Allgemeines
IAM bietet Authentifizierung und Autorisierung für AWS-Services. Ein Service wertet aus, ob eine AWS-Anforderung erlaubt oder abgelehnt wird. Der Zugriff wird standardmäßig verweigert und nur erlaubt, wenn eine Richtlinie den Zugriff explizit gewährt. Sie können Richtlinien an Rollen und Ressourcen anfügen, um den Zugriff auf AWS zu steuern. Weitere Informationen finden Sie unter Grundlegendes zur Funktionsweise von IAM.
Um mit der Verwendung von IAM zum Verwalten von Berechtigungen für AWS-Services und -Ressourcen zu beginnen, erstellen Sie eine IAM-Rolle und erteilen Sie ihr Berechtigungen. Erstellen Sie für Arbeitskräfte eine Rolle, die von Ihrem Identitätsanbieter übernommen werden kann. Erstellen Sie für Systeme eine Rolle, die von dem von Ihnen verwendeten Service übernommen werden kann, z. B. Amazon EC2 oder AWS Lambda. Nachdem Sie eine Rolle erstellt haben, können Sie der Rolle eine Richtlinie anfügen, um Berechtigungen zu erteilen, die Ihren Anforderungen entsprechen. Wenn Sie gerade erst anfangen, kennen Sie möglicherweise nicht die spezifischen Berechtigungen, die Sie benötigen. Sie können somit mit umfassenderen Berechtigungen beginnen. AWS-verwaltete Richtlinien bieten Berechtigungen, die Ihnen den Einstieg erleichtern und sind in allen AWS-Konten verfügbar. Reduzieren Sie dann die Berechtigungen weiter, indem Sie kundenverwaltete Richtlinien speziell für Ihre Anwendungsfälle definieren. Sie können Richtlinien und Rollen in der IAM-Konsole oder über AWS-APIs oder die AWS CLI erstellen und verwalten. Weitere Informationen finden Sie unter Erste Schritte mit IAM.
IAM-Ressourcen
F: Was sind IAM-Rollen und wie funktionieren sie?
AWS Identity and Access Management (IAM)-Rollen bieten eine Möglichkeit, auf AWS zuzugreifen, indem sie sich auf temporäre Sicherheitsanmeldeinformationen verlassen. Jede Rolle verfügt über eine Reihe von Berechtigungen zum Stellen von AWS-Serviceanfragen. Eine Rolle ist keinem bestimmten Benutzer oder keiner bestimmten Gruppe zugeordnet. Stattdessen werden Rollen von vertrauenswürdigen juristischen Stellen wie Identitätsanbietern oder AWS-Services übernommen. Weitere Informationen finden Sie unter IAM-Rollen.
F: Warum sollte ich IAM-Rollen verwenden?
Sie sollten IAM-Rollen verwenden, um Zugriff auf Ihre AWS-Konten zu gewähren, indem Sie sich auf kurzfristige Anmeldeinformationen verlassen – eine bewährte Methode für Sicherheit. Autorisierte Identitäten, bei denen es sich um AWS-Services oder Benutzer Ihres Identitätsanbieters handeln kann, können Rollen übernehmen, um AWS-Anforderungen zu stellen. Um einer Rolle Berechtigungen zu erteilen, fügen Sie ihr eine IAM-Richtlinie an. Weitere Informationen finden Sie unter Gängige Szenarien für Rollen.
F: Was sind IAM-Benutzer und sollte ich sie weiterhin verwenden?
IAM-Benutzer sind Identitäten mit langfristigen Anmeldeinformationen. Möglicherweise verwenden Sie IAM-Benutzer für Arbeitskräfte. In diesem Fall empfiehlt AWS die Verwendung eines Identitätsanbieters und den Verbund mit AWS durch Übernahme von Rollen. Sie können auch Rollen verwenden, um kontoübergreifenden Zugriff auf Services und Funktionen wie AWS-Lambda-Funktionen zu gewähren. In einigen Szenarien benötigen Sie möglicherweise IAM-Benutzer mit Zugriffsschlüsseln, die über langfristige Anmeldeinformationen mit Zugriff auf Ihr AWS-Konto verfügen. Für diese Szenarien empfiehlt AWS die Verwendung von IAM-Zugriff auf zuletzt verwendete Informationen, um Anmeldeinformationen häufig zu rotieren und Anmeldeinformationen zu entfernen, die nicht verwendet werden. Weitere Informationen finden Sie unter Übersicht über die AWS-Identitätsverwaltung: Benutzer.
F: Was sind IAM-Richtlinien?
IAM-Richtlinien definieren Berechtigungen für die juristischen Stellen, denen Sie sie anfügen. Um beispielsweise Zugriff auf eine IAM-Rolle zu gewähren, fügen Sie der Rolle eine Richtlinie an. Die in der Richtlinie definierten Berechtigungen bestimmen, ob Anforderungen zugelassen oder abgelehnt werden. Sie können auch Richtlinien an einige Ressourcen anfügen, z. B. Amazon-S3-Buckets, um direkten, kontenübergreifenden Zugriff zu gewähren. Und Sie können Richtlinien an eine AWS-Organisation oder -Organisationseinheit anhängen, um den Zugriff über mehrere Konten zu beschränken. AWS wertet diese Richtlinien aus, wenn eine IAM-Rolle eine Anfrage stellt. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien.
Zugriff gewähren
F: Wie gewähre ich mithilfe von IAM Zugriff auf Services und Ressourcen?
Um mithilfe von AWS Identity and Access Management (IAM) Zugriff auf Services und Ressourcen zu gewähren, fügen Sie IAM-Richtlinien an Rollen oder Ressourcen an. Sie können beginnen, indem Sie AWS-verwaltete Richtlinien anhängen. Diese sind Eigentum von AWS, werden von AWS aktualisiert und sind in allen AWS-Konten verfügbar. Wenn Sie die spezifischen Berechtigungen kennen, die für Ihre Anwendungsfälle erforderlich sind, können Sie kundenverwaltete Richtlinien erstellen und sie an Rollen anfügen. Einige AWS-Ressourcen bieten eine Möglichkeit, Zugriff zu gewähren, indem eine Richtlinie definiert wird, die an Ressourcen wie Amazon-S3-Buckets angefügt ist. Mit diesen ressourcenbasierten Richtlinien können Sie direkten, kontenübergreifenden Zugriff auf die Ressourcen gewähren, denen sie angefügt sind. Weitere Informationen finden Sie unter Zugriffsverwaltung für AWS-Ressourcen.
F: Wie erstelle ich IAM-Richtlinien?
Um einer Rolle oder Ressource Berechtigungen zuzuweisen, erstellen Sie eine Richtlinie, d. h. ein JavaScript Object Notation (JSON)-Dokument, das Berechtigungen definiert. Dieses Dokument enthält Berechtigungsanweisungen, die den Zugriff auf bestimmte Serviceaktionen, Ressourcen und Bedingungen gewähren oder verweigern. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie an eine oder mehrere AWS-Rollen anfügen, um Ihrem AWS-Konto Berechtigungen zu erteilen. Verwenden Sie ressourcenbasierte Richtlinien, um direkten, kontenübergreifenden Zugriff auf Ressourcen wie Amazon-S3-Buckets zu gewähren. Erstellen Sie Ihre Richtlinien in der IAM-Konsole oder über AWS-APIs oder die AWS CLI. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien.
F: Was sind AWS-verwaltete Richtlinien und wann sollte ich sie verwenden?
AWS-verwaltete Richtlinien werden von AWS erstellt und verwaltet und decken allgemeine Anwendungsfälle ab. Als Erstes können Sie breitere Berechtigungen erteilen, indem Sie die AWS-verwalteten Richtlinien verwenden, die in Ihrem AWS-Konto verfügbar und für alle AWS-Konten gleich sind. Wenn Sie dann Ihre Anforderungen verfeinern, können Sie Berechtigungen reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die spezifisch für Ihre Anwendungsfälle sind, mit dem Ziel, Berechtigungen mit den geringsten Rechten zu erreichen. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien.
F: Was sind kundenverwaltete Richtlinien und wann sollte ich sie verwenden?
Um nur die Berechtigungen zu erteilen, die zum Ausführen von Aufgaben erforderlich sind, können Sie kundenverwaltete Richtlinien erstellen, die spezifisch für Ihre Anwendungsfälle und Ressourcen sind. Verwenden Sie kundenverwaltete Richtlinien, um die Berechtigungen für Ihre spezifischen Anforderungen weiter zu verfeinern. Weitere Informationen finden Sie unter kundenverwaltete Richtlinien.
F: Was sind Inline-Richtlinien und wann sollte ich sie verwenden?
Inline-Richtlinien sind in bestimmte IAM-Rollen eingebettet und inhärent. Verwenden Sie Inline-Richtlinien, wenn Sie eine strikte 1:1-Beziehung zwischen einer Richtlinie und der Identität, auf die sie angewendet wird, aufrechterhalten möchten. Beispielsweise können Sie Administratorberechtigungen erteilen, um sicherzustellen, dass sie nicht an andere Rollen angefügt sind. Weitere Informationen finden Sie unter Inline-Richtlinien.
F: Was sind ressourcenbasierte Richtlinien und wann sollte ich sie verwenden?
Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die an Ressourcen angefügt sind. Beispielsweise können Sie ressourcenbasierte Richtlinien an Amazon-S3-Buckets, Amazon-SQS-Warteschlangen, VPC-Endpunkte und Verschlüsselungsschlüssel vom AWS Key Management Service anfügen. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Verwenden Sie ressourcenbasierte Richtlinien, um direkten, kontenübergreifenden Zugriff zu gewähren. Mit ressourcenbasierten Richtlinien können Sie festlegen, wer Zugriff auf eine Ressource hat und welche Aktionen er damit ausführen kann. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.
F: Was ist rollenbasierte Zugriffssteuerung (RBAC)?
RBAC bietet Ihnen die Möglichkeit, Berechtigungen basierend auf der Auftragsfunktion einer Person zuzuweisen, die außerhalb von AWS als Rolle bekannt ist. IAM stellt RBAC bereit, indem IAM-Rollen mit Berechtigungen definiert werden, die an Auftragsfunktionen ausgerichtet sind. Sie können dann einzelnen Personen Zugriff gewähren, um diese Rollen zu übernehmen, um bestimmte Auftragsfunktionen auszuführen. Mit RBAC können Sie den Zugriff prüfen, indem Sie sich jede IAM-Rolle und die damit verbundenen Berechtigungen ansehen. Weitere Informationen finden Sie unter Vergleich von ABAC mit dem herkömmlichen RBAC-Modell.
F: Wie gewähre ich Zugriff mit RBAC?
Gewähren Sie als bewährte Methode Zugriff nur auf die spezifischen Serviceaktionen und Ressourcen, die zur Ausführung der einzelnen Aufgaben erforderlich sind. Dies wird als Gewährung der geringsten Berechtigung bezeichnet. Wenn Mitarbeiter neue Ressourcen hinzufügen, müssen Sie Richtlinien aktualisieren, um den Zugriff auf diese Ressourcen zu ermöglichen.
F: Was ist attributbasierte Zugriffskontrolle (ABAC)?
ABAC ist eine Autorisierungsstrategie, die Berechtigungen anhand von Attributen definiert. In AWS werden diese Attribute als Tags bezeichnet und Sie können sie für AWS-Ressourcen, IAM-Rollen und in Rollensitzungen definieren. Mit ABAC definieren Sie eine Reihe von Berechtigungen basierend auf dem Wert eines Tags. Sie können bestimmten Ressourcen differenzierte Berechtigungen erteilen, indem Sie verlangen, dass die Tags in der Rolle oder Sitzung mit den Tags in der Ressource übereinstimmen. Sie können beispielsweise eine Richtlinie verfassen, die Entwicklern Zugriff auf Ressourcen gewährt, die mit der Auftragsbezeichnung „Entwickler“ gekennzeichnet sind. ABAC ist in schnell wachsenden Umgebungen hilfreich, indem Berechtigungen an Ressourcen erteilt werden, wenn sie mit bestimmten Tags erstellt werden. Weitere Informationen finden Sie unter Attributbasierte Zugriffskontrolle für AWS.
F: Wie gewähre ich Zugriff mit ABAC?
Um den Zugriff mithilfe von ABAC zu gewähren, definieren Sie zunächst die Tag-Schlüssel und -Werte, die Sie für die Zugriffssteuerung verwenden möchten. Stellen Sie dann sicher, dass Ihre IAM-Rolle über die entsprechenden Tag-Schlüssel und -Werte verfügt. Wenn mehrere Identitäten diese Rolle verwenden, können Sie auch Sitzungs-Tag-Schlüssel und -Werte definieren. Stellen Sie als Nächstes sicher, dass Ihre Ressourcen über die entsprechenden Tag-Schlüssel und -Werte verfügen. Sie können auch verlangen, dass Benutzer Ressourcen mit geeigneten Tags erstellen und den Zugriff einschränken, um sie zu ändern. Nachdem Ihre Tags eingerichtet sind, definieren Sie eine Richtlinie, die Zugriff auf bestimmte Aktionen und Ressourcentypen gewährt, aber nur, wenn die Rollen- oder Sitzungs-Tags mit den Ressourcen-Tags übereinstimmen. Ein ausführliches Tutorial, das die Verwendung von ABAC in AWS demonstriert, finden Sie unter IAM-Tutorial: Definieren von Berechtigungen für den Zugriff auf AWS-Ressourcen basierend auf Tags.
Zugriff einschränken
F: Was sind AWS Organizations Service-Kontrollrichtlinien (SCPs) und wann sollte ich sie verwenden?
SCPs ähneln IAM-Richtlinien und verwenden fast dieselbe Syntax. SCPs erteilen jedoch keine Berechtigungen. Stattdessen erlauben oder verweigern SCPs den Zugriff auf AWS-Services für einzelne AWS-Konten mit Mitgliedskonten von Organisationen oder für Gruppen von Konten innerhalb einer Organisationseinheit. Die angegebenen Aktionen von einem SCP wirken sich auf alle IAM-Benutzer und -Rollen aus, einschließlich des Root-Benutzers des Mitgliedskontos. Weitere Informationen finden Sie unter Richtlinienauswertungslogik.
Zugriff analysieren
F: Wie erreiche ich Berechtigungen mit den geringsten Rechten?
Wenn Sie mit dem Erteilen von Berechtigungen beginnen, können Sie beim Erkunden und Experimentieren mit umfassenderen Berechtigungen beginnen. Wenn Ihre Anwendungsfälle ausgereift sind, empfiehlt AWS, dass Sie die Berechtigungen verfeinern, um nur die erforderlichen Berechtigungen zu erteilen, mit dem Ziel, Berechtigungen mit den geringsten Rechten zu erreichen. AWS stellt Tools bereit, mit denen Sie Ihre Berechtigungen verfeinern können. Sie können mit AWS-verwalteten Richtlinien beginnen, die von AWS erstellt und verwaltet werden und Berechtigungen für allgemeine Anwendungsfälle enthalten. Definieren Sie beim Verfeinern Ihrer Berechtigungen spezifische Berechtigungen in kundenverwalteten Richtlinien. Verwenden Sie AWS Identity and Access Management (IAM) Access Analyzer, überprüfen Sie die AWS-CloudTrail-Protokolle und überprüfen Sie die letzten Zugriffsinformationen, um die spezifischen erforderlichen Berechtigungen zu bestimmen. Sie können auch den IAM-Richtliniensimulator verwenden, um Richtlinien zu testen und Fehler zu beheben.
F: Was ist IAM Access Analyzer?
Das Erreichen der geringsten Berechtigung ist ein kontinuierlicher Zyklus, um die richtigen, fein abgestuften Berechtigungen zu erteilen, während sich Ihre Anforderungen entwickeln. IAM Access Analyzer hilft Ihnen, die Berechtigungsverwaltung in jedem Schritt dieses Zyklus zu optimieren. Die Richtlinienerstellung mit IAM Access Analyzer generiert eine fein abgestufte Richtlinie auf der Grundlage der in Ihren Protokollen erfassten Zugriffsaktivitäten. Das bedeutet, dass Sie nach dem Erstellen und Ausführen einer Anwendung Richtlinien erstellen können, die nur die erforderlichen Berechtigungen für den Betrieb der Anwendung gewähren. Die Richtlinienvalidierung mit IAM Access Analyzer unterstützt Sie bei der Erstellung und Validierung sicherer und funktionaler Richtlinien mit mehr als 100 Richtlinienprüfungen. Sie können diese Prüfungen bei der Erstellung neuer Richtlinien oder zur Validierung bestehender Richtlinien verwenden. Öffentliche und kontenübergreifende Ergebnisse mit IAM Access Analyzer helfen Ihnen, den von Ihren Ressourcenrichtlinien erlaubten Zugriff von außerhalb Ihrer AWS-Organisation oder Ihres Kontos zu überprüfen und zu verfeinern. Weitere Informationen finden Sie unter Verwenden von IAM Access Analyzer.
F: Wie entferne ich ungenutzte Berechtigungen?
Möglicherweise verfügen Sie in Ihrem AWS-Konto über IAM-Benutzer, -Rollen und -Berechtigungen, die Sie nicht mehr benötigen. Wir empfehlen, sie mit dem Ziel zu entfernen, den Zugriff mit den geringsten Rechten zu erreichen. Für IAM-Benutzer können Sie das Passwort überprüfen und auf die zuletzt verwendeten Schlüsselinformationen zugreifen. Für Rollen können Sie die zuletzt verwendeten Rolleninformationen überprüfen. Diese Informationen sind über die IAM-Konsole, APIs und SDKs verfügbar. Zuletzt verwendete Informationen helfen Ihnen, Benutzer und Rollen zu identifizieren, die nicht mehr verwendet werden und sicher entfernt werden können. Sie können Berechtigungen auch verfeinern, indem Sie Informationen zum Service und zuletzt verwendete Informationen überprüfen, um ungenutzte Berechtigungen zu identifizieren. Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der zuletzt verwendeten Informationen.
F: Was ist der IAM-Richtliniensimulator und wann sollte ich ihn verwenden?
Der IAM-Richtliniensimulator wertet die von Ihnen ausgewählten Richtlinien aus und bestimmt die effektiven Berechtigungen für jede der von Ihnen angegebenen Aktionen. Verwenden Sie den Richtliniensimulator, um identitätsbasierte und ressourcenbasierte Richtlinien, IAM-Berechtigungsgrenzen und SCPs zu testen und Fehler zu beheben. Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator.
Erhalten Sie Informationen zu den ersten Schritten mit IAM