IAM ermöglicht Folgendes:

IAM-Benutzer und ihren Zugriff verwalten – In IAM können Sie Benutzerkonten erstellen, individuelle Anmeldeinformationen zuweisen (d. h. Zugriffsschlüssel, Kennwörter, Multi-Factor Authentication-Geräte) oder temporäre Anmeldeinformationen anfordern, um Benutzern Zugriff auf AWS-Services und -Ressourcen zu gewähren. Sie können Berechtigungen verwalten, um zu steuern, welche Vorgänge ein Benutzer durchführen darf.

IAM-Rollen und ihre Berechtigungen verwalten – Sie können in IAM Rollen erstellen und Berechtigungen verwalten, um zu steuern, welche Vorgänge die Entität, der Benutzer oder AWS-Service, die/der der Rolle zugeordnet ist, ausführen darf.

Zugriff für Verbundbenutzer verwalten – Sie können den Identitätsverbund aktivieren, um zu ermöglichen, dass bestehende Identitäten in Ihrem Unternehmen (z. B. Benutzer) auf die AWS Management Console, AWS-APIs und -Ressourcen mithilfe der umfangreichen Zugriffssteuerungen von IAM zugreifen können, ohne dass für jede Identität ein IAM-Benutzer erstellt werden muss.

Sie können den Identitätsverbund aktivieren, indem Sie temporäre Sicherheitsnachweise anfordern, die zum Signieren von Anfragen an AWS genutzt werden können. Die temporären Sicherheitsnachweise bestehen aus kurzlebigen Zugriffsschlüsseln und Sitzungs-Token, die den Schlüsseln zugewiesen sind. Die Benutzer in Ihrem Unternehmen können die Zugriffsschlüssel auf dieselbe Weise wie vorher nutzen, solange sie in den Aufrufen der AWS-APIs das Token übermitteln. Die den temporären Sicherheitsnachweisen zugewiesenen Berechtigungen entsprechen im Wesentlichen denen des IAM-Benutzers, der sie herausgegeben hat. Sie können sie weiter einschränken, indem Sie bei der Anfrage zur Erstellung weitere ausdrückliche Berechtigungen festlegen. Die Anzahl der temporären Sicherheitsnachweise, die herausgegeben werden können, ist nicht begrenzt.

So könnte ein Unternehmen beispielsweise festlegen, dass eine auf allen Mitarbeiter-Laptops laufende Anwendung tägliche Backups anfertigen und in einem mitarbeiterspezifischen Unterordner in Amazon S3 ablegen soll. Das Unternehmen könnte hierfür eine kleine Anwendung ausführen, die als "Identitäts-Broker" fungiert und für jeden Benutzer nach dessen Anmeldung beim Unternehmensnetzwerk einen temporären Sicherheitsnachweis von AWS anfordert. Dieser Nachweis könnte exakt festlegen, welche Berechtigungen gewährt werden (z. B. Schreibzugriff für einen bestimmten S3-Bucket/Ordner) und wie lange diese gültig sind (z. B. 12 Stunden). Der Nachweis würde zurück an die Backup-Anwendung auf dem Mitarbeiter-Laptop geleitet und würde so einen sicheren und direkten Zugriff auf Amazon S3 ermöglichen. Um mehr über die Konfiguration eines Identitätsverbunds mit Ihrem Unternehmensverzeichnis zu erfahren, probieren Sie unsere Beispielanwendung aus.

IAM ist in folgenden Nutzungsszenarios denkbar:

Detaillierte Zugriffssteuerung für Ihre AWS-Ressourcen: IAM ermöglicht Ihnen, den Zugriff auf AWS-Service-APIs und spezifische Ressourcen zu steuern. Darüber hinaus bietet IAM Ihnen die Möglichkeit, spezifische Bedingungen hinzuzufügen, um zu steuern, wie Benutzer AWS nutzen können, z. B. die Uhrzeit, die ursprüngliche IP-Adresse oder die Verwendung von SSL und ob die Authentifizierung mit einem Multi-Factor Authentication-Gerät erfolgt ist.

Identitätsverbund zwischen Ihrem Unternehmen und AWS-Services: IAM kann genutzt werden, um Ihren Mitarbeitern und Anwendungen Zugriff auf die AWS Management Console und AWS-Service-APIs zu ermöglichen, wobei Ihre bestehenden Identitätssysteme genutzt werden.

Mobile und browserbasierte Anwendungen: Sie können Ihren mobilen und Browser-basierten Anwendungen einen sicheren Zugriff auf AWS-Ressourcen ermöglichen, indem Sie temporäre Sicherheitsnachweise anfordern, die den Zugriff auf bestimmte AWS-Ressourcen nur für einen konfigurierbaren Zeitraum gewähren.

Erweiterte Sicherheit – IAM ermöglicht den Einsatz bewährter Sicherheitsmethoden. Sie haben die Möglichkeit, jedem Benutzer eindeutige Sicherheitsnachweise zuzuordnen und festzulegen, auf welche AWS-Service-APIs und Ressourcen sie zugreifen können. IAM ist standardmäßig sicher; neue Benutzer haben keinen Zugriff auf AWS-Ressourcen, bevor explizite Berechtigungen zugewiesen werden.

Steuerung – IAM bietet die Granularität zur Steuerung des Benutzerzugriffs auf bestimmte AWS-Services und -Ressourcen (z. B. Beenden von EC2-Instanzen oder Löschen von S3-Buckets).

Nahtlose Integration mit anderen AWS-Diensten – IAM ist in die meisten AWS-Services nativ integriert.

Zuverlässig – IAM basiert auf der eigenen erstklassigen Technologie-Infrastruktur von Amazon. Wie auch die anderen Amazon Web Services, arbeitet dieser Dienst innerhalb der bewährten globalen Netzwerkinfrastruktur und der Rechenzentren von Amazon.

AWS Identity and Access Management ist eine Funktion Ihres AWS-Kontos, für die keine zusätzlichen Kosten anfallen. Sie zahlen nur für die Nutzung anderer AWS-Dienste durch ihre Benutzer.

Arbeiten mit AWS Identity and Access Management (IAM)

Sie können den Zugriff auf AWS mithilfe der AWS Management Console verwalten, einer grafischen Oberfläche im Browser, auf der Sie IAM-Benutzer, IAM-Benutzer, Berechtigungen sowie Anmeldeinformationen erstellen und verwalten können. IAM bietet darüber hinaus eine Reihe von APIs und Befehlszeilen-Tools für vollständig geskripteten Zugriff für die oben genannten Funktionen. Eine vollständige Liste verfügbarer IAM APIs finden Sie im AWS Identity and Access Management API Reference Guide. Im Folgenden sind einige der am häufigsten verwendeten APIs und ihre Funktionen aufgelistet:

Benutzer verwalten:

• CreateUser: Erstellt einen IAM-Benutzer mit einem Benutzernamen Ihrer Wahl. Der Benutzername ist eine Zeichenfolge, die im dazugehörigen AWS-Konto eindeutig sein muss.
• CreateGroup: Erstellt eine Gruppe mit einem Gruppennamen Ihrer Wahl.
• AddUserToGroup: Fügt einen Benutzer zur angegebenen Gruppe hinzu.
• RemoveUserFromGroup: Entfernt einen IAM-Benutzer aus der angegebenen Gruppe.

Rollen verwalten:

• CreateRole: Dient zum Erstellen einer IAM-Rolle mit dem angegebenen Namen. Der Rollenname ist eine Zeichenfolge, die im dazugehörigen AWS-Konto eindeutig sein muss.

Berechtigungen verwalten:

• PutUserPolicy: Fügt ein Richtliniendokument für einen bestimmten IAM-Benutzer hinzu (oder aktualisiert es). Ein Richtliniendokument enthält eine Reihe von Berechtigungen.
• PutRolePolicy: Fügt ein Richtliniendokument für eine bestimmte IAM-Rolle hinzu (oder aktualisiert es). Ein Richtliniendokument enthält eine Reihe von Berechtigungen.
• PutUserPolicy: Fügt ein Richtliniendokument für eine bestimmte Gruppe hinzu (oder aktualisiert es).

Nachweise verwalten:

• CreateAccessKey: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID und den zugehörigen geheimen Zugriffsschlüssel für einen bestimmten IAM-Benutzer. Diese Zugriffsschlüssel befähigen den IAM-Benutzer, direkte API-Aufrufe zu AWS Services durchzuführen.
• GetSessionToken: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID, den zugehörigen geheimen Zugriffsschlüssel und ein Token über einen festgelegten Zeitraum für den IAM-Benutzer, der diese API aufruft.
• GetFederationToken: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID, den zugehörigen geheimen Zugriffsschlüssel und ein Token über einen festgelegten Zeitraum sowie für Berechtigungen für einen verbundenen Benutzer bzw. verbundene Anwendungen.

Erste Schritte

Wir empfehlen, für die Nutzung von IAM das Handbuch "Erste Schritte", das Teil unserer Technischen Dokumentation ist, zu lesen. Binnen weniger Minuten können Sie Ihre eigenen Benutzer, Rollen und Gruppen erstellen und Berechtigungen zuweisen.

Die Nutzung dieser Dienstleistung unterliegt Ihrer Vereinbarung mit uns, die Ihre Verwendung von AWS regelt. Weitere Einzelheiten können Sie der Amazon-Web-Services-Lizenzvereinbarung entnehmen.