Übersicht über den Zugriff und die Authentifizierung - AWS Global Accelerator
Was ist Authentifizierung?Was ist Zugriffskontrolle?Was sind Richtlinien?Erste Schritte mit IAM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über den Zugriff und die Authentifizierung

Wenn neu für Sie ist, lesen Sie zum Einstieg die folgenden Themen, um mit der Autorisierung und dem Zugriff in AWS zu beginnen.

Was ist Authentifizierung?

Bei der Authentifizierung melden Sie sich mit Ihren Anmeldeinformationen bei AWS an.

Anmerkung

Wenn Sie einen schnellen Einstieg wünschen, ignorieren Sie diesen Abschnitt. Lesen Sie zunächst die einführenden Informationen zuIdentity and Access Management für AWS Global AcceleratorInformationen finden Sie unter und dann unterErste Schritte mit IAM.

Als Prinzipal müssen Sieauthentifiziert(bei AWS angemeldet) verwenden Sie eine Entität (Stammbenutzer, IAM-Benutzer oder IAM-Rolle), um eine Anforderung an AWS zu senden. Ein IAM-Benutzer kann langfristige Anmeldeinformationen wie Benutzername und Passwort oder einen Satz von Zugriffsschlüsseln haben. Wenn Sie eine IAM-Rolle annehmen, erhalten Sie temporäre Sicherheitsanmeldeinformationen.

Um sich über die AWS Management Console als Benutzer authentifizieren zu lassen, müssen Sie sich mit Ihrem Benutzernamen und Passwort anmelden. Um sich über die AWS-CLI oder AWS-API zu authentifizieren, müssen Sie Ihren Zugriffsschlüssel und den geheimen Schlüssel oder die temporären Anmeldeinformationen angeben. AWS bietet SDKs und CLI-Tools, mit denen Sie Ihre Anfrage mit Ihren Anmeldeinformationen verschlüsselt signieren können. Wenn Sie keine AWS-Tools verwenden, müssen Sie die Anforderung selbst signieren. Unabhängig von der von Ihnen verwendeten Authentifizierungsmethode müssen Sie möglicherweise auch zusätzliche Sicherheitsinformationen angeben. AWS beispielsweise empfiehlt, dass Sie die Multi-Factor Authentication (MFA) zur Erhöhung der Sicherheit Ihres Kontos nutzen.

Als Prinzipal können Sie sich bei AWS mit den folgenden Entitys (Benutzern oder Rollen) anmelden:

Stammbenutzer des AWS-Kontos

Wenn Sie ein AWS-Konto erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcen in dem Konto verfügt. Diese Identität wird als AWS-Konto-Stammbenutzer bezeichnet. Um auf den Stammbenutzer zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen bei dem bewährten -Verfahren, den Stammbenutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen. Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

IAM-Benutzer

EinIAM-BenutzerEine Entität in Ihrem AWS Konto mit spezifischen Berechtigungen. unterstützt Global Accelerator-Signaturversion 4Ein Protokoll für die Authentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anforderungen finden Sie unter Signature Version 4-Signaturprozess in der allgemeinen AWS-Referenz.

IAM-Rolle

EinIAM-RolleEine IAM-Identität ist eine -Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer ähnlich, weil es sich um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

Zugriff für verbundene Benutzer

Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Identitäten von AWS Directory Service, dem Benutzerverzeichnis Ihres Unternehmens oder von einem Web-Identitätsanbieter verwenden. Diese werden als verbundene Benutzer bezeichnet. AWS weist einem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer und Rollen im IAM Benutzerhandbuch.

Temporäre Benutzerberechtigungen

Ein IAM-Benutzer kann eine Rolle vorübergehend annehmen, um verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen.

Kontenübergreifender Zugriff

Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigen Prinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen sind die primäre Möglichkeit, um kontoübergreifenden Zugriff zu gewähren. In einigen AWS-Services können Sie jedoch eine Richtlinie direkt an eine Ressource anfügen (anstatt eine Rolle als Proxy zu verwenden). Global Accelerator unterstützt keine ressourcenbasierten Richtlinien. Weitere Informationen darüber, ob Sie eine Rolle oder eine ressourcenbasierte Richtlinie verwenden, um kontoübergreifenden Zugriff zu ermöglichen, finden Sie unter Steuern des Zugriffs auf Prinzipale in einem anderen Konto.

Zugriff auf AWS-Services

Eine Servicerolle ist eineIAM-RolleAktionen, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Ein IAM-Administrator kann eine Servicerolle in IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM Benutzerhandbuch.

Anwendungen, die auf Amazon EC2 ausgeführt werden

Sie können eine IAM-Rolle nutzen, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist empfehlenswerter als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM Benutzerhandbuch.

Was ist Zugriffskontrolle?

Nach der Anmeldung (Authentifizierung) bei AWS wird Ihr Zugriff auf AWS-Ressourcen und -Operationen durch Richtlinien geregelt. Zugriffskontrolle wird auch Autorisierung genannt.

Anmerkung

Wenn Sie einen schnellen Einstieg wünschen, ignorieren Sie diese Seite. Lesen Sie zunächst die einführenden Informationen zuIdentity and Access Management für AWS Global AcceleratorInformationen finden Sie unter und dann unterErste Schritte mit IAM.

Während der Autorisierung verwendet AWS Werte aus demAnforderungs-KontextÜberprüfen Sie nach gültigen Richtlinien. Anschließend wird anhand der Richtlinien festgelegt, ob die Anforderung zugelassen oder abgelehnt werden soll. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert und geben die Berechtigungen an, die für Prinzipale zugelassen und verweigert werden. Weitere Informationen über die Struktur und den Inhalt von JSON-Richtliniendokumenten finden Sie unter Was sind Richtlinien?.

Mit Richtlinien kann ein Administrator festlegen, welche Benutzer auf AWS Ressourcen zugreifen können und welche Aktionen sie für diese Ressourcen ausführen dürfen. Eine IAM-Entität (Benutzer oder Rolle) besitzt zunächst keine Berechtigungen. Mit anderen Worten: Benutzer können standardmäßig nichts tun, nicht einmal ihre eigenen Zugriffsschlüssel anzeigen. Um einem Benutzer die Berechtigung für eine Aktion zu erteilen, muss ein Administrator einem Benutzer eine Berechtigungsrichtlinie zuweisen. Alternativ können sie den Benutzer zu einer Gruppe hinzufügen, die über die beabsichtigten Berechtigungen verfügt. Wenn ein Administrator dann einer Gruppe Berechtigungen erteilt, erhalten alle Benutzer dieser Gruppe diese Berechtigungen.

Möglicherweise verfügen Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anfragen, aber wenn Ihnen kein Administrator Berechtigungen erteilt, können Sie keine AWS Global Accelerator Ressourcen erstellen oder darauf zugreifen. Beispielsweise müssen Sie über explizite Berechtigungen verfügen, um einen AWS Global Accelerator zu erstellen.

Als Administrator können Sie eine Richtlinie schreiben, um den Zugriff auf die folgenden Elemente zu steuern:

  • Prinzipale— Steuern Sie, welche Person oder Anwendung die Anfrage stellt (diePrinzipal) darf.

  • IAM-Identitäten— Legen Sie fest, auf welche IAM-Identitäten (Gruppen, Benutzer und Rollen) zugegriffen werden kann und wie.

  • IAM-Richtlinien— Legen Sie fest, wer kundenseitig verwaltete Richtlinien erstellen, bearbeiten und löschen und wer alle verwalteten Richtlinien anfügen und entfernen darf.

  • AWS-Ressourcen— Steuern Sie, wer über eine identitätsbasierte oder ressourcenbasierte Richtlinie Zugriff auf Ressourcen hat.

  • AWS Konten— Legen Sie fest, ob eine Anfrage nur für Mitglieder eines bestimmten Kontos zulässig ist.

Zugriffssteuerung für -Prinzipale

Berechtigungsrichtlinien steuern, welche Aktionen Sie als Prinzipal ausführen dürfen. Ein Administrator muss der Identität (Benutzer, Gruppe oder Rolle), die Ihre Berechtigungen bereitstellt, eine identitätsbasierte Berechtigungsrichtlinie zuweisen. Berechtigungsrichtlinien erlauben oder verweigern den Zugriff auf AWS. Administratoren können auch eine Berechtigungsgrenze für eine IAM-Entität (Benutzer oder Rolle) festlegen, um die maximalen Berechtigungen für diese Entität zu definieren. Berechtigungsgrenzen sind eine erweiterte IAM-Funktion. Weitere Informationen über Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Identitäten im IAM-Benutzerhandbuch.

Weitere Informationen und ein Beispiel dafür, wie der AWS Zugriff für Prinzipale gesteuert wird, finden Sie unterSteuern des Zugriffs auf PrinzipaleimIAM-Benutzerhandbuch.

Steuern des Zugriffs auf

Administratoren steuern, welche Aktionen Sie mit einer IAM-Identität (Benutzer, Gruppe oder Rolle) ausführen können, indem sie eine Richtlinie erstellen, die einschränkt, was mit einer Identität geschehen kann oder wer darauf zugreifen kann. Dann wird diese Richtlinie der Identität zugewiesen, die Ihre Berechtigungen bereitstellt.

Ein Administrator kann Ihnen beispielsweise erlauben, das Passwort für drei bestimmte Benutzer zurückzusetzen. Dazu weisen sie Ihrem IAM-Benutzer eine Richtlinie zu, die es Ihnen ermöglicht, das Passwort nur für sich selbst und Benutzer mit dem ARN der drei angegebenen Benutzer zurückzusetzen. Dies ermöglicht es Ihnen, das Passwort Ihrer Teammitglieder, aber nicht anderer IAM-Benutzer zurückzusetzen.

Weitere Informationen und ein Beispiel für die Verwendung einer Richtlinie zur Kontrolle des AWS Zugriffs auf Identitäten finden Sie unter.Steuern des Zugriffs aufimIAM-Benutzerhandbuch.

Steuern des Zugriffs auf Richtlinien

Administratoren können steuern, wer kundenseitig verwaltete Richtlinien erstellen, bearbeiten und löschen darf und wer alle verwalteten Richtlinien zuweisen und entfernen darf. Wenn Sie eine Richtlinie überprüfen, können Sie die Richtlinienübersicht anzeigen, die eine Zusammenfassung der Zugriffsebenen für jeden Service innerhalb dieser Richtlinie enthält. AWS kategorisiert jede Service-Aktion in eine von vierZugriffsebenenbasierend auf dem, was jede Aktion tut:List,Read,Write, oderPermissions management. Sie können diese Zugriffsebenen verwenden, um zu ermitteln, welche Aktionen in Ihre Richtlinien aufgenommen werden sollen. Weitere Informationen finden Sie unterZusammenfassungen auf Zugriffsebene innerhalb von RichtlinienübersichtenimIAM-Benutzerhandbuch.

Warnung

Sie sollten beschränkenPermissions Management-Berechtigungen auf Zugriffsebene in Ihrem Konto. Andernfalls können Ihre Konto-Mitglieder Richtlinien mit mehr Berechtigungen für sich selbst erstellen, als sie haben sollten. Oder sie können separate Benutzer mit vollem Zugriff auf AWS erstellen.

Weitere Informationen und ein Beispiel dafür, wie der AWS Zugriff für Richtlinien gesteuert wird, finden Sie unterSteuern des Zugriffs auf RichtlinienimIAM-Benutzerhandbuch.

Steuern des Zugriffs auf -Ressourcen

Administratoren können den Zugriff auf Ressourcen mit einer identitätsbasierten oder ressourcenbasierten Richtlinie steuern. Bei einer identitätsbasierten Richtlinie fügen Sie die Richtlinie einer Identität hinzu und geben an, auf welche Ressourcen die Identität zugreifen darf. Bei einer ressourcenbasierten Richtlinie ordnen Sie eine Richtlinie der Ressource zu, die Sie steuern möchten. Sie geben in der Richtlinie an, welche Prinzipale auf die Ressource zugreifen dürfen.

Weitere Informationen finden Sie unterSteuern des Zugriffs auf RessourcenimIAM-Benutzerhandbuch.

Ressourcenersteller verfügen nicht automatisch über Berechtigungen

Alle Ressourcen in einem Konto gehören diesem Konto, unabhängig davon, wer diese Ressourcen erstellt hat. Der Root-Benutzer des AWS Kontos ist der Kontoeigentümer und daherDie Berechtigung hat, eine -Aktion auf allen Ressourcen innerhalb des Kontos auszuführen.

Wichtig

Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Folgen Sie stattdessen derbewährte Methode, den Stammbenutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen. Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. Weitere Informationen zu den Aufgaben, die Sie nur als Stammbenutzer ausführen können, finden Sie unterAWS Aufgaben, die Root-Benutzer erfordern.

Entitys (Benutzer oder Rollen) innerhalb des AWS Kontos müssen Zugriff erhalten, um eine Ressource zu erstellen. Nur weil sie eine Ressource erstellen, bedeutet das nicht, dass sie automatisch vollen Zugriff auf diese Ressource haben. Für jede Aktion müssen Administratoren explizit Berechtigungen erteilen. Darüber hinaus können Administratoren diese Berechtigungen jederzeit widerrufen, solange sie Zugriff auf die Verwaltung von Benutzer- und Rollenberechtigungen haben.

Steuern des Zugriffs auf Prinzipale in einem anderen Konto

Administratoren können AWS Ressourcenbasierte -Richtlinien, kontoübergreifende IAM-Rollen oder den AWS Organizations service verwenden, um Prinzipalen in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen.

Bei einigen AWS -Services können Administratoren kontenübergreifenden Zugriff auf Ihre Ressourcen gewähren. Dazu fügt ein Administrator der Ressource, die er freigeben möchte, direkt eine Richtlinie an, anstatt eine Rolle als Proxy zu verwenden. Wenn der Service diesen Richtlinientyp unterstützt, dann muss die Ressource, die der Administrator freigibt, auch ressourcenbasierte Richtlinien unterstützen. Im Gegensatz zu einer benutzerbasierten Richtlinie wird bei einer ressourcenbasierten Richtlinie festgelegt, wer auf die Ressource zugreifen kann (in Form einer Liste mit ID-Nummern für das AWS Konto). Ressourcenbasierte Richtlinien werden von Global Accelerator nicht unterstützt.

Kontenübergreifender Zugriff aufgrund einer ressourcenbasierten Richtlinie verfügt gegenüber einer Rolle über einige wichtige Vorteile. Bei einer Ressource, auf die über eine ressourcenbasierte Richtlinie zugegriffen wird, arbeitet der Prinzipal (Person oder Anwendung) weiterhin im vertrauenswürdigen Konto und muss seine Benutzerberechtigungen nicht für Rollenberechtigungen aufgeben. Der Prinzipal hat also gleichzeitig Zugriff auf Ressourcen im vertrauenswürdigen Konto und im Vertrauenskonto. Dies ist nützlich für Aufgaben wie das Kopieren von Informationen von einem Konto in ein anderes. Weitere Informationen zur Verwendung kontenübergreifender Rollen finden Sie unterGewähren von Zugriff für einen IAM-Benutzer auf ein anderes AWS Konto, das Sie besitzenimIAM-Benutzerhandbuch.

AWS Organizations bieten richtlinienbasierte Verwaltung für mehrere AWS Konten, die Ihnen gehören. Organizations Sie können Gruppen von Konten erstellen, die Kontoerstellung automatisieren und Richtlinien für diese Gruppen anwenden und verwalten. Organizations ermöglichen Ihnen die zentrale Verwaltung von Richtlinien über mehrere Konten hinweg, ohne dass benutzerdefinierte Skripte und manuelle Prozesse erforderlich sind. Mithilfe von AWS Organizations können Sie Service-Kontrollrichtlinien erstellen, die eine zentrale Steuerung der AWS S-Services für mehrere AWS-Konten ermöglichen. Weitere Informationen finden Sie unterWas ist AWS Organizations?imAWS Organizations Benutzerhandbuch.

Was sind Richtlinien?

Für die Zugriffsverwaltung in AWS erstellen Sie Richtlinien und fügen sie an die IAM-Identitäten oder AWS-Ressourcen an.

Anmerkung

Wenn Sie einen schnellen Einstieg wünschen, ignorieren Sie diese Seite. Lesen Sie zunächst die einführenden Informationen zuIdentity and Access Management für AWS Global AcceleratorInformationen finden Sie unter und dann unterErste Schritte mit IAM.

Eine Richtlinie ist ein Objekt in AWS, das, einer Person oder Ressource zugeordnet, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal, z. B. ein Benutzer, eine Anforderung stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder gesperrt wird. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zur Ausführung der Aktion verwenden. Wenn eine Richtlinie beispielsweise dieGetUserEin Benutzer mit dieser Richtlinie kann Benutzerinformationen über die AWS-Managementkonsole, die AWS-CLI oder die AWS-API abrufen. Wenn Sie einen IAM-Benutzer erstellen, können Sie ihn so einrichten, dass Konsolen- oder Programmzugriff erlaubt sind. Der IAM-Benutzer kann sich mit einem Benutzernamen und Passwort an der Konsole anmelden. Oder sie können Zugriffsschlüssel verwenden, um mit der CLI oder API zu arbeiten.

Die folgenden Richtlinientypen sind nach der Häufigkeit ihres Auftretens gelistet und können beeinflussen, ob eine Anforderung zugelassen wird. Weitere Informationen finden Sie unter .RichtlinientypenimIAM-Benutzerhandbuch.

Identitätsbasierte Richtlinien

IAM-Identitäten (Benutzer, Gruppen, zu denen Benutzer gehören, und Rollen) verwaltete Richtlinien anfügen.

Ressourcenbasierte Richtlinien

Sie können Inline-Richtlinien an Ressourcen in einigen AWS -Services anhängen. Die häufigsten Beispiele für ressourcenbasierte Richtlinien sind Amazon S3 Bucket-Richtlinien und Vertrauensrichtlinien für IAM-Rollen. Ressourcenbasierte Richtlinien werden von Global Accelerator nicht unterstützt.

SCPs für Organizations

AWS Organizations Sie können eine Service Control Policy (SCP) verwenden, um eine Berechtigungsgrenze auf eine AWS-Organisation oder Organisationseinheit (OU) anzuwenden. Diese Berechtigungen gelten für alle Entitäten innerhalb der Mitgliedskonten.

Zugriffskontrolllisten (ACLs)

Mit ACLs steuern Sie, welche Prinzipale auf eine Ressource zugreifen dürfen. ACLs sind ähnlich wie ressourcenbasierten Richtlinien, obwohl sie der einzige Richtlinientyp sind, der die JSON-Richtliniendokumentstruktur nicht verwendet. Global Accelerator unterstützt keine ACLs.

Diese Richtlinienarten können als Berechtigungsrichtlinien oder Berechtigungsgrenzen kategorisiert werden.

Berechtigungsrichtlinien

Sie können einer Ressource in AWS Berechtigungsrichtlinien zuweisen, um die Berechtigungen für dieses Objekt zu definieren. Innerhalb eines einzigen Kontos wertet AWS alle Berechtigungsrichtlinien gemeinsam aus. Berechtigungsrichtlinien sind die häufigsten Richtlinien. Sie können die folgenden Richtlinientypen als Berechtigungsrichtlinien verwenden:

Identitätsbasierte Richtlinien

Wenn Sie eine verwaltete oder eingebundene Richtlinie einem IAM-Benutzer, einer Gruppe oder Rolle hinzufügen, definiert die Richtlinie die Berechtigungen für diese Entität.

Ressourcenbasierte Richtlinien

Wenn Sie einer Ressource ein JSON-Richtliniendokument zuweisen, definieren Sie die Berechtigungen für diese Ressource. Der Service muss ressourcenbasierte Richtlinien unterstützen.

Zugriffskontrolllisten (ACLs)

Wenn Sie einer Ressource eine Zugriffskontrollliste anfügen, definieren Sie eine Liste von Prinzipalen mit der Berechtigung, auf diese Ressource zuzugreifen. Die Ressource muss ACLs unterstützen.

Berechtigungsgrenzen

Mithilfe von Richtlinien können Sie die Berechtigungsgrenze für eine -Entität (Benutzer oder Rolle) definieren. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die eine Entity haben kann. Berechtigungsgrenzen sind eine erweiterte AWS Funktion. Wenn mehrere Berechtigungsgrenzen für eine Anforderung gelten, wertet AWS jede Berechtigungsgrenze separat aus. Sie können eine Berechtigungsgrenzen in den folgenden Situationen anwenden:

Organisationen

AWS Organizations Sie können eine Service Control Policy (SCP) verwenden, um eine Berechtigungsgrenze auf eine AWS-Organisation oder Organisationseinheit (OU) anzuwenden.

IAM-Benutzer oder -Rollen

Sie können eine verwaltete Richtlinie für die Berechtigungsgrenze eines Benutzers oder einer Rolle verwenden. Weitere Informationen finden Sie unterBerechtigungsgrenzen für IAM-EntitätenimIAM-Benutzerhandbuch.

Identitätsbasierte Richtlinien

Richtlinien können IAM-Identitäten zugewiesen werden. Sie können z. B. Folgendes tun:

Anfügen von Berechtigungsrichtlinien zu Benutzern oder Gruppen in Ihrem Konto

Wenn Sie einem Benutzer Berechtigungen zum Erstellen einer AWS Global Accelerator Ressource, z. B. eines Beschleunigers, erteilen möchten, können Sie einem Benutzer oder einer Gruppe, zu der der Benutzer gehört, eine Berechtigungsrichtlinie anhängen.

Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen erteilen)

Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, um einem anderen AWS-Konto (z. B. Konto B) oder einem AWS-Service kontoübergreifende Berechtigungen zu erteilen. Dazu geht er folgendermaßen vor:

  1. Konto Ein Administrator erstellt eine IAM-Rolle und fügt dieser eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

  2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

  3. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen von Konto A zugreifen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS-Service-Prinzipal sein. Somit können Sie auch einem AWS-Service die Berechtigungen zur Übernahme der Rolle erteilen.

Weitere Informationen zur Delegierung von Berechtigungen mithilfe von IAM finden Sie unterZugriffsverwaltungimIAM-Benutzerhandbuch.

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Im Folgenden finden Sie zwei Beispiele für Richtlinien, die Sie mit Global Accelerator verwenden können. Die erste Beispielrichtlinie gewährt einem Benutzer programmgesteuerten Zugriff auf alle Aktionen zum Auflisten und Beschreiben für Beschleuniger in Ihrem AWS Konto:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:List*",
                "globalaccelerator:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

Im folgenden Beispiel wird programmgesteuerter Zugriff auf dieListAcceleratorsverwenden:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:ListAccelerators",
            ],
            "Resource": "*"
        }
    ]
}

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Diese Richtlinien gestatten Ihnen zu steuern, welche Aktionen ein bestimmter Prinzipal mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Die gebräuchlichste ressourcenbasierte Richtlinie ist für einen Amazon S3 Bucket. Ressourcenbasierte Richtlinien sind eingebundene Richtlinien, die nur in der Ressource vorhanden sind. Es gibt keine verwalteten ressourcenbasierten Richtlinien.

Das Gewähren von Berechtigungen für Mitglieder von anderen AWS Konten mithilfe einer ressourcenbasierten Richtlinie hat gegenüber einer IAM-Rolle einige Vorteile. Weitere Informationen finden Sie unter Wie sich IAM-Rollen von ressourcenbasierten Richtlinien unterscheiden im IAM-Benutzerhandbuch.

Klassifizierungen auf Richtlinienzugriffsebene

In der IAM-Konsole werden Aktionen nach folgenden Zugriffsebenenklassifizierungen gruppiert:

Liste

List Berechtigung zum Auflisten von Ressourcen innerhalb des Services, um zu bestimmen, ob ein Objekt vorhanden ist. Aktionen mit dieser Zugriffsebene können Objekte auflisten, aber nicht die Inhalte einer Ressource sehen. Die meisten Aktionen der Zugriffsebene Liste können nicht in einer bestimmten Ressource ausgeführt werden. Beim Erstellen einer Richtlinienanweisung mit diesen Aktionen müssen Sie All resources (Alle Ressourcen) angeben ("*").

Lesen

Bietet die Berechtigung zum Lesen, jedoch nicht zum Bearbeiten der Inhalte und Attribute der Ressourcen innerhalb des Services. Beispielsweise sind die Amazon S3 OperationenGetObjectundGetBucketLocationverfügen über dieLesen-Zugriffsebene.

Write

Stellt die Berechtigung zum Erstellen, Löschen oder Ändern von Ressourcen innerhalb des Services bereit. Beispielsweise sind die Amazon S3 OperationenCreateBucket,DeleteBucket, undPutObjectverfügen über dieWrite-Zugriffsebene.

Verwaltung von Berechtigungen

Stellt die Berechtigung zum Erteilen oder Ändern von Ressourcenberechtigungen im Service bereit. Beispielsweise verfügen die meisten Richtlinienaktionen für IAM und AWS Organizations über dieVerwaltung von Berechtigungen-Zugriffsebene.

Tip

Zur Verbesserung der Sicherheit Ihres AWS Kontos beschränken Sie Richtlinien mit demVerwaltung von BerechtigungenKlassifizierung auf Zugriffsebene.

Markieren

Bietet die Berechtigung zum Erstellen, Löschen oder Ändern von Tags, die einer Ressource innerhalb des Services zugeordnet sind. Zum Beispiel kann der Amazon EC2CreateTagsundDeleteTags-Operationen haben dieMarkieren-Zugriffsebene.

Erste Schritte mit IAM

AWS Identity and Access Management (IAM) ist ein AWS -Service, der es Ihnen ermöglicht, den Zugriff auf Services und Ressourcen sicher zu verwalten. IAM ist eine Funktion Ihres AWS Kontos, die ohne zusätzliche Gebühren verfügbar ist.

Anmerkung

Lesen Sie sich die einführenden Informationen unter durch, bevor Sie mit IAM beginnen.Identity and Access Management für AWS Global Accelerator.

Wenn Sie ein AWS-Konto erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcen in dem Konto verfügt. Diese Identität wird als AWS-Konto-Stammbenutzer bezeichnet. Um auf den Stammbenutzer zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen bei dem bewährten -Verfahren, den Stammbenutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen. Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

Erstellen Sie Ihren IAM-Admin-Benutzer

So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einer Administratorengruppe hinzu (Konsole)

  1. Melden Sie sich bei der IAM-Konsole als Kontoinhaber an, indem Sie Root user (Stammbenutzer) auswählen und die E-Mail-Adresse Ihres AWS-Kontos eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Anmerkung

    Wir empfehlen nachdrücklich, die bewährten Methoden mit demAdministratorIAM-Benutzer, der die Anmeldeinformationen des Stammbenutzers an einem sicheren Ort ablegt. Melden Sie sich als Stammbenutzer an, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

  2. Wählen Sie im Navigationsbereich Users und dann Add User aus.

  3. Geben Sie unter Benutzername Administrator als Benutzernamen ein.

  4. Markieren Sie das Kontrollkästchen neben AWS Management Console access (Zugriff auf AWS-Managementkonsole). Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach Ihr neues Passwort in das Textfeld ein.

  5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, um dem neuen Benutzer zu ermöglichen, sein Kennwort nach der Anmeldung zurückzusetzen.

  6. Klicken Sie aufWeiter: Berechtigungen

  7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer der Gruppe hinzufügen) aus.

  8. Wählen Sie Create group (Gruppe erstellen) aus.

  9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname) Administrators ein.

  10. Klicken Sie aufFilterrichtlinienWählen Sie und dann aus.AWS verwaltet - Auftragsfunktion, um den Tabelleninhalt zu filtern.

  11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen AdministratorAccess. Wählen Sie dann Create group aus.

    Anmerkung

    Sie müssen IAM-Benutzer- und Rollenzugriff auf Billing aktivieren, bevor Sie die AdministratorAccess-Berechtigungen für den Zugriff auf die AWS Billing and Cost Management-Konsole verwenden können. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

  12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie Refresh auswählen, damit die Gruppe in der Liste angezeigt wird.

  13. Klicken Sie aufWeiter: Tags.

  14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tagging von IAM-Entitäten im IAM-Benutzerhandbuch.

  15. Klicken Sie aufWeiter: PrüfenUm eine Liste der Gruppenmitgliedschaften anzuzeigen, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Kontoressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungen eines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unter Zugriffsverwaltung und Beispielrichtlinien.

Erstellen Sie delegierter Benutzer für Global Accelerator

Um mehrere Benutzer in Ihrem AWS Konto zu unterstützen, müssen Sie die Berechtigung delegieren, damit andere Personen nur die Aktionen ausführen können, die Sie zulassen möchten. Dazu erstellen Sie eine IAM-Gruppe mit den Berechtigungen, die diese Menschen benötigen, und fügen Sie dann IAM-Benutzer den erforderlichen Gruppen hinzu, sobald sie erstellt werden. Sie können diesen Prozess verwenden, um die Gruppen, Benutzer und Berechtigungen für Ihr gesamtes AWS Konto einzurichten. Diese Lösung eignet sich am besten für kleine und mittlere Organisationen, in denen ein AWS Administrator die Benutzer und Gruppen manuell verwalten kann. Für große Organisationen können SieBenutzerdefinierte IAM-Rollen,Verbund, oderSingle Sign-On.

Im folgenden Verfahren erstellen Sie drei Benutzer mit dem Namenarnav,carlos, undmarthaund fügen Sie eine Richtlinie an, die die Berechtigung zum Erstellen eines Beschleunigers mit dem Namenmy-example-accelerator, aber nur innerhalb der nächsten 30 Tage. Verwenden Sie die hier aufgeführten Maßnahmen zum Hinzufügen von Benutzern mit unterschiedlichen Berechtigungen.

So erstellen Sie einen delegierten Benutzer für eine andere Person (Konsole):

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Users und dann Add User aus.

  3. Geben Sie unter Benutzername arnav als Benutzernamen ein.

  4. Wählen Sie Add another user (Weiteren Benutzer hinzufügen) und geben Sie carlos als Namen des zweiten Benutzers ein. Wählen Sie Add another user (Weiteren Benutzer hinzufügen) und geben Sie martha als Namen des dritten Benutzers ein.

  5. Aktivieren Sie das Kontrollkästchen nebenZugriff auf AWS Management ConsoleWählen Sie und dann aus.Autogenerated password.

  6. Löschen Sie das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen), um dem neuen Benutzer zu ermöglichen, das Kennwort nach der Anmeldung zurückzusetzen.

  7. Klicken Sie aufWeiter: Berechtigungen

  8. Wählen Sie Vorhandene Richtlinien direkt zuordnen. Sie erstellen eine neue verwaltete Richtlinie für die Benutzer.

  9. Klicken Sie auf Create Policy.

    Auf einer neuen Registerkarte oder in einem neuen Browserfenster wird der Assistent Richtlinie erstellen geöffnet.

  10. Wählen Sie auf der Registerkarte Visual editor (Visueller Editor) die Option Choose a service (Wählen Sie einen Service) aus. Wählen Sie anschließend Global Accelerator aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken.

    Die-Servicewird geschlossen, und derAktionenwird automatisch geöffnet.

  11. Wählen Sie die Aktionen des globalen Beschleunigers aus, die Sie zulassen möchten. Geben Sie beispielsweise ein, um die Berechtigung zum Erstellen eines Beschleunigers zu erteilen,globalaccelerator:CreateAcceleratorimFilteraktionen-Textfeld verwenden. Wenn die Liste der globalen Accelerator-Aktionen gefiltert ist, aktivieren Sie das Kontrollkästchen nebenglobalaccelerator:CreateAccelerator.

    Die globalen Accelerator-Aktionen sind nach Zugriffsebenenklassifizierung gruppiert. So wird es für Sie einfacher, die von jeder Aktion bereitgestellte Zugriffsebene zu bestimmen. Weitere Informationen finden Sie unter Klassifizierungen auf Richtlinienzugriffsebene.

  12. Wenn die Aktionen, die Sie in den vorherigen Schritten festgelegt haben, die Auswahl bestimmter Ressourcen nicht unterstützen, dann wirdAlle Ressourcenfür Sie ausgewählt ist. In diesem Fall können Sie diesen Abschnitt nicht bearbeiten.

    Wenn Sie eine oder mehrere Aktionen auswählen, die Berechtigungen auf Ressourcenebene unterstützen, listet der visuelle Editor diese Ressourcentypen im Abschnitt Ressourcen auf. Klicken Sie aufSie haben Aktionen ausgewählt, die die-Accelerator-Ressourcentyp, um einzustellen, ob Sie einen bestimmten Accelerator für Ihre Richtlinie eingeben möchten.

  13. Wenn Sie die Aktion globalaccelerator:CreateAccelerator für alle Ressourcen erlauben möchten, wählen Sie All resources (Alle Ressourcen) aus.

    Wenn Sie eine Ressource angeben möchten, wählen Sie Add ARN (ARN hinzufügen) aus. Geben Sie die Region und die Konto-ID (oder Konto-ID) an (oder wählen SieAlle), und geben Sie dannmy-example-acceleratorfür die Ressource. Wählen Sie dann Add (Hinzufügen) aus.

  14. Wählen Sie Specify request conditions (optional) (Anforderungsbedingungen angeben (optional)) aus.

  15. Klicken Sie aufHinzufügen einer BedingungErteilt die Berechtigung zum Erstellen eines Acceleratorsinnerhalb der nächsten 7 Tage. Angenommen, heute ist der 1. Januar 2019.

  16. Wählen Sie für Condition Key (Bedingungsschlüssel) aws: CurrentTime aus. Dieser Bedingungsschlüssel prüft das Datum und die Uhrzeit, zu der der Benutzer die Anfrage erstellt. Er gibt „true“ zurück (und erlaubt die Aktion globalaccelerator:CreateAccelerator somit nur, wenn das Datum und die Uhrzeit innerhalb des angegebenen Bereichs liegen.)

  17. FürQualifierbehalten Sie den Standardwert bei.

  18. Um den Beginn des zulässigen Datums und Zeitraums festzulegen, wählen Sie für Operator DateGreaterThan aus. Geben Sie dann unter Wert 2019-01-01T00:00:00Z ein.

  19. Wählen Sie Hinzufügen aus, um Ihre Bedingung zu speichern.

  20. Wählen Sie Eine weitere Bedingung hinzufügen aus, um das Enddatum anzugeben.

  21. Gehen Sie analog vor, um das Ende des zulässigen Datums und Zeitbereichs anzugeben. Wählen Sie für Condition Key (Bedingungsschlüssel) aws: CurrentTime aus. Wählen Sie für Operator DateLessThan aus. Geben Sie unter Wert 2019-01-06T23:59:59Z (ein Datum, das sieben Tage nach dem ersten Datum liegt) ein. Wählen Sie dann Hinzufügen aus, um Ihre Bedingung zu speichern.

  22. (Optional) Um das JSON-Richtliniendokument für die Richtlinie, die Sie erstellen, anzuzeigen, wählen Sie das KontrollkästchenJSON-Registerkarte. Sie können jederzeit zwischen den Registerkarten Visual editor (Visueller Editor) und JSON wechseln. Wenn Sie jedoch Änderungen vornehmen oderÜberprüfen der RichtlinieimVisual editor (Visueller Editor)kann IAM Ihre Richtlinie umstrukturiert, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unterUmstrukturierung einer RichtlinieimIAM-Benutzerhandbuch.

  23. Wählen Sie, wenn Sie fertig sind, Review policy (Richtlinie überprüfen) aus.

  24. Klicken Sie auf derÜberprüfen der RichtlinieSeite, fürNameGeben Sie ein,globalaccelerator:CreateAcceleratorPolicy. Geben Sie für Beschreibung den Text Policy to grants permission to create an accelerator ein. Überprüfen Sie die Richtlinienzusammenfassung, um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben, und wählen Sie dann Create policy (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.

  25. Kehren Sie zur ursprünglichen Registerkarte oder zum ursprünglichen Fenster zurück und aktualisieren Sie die Liste der Richtlinien.

  26. Geben Sie in das Suchfeld globalaccelerator:CreateAcceleratorPolicy ein. Aktivieren Sie das Kontrollkästchen neben der neuen Richtlinie. Klicken Sie dann auf Next Step.

  27. Klicken Sie aufWeiter: PrüfenWählen Sie eine Vorschau Ihrer neuen Benutzer aus. Wenn Sie bereit sind, fortzufahren, wählen Sie Create users (Benutzer erstellen) aus.

  28. Laden Sie die Passwörter für Ihre neuen Benutzer herunter oder kopieren sie und übermitteln Sie sie sicher an die Benutzer. Stellen Sie Ihren Benutzern separat eineLink zu Ihrer IAM-BenutzerkonsolenseiteWählen Sie die Benutzernamen aus, die Sie soeben erstellt haben.

Berechtigen Sie Benutzern, ihre Anmeldeinformationen selbst zu verwalten

Sie müssen über physischen Zugriff auf die Hardware verfügen, die als Host für das virtuelle MFA-Gerät des Benutzers dient, um MFA konfigurieren zu können. Beispielsweise können Sie MFA für einen Benutzer konfigurieren, der ein virtuelles MFA-Gerät verwendet, das auf einem Smartphone ausgeführt wird. In diesem Fall müssen Sie das Smartphone zur Verfügung haben, um den Assistenten zu beenden. Aus diesem Grund kann es sinnvoll sein, die Konfiguration und Verwaltung der virtuellen MFA-Geräte von den Benutzern selbst vornehmen zu lassen. In diesem Fall müssen Sie den Benutzern die Berechtigungen zur Ausführung der erforderlichen IAM-Aktionen erteilen.

So erstellen Sie eine Richtlinie, um die Selbstverwaltung von Anmeldeinformationen (Konsole) zu erlauben:

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen) aus.

  3. Wählen Sie die Registerkarte JSON aus und kopieren Sie den Text aus dem folgenden JSON-Richtliniendokument. Fügen Sie den folgenden Text in das JSON-Eingabefeld ein.

    Wichtig

    Diese Beispielrichtlinie erlaubt es Benutzern nicht, ein Passwort beim Anmelden zurückzusetzen. Neue Benutzer und Benutzer mit einem abgelaufenen Passwort könnten dies versuchen. Sie können dies erlauben, indem Sie iam:ChangePassword und iam:CreateLoginProfile der Anweisung BlockMostAccessUnlessSignedInWithMFA hinzufügen. Allerdings wird dies von IAM von nicht empfohlen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAccounts",
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:CreateAccessKey",
                "iam:CreateLoginProfile",
                "iam:DeleteAccessKey",
                "iam:DeleteLoginProfile",
                "iam:GetLoginProfile",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:UpdateLoginProfile",
                "iam:ListSigningCertificates",
                "iam:DeleteSigningCertificate",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate",
                "iam:ListSSHPublicKeys",
                "iam:GetSSHPublicKey",
                "iam:DeleteSSHPublicKey",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:ListVirtualMFADevices",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListSSHPublicKeys",
                "iam:ListAccessKeys",
                "iam:ListServiceSpecificCredentials",
                "iam:ListMFADevices",
                "iam:GetAccountSummary",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

    Was macht diese Richtlinie?

    • DieAllowAllUsersToListAccountsDie -Anweisung ermöglicht dem Benutzer, grundlegende Informationen zum Konto und dessen Benutzern in der IAM-Konsole anzuzeigen. Diese Berechtigungen müssen in ihrer eigenen Anweisung vorliegen, da sie keine Ressourcen-ARN unterstützen oder eine bestimmte Ressourcen-ARN angeben müssen und stattdessen "Resource" : "*" angeben.

    • DieAllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation-Anweisung ermöglicht dem Benutzer, seine eigenen Informationen zu Benutzer, Passwort, Zugriffsschlüsseln, Signaturzertifikaten, öffentlichen SSH-Schlüsseln und MFA in der IAM-Konsole zu verwalten. Zudem können sich Benutzer zum ersten Mal anmelden, wenn ein Administrator sie auffordert, ein erstmaliges Passwort festzulegen. Der Ressourcen-ARN begrenzt die Nutzung dieser Berechtigungen auf die eigene IAM-Benutzerentität des Benutzers.

    • Die AllowIndividualUserToViewAndManageTheirOwnMFA-Anweisung ermöglicht dem Benutzer, sein eigenes MFA-Gerät anzuzeigen oder zu verwalten. Beachten Sie, dass die Ressourcen-ARNs in dieser Anweisung nur Zugriff auf ein MFA-Gerät oder einen Benutzer gestatten, das bzw. der exakt denselben Namen wie der aktuell angemeldete Benutzer hat. Benutzer können nur ihr eigenes MFA-Gerät erstellen oder ändern.

    • Die AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA-Anweisung ermöglicht dem Benutzer nur, sein eigenes MFA-Gerät zu deaktivieren. Dies jedoch nur, wenn der Benutzer sich über die MFA angemeldet hat. Dadurch wird verhindert, dass andere, die nur über die Zugriffsschlüssel (und nicht über das MFA-Gerät) verfügen, das MFA-Gerät deaktivieren und das Konto aufrufen.

    • DieBlockMostAccessUnlessSignedInWithMFA-Anweisung verwendet eine Kombination aus"Deny"und"NotAction", um den Zugriff auf alle bis auf einige Aktionen in IAM und anderen AWS -Services zu verweigernifder Benutzer ist nicht bei MFA angemeldet. Weitere Informationen zur Logik für diese Anweisung finden Sie unterNotAction mit DenyimIAM-Benutzerhandbuch. Wenn der Benutzer mit MFA angemeldet ist, schlägt der "Condition"-Test fehl. Die endgültige "deny"-Anweisung hat keine Auswirkung und andere Richtlinien oder Anweisungen für den Benutzer bestimmen die Berechtigungen des Benutzers. Diese Anweisung stellt sicher, dass ein nicht mit MFA angemeldeter Benutzer nur die aufgeführten Aktionen durchführen kann, und zwar auch nur dann, wenn eine andere Anweisung oder Richtlinie den Zugriff auf diese Aktionen erlaubt.

      Die ...IfExists-Version des Bool -Operators stellt sicher, dass bei fehlendem aws:MultiFactorAuthPresent-Schlüssel die Bedingung den Wert "True" zurückgibt. Dies bedeutet, dass einem Benutzer, der mit langfristigen Anmeldeinformationen auf eine API zugreift, wie z. B. einem Zugriffsschlüssel, der Zugriff auf die Nicht-IAM-API-Operationen verweigert wird.

  4. Wählen Sie, wenn Sie fertig sind, Review policy (Richtlinie überprüfen) aus.

  5. Geben Sie auf der Seite Review (Prüfen) als Richtliniennamen Force_MFA ein. Geben Sie für die RichtlinienbeschreibungThis policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.Überprüfen der RichtlinieÜbersichtWählen Sie dann die von Ihrer Richtlinie gewährten Berechtigungen aus, und wählen SieRichtlinie erstellenverwenden, um Ihre Eingaben zu speichern.

    Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt und ist bereit.

So fügen Sie die Richtlinie an einen Benutzer an (Konsole):

  1. Klicken Sie im Navigationsbereich auf Users.

  2. Wählen Sie den Namen des Benutzers (nicht das Kontrollkästchen) aus, den Sie bearbeiten möchten.

  3. Wählen Sie auf der Registerkarte Permissions die Option Add permissions.

  4. Wählen Sie Vorhandene Richtlinien direkt zuordnen.

  5. Geben Sie in das Suchfeld Force ein und aktivieren Sie dann in der Liste das Kontrollkästchen neben Force_MFA. Klicken Sie dann auf Next (Weiter): Prüfen.

  6. Prüfen Sie die Änderungen und wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

Aktivieren von MFA für Ihren IAM-Benutzer

Aus Sicherheitsgründen empfehlen wir, Ihre Global Accelerator-Ressourcen durch Multi-Factor Authentication (MFA) zu schützen. MFA bietet zusätzliche Sicherheit, da Benutzer zusätzlich zu ihren regulären Anmeldeinformationen eine eindeutige Authentifizierung von einem von AWS unterstützten MFA Gerät bereitstellen müssen. Das sicherste AWS MFA Gerät ist der U2F-Sicherheitsschlüssel. Wenn Ihr Unternehmen bereits über U2F-Geräte verfügt, empfehlen wir, dass Sie diese Geräte für AWS aktivieren. Andernfalls müssen Sie ein Gerät für jeden Ihrer Benutzer kaufen und warten, bis die Hardware eintrifft. Weitere Informationen finden Sie unterAktivieren eines U2F-SicherheitsschlüsselsimIAM-Benutzerhandbuch.

Wenn Sie noch kein U2F-Gerät haben, können Sie schnell und kostengünstig die ersten Schritte durchführen, indem Sie ein virtuelles MFA-Gerät aktivieren. Dies erfordert die Installation einer Softwareanwendung auf einem vorhandenen Smartphone oder einem anderen Mobilgerät. Die Vorrichtung erzeugt einen sechsstelligen numerischen Code basierend auf einem zeitsynchronisierten Einmalpasswortalgorithmus. Wenn sich der Benutzer bei AWS anmeldet, wird er aufgefordert, auf dem Gerät einen Code einzugeben. Jedes virtuelle MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code auf dem virtuellen MFA-Gerät eines anderen Benutzers eingeben. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter Multifaktor-Authentifizierung.

Anmerkung

Sie müssen über physischen Zugriff auf das mobile Gerät verfügen, das als Host für das virtuelle MFA Gerät des Benutzers dient, um MFA für einen IAM-Benutzer konfigurieren zu können.

So aktivieren Sie ein virtuelles MFA Gerät für einen IAM-Benutzer (Konsole)

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Wählen Sie in der Liste User Name (Benutzername) den Namen des gewünschten MFA-Benutzers aus.

  4. Wechseln Sie zur Registerkarte Security credentials (Sicherheitsanmeldeinformationen). Wählen Sie neben Assigned MFA device (Zugeordnetes MFA-Gerät) die Option Manage (Verwalten).

  5. Wählen Sie im Assistenten Manage MFA Device (MFA-Gerät verwalten) die Option Virtual MFA device (Virtuelles MFA-Gerät) und dann Continue (Weiter) aus.

    IAM generiert Konfigurationsinformationen für das virtuelle MFA Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des "geheimen Konfigurationsschlüssels", der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

  6. Öffnen Sie Ihre virtuelle MFA-App.

    Eine Liste der Anwendungen, die Sie zum Hosten von virtuellen MFA-Geräten verwenden können, finden Sie unter Multi-Factor Authentication. Wenn die virtuelle MFA-App mehrere Konten (mehrere virtuelle MFA-Geräte) unterstützt, wählen Sie die Option zum Erstellen eines neuen Kontos (eines neues virtuellen MFA-Geräts) aus.

  7. Stellen Sie fest, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:

    • Wählen Sie im Assistenten Show QR code (QR-Code anzeigen) und verwenden Sie dann die App, um den QR-Code zu scannen. Sie können beispielsweise das Kamerasymbol oder eine Anwendung wie z. B. Scan Code (Code scannen) auswählen und dann mit der Kamera des Geräts den Code scannen.

    • Wählen Sie im Assistenten Manage MFA Device (MFA-Gerät verwalten) Show secret key (Geheimschlüssel anzeigen) aus und geben Sie dann den Geheimschlüssel in Ihrer MFA-Anwendung ein.

    Wenn Sie fertig sind, beginnt das virtuelle MFA-Gerät, einmalige Passwörter zu generieren.

  8. Geben Sie im Assistenten Manage MFA Device (MFA-Gerät verwalten) im Feld MFA Code 1 (MFA-Code 1) das am virtuellen MFA-Gerät angezeigte einmalige Passwort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite einmalige Passwort in das Feld MFA Code 2 (MFA-Code 2) ein. Klicken Sie auf Assign MFA (MFA zuordnen).

    Wichtig

    Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitlich begrenzten einmaligen Passwörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren. Weitere Informationen finden Sie unterResynchronisieren von virtuellen und physischen MFA-GerätenimIAM-Benutzerhandbuch.

    Das virtuelle MFA Gerät ist jetzt für die Verwendung mit AWS bereit.