IAM-Rollen ermöglichen Ihnen, den Zugriff an Benutzer oder Services zu delegieren, die normalweise keinen Zugriff auf die AWS-Ressourcen Ihrer Organisation haben. IAM-Benutzer oder AWS-Services können eine Rolle annehmen, um temporäre Anmeldeinformationen zu erhalten, mit deren Hilfe Aufrufe von AWS-APIs erfolgen können. Dies bedeutet, dass Sie Anmeldeinformationen nicht langfristig freigeben oder Berechtigungen für jede Entität definieren müssen, die Zugriff auf eine Ressource benötigt.
- Einführung in eine einfachere Methode zum Delegieren von Berechtigungen zu AWS Services: Service-verknüpfte Rollen
- Bewährte Methoden für IAM 2016 befolgen
- Verwenden eines einzelnen IAM-Benutzers für den Zugriff auf alle Konten mithilfe der AWS-CLI
- Test Your Roles' Access Policies Using the AWS Identity and Access Management Policy Simulator
- Make a New Year’s Resolution: Adhere to IAM Best Practices
- Enable a New Feature in the AWS Management Console: Cross-Account Access
- Sharing AWS CloudTrail Log Files Between Account
Kostenlos bei AWS einsteigen
Kostenloses Konto erstellenOder bei der Konsole anmelden
Das kostenlose Kontingent für AWS umfasst eine Nutzung von Cache-Knoten vom Typ "Micro" von 750 Stunden in Amazon ElastiCache.
In den folgenden Szenarien werden einige der Problemstellungen beleuchtet, die durch ein Delegieren des Zugriffs beseitigt werden können:
- Erteilen des Zugriffs auf AWS-Ressourcen an Anwendungen, die in Amazon EC2 Instances ausgeführt werden
Um Anwendungen in einer Amazon EC2-Instance Zugriff auf AWS-Ressourcen zu erteilen, können Entwickler ihre Anmeldeinformationen an jede Instance verteilen. Anwendungen können anschließend diese Anmeldeinformationen nutzen, um auf Ressourcen wie Amazon S3-Buckets oder Amazon DynamoDB-Daten zuzugreifen. Die langfristige Verteilung von Anmeldeinformationen an jede Instance ist jedoch schwierig zu verwalten und birgt potenzielle Sicherheitsrisiken. Im Video oben wird detaillierter beschrieben, wie Sie mithilfe von Rollen diese Sicherheitsproblematik in den Griff bekommen.
- Kontenübergreifender Zugriff
Zum Steuern oder Verwalten des Zugriffs auf Ressourcen, z. B. zum Isolieren einer Entwicklungs- von einer Produktionsumgebung, verfügen Sie ggf. über mehrere AWS-Konten. Dabei kann es mitunter vorkommen, dass Benutzer eines Kontos auf Ressourcen des anderen Kontos zugreifen müssen. Ein Benutzer in der Entwicklungsumgebung benötigt ggf. Zugriff auf die Produktionsumgebung, um ein Update vorzunehmen. Deshalb benötigen Benutzer Anmeldeinformationen für beide Konten, doch die Verwaltung mehrerer Anmeldeinformationen für mehrere Konten erschwert die Identitätsverwaltung. Die Nutzung einer IAM-Rolle kann dies erleichtern. Für mehr Informationen über kontoübergreifenden API-Zugriff siehe Trend Micro-Fallbeispiel
- Erteilen von Berechtigungen für AWS-Services
Bevor AWS-Services Aktionen für Sie durchführen können, müssen Sie ihnen entsprechende Berechtigungen erteilen. Sie können AWS IAM-Rollen verwenden, um AWS-Services Berechtigungen zum Aufrufen anderer AWS-Services zu erteilen oder um AWS-Ressourcen für Sie in Ihrem Konto zu erstellen und zu verwalten. AWS-Services wie Amazon Lex bieten außerdem Service-verknüpfte Rollen, die vordefiniert sind und nur von diesem speziellen Service angenommen werden können.
Weitere Informationen zum Verwalten von Rollen in IAM finden Sie im Handbuch Using IAM im Abschnitt Roles.