AWS Identity and Access Management (IAM)

Anwendung differenzierter Berechtigungen auf AWS Services und Ressourcen

AWS Identity and Access Management (IAM) bietet eine differenzierte Zugriffskontrolle auf der ganzen AWS Plattform. Mit IAM können Sie festlegen, wer auf welche Services und Ressourcen unter welchen Bedingungen zugreifen darf. Mit IAM-Richtlinien verwalten Sie die Berechtigungen für Ihre Mitarbeiter und Systeme, um geringstes-Recht-Berechtigungen zu gewährleisten.

IAM ist eine Funktion Ihres AWS-Kontos und wird ohne zusätzliche Kosten angeboten. Um IAM zu verwenden oder wenn Sie sich bereits bei AWS registriert haben, gehen Sie zur AWS Mangementkonsole.

Anwendungsfälle

Mit IAM können Sie AWS-Berechtigungen für Workforce-Benutzer und Workloads verwalten. Für Mitarbeiter empfehlen wir, AWS Single Sign-On (AWS SSO) zu verwenden, um den Zugriff auf AWS-Konten und Berechtigungen innerhalb dieser Konten zu verwalten. AWS SSO erleichtert die Bereitstellung und Verwaltung von IAM-Rollen und -Richtlinien in Ihrer AWS-Organisation. Verwenden Sie für Workload-Berechtigungen IAM-Rollen und -Richtlinien und gewähren Sie nur den erforderlichen Zugriff für Ihre Workloads.

Anwendung einer differenzierten Zugriffskontrolle

Gewähren Sie mit IAM policies (IAM-Richtlinien) Zugriff auf bestimmte AWS Service APIs und Ressourcen. Sie können auch bestimmte Bedingungen festlegen, unter denen der Zugriff gewährt wird, z. B. die Gewährung des Zugriffs auf Identitäten einer bestimmten AWS-Organisation oder den Zugriff über einen bestimmten AWS-Service. 

Einrichtung von Berechtigungs-Integritätsschutz und Datenperimetern in Ihrer AWS-Organisation

Mit AWS Organizations können Sie Service Control Policies (SCPs) verwenden, um Berechtigungsrichtlinien festzulegen, die von allen IAM-Benutzern und -Rollen in den Konten einer Organisation befolgt werden. Unabhängig davon, ob Sie gerade erst mit SCPs beginnen oder bereits über SCPs verfügen, können Sie IAM Access Advisor verwenden, um Berechtigungen sicher einzuschränken.

Erzielen von Berechtigungen mit geringstem Recht mit IAM Access Analyzer

Die geringsten Rechte erreicht Sie durch einen kontinuierlichen Zyklus, in dem es darum geht, die richtigen, differenzierten Berechtigungen zu erteilen, wenn sich Ihre Anforderungen entwickeln. IAM Access Analyzer hilft Ihnen, die Verwaltung von Berechtigungen zu optimieren, indem Sie Berechtigungen festlegen, überprüfen und verfeinern.

Automatische Skalierung differenzierter Berechtigungen mit ABAC

Bei der Attribute-based access control (ABAC) (attributbasierten Zugriffskontrolle) handelt es sich um eine Autorisierungsstrategie zur Erstellung differenzierter Berechtigungen auf der Grundlage von Benutzerattributen wie Abteilung, Jobrolle und Teamname. Mit ABAC können Sie die Anzahl der unterschiedlichen Berechtigungen reduzieren, die Sie für die Erstellung differenzierter Kontrollen in Ihrem AWS-Konto benötigen.

Funktionsweise

Mit IAM definieren Sie, wer auf was zugreifen darf, indem Sie differenzierte Berechtigungen festlegen. IAM stellt dann diese Berechtigungen für jede Anfrage sicher. Standardmäßig wird der Zugriff verweigert, und der Zugriff wird nur gewährt, wenn die Berechtigung „Allow“ („Zulassen“) lautet. 

Ein Bild, dass die Funktionsweise von IAM zeigt