Identity and Access Management in AWS Step Functions - AWS Step Functions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identity and Access Management in AWS Step Functions

Für den Zugriff auf AWS Step Functions werden Anmeldeinformationen benötigt, die AWSzur Authentifizierung Ihrer Anforderungen verwenden kann. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS-Ressourcen wie das Abrufen von Ereignisdaten von anderen AWS-Ressourcen verfügen. In den folgenden Abschnitten erfahren Sie, wie Sie ihn verwenden können.AWS Identity and Access Management(ICH BIN)und Step Functions zum Schutz Ihrer Ressourcen durch Kontrolle darüber, wer auf sie zugreifen kann:

Authentifizierung

Sie können mit einer der folgenden Identitäten auf AWS zugreifen:

  • AWSStammbenutzer des Kontos— Wenn Sie sich bei anAWSgeben Sie eine E-Mail-Adresse und ein Passwort an, die mit Ihrem -Konto verknüpft sind. Dies sind Ihre Root-Anmeldeinformationen. Sie bieten vollständigen Zugriff auf alle Ihre AWS-Ressourcen.

    Wichtig

    Aus Sicherheitsgründen empfehlen wir, die Root-Anmeldeinformationen nur zum Erstellen eines Administrators zu verwenden. Hierbei handelt es sich um einen IAM-Benutzer mit vollständigen Berechtigungen für Ihr Konto. Anschließend können Sie mit diesem Administrator andere IAM-Benutzer und -Rollen mit eingeschränkten Berechtigungen erstellen. Weitere Informationen finden Sie unter Bewährte Methoden für IAM und Erstellen eines Administratorbenutzers und einer Gruppe im IAM-Benutzerhandbuch.

  • IAM-Benutzer— EinIAM-Benutzerist eine Identität in Ihrem Konto mit bestimmten benutzerdefinierten Berechtigungen (z. B. Berechtigungen zum Senden von Ereignisdaten an ein Ziel in Step Functions). Sie können einen IAM-Benutzernamen und ein Passwort für die Anmeldung bei sicheren AWS-Webseiten verwenden. Dazu zählen beispielsweise die AWS Management Console, AWS-Diskussionsforen und das AWS Support-Center.

     

    Zusätzlich zu einem Benutzernamen und Passwort können Sie Zugriffsschlüssel für jeden Benutzer erstellen. Verwenden Sie diese Schlüssel, wenn Sie über AWSeines der verschiedenen SDKs oder über die (AWS Command Line Interface)AWS CLI programmgesteuert auf -Services zugreifen. Das SDK und die AWS CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie die AWS-Tools nicht verwenden, müssen Sie die Anfrage selbst signieren. Step Functions unterstütztSignaturversion 4, ein Protokoll für die Authentifizierung eingehender API-Anforderungen. Weitere Informationen zur Authentifizierung von Anforderungen finden Sie unter Signature Version 4-Signaturvorgang in der Allgemeinen Amazon-Web-Services-Referenz.

     

  • IAM-Rolle— EinIAM-Rolleist eine andere IAM-Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt. Es ist vergleichbar mit einemIAM-Benutzer, aber es ist nicht mit einer bestimmten Person verknüpft. Eine IAM-Rolle ermöglicht es Ihnen, temporäre Zugriffsschlüssel zu erhalten, mit denen Sie auf die AWS-Services und Ressourcen zugreifen können. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

     

    • Verbundener Benutzerzugriff – Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Identitäten von AWS Directory Service, dem Benutzerverzeichnis Ihres Unternehmens oder eines Web-Identitätsanbieters (IdP) verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen im IAM-Leitfaden.

       

    • Kontenübergreifender Zugriff— Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem anderen -Konto Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. Ein Beispiel finden Sie unter.Tutorial: Delegieren des ZugriffsAWSKonten mit IAM-Rollenin derIAM User Guide.

       

    • AWSZugriff auf Services— Sie können eine IAM-Rolle in Ihrem Konto verwenden, um eineAWSdie für den Zugriff auf die Ressourcen Ihres Kontos erforderlichen Berechtigungen verwalten. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon-S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon-Redshift-Cluster laden kann. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

       

    • Anwendungen in Amazon EC2 – Anstatt Zugriffsschlüssel in der EC2-Instance zu speichern, die von den dort ausgeführten Anwendungen zum Senden von AWS-API-Anforderungen verwendet werden, können Sie eine IAM-Rolle nutzen, um temporäre Anmeldeinformationen für diese Anwendungen zu verwalten. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle zu einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2 Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie im Thema zum Verwenden von Rollen für Anwendungen in Amazon EC2 im IAM-Benutzerhandbuch.

Zugriffskontrolle

Auch wenn Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anforderungen verfügen, können Sie die Ressourcen von Step Functions nur mit entsprechenden Berechtigungen erstellen oder darauf zugreifen. Beispielsweise benötigen Sie Berechtigungen zum Aufrufen vonAWS Lambda, Amazon Simple Notification Service (Amazon SNS) und Amazon Simple Queue Service (Amazon SQS) -Ziele, die mit Ihren Step Functions Functions-Regeln verknüpft sind.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für Step Functions beschrieben.