Ihr Konto
IAM-relevante Ressourcen
AWS-Plattform stellt ein!
Aufregende Stellenangebote für verschiedene AWS-Plattform-Teams.
AWS Identity and Access Management (IAM)
Das AWS Identity and Access Management (IAM) ermöglicht es Ihnen, den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer sicher zu steuern. IAM ermöglicht es Ihnen, Benutzer in AWS zu erstellen und zu verwalten, und gibt Ihnen außerdem die Möglichkeit, Benutzern, die außerhalb von AWS in Ihrem Unternehmensverzeichnis verwaltet werden, Zugriff auf AWS-Ressourcen zu gewähren. IAM bietet mehr Sicherheit, Flexibilität und Kontrolle bei der Nutzung von AWS.
Für die ersten Schritte mit IAM sollten Sie die AWS Management Console ausprobieren.
IAM ermöglicht die Herstellung eines Identitätsverbunds zwischen Ihrem Unternehmensverzeichnis und den AWS-Services. Dadurch erhalten Sie die Möglichkeit, Ihre bestehenden Unternehmensidentitäten zu verwenden, um einen sicheren und direkten Zugriff auf AWS-Ressourcen wie S3-Buckets zu gewähren, ohne dass für diese Benutzer eine neue AWS-Identität angelegt werden muss. Um mehr über die Konfiguration eines Identitätsverbunds mit Ihrem Unternehmensverzeichnis zu erfahren, probieren Sie unsere Beispielanwendung aus.
IAM unterstützt jetzt den Identitätsverbund auf der AWS Management Console
Nun können Sie Ihren Benutzern programmatisch Zugriff auf die AWS Management Console einräumen. Damit können Sie Single Sign On (SSO) für die AWS Management Console aktivieren und Ihren Benutzern die Möglichkeit einräumen, AWS-Services und -Ressourcen in Ihrem Konto zu verwalten, ohne für sie neue IAM-Benutzer erstellen zu müssen. Weitere Informationen finden Sie in der Dokumentation AWS Federation.
Nun können Sie Ihren Benutzern programmatisch Zugriff auf die AWS Management Console einräumen. Damit können Sie Single Sign On (SSO) für die AWS Management Console aktivieren und Ihren Benutzern die Möglichkeit einräumen, AWS-Services und -Ressourcen in Ihrem Konto zu verwalten, ohne für sie neue IAM-Benutzer erstellen zu müssen. Weitere Informationen finden Sie in der Dokumentation AWS Federation.
Die Seite enthält die folgenden Kategorien von Informationen über IAM. Klicken Sie auf den Link, um zum Thema zu gelangen:
Funktionalität
IAM ermöglicht Ihnen ...
IAM-Benutzer und ihren Zugriff zu verwalten – In IAM können Sie Benutzer erstellen, individuelle Sicherheitsnachweise zuweisen (d. h. Zugriffsschlüssel, Kennwörter, MFA-Geräte (Multi Factor Authentication) oder temporäre Sicherheitsnachweise anfordern, um ihnen Zugriff auf AWS-Services und -Ressourcen zu gewähren. Sie können Berechtigungen verwalten, um zu steuern, welche Operationen ein Benutzer durchführen darf.
Zugriff für Verbundbenutzer verwalten – Sie können den Identitätsverbund aktivieren, um zu ermöglichen, dass bestehende Identitäten in Ihrem Unternehmen (z. B. Benutzer) auf die AWS Management Console, AWS-APIs und -Ressourcen mithilfe der umfangreichen Zugriffssteuerungen von IAM zugreifen können, ohne dass für jede Identität ein IAM-Benutzer erstellt werden muss.
Sie können den Identitätsverbund aktivieren, indem Sie temporäre Sicherheitsnachweise anfordern, die zum Signieren von Anfragen an AWS genutzt werden können. Die temporären Sicherheitsnachweise bestehen aus kurzlebigen Zugriffsschlüsseln und Sitzungs-Token, die den Schlüsseln zugewiesen sind. Die Benutzer in Ihrem Unternehmen können die Zugriffsschlüssel auf dieselbe Weise wie vorher nutzen, solange sie in den Aufrufen der AWS-APIs das Token übermitteln. Die den temporären Sicherheitsnachweisen zugewiesenen Berechtigungen entsprechen im Wesentlichen denen des IAM-Benutzers, der sie herausgegeben hat. Sie können sie weiter einschränken, indem Sie bei der Anfrage zur Erstellung weitere ausdrückliche Berechtigungen festlegen. Die Anzahl der temporären Sicherheitsnachweise, die herausgegeben werden können, ist nicht begrenzt.
So könnte ein Unternehmen beispielsweise festlegen, dass eine auf allen Mitarbeiter-Laptops laufende Anwendung tägliche Backups anfertigen und in einem mitarbeiterspezifischen Unterordner in Amazon S3 ablegen soll. Das Unternehmen könnte hierfür eine kleine Anwendung ausführen, die als "Identitäts-Broker" fungiert und für jeden Benutzer nach dessen Anmeldung beim Unternehmensnetzwerk einen temporären Sicherheitsnachweis von AWS anfordert. Dieser Nachweis könnte exakt festlegen, welche Berechtigungen gewährt werden (z. B. Schreibzugriff für einen bestimmten S3-Bucket/Ordner) und wie lange diese gültig sind (z. B. 12 Stunden). Der Nachweis würde zurück an die Backup-Anwendung auf dem Mitarbeiter-Laptop geleitet und würde so einen sicheren und direkten Zugriff auf Amazon S3 ermöglichen. Um mehr über die Konfiguration eines Identitätsverbunds mit Ihrem Unternehmensverzeichnis zu erfahren, probieren Sie unsere Beispielanwendung aus.
IAM ist in folgenden Nutzungsszenarios denkbar:
Detaillierte Zugriffssteuerung für Ihre AWS-Ressourcen: IAM ermöglicht Ihnen, den Zugriff auf AWS-Service-APIs und spezifische Ressourcen zu steuern. Darüber hinaus bietet IAM Ihnen die Möglichkeit, spezifische Bedingungen hinzuzufügen um zu steuern, wie ein Benutzer AWS verwenden kann, z. B. die Tageszeit, die ursprüngliche IP-Adresse oder die Benutzung von SSL.Identitätsverbund zwischen Ihrem Unternehmen und AWS-Services: IAM kann genutzt werden, um Ihren Mitarbeitern und Anwendungen Zugriff auf die AWS Management Console und AWS-Service-APIs zu ermöglichen, wobei Ihre bestehenden Identitätssysteme genutzt werden.
Mobile und browserbasierte Anwendungen: Sie können Ihren mobilen und Browser-basierten Anwendungen einen sicheren Zugriff auf AWS-Ressourcen ermöglichen, indem Sie temporäre Sicherheitsnachweise anfordern, die den Zugriff auf bestimmte AWS-Ressourcen nur für einen konfigurierbaren Zeitraum gewähren.
Servicemerkmale
Erweiterte Sicherheit – IAM ermöglicht den Einsatz bewährter Sicherheitsmethoden. Sie haben die Möglichkeit, jedem Benutzer eindeutige Sicherheitsnachweise zuzuordnen und festzulegen, auf welche AWS-Service-APIs und Ressourcen sie zugreifen können. IAM ist standardmäßig sicher; neue Benutzer haben keinen Zugriff auf AWS-Ressourcen, bevor explizite Berechtigungen zugewiesen werden.
Steuerung – IAM bietet die Granularität zur Steuerung des Benutzerzugriffs auf bestimmte AWS-Services und -Ressourcen (z. B. Beenden von EC2-Instanzen oder Löschen von S3-Buckets).
Nahtlose Integration mit anderen AWS-Diensten – IAM ist in die meisten AWS-Services nativ integriert.
Zuverlässig – IAM basiert auf der eigenen erstklassigen Technologie-Infrastruktur von Amazon. Wie auch die anderen Amazon Web Services, arbeitet dieser Dienst innerhalb der bewährten globalen Netzwerkinfrastruktur und der Rechenzentren von Amazon.
Funktionen
IAM stellt Funktionen zur Verwaltung des Zugriffs auf AWS-Service-APIs und -Ressourcen bereit, auf die Ihr AWS-Konto zugreifen kann, darunter folgende:
- Verwalten von IAM-Benutzern:
- Erstellen von IAM-Benutzeridentitäten – Fügen Sie IAM-Benutzer zu Ihrem AWS-Konto hinzu.
- Organisieren von IAM-Benutzern in Gruppen – Erstellen Sie Gruppen, um einfach Berechtigungen für mehrere IAM-Benutzer unter Ihrem AWS-Konto zu verwalten.
- Berechtigungen verwalten:
- Zentrale Steuerung des Benutzerzugangs – Steuern Sie, welche Operationen die einzelnen Benutzer ausführen können, beispielsweise Zugriff auf bestimmte AWS-Service-APIs und Ressourcen.
- Bedingter Benutzerzugriff – Fügen Sie Bedingungen hinzu, um zu steuern, wie Ihre Benutzer AWS nutzen können, z. B. Tageszeiten, ursprüngliche IP-Adressen oder SSL-Nutzung.
- Nachweise verwalten:
- Erstellen und Zuweisen von Sicherheitsnachweisen – Weisen Sie Ihren IAM-Benutzern Sicherheitsnachweise zu und rotieren und/oder widerrufen Sie diese Nachweise nach Bedarf.
- Erstellen temporärer Sicherheitsnachweise – Fordern Sie temporäre Sicherheitsnachweise mit konfigurierbaren Ablauffristen und Berechtigungen für Ihre IAM-Benutzer, verbundenen Benutzer oder Anwendungen an.
Preise
AWS Identity and Access Management ist eine Funktion Ihres AWS-Kontos, für die keine zusätzlichen Kosten anfallen. Sie zahlen nur für die Nutzung anderer AWS-Dienste durch ihre Benutzer.
Ressourcen
| Entwicklerressourcen |
- AWS Management Console
- WSDL
- Beispiel-Code und Bibliotheken
- Versionshinweise
- Technische Dokumentation
- Entwickler-Tools
- Community-Forum
- AWS Policy Generator
Zusätzliche Produktinformationen
Verwandte Dienstleistungen
- Auto Scaling
- AWS CloudFormation
- Amazon CloudFront
- Amazon CloudWatch
- Amazon DynamoDB
- Amazon Elastic Block Store
- Amazon Elastic Compute Cloud
- AWS Elastic Beanstalk
- Amazon ElastiCache
- Elastic Load Balancing
- Amazon Elastic MapReduce
- Amazon Relational Database Service
- Amazon Route 53
- Amazon Simple Storage Service
- Amazon Simple Email Service
- Amazon Simple Notification Service
- Amazon SQS
- Amazon SimpleDB
- Amazon Virtual Private Cloud
Detaillierte Beschreibung
Arbeiten mit AWS Identity and Access Management (IAM)
Sie können den Zugriff auf AWS mithilfe der AWS Management Console verwalten, eine webbasierte Point-and-Click-Oberfläche, mit der Sie IAM-Benutzer, Berechtigungen und Sicherheitsnachweise erstellen und verwalten können. IAM bietet darüber hinaus eine Reihe von APIs und Befehlszeilen-Tools für vollständig geskripteten Zugriff für die oben genannten Funktionen. Eine vollständige Liste verfügbarer IAM APIs finden Sie im AWS Identity and Access Management API Reference Guide. Im Folgenden sind einige der am häufigsten verwendeten APIs und ihre Funktionen aufgelistet:
Benutzer verwalten:
- CreateUser: Erstellt einen IAM-Benutzer mit einem Benutzernamen Ihrer Wahl. Der Benutzername ist eine Zeichenfolge, die im dazugehörigen AWS-Konto eindeutig sein muss.
- CreateGroup: Erstellt eine Gruppe mit einem Gruppennamen Ihrer Wahl.
- AddUserToGroup: Fügt einen Benutzer zur angegebenen Gruppe hinzu.
- RemoveUserFromGroup: Entfernt einen IAM-Benutzer aus der angegebenen Gruppe.
Berechtigungen verwalten:
- PutUserPolicy: Fügt ein Richtliniendokument für einen bestimmten IAM-Benutzer hinzu (oder aktualisiert es). Ein Richtliniendokument enthält eine Reihe von Berechtigungen.
- PutUserPolicy: Fügt ein Richtliniendokument für eine bestimmte Gruppe hinzu (oder aktualisiert es).
Nachweise verwalten:
- CreateAccessKey: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID und den zugehörigen geheimen Zugriffsschlüssel für einen bestimmten IAM-Benutzer. Diese Zugriffsschlüssel befähigen den IAM-Benutzer, direkte API-Aufrufe zu AWS Services durchzuführen.
- GetSessionToken: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID, den zugehörigen geheimen Zugriffsschlüssel und ein Token über einen festgelegten Zeitraum für den IAM-Benutzer, der diese API aufruft.
- GetFederationToken: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID, den zugehörigen geheimen Zugriffsschlüssel und ein Token über einen festgelegten Zeitraum sowie für Berechtigungen für einen verbundenen Benutzer bzw. verbundene Anwendungen.
Erste Schritte
Wir empfehlen, für die Nutzung von IAM das Handbuch "Erste Schritte", das Teil unserer Technischen Dokumentation ist, zu lesen. Innerhalb weniger Minuten können Sie Ihre eigenen Benutzer und Gruppen erstellen und Berechtigungen zuweisen.
Vorgesehene Verwendung und Einschränkungen
Die Nutzung dieser Dienstleistung unterliegt Ihrer Vereinbarung mit uns, die Ihre Verwendung von AWS regelt. Weitere Einzelheiten können Sie der Amazon-Web-Services-Lizenzvereinbarung entnehmen.
©2011, Amazon.com, Inc. oder Tochtergesellschaften.
