IAM-Rollen ermöglichen Ihnen, den Zugriff an Benutzer oder Services zu delegieren, die normalweise keinen Zugriff auf die AWS-Ressourcen Ihrer Organisation haben. IAM-Benutzer oder AWS-Services können eine Rolle annehmen, um temporäre Anmeldeinformationen zu erhalten, mit deren Hilfe Aufrufe von AWS-APIs erfolgen können. Dies bedeutet, dass Sie Anmeldeinformationen nicht langfristig freigeben oder Berechtigungen für jede Entität definieren müssen, die Zugriff auf eine Ressource benötigt.

XuRM4Id6uDY-Video_Thumb
3:24
Erste Schritte mit IAM-Rollen für EC2 Instances

Kostenlos bei AWS einsteigen

Kostenloses Konto erstellen
Oder bei der Konsole anmelden

Das kostenlose Kontingent für AWS umfasst eine Nutzung von Cache-Knoten vom Typ "Micro" von 750 Stunden in Amazon ElastiCache.

Details zum kostenlosen Kontingent für AWS anzeigen »

In den folgenden Szenarien werden einige der Problemstellungen beleuchtet, die durch ein Delegieren des Zugriffs beseitigt werden können:

  • Erteilen des Zugriffs auf AWS-Ressourcen an Anwendungen, die in Amazon EC2 Instances ausgeführt werden
    Um Anwendungen in einer Amazon EC2-Instance Zugriff auf AWS-Ressourcen zu erteilen, können Entwickler ihre Anmeldeinformationen an jede Instance verteilen. Anwendungen können anschließend diese Anmeldeinformationen nutzen, um auf Ressourcen wie Amazon S3-Buckets oder Amazon DynamoDB-Daten zuzugreifen. Die langfristige Verteilung von Anmeldeinformationen an jede Instance ist jedoch schwierig zu verwalten und birgt potenzielle Sicherheitsrisiken. Im Video oben wird detaillierter beschrieben, wie Sie mithilfe von Rollen diese Sicherheitsproblematik in den Griff bekommen.
  • Kontenübergreifender Zugriff
    Zum Steuern oder Verwalten des Zugriffs auf Ressourcen, z. B. zum Isolieren einer Entwicklungs- von einer Produktionsumgebung, verfügen Sie ggf. über mehrere AWS-Konten. Dabei kann es mitunter vorkommen, dass Benutzer eines Kontos auf Ressourcen des anderen Kontos zugreifen müssen. Ein Benutzer in der Entwicklungsumgebung benötigt ggf. Zugriff auf die Produktionsumgebung, um ein Update vorzunehmen. Deshalb benötigen Benutzer Anmeldeinformationen für beide Konten, doch die Verwaltung mehrerer Anmeldeinformationen für mehrere Konten erschwert die Identitätsverwaltung. Die Nutzung einer IAM-Rolle kann dies erleichtern.  Für mehr Informationen über kontoübergreifenden API-Zugriff siehe Trend Micro-Fallbeispiel
  • Erteilen von Berechtigungen für AWS-Services
    Bevor AWS-Services Aktionen für Sie durchführen können, müssen Sie ihnen entsprechende Berechtigungen erteilen. Sie können AWS IAM-Rollen verwenden, um AWS-Services Berechtigungen zum Aufrufen anderer AWS-Services zu erteilen oder um AWS-Ressourcen für Sie in Ihrem Konto zu erstellen und zu verwalten. AWS-Services wie Amazon Lex bieten außerdem Service-verknüpfte Rollen, die vordefiniert sind und nur von diesem speziellen Service angenommen werden können.

Weitere Informationen zum Verwalten von Rollen in IAM finden Sie im Handbuch Using IAM im Abschnitt Roles.