Berechtigungssatz erstellen - AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit den geringsten Rechten anwendet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungssatz erstellen

Berechtigungssätze werden im IAM Identity Center gespeichert und definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können. AWS-Konto Der erste Berechtigungssatz, den Sie erstellen, ist der Administratorberechtigungssatz. Wenn Sie einen der Erste Schritte mit Tutorials bereits erstellten Administratorberechtigungssätze abgeschlossen haben. Gehen Sie wie folgt vor, um Berechtigungssätze zu erstellen, wie im Thema AWS Verwaltete Richtlinien für Jobfunktionen im IAM-Benutzerhandbuch beschrieben.

  1. Führen Sie einen der folgenden Schritte aus, um sich bei der AWS Management Console anzumelden.

    • Neu bei AWS (Root-Benutzer) — Melden Sie sich als Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    • Verwenden Sie bereits AWS (IAM-Anmeldeinformationen) — Melden Sie sich mit Ihren IAM-Anmeldeinformationen mit Administratorrechten an.

  2. Öffnen Sie die IAM Identity Center-Konsole.

  3. Wählen Sie im Navigationsbereich von IAM Identity Center unter Berechtigungen für mehrere Konten die Option Berechtigungssätze aus.

  4. Wählen Sie Create permission set (Berechtigungssatz erstellen) aus.

    1. Wählen Sie auf der Seite Berechtigungssatztyp auswählen im Abschnitt Berechtigungssatztyp die Option Vordefinierter Berechtigungssatz aus.

    2. Wählen Sie im Abschnitt Richtlinie für vordefinierten Berechtigungssatz eine der folgenden Optionen aus:

      • AdministratorAccess

      • Fakturierung

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. Behalten Sie auf der Seite „Details zum Berechtigungssatz angeben“ die Standardeinstellungen bei und klicken Sie auf Weiter. Die Standardeinstellung beschränkt Ihre Sitzung auf eine Stunde.

  6. Bestätigen Sie auf der Seite Überprüfen und erstellen Folgendes:

    1. Unter Schritt 1: Typ des Berechtigungssatzes auswählen wird der Typ des ausgewählten Berechtigungssatzes angezeigt.

    2. Für Schritt 2: Details zum Berechtigungssatz definieren wird der Name des ausgewählten Berechtigungssatzes angezeigt.

    3. Wählen Sie Erstellen.

Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit den geringsten Rechten anwendet

Um der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten zu folgen, erstellen Sie nach der Erstellung eines Administratorberechtigungssatzes einen restriktiveren Berechtigungssatz und weisen ihn einem oder mehreren Benutzern zu. Die im vorherigen Verfahren erstellten Berechtigungssätze bieten Ihnen einen Ausgangspunkt, um zu beurteilen, wie viel Zugriff Ihre Benutzer auf Ressourcen benötigen. Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie IAM Access Analyzer ausführen, um Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine benutzerdefinierte Richtlinie schreiben oder eine Richtlinie generieren, die nur die erforderlichen Berechtigungen für Ihr Team enthält.

Mit IAM Identity Center können Sie demselben Benutzer mehrere Berechtigungssätze zuweisen. Ihrem Administratorbenutzer sollten außerdem zusätzliche, restriktivere Berechtigungssätze zugewiesen werden. Auf diese Weise können sie nur AWS-Konto mit den erforderlichen Berechtigungen auf Ihre zugreifen, anstatt immer ihre Administratorberechtigungen zu verwenden.

Wenn Sie beispielsweise Entwickler sind, können Sie nach der Erstellung Ihres Administratorbenutzers in IAM Identity Center einen neuen Berechtigungssatz erstellen, der PowerUserAccess Berechtigungen gewährt, und diesen Berechtigungssatz dann Ihnen selbst zuweisen. Im Gegensatz zum administrativen Berechtigungssatz, der AdministratorAccess Berechtigungen verwendet, ermöglicht der PowerUserAccess Berechtigungssatz keine Verwaltung von IAM-Benutzern und -Gruppen. Wenn Sie sich beim AWS Zugriffsportal anmelden, um auf Ihr AWS Konto zuzugreifen, können Sie PowerUserAccess wählen, ob Sie Entwicklungsaufgaben nicht im Konto ausführen AdministratorAccess möchten.

Beachten Sie folgende Überlegungen:

  • Verwenden Sie einen vordefinierten Berechtigungssatz anstelle eines benutzerdefinierten Berechtigungssatzes, um schnell mit der Erstellung eines restriktiveren Berechtigungssatzes zu beginnen.

    Bei einem vordefinierten Berechtigungssatz, der vordefinierte Berechtigungen verwendet, wählen Sie eine einzelne AWS verwaltete Richtlinie aus einer Liste verfügbarer Richtlinien aus. Jede Richtlinie gewährt eine bestimmte Zugriffsebene auf AWS Dienste und Ressourcen oder Berechtigungen für eine allgemeine Aufgabenfunktion. Informationen zu jeder dieser Richtlinien finden Sie unter AWS Verwaltete Richtlinien für Berufsfunktionen.

  • Sie können die Sitzungsdauer für einen Berechtigungssatz konfigurieren, um zu steuern, wie lange ein Benutzer angemeldet ist AWS-Konto.

    Wenn Benutzer sich mit ihnen verbinden AWS-Konto und die AWS Management Console oder die AWS Befehlszeilenschnittstelle (AWS CLI) verwenden, verwendet IAM Identity Center die Einstellung für die Sitzungsdauer im Berechtigungssatz, um die Dauer der Sitzung zu steuern. Standardmäßig ist der Wert für die Sitzungsdauer, die bestimmt, wie lange ein Benutzer angemeldet werden kann und AWS-Konto bevor er sich von der Sitzung AWS abmeldet, auf eine Stunde festgelegt. Sie können einen Höchstwert von 12 Stunden angeben. Weitere Informationen finden Sie unter Legen Sie die Sitzungsdauer fest.

  • Sie können auch die Sitzungsdauer des AWS Access-Portals konfigurieren, um zu steuern, wie lange ein Workforce-Benutzer beim Portal angemeldet ist.

    Standardmäßig beträgt der Wert für Maximale Sitzungsdauer, der bestimmt, wie lange ein Workforce-Benutzer beim AWS Access-Portal angemeldet werden kann, bevor er sich erneut authentifizieren muss, acht Stunden. Sie können einen Höchstwert von 90 Tagen angeben. Weitere Informationen finden Sie unter Konfigurieren Sie die Sitzungsdauer des AWS Zugriffsportals und der integrierten IAM Identity Center-Anwendungen.

  • Wenn Sie sich beim AWS Zugriffsportal anmelden, wählen Sie die Rolle aus, die Berechtigungen mit den geringsten Rechten gewährt.

    Jeder Berechtigungssatz, den Sie erstellen und Ihrem Benutzer zuweisen, wird im Access-Portal als verfügbare Rolle angezeigt. AWS Wenn Sie sich als dieser Benutzer beim Portal anmelden, wählen Sie die Rolle aus, die dem restriktivsten Berechtigungssatz entspricht, den Sie für die Ausführung von Aufgaben im Konto verwenden können, und nichtAdministratorAccess.

  • Sie können weitere Benutzer zu IAM Identity Center hinzufügen und diesen Benutzern bestehende oder neue Berechtigungssätze zuweisen.

    Weitere Informationen finden Sie unter. Weisen Sie Gruppen Zugriff zu AWS-Konto