Authentifizierung und Zugriffskontrolle für AWS Migration Hub
Für den Zugriff auf AWS Migration Hub werden Anmeldeinformationen benötigt, die AWS zur Authentifizierung Ihrer Anforderungen verwenden kann. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS-Ressourcen, wie beispielsweise einen AWS Migration Hub ProgressUpdateStream oder eine Amazon EC2-Instance, verfügen. In den folgenden Abschnitten erfahren Sie, wie Sie Ihre Ressourcen mithilfe von AWS Identity and Access Management (IAM) und Migration Hub schützen können, indem Sie den Zugriff darauf kontrollieren:
Authentifizierung
Sie können mit einer der folgenden Identitäten auf AWS zugreifen:
-
AWS account root user – Wenn Sie ein AWS account neu erstellen, enthält es nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS services und -Ressourcen im Konto verfügt. Diese Identität wird als root user des AWS accounts bezeichnet. Um auf es zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir empfehlen dringend, den root user nicht für Ihre täglichen Aufgaben zu verwenden. Schützen Sie Ihre root user-Anmeldeinformationen und verwenden Sie sie, um die Aufgaben auszuführen, die nur der root user ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als der root user anmelden müssen, finden Sie unter Aufgaben, für die root user-Anmeldeinformationen erforderlich sind im Referenzhandbuch zu AWS Account Management.
-
IAM-Benutzer – Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmten benutzerdefinierten Berechtigungen (z. B. die Berechtigung zum Erstellen von a function in AWS Migration Hub). Sie können einen IAM-Benutzernamen und ein Passwort für die Anmeldung bei sicheren AWS-Webseiten verwenden. Dazu zählen beispielsweise die AWS Management Console
, AWS-Diskussionsforen und das AWS Support Center . Zusätzlich zu einem Benutzernamen und Passwort können Sie Zugriffsschlüssel für jeden Benutzer erstellen. Verwenden Sie diese Schlüssel, wenn Sie über eines der verschiedenen SDKs
oder über die AWS Command Line Interface (CLI) programmgesteuert auf AWS-Services zugreifen. Das SDK und die CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie keine AWS-Tools verwenden, müssen Sie die Anforderung selbst signieren. AWS Migration Hub supportsSignature Version 4 ein Protokoll für die Authentifizierung eingehender API-Anfragen. Weitere Informationen zu diesen Authentifizierungsanfragen finden Sie unter Signature Version 4-Signaturprozess im AWS General Reference. -
IAM-Rolle – Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer insofern sehr ähnlich, weil es sich hierbei um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:
-
Zugriff für verbundene Benutzer – Wenn Sie einer Verbundidentität Berechtigungen zuweisen möchten, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Bei der Authentifizierung einer Verbundidentität wird eine Identität mit der Rolle verknüpft und erhält die Berechtigungen, die von der Rolle definiert sind. Informationen zu Rollen für den Verbund finden Sie unter Erstellen einer Rolle für einen externen Identitätsanbieter im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Zur Steuerung der Elemente, auf die Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Weitere Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center-Benutzerhandbuch.
-
Zugriff auf AWS-Services: – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Namen durchzuführen. Ein IAM-Administrator kann eine Servicerolle in IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS service im IAM-Benutzerhandbuch.
-
Anwendungen, die auf Amazon EC2 ausgeführt werden: – Sie können eine IAM-Rolle nutzen, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist empfehlenswerter als Zugriffsschlüssel innerhalb der EC2 Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.
-
Zugriffskontrolle
Sie können zwar über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anforderungen verfügen, doch Sie können die AWS Migration Hub-Ressourcen nur mit entsprechenden Berechtigungen erstellen oder darauf zugreifen. Sie benötigen beispielsweise Berechtigungen zum Erstellen eines Migration Hub API-Typs ProgressUpdateStream
, zum Verwenden von AWS Application Discovery Service und zum Verwenden von AWS-Migrationstools.
In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für AWS Migration Hub beschrieben.