AWS Identity and Access Management (IAM) – Häufig gestellte Fragen

Allgemeines

IAM bietet eine feinkörnige Zugriffskontrolle auf der ganzen AWS Plattform. Mit IAM können Sie den Zugriff auf Services und Ressourcen unter bestimmten Bedingungen steuern. Verwenden Sie IAM-Richtlinien zur Verwaltung der Berechtigungen für Ihre Mitarbeiter und Systeme, um die geringsten Berechtigungen zu gewährleisten. IAM wird ohne Aufpreis angeboten. Weitere Informationen finden Sie unter Was ist IAM?

IAM bietet Authentifizierung und Autorisierung für AWS-Services. Ein Service wertet aus, ob eine AWS-Anforderung erlaubt oder abgelehnt wird. Der Zugriff wird standardmäßig verweigert und nur erlaubt, wenn eine Richtlinie den Zugriff explizit gewährt. Sie können Richtlinien an Rollen und Ressourcen anfügen, um den Zugriff auf AWS zu steuern. Weitere Informationen finden Sie unter Grundlegendes zur Funktionsweise von IAM.

Wenn Sie Berechtigungen mit IAM-Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die zum Ausführen einer Aufgabe erforderlich sind. Diese Vorgehensweise wird als Gewährung der geringsten Berechtigung bezeichnet. Sie können geringste Berechtigungen in IAM anwenden, indem Sie die Aktionen definieren, die unter bestimmten Bedingungen für bestimmte Ressourcen ausgeführt werden können. Weitere Informationen finden Sie unter Zugriffsverwaltung für AWS-Ressourcen.

Um mit der Verwendung von IAM zum Verwalten von Berechtigungen für AWS-Services und -Ressourcen zu beginnen, erstellen Sie eine IAM-Rolle und erteilen Sie ihr Berechtigungen. Erstellen Sie für Mitarbeiterbenutzer eine Rolle, die von Ihrem Identitätsanbieter übernommen werden kann. Erstellen Sie für Systeme eine Rolle, die von dem von Ihnen verwendeten Service übernommen werden kann, z. B. Amazon EC2 oder AWS Lambda. Nachdem Sie eine Rolle erstellt haben, können Sie der Rolle eine Richtlinie anfügen, um Berechtigungen zu erteilen, die Ihren Anforderungen entsprechen. Wenn Sie gerade erst anfangen, kennen Sie möglicherweise nicht die spezifischen Berechtigungen, die Sie benötigen. Sie können somit mit umfassenderen Berechtigungen beginnen. AWS-verwaltete Richtlinien bieten Berechtigungen, die Ihnen den Einstieg erleichtern und sind in allen AWS-Konten verfügbar. Reduzieren Sie dann die Berechtigungen weiter, indem Sie kundenverwaltete Richtlinien speziell für Ihre Anwendungsfälle definieren. Sie können Richtlinien und Rollen in der IAM-Konsole oder über AWS-APIs oder die AWS CLI erstellen und verwalten. Weitere Informationen finden Sie unter Erste Schritte mit IAM.

IAM-Ressourcen

AWS Identity und Access Management (IAM)-Rollen bieten eine Möglichkeit, auf AWS zuzugreifen, indem sie sich auf temporäre Sicherheitsanmeldeinformationen verlassen. Jede Rolle verfügt über eine Reihe von Berechtigungen zum Stellen von AWS-Serviceanfragen. Eine Rolle ist keinem bestimmten Benutzer oder keiner bestimmten Gruppe zugeordnet. Stattdessen werden Rollen von vertrauenswürdigen Stellen wie Identitätsanbietern oder AWS-Services übernommen. Weitere Informationen finden Sie unter IAM-Rollen.

Sie sollten IAM-Rollen verwenden, um Zugriff auf Ihre AWS-Konten zu gewähren, indem Sie sich auf kurzfristige Anmeldeinformationen verlassen – eine bewährte Methode für Sicherheit. Autorisierte Identitäten, bei denen es sich um AWS-Services oder Benutzer Ihres Identitätsanbieters handeln kann, können Rollen übernehmen, um AWS-Anforderungen zu stellen. Um einer Rolle Berechtigungen zu erteilen, fügen Sie ihr eine IAM-Richtlinie an. Weitere Informationen finden Sie unter Gängige Szenarien für Rollen.

IAM-Benutzer sind Identitäten mit langfristigen Anmeldeinformationen. Möglicherweise verwenden Sie IAM-Benutzer für Mitarbeiterbenutzer. In diesem Fall empfiehlt AWS die Verwendung eines Identitätsanbieters und den Verbund mit AWS durch Übernahme von Rollen. Sie können auch Rollen verwenden, um kontoübergreifenden Zugriff auf Services und Funktionen wie AWS-Lambda-Funktionen zu gewähren. In einigen Szenarien benötigen Sie möglicherweise IAM-Benutzer mit Zugriffsschlüsseln, die über langfristige Anmeldeinformationen mit Zugriff auf Ihr AWS-Konto verfügen. Für diese Szenarien empfiehlt AWS die Verwendung von Zugriff auf zuletzt verwendete Informationen in IAM, um Anmeldeinformationen häufig zu rotieren und Anmeldeinformationen zu entfernen, die nicht verwendet werden. Weitere Informationen finden Sie unter Übersicht über die AWS-Identitätsverwaltung: Benutzer.

IAM-Richtlinien definieren Berechtigungen für die Entitäten, denen Sie sie anfügen. Um beispielsweise Zugriff auf eine IAM-Rolle zu gewähren, fügen Sie der Rolle eine Richtlinie an. Die in der Richtlinie definierten Berechtigungen bestimmen, ob Anforderungen zugelassen oder abgelehnt werden. Sie können auch Richtlinien an einige Ressourcen anfügen, z. B. Amazon-S3-Buckets, um direkten, kontenübergreifenden Zugriff zu gewähren. Und Sie können Richtlinien an eine AWS-Organisation oder -Organisationseinheit anhängen, um den Zugriff über mehrere Konten zu beschränken. AWS wertet diese Richtlinien aus, wenn eine IAM-Rolle eine Anfrage stellt. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien.

Zugriff gewähren

Um mithilfe von AWS Identity und Access Management (IAM) Zugriff auf Services und Ressourcen zu gewähren, fügen Sie IAM-Richtlinien an Rollen oder Ressourcen an. Sie können beginnen, indem Sie AWS-verwaltete Richtlinien anhängen. Diese sind Eigentum von AWS, werden von AWS aktualisiert und sind in allen AWS-Konten verfügbar. Wenn Sie die spezifischen Berechtigungen kennen, die für Ihre Anwendungsfälle erforderlich sind, können Sie kundenverwaltete Richtlinien erstellen und sie an Rollen anfügen. Einige AWS-Ressourcen bieten eine Möglichkeit, Zugriff zu gewähren, indem eine Richtlinie definiert wird, die an Ressourcen wie Amazon-S3-Buckets angefügt ist. Mit diesen ressourcenbasierten Richtlinien können Sie direkten, kontoübergreifenden Zugriff auf die Ressourcen gewähren, denen sie angefügt sind. Weitere Informationen finden Sie unter Zugriffsverwaltung für AWS-Ressourcen.

Um einer Rolle oder Ressource Berechtigungen zuzuweisen, erstellen Sie eine Richtlinie, d. h. ein JavaScript Object Notation (JSON)-Dokument, das Berechtigungen definiert. Dieses Dokument enthält Berechtigungsanweisungen, die den Zugriff auf bestimmte Serviceaktionen, Ressourcen und Bedingungen gewähren oder verweigern. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an eine oder mehrere AWS-Rollen anfügen, um Ihrem AWS-Konto Berechtigungen zu erteilen. Verwenden Sie ressourcenbasierte Richtlinien, um direkten, kontenübergreifenden Zugriff auf Ressourcen wie Amazon-S3-Buckets zu gewähren. Erstellen Sie Ihre Richtlinien in der IAM-Konsole oder über AWS-APIs oder die AWS CLI. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien.

AWS-verwaltete Richtlinien werden von AWS erstellt und verwaltet und decken allgemeine Anwendungsfälle ab. Als Erstes können Sie breitere Berechtigungen erteilen, indem Sie die AWS-verwalteten Richtlinien verwenden, die in Ihrem AWS-Konto verfügbar und für alle AWS-Konten gleich sind. Wenn Sie dann Ihre Anforderungen verfeinern, können Sie Berechtigungen reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die spezifisch für Ihre Anwendungsfälle sind, mit dem Ziel, Berechtigungen mit den geringsten Rechten zu erreichen. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien.

Um nur die Berechtigungen zu erteilen, die zum Ausführen von Aufgaben erforderlich sind, können Sie kundenverwaltete Richtlinien erstellen, die spezifisch für Ihre Anwendungsfälle und Ressourcen sind. Verwenden Sie kundenverwaltete Richtlinien, um die Berechtigungen für Ihre spezifischen Anforderungen weiter zu verfeinern. Weitere Informationen finden Sie unter kundenverwaltete Richtlinien.

Inline-Richtlinien sind in bestimmte IAM-Rollen eingebettet und inhärent. Verwenden Sie Inline-Richtlinien, wenn Sie eine strikte 1:1-Beziehung zwischen einer Richtlinie und der Identität, auf die sie angewendet wird, aufrechterhalten möchten. Beispielsweise können Sie Administratorberechtigungen erteilen, um sicherzustellen, dass sie nicht an andere Rollen angefügt sind. Weitere Informationen finden Sie unter Inline-Richtlinien.

Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die an Ressourcen angefügt sind. Beispielsweise können Sie ressourcenbasierte Richtlinien an Amazon-S3-Buckets, Amazon-SQS-Warteschlangen, VPC-Endpunkte und Verschlüsselungsschlüssel vom AWS Key Management Service anfügen. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Verwenden Sie ressourcenbasierte Richtlinien, um direkten, kontenübergreifenden Zugriff zu gewähren. Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf eine Ressource hat und welche Aktionen er damit ausführen kann. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

RBAC bietet Ihnen die Möglichkeit, Berechtigungen basierend auf der Auftragsfunktion einer Person zuzuweisen, die außerhalb von AWS als Rolle bekannt ist. IAM stellt RBAC bereit, indem IAM-Rollen mit Berechtigungen definiert werden, die an Auftragsfunktionen ausgerichtet sind. Sie können dann einzelnen Personen Zugriff gewähren, um diese Rollen zu übernehmen, um bestimmte Auftragsfunktionen auszuführen. Mit RBAC können Sie den Zugriff prüfen, indem Sie sich jede IAM-Rolle und die damit verbundenen Berechtigungen ansehen. Weitere Informationen finden Sie unter Vergleich von ABAC mit dem herkömmlichen RBAC-Modell.

Gewähren Sie als bewährte Methode Zugriff nur auf die spezifischen Serviceaktionen und Ressourcen, die zur Ausführung der einzelnen Aufgaben erforderlich sind. Dies wird als Gewährung der geringsten Berechtigung bezeichnet. Wenn Mitarbeiter neue Ressourcen hinzufügen, müssen Sie Richtlinien aktualisieren, um den Zugriff auf diese Ressourcen zu ermöglichen.

ABAC ist eine Autorisierungsstrategie, die Berechtigungen anhand von Attributen definiert. In AWS werden diese Attribute als Tags bezeichnet und Sie können sie für AWS-Ressourcen, IAM-Rollen und in Rollensitzungen definieren. Mit ABAC definieren Sie eine Reihe von Berechtigungen basierend auf dem Wert eines Tags. Sie können bestimmten Ressourcen differenzierte Berechtigungen erteilen, indem Sie verlangen, dass die Tags in der Rolle oder Sitzung mit den Tags in der Ressource übereinstimmen. Sie können beispielsweise eine Richtlinie verfassen, die Entwicklern Zugriff auf Ressourcen gewährt, die mit der Auftragsbezeichnung „Entwickler“ gekennzeichnet sind. ABAC ist in schnell wachsenden Umgebungen hilfreich, indem Berechtigungen an Ressourcen erteilt werden, wenn sie mit bestimmten Tags erstellt werden. Weitere Informationen finden Sie unter Attributbasierte Zugriffskontrolle für AWS.

Um den Zugriff mithilfe von ABAC zu gewähren, definieren Sie zunächst die Tag-Schlüssel und -Werte, die Sie für die Zugriffssteuerung verwenden möchten. Stellen Sie dann sicher, dass Ihre IAM-Rolle über die entsprechenden Tag-Schlüssel und -Werte verfügt. Wenn mehrere Identitäten diese Rolle verwenden, können Sie auch Sitzungs-Tag-Schlüssel und -Werte definieren. Stellen Sie als Nächstes sicher, dass Ihre Ressourcen über die entsprechenden Tag-Schlüssel und -Werte verfügen. Sie können auch verlangen, dass Benutzer Ressourcen mit geeigneten Tags erstellen und den Zugriff einschränken, um sie zu ändern. Nachdem Ihre Tags eingerichtet sind, definieren Sie eine Richtlinie, die Zugriff auf bestimmte Aktionen und Ressourcentypen gewährt, aber nur, wenn die Rollen- oder Sitzungs-Tags mit den Ressourcen-Tags übereinstimmen. Ein ausführliches Tutorial, das die Verwendung von ABAC in AWS demonstriert, finden Sie unter IAM-Tutorial: Definieren von Berechtigungen für den Zugriff auf AWS-Ressourcen basierend auf Tags.

Zugriff einschränken

Mit AWS Identity and Access Management (IAM) wird der gesamte Zugriff standardmäßig verweigert und es erfordert eine Richtlinie, die den Zugriff gewährt. Wenn Sie Berechtigungen nach Maß verwalten, möchten Sie möglicherweise den Integritätsschutz für Berechtigungen implementieren und den Zugriff auf Ihre Konten einschränken. Um den Zugriff einzuschränken, geben Sie in einer beliebigen Richtlinie eine Zugriffsverweigerungs-Anweisung an. Wenn eine Zugriffsverweigerungs-Anweisung auf eine Zugriffsanforderung zutrifft, hat sie immer Vorrang vor einer Erlauben-Anweisung. Wenn Sie beispielsweise den Zugriff auf alle Aktionen in AWS zulassen, aber den Zugriff auf IAM verweigern, wird jede Anfrage an IAM verweigert. Sie können eine Zugriffsverweigerungs-Anweisung in jede Art von Richtlinie aufnehmen, einschließlich identitätsbasierter, ressourcenbasierter und Service-Kontrollrichtlinien mit AWS Organizations. Weitere Informationen finden Sie unter Steuern des Zugriffs mit AWS Identity und Access Management.

SCPs ähneln IAM-Richtlinien und verwenden fast dieselbe Syntax. SCPs erteilen jedoch keine Berechtigungen. Stattdessen erlauben oder verweigern SCPs den Zugriff auf AWS-Services für einzelne AWS-Konten mit Mitgliedskonten von Organisationen oder für Gruppen von Konten innerhalb einer Organisationseinheit. Die angegebenen Aktionen von einem SCP wirken sich auf alle IAM-Benutzer und -Rollen aus, einschließlich des Root-Benutzers des Mitgliedskontos. Weitere Informationen finden Sie unter Richtlinienauswertungslogik

Zugriff analysieren

Wenn Sie mit dem Erteilen von Berechtigungen beginnen, können Sie beim Erkunden und Experimentieren mit umfassenderen Berechtigungen beginnen. Wenn Ihre Anwendungsfälle ausgereift sind, empfiehlt AWS, dass Sie die Berechtigungen verfeinern, um nur die erforderlichen Berechtigungen zu erteilen, mit dem Ziel, Berechtigungen mit den geringsten Rechten zu erreichen. AWS stellt Tools bereit, mit denen Sie Ihre Berechtigungen verfeinern können. Sie können mit AWS-verwalteten Richtlinien beginnen, die von AWS erstellt und verwaltet werden und Berechtigungen für allgemeine Anwendungsfälle enthalten. Definieren Sie beim Verfeinern Ihrer Berechtigungen spezifische Berechtigungen in kundenverwalteten Richtlinien. Verwenden Sie AWS Identity and Access Management (IAM) Access Analyzer, überprüfen Sie die AWS-CloudTrail-Protokolle und überprüfen Sie die letzten Zugriffsinformationen, um die spezifischen erforderlichen Berechtigungen zu bestimmen. Sie können auch den IAM-Richtliniensimulator verwenden, um Richtlinien zu testen und Fehler zu beheben.

Das Erreichen der geringsten Berechtigung ist ein kontinuierlicher Zyklus, um die richtigen, fein abgestuften Berechtigungen zu erteilen, während sich Ihre Anforderungen entwickeln. IAM Access Analyzer hilft Ihnen, die Berechtigungsverwaltung in jedem Schritt dieses Zyklus zu optimieren. Die Richtlinienerstellung mit IAM Access Analyzer generiert eine fein abgestufte Richtlinie auf der Grundlage der in Ihren Protokollen erfassten Zugriffsaktivitäten. Das bedeutet, dass Sie nach dem Erstellen und Ausführen einer Anwendung Richtlinien erstellen können, die nur die erforderlichen Berechtigungen für den Betrieb der Anwendung gewähren. Die Richtlinienvalidierung mit IAM Access Analyzer unterstützt Sie bei der Erstellung und Validierung sicherer und funktionaler Richtlinien mit mehr als 100 Richtlinienprüfungen. Sie können diese Prüfungen bei der Erstellung neuer Richtlinien oder zur Validierung bestehender Richtlinien verwenden. Öffentliche und kontenübergreifende Erkenntnisse mit IAM Access Analyzer helfen Ihnen, den von Ihren Ressourcenrichtlinien erlaubten Zugriff von außerhalb Ihrer AWS-Organisation oder Ihres Kontos zu überprüfen und zu verfeinern. Weitere Informationen finden Sie unter Verwenden von IAM Access Analyzer.

Möglicherweise verfügen Sie in Ihrem AWS-Konto über IAM-Benutzer, -Rollen und -Berechtigungen, die Sie nicht mehr benötigen. Wir empfehlen, sie mit dem Ziel zu entfernen, den Zugriff mit den geringsten Rechten zu erreichen. Für IAM-Benutzer können Sie das Passwort überprüfen und auf die zuletzt verwendeten Schlüsselinformationen zugreifen. Für Rollen können Sie die zuletzt verwendeten Rolleninformationen überprüfen. Diese Informationen sind über die IAM-Konsole, APIs und SDKs verfügbar. Zuletzt verwendete Informationen helfen Ihnen, Benutzer und Rollen zu identifizieren, die nicht mehr verwendet werden und sicher entfernt werden können. Sie können Berechtigungen auch verfeinern, indem Sie Informationen zum Service und zuletzt verwendete Informationen überprüfen, um ungenutzte Berechtigungen zu identifizieren. Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt verwendeten Informationen.

Der IAM-Richtliniensimulator wertet die von Ihnen ausgewählten Richtlinien aus und bestimmt die effektiven Berechtigungen für jede der von Ihnen angegebenen Aktionen. Verwenden Sie den Richtliniensimulator, um identitätsbasierte und ressourcenbasierte Richtlinien, IAM-Berechtigungsgrenzen und SCPs zu testen und Fehler zu beheben. Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator.

Entdecken Sie, wie Sie mit IAM loslegen können

Zur Seite „Erste Schritte“
Bereit zum Entwickeln?
Erste Schritte mit IAM
Haben Sie noch Fragen?
Kontakt