Ihr Konto
IAM-relevante Ressourcen
AWS-Plattform stellt ein!
Aufregende Stellenangebote für verschiedene AWS-Plattform-Teams.
AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) ermöglicht es Ihnen, sicher den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer zu steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern..
Erstbenutzer sollten den Abschnitt IAM Best Practices im IAM User Guide lesen. Melden Sie sich für die ersten Schritte mit IAM an der AWS Management Console an.
IAM ermöglicht auch die Herstellung eines Identitätsverbunds zwischen Ihrem Unternehmensverzeichnis und AWS-Services. Dadurch erhalten Sie die Möglichkeit, Ihre bestehenden Unternehmensidentitäten zu verwenden, um einen sicheren Zugriff auf AWS-Ressourcen wie Amazon S3-Buckets zu gewähren, ohne dass für diese Benutzer eine neue AWS-Identität angelegt werden muss. Um mehr zu erfahren, probieren Sie unsere Beispielanwendung aus.
Einführung des kontoübergreifenden API-Zugriffs für IAM-Rollen
Der kontoübergreifende API-Zugriff ist eine neue Funktion, die es Ihnen ermöglicht, den Zugriff auf AWS-Services und -Ressourcen zu delegieren. Insbesondere wird durch den kontoübergreifenden API-Zugriff das Delegieren des Zugriffs auf AWS-Services und -Ressourcen im Rahmen Ihres Kontos für IAM-Benutzer im Rahmen eines anderen AWS-Kontos ermöglicht, ohne dass Anmeldeinformationen langfristig gemeinsam genutzt werden müssen. Dadurch erhalten Sie mehr Kontrolle, und die Zugriffsverwaltung wird vereinfacht, wenn Services und Ressourcen übergreifend über mehrere AWS-Konten verwaltet werden.
Weitere Informationen finden Sie unter Delegating API Access by Using Roles im Handbuch "Using IAM".
Einfache Anmeldung.
Sie zahlen nur das, was Sie tatsächlich nutzen.
Sie zahlen nur das, was Sie tatsächlich nutzen.
Die Seite enthält die folgenden Kategorien von Informationen über IAM. Klicken Sie auf den Link, um zum Thema zu gelangen:
Funktionalität
IAM ermöglicht Folgendes:
IAM-Benutzer und ihren Zugriff verwalten – In IAM können Sie Benutzerkonten erstellen, diesen individuelle Anmeldeinformationen zuweisen (d. h. Zugriffsschlüssel, Kennwörter und Multifaktor-Authentifizierungsgeräte) oder temporäre Anmeldeinformationen anfordern, um Benutzern Zugriff auf AWS-Services und -Ressourcen zu gewähren. Sie können Berechtigungen verwalten, um zu steuern, welche Vorgänge ein Benutzer durchführen darf.
IAM-Rollen und ihre Berechtigungen verwalten – Sie können in IAM Rollen erstellen und Berechtigungen verwalten, um zu steuern, welche Vorgänge die Entität, der Benutzer oder AWS-Service, die/der der Rolle zugeordnet ist, ausführen darf. Sie können auch bestimmen, welcher Entität die Rolle zugeordnet werden darf.
Zugriff für Verbundbenutzer und ihre Berechtigungen verwalten – Sie können den Identitätsverbund aktivieren, um zu ermöglichen, dass bestehende Identitäten in Ihrem Unternehmen (z. B. Benutzer) auf die AWS Management Console zugreifen, AWS-APIs aufrufen und auf Ressourcen zugreifen können, ohne dass für jede Identität ein IAM-Benutzer erstellt werden muss.
Sie können den Identitätsverbund aktivieren, indem Sie temporäre Sicherheitsnachweise anfordern, die zum Signieren von Anfragen an AWS genutzt werden können. Die temporären Sicherheitsnachweise bestehen aus kurzlebigen Zugriffsschlüsseln und Sitzungs-Token, die den Schlüsseln zugewiesen sind. Die Benutzer in Ihrem Unternehmen können die Zugriffsschlüssel auf dieselbe Weise wie vorher nutzen, solange sie in den Aufrufen der AWS-APIs das Token übermitteln. Die den temporären Sicherheitsnachweisen zugewiesenen Berechtigungen entsprechen im Wesentlichen denen des IAM-Benutzers, der sie herausgegeben hat. Sie können sie weiter einschränken, indem Sie bei der Anfrage zur Erstellung weitere ausdrückliche Berechtigungen festlegen. Die Anzahl der temporären Sicherheitsnachweise, die herausgegeben werden können, ist nicht begrenzt.
So könnte ein Unternehmen beispielsweise festlegen, dass eine auf allen Mitarbeiter-Laptops laufende Anwendung tägliche Backups anfertigen und in einem mitarbeiterspezifischen Unterordner in Amazon S3 ablegen soll. Das Unternehmen könnte hierfür eine kleine Anwendung ausführen, die als "Identitäts-Broker" fungiert und für jeden Benutzer nach dessen Anmeldung beim Unternehmensnetzwerk einen temporären Sicherheitsnachweis von AWS anfordert. Dieser Nachweis könnte exakt festlegen, welche Berechtigungen gewährt werden (z. B. Schreibzugriff für einen bestimmten S3-Bucket/Ordner) und wie lange diese gültig sind (z. B. 12 Stunden). Der Nachweis würde zurück an die Backup-Anwendung auf dem Mitarbeiter-Laptop geleitet und würde so einen sicheren und direkten Zugriff auf Amazon S3 ermöglichen. Um mehr über die Konfiguration eines Identitätsverbunds mit Ihrem Unternehmensverzeichnis zu erfahren, probieren Sie unsere Beispielanwendung aus.
IAM ist in folgenden Nutzungsszenarios denkbar:
Detaillierte Zugriffssteuerung für Ihre AWS-Ressourcen: IAM ermöglicht Ihnen, den Zugriff auf AWS-Service-APIs und spezifische Ressourcen zu steuern. Darüber hinaus bietet IAM Ihnen die Möglichkeit, spezifische Bedingungen hinzuzufügen, um zu steuern, wie Benutzer AWS nutzen können, z. B. die Uhrzeit, die ursprüngliche IP-Adresse oder die Verwendung von SSL und ob die Authentifizierung mit einem Multifaktor-Authentifizierungsgerät erfolgt ist.Identitätsverbund zwischen Ihrem Unternehmen und AWS-Services: IAM kann genutzt werden, um Ihren Mitarbeitern und Anwendungen Zugriff auf die AWS Management Console und AWS-Service-APIs zu ermöglichen, wobei Ihre bestehenden Identitätssysteme genutzt werden.
Mobile und browserbasierte Anwendungen: Sie können Ihren mobilen und browserbasierten Anwendungen einen sicheren Zugriff auf AWS-Ressourcen ermöglichen, indem Sie temporäre Anmeldeinformationen anfordern, die den Zugriff auf bestimmte AWS-Ressourcen nur für einen konfigurierbaren Zeitraum gewähren.
Servicemerkmale
Erweiterte Sicherheit – IAM ermöglicht den Einsatz bewährter Sicherheitsmethoden. Sie haben die Möglichkeit, jedem Benutzer eindeutige Sicherheitsnachweise zuzuordnen und festzulegen, auf welche AWS-Service-APIs und Ressourcen sie zugreifen können. IAM ist standardmäßig sicher; neue Benutzer haben keinen Zugriff auf AWS-Ressourcen, bevor explizite Berechtigungen zugewiesen werden.
Steuerung – IAM bietet die Granularität zur Steuerung des Benutzerzugriffs auf bestimmte AWS-Services und -Ressourcen (z. B. Beenden von EC2-Instanzen oder Löschen von S3-Buckets).
Nahtlose Integration mit anderen AWS-Diensten – IAM ist in die meisten AWS-Services nativ integriert.
Zuverlässig – IAM basiert auf der eigenen erstklassigen Technologie-Infrastruktur von Amazon. Wie auch die anderen Amazon Web Services, arbeitet dieser Dienst innerhalb der bewährten globalen Netzwerkinfrastruktur und der Rechenzentren von Amazon.
Funktionen
IAM stellt Funktionen zur Verwaltung des Zugriffs auf AWS-Service-APIs und -Ressourcen bereit, auf die Ihr AWS-Konto zugreifen kann, darunter folgende:
- IAM-Benutzer verwalten:
- Erstellen von IAM-Benutzeridentitäten – Fügen Sie IAM-Benutzer zu Ihrem AWS-Konto hinzu.
- Organisieren von IAM-Benutzern in Gruppen – Erstellen Sie Gruppen, um einfach Berechtigungen für mehrere IAM-Benutzer unter Ihrem AWS-Konto zu verwalten.
- IAM-Rollen verwalten:
- Erstellen von IAM-Rollen – Fügen Sie Ihrem AWS-Konto IAM-Rollen hinzu.
- Bestimmen, wem IAM-Rollen zugeordnet werden dürfen – Erstellen Sie eine Liste vertrauenswürdiger Entitäten, Benutzer oder AWS-Services, denen die Rolle zugeordnet werden darf.
- Berechtigungen verwalten:
- Zentrale Steuerung des Benutzerzugriffs – Steuern Sie, welche Vorgänge die einzelnen Benutzer und Rollen ausführen dürfen, beispielsweise Zugreifen auf bestimmte AWS-Service-APIs und -Ressourcen.
- Bedingter Benutzerzugriff – Fügen Sie Bedingungen hinzu, um zu steuern, wie Ihre Benutzer und Rollen AWS nutzen können, z. B. Tageszeiten, ursprüngliche IP-Adressen oder SSL-Nutzung.
- Anmeldeinformationen verwalten:
- Erstellen und Zuweisen von Anmeldeinformationen – Sie können Ihren IAM-Benutzern Anmeldeinformationen zuweisen, diese nach Bedarf abwechseln oder widerrufen.
- Erstellen temporärer Anmeldeinformationen – Sie können temporäre Anmeldeinformationen mit konfigurierbaren Ablauffristen und Berechtigungen für Ihre IAM-Benutzer, Verbundbenutzer oder Anwendungen anfordern.
Preise
AWS Identity and Access Management ist eine Funktion Ihres AWS-Kontos, für die keine zusätzlichen Kosten anfallen. Sie zahlen nur für die Nutzung anderer AWS-Dienste durch ihre Benutzer.
Ressourcen
| Entwicklerressourcen |
- AWS Management Console
- WSDL
- Beispiel-Code und Bibliotheken
- Versionshinweise
- Technische Dokumentation
- Entwickler-Tools
- Community-Forum
- AWS Policy Generator
Zusätzliche Produktinformationen
Verwandte Services
- Auto Scaling
- AWS CloudFormation
- Amazon CloudFront
- Amazon CloudSearch
- Amazon CloudWatch
- Amazon DynamoDB
- Amazon Elastic Block Store
- Amazon Elastic Compute Cloud
- AWS Elastic Beanstalk
- Amazon ElastiCache
- Elastic Load Balancing
- Amazon Elastic MapReduce
- Amazon Relational Database Service
- Amazon Route 53
- Amazon Simple Storage Service
- Amazon Simple Email Service
- Amazon Simple Notification Service
- Amazon Simple Queue Service
- Amazon SimpleDB
- AWS Storage Gateway
- Amazon Virtual Private Cloud
Detaillierte Beschreibung
Arbeiten mit AWS Identity and Access Management (IAM)
Sie können den Zugriff auf AWS mithilfe der AWS Management Console verwalten, einer grafischen Oberfläche im Browser, auf der Sie IAM-Benutzer, IAM-Benutzer, Berechtigungen sowie Anmeldeinformationen erstellen und verwalten können. IAM bietet darüber hinaus eine Reihe von APIs und Befehlszeilen-Tools für vollständig geskripteten Zugriff für die oben genannten Funktionen. Eine vollständige Liste verfügbarer IAM APIs finden Sie im AWS Identity and Access Management API Reference Guide. Im Folgenden sind einige der am häufigsten verwendeten APIs und ihre Funktionen aufgelistet:
Benutzer verwalten:
- CreateUser: Erstellt einen IAM-Benutzer mit einem Benutzernamen Ihrer Wahl. Der Benutzername ist eine Zeichenfolge, die im dazugehörigen AWS-Konto eindeutig sein muss.
- CreateGroup: Erstellt eine Gruppe mit einem Gruppennamen Ihrer Wahl.
- AddUserToGroup: Fügt einen Benutzer zur angegebenen Gruppe hinzu.
- RemoveUserFromGroup: Entfernt einen IAM-Benutzer aus der angegebenen Gruppe.
Rollen verwalten:
- CreateRole: Dient zum Erstellen einer IAM-Rolle mit dem angegebenen Namen. Der Rollenname ist eine Zeichenfolge, die im dazugehörigen AWS-Konto eindeutig sein muss.
- UpdateAssumeRolePolicy: Aktualisiert die Richtlinie, die bestimmt, welcher vertrauenswürdigen Entität die Rolle zugeordnet werden darf.
Berechtigungen verwalten:
- PutUserPolicy: Fügt ein Richtliniendokument für einen bestimmten IAM-Benutzer hinzu (oder aktualisiert es). Ein Richtliniendokument enthält eine Reihe von Berechtigungen.
- PutRolePolicy: Fügt ein Richtliniendokument für eine bestimmte IAM-Rolle hinzu (oder aktualisiert es).
- PutUserPolicy: Fügt ein Richtliniendokument für eine bestimmte Gruppe hinzu (oder aktualisiert es).
- PutRolePolicy: Fügt ein Richtliniendokument für eine bestimmte Rolle hinzu (oder aktualisiert es).
Anmeldeinformationen verwalten
- CreateAccessKey: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID und den zugehörigen geheimen Zugriffsschlüssel für einen bestimmten IAM-Benutzer. Diese Zugriffsschlüssel befähigen den IAM-Benutzer, direkte API-Aufrufe zu AWS Services durchzuführen.
- GetSessionToken: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID, den zugehörigen geheimen Zugriffsschlüssel und ein Token über einen festgelegten Zeitraum für den IAM-Benutzer, der diese API aufruft.
- GetFederationToken: Erstellt eine eindeutige AWS Zugriffsschlüssel-ID, den zugehörigen geheimen Zugriffsschlüssel und ein Token über einen festgelegten Zeitraum sowie für Berechtigungen für einen verbundenen Benutzer bzw. verbundene Anwendungen.
Erste Schritte
Wir empfehlen, für die Nutzung von IAM das Handbuch "Erste Schritte", das Teil unserer Technischen Dokumentation ist, zu lesen. Binnen weniger Minuten können Sie Ihre eigenen Benutzer, Rollen und Gruppen erstellen und Berechtigungen zuweisen.
Vorgesehene Verwendung und Einschränkungen
Die Nutzung dieser Dienstleistung unterliegt Ihrer Vereinbarung mit uns, die Ihre Verwendung von AWS regelt. Weitere Einzelheiten können Sie der Amazon-Web-Services-Lizenzvereinbarung entnehmen.
©2013, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.
