinie festzulegen.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien werden von Global Accelerator nicht unterstützt. Bei ressourcenbasierten Richtlinien können Sie eine Richtlinie an eine Ressource innerhalb des Services anfügen. Ressourcenbasierte Richtlinien umfassen einePrincipal-Element verwenden, um anzugeben, welche IAM-Identitäten auf diese Ressource zugreifen können.

Tagbasierte Autorisierung

Global Accelerator unterstützt autorisierungsbasierte Tags. Mit dieser Funktion können Sie Ressourcen-Tags in der Bedingung einer Richtlinie verwenden.

Temporäre Anmeldeinformationen

Global Accelerator unterstützt temporäre Anmeldeinformationen. Mit temporären Anmeldeinformationen können Sie sich über einen Verbund anmelden, eine IAM-Rolle oder eine kontenübergreifende Rolle übernehmen. Temporäre Sicherheitsanmeldeinformationen erhalten Sie durch Aufrufen von AWS STS API-Operationen wieAssumeRoleoder .GetFederationToken.

Serviceverknüpfte Rollen

Global Accelerator unterstützt serviceverknüpfte Rollen. Diese Funktion ermöglicht einem Service das Annehmen einer serviceverknüpften Rolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

Servicerollen

Service-Rollen werden von Global Accelerator nicht unterstützt. Diese Funktion ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Services beeinträchtigen.

Fehlerbehebung bei der Authentifizierung und Zugriffskontrolle

Verwenden Sie die folgenden Informationen, um häufige Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit IAM auftreten können.

Ich bin nicht zur Ausführung einer Aktion in Global Accelerator autorisiert

Wenn die AWS Managementkonsole Ihnen mitteilt, dass Sie nicht zur Ausführung einer Aktion autorisiert sind, müssen Sie sich an den Administrator wenden, der Ihnen Ihren Benutzernamen und Ihr Passwort mitgeteilt hat.

Das folgende Beispiel tritt auf, wenn ein IAM-Benutzer namensmy-user-nameversucht, die -Konsole zum Ausführen desglobalaccelerator:CreateAccelerator-Aktion, hat aber keine Berechtigungen:

User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-globalaccelerator:CreateAccelerator on resource: my-example-accelerator

Bitten Sie in diesem Fall Ihren Administrator, Ihre Richtlinien zu aktualisieren, damit Sie auf diemy-example-acceleratorVerwenden der -Ressourceaws-globalaccelerator:CreateAcceleratorAktion

Ich bin Administrator und möchte anderen den Zugriff auf Global Accelerator ermöglichen

Um anderen Personen oder einer Anwendung Zugriff auf Global Accelerator zu gewähren, müssen Sie eine IAM-Entität (Benutzer oder Rolle) für die Person oder Anwendung erstellen, die Zugriff benötigt. Diese verwendet dann die Anmeldeinformationen für diese Entität, um auf AWS zuzugreifen. Anschließend müssen Sie der Entität eine Richtlinie anfügen, die dieser die korrekten Berechtigungen in Global Accelerator gewährt.

Informationen zu den ersten Schritten finden Sie unter Erste Schritte mit IAM.

Ich möchte IAM verstehen, ohne ein Experte zu werden

Weitere Informationen zu IAM-Begriffen, -Konzepten und -Verfahren finden Sie in den folgenden Themen:

Tagbasierte Richtlinien

Wenn Sie IAM-Richtlinien entwerfen, können Sie detaillierte Berechtigungen festlegen, indem sie den Zugriff auf bestimmte Ressourcen gewähren. Mit zunehmender Anzahl der Ressourcen, die Sie verwalten, wird diese Aufgabe erschwert. Durch Markieren von Beschleunigern und Verwenden von Tags in Richtlinienanweisungsbedingungen lässt sich diese Aufgabe vereinfachen. Sie erteilen Massenzugriff auf einen beliebigen Beschleuniger mit einem bestimmten Tag. Anschließend wenden Sie dieses Tag wiederholt auf relevante Accelerators an, wenn Sie den Accelerator erstellen oder den Accelerator zu einem späteren Zeitpunkt aktualisieren.

Anmerkung

Das Verwenden von Tags in Bedingungen ist eine Möglichkeit zur Kontrolle des Zugriffs auf Ressourcen und Anfragen. Weitere Informationen zum Tagging in Global Accelerator finden Sie unterTaggen in AWS Global Accelerator.

Tags können einer Ressource angehängt oder in der Anfrage an Services weitergeleitet werden, die das Markieren unterstützen. In Global Accelerator können nur Beschleuniger Tags enthalten. Wenn Sie eine IAM-Richtlinie erstellen, können Sie Tag-Bedingungsschlüssel verwenden, um Folgendes zu kontrollieren:

  • Welche Benutzer Aktionen für einen Accelerator ausführen können, basierend auf bereits vorhandenen Tags.

  • Welche Tags in der Anforderung einer Aktion übergeben werden können.

  • Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.

Weitere Informationen zur vollständigen Syntax und Semantik der Tag-Bedingungsschlüssel finden Sie unterSteuern des Zugriffs mit IAM-TagsimIAM-Benutzerhandbuch.

Zum Beispiel kann der Global AcceleratorGlobalAcceleratorFullAccessDie verwaltete Benutzerrichtlinie gewährt Benutzern die uneingeschränkte Berechtigung, eine globale Accelerator-Aktion auf allen Ressourcen auszuführen. Mit der folgenden Richtlinie wird Benutzern die Berechtigung verweigert, alle Aktionen des globalen Accelerators für alleProduktion-Accelerators. Der Administrator eines Kunden muss diese IAM-Richtlinie nicht autorisierten IAM-Benutzern hinzufügen, zusätzlich zu der verwalteten Benutzerrichtlinie.

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}