IAM-Rollen ermöglichen es Ihnen, den Zugriff an Benutzer oder Services zu delegieren, die normalerweise keinen Zugriff auf die AWS-Ressourcen Ihrer Organisation haben. IAM-Benutzer oder AWS-Services können eine Rolle annehmen, um temporäre Anmeldeinformationen zu erhalten, mit deren Hilfe Aufrufe von AWS-APIs erfolgen können. Dies bedeutet, dass Sie Anmeldeinformationen nicht langfristig freigeben oder Berechtigungen für jede Entität definieren müssen, die Zugriff auf eine Ressource benötigt.
In den folgenden Szenarien werden einige der Problemstellungen beleuchtet, die durch ein Delegieren des Zugriffs beseitigt werden können:
- Erteilen des Zugriffs auf AWS-Ressourcen an Anwendungen, die in Amazon EC2-Instances ausgeführt werden
Um Anwendungen in einer Amazon EC2-Instance Zugriff auf AWS-Ressourcen zu erteilen, können Entwickler ihre Anmeldeinformationen an jede Instance verteilen. Anwendungen können anschließend diese Anmeldeinformationen nutzen, um auf Ressourcen wie Amazon S3-Buckets oder Amazon DynamoDB-Daten zuzugreifen. Die langfristige Verteilung von Anmeldeinformationen an jede Instance ist jedoch schwierig zu verwalten und birgt potenzielle Sicherheitsrisiken. Im Video oben wird detaillierter beschrieben, wie Sie diese Sicherheitsproblematik mithilfe von Rollen in den Griff bekommen.
- Kontenübergreifender Zugriff
- Erteilen von Berechtigungen für AWS-Services
Weitere Informationen zum Verwalten von Rollen in IAM finden Sie im Abschnitt Rollen des Handbuchs Verwenden von IAM.
So verwalten Sie Berechtigungen mit IAM