AWS-Identity-and-Access-Management-Rollen (IAM) sind Entitäten, die Sie erstellen und denen Sie bestimmte Berechtigungen zuweisen, die es vertrauenswürdigen Identitäten wie Mitarbeiteridentitäten und Anwendungen ermöglichen, Aktionen in AWS durchzuführen. Wenn Ihre vertrauenswürdigen Identitäten IAM-Rollen übernehmen, werden ihnen nur die von diesen IAM-Rollen abgedeckten Berechtigungen gewährt. Die Verwendung von IAM-Rollen ist eine bewährte Sicherheitspraxis, da Rollen temporäre Anmeldeinformationen bieten, die nicht rotiert werden müssen.
Häufige Szenarien, in denen IAM-Rollen verwendet werden
Verbinden Sie die Identitäten Ihrer Mitarbeiter mit AWS:Mit dem IAM Identity Center können Ihre Benutzer ihre bestehenden Unternehmensanmeldeinformationen verwenden, um sich mit AWS-Konten zu verbinden. Mit IAM-Rollen können Sie die Berechtigungen festlegen, die Benutzer beim Zugriff auf AWS-Konten haben sollen.
Zugriff auf Workloads innerhalb von AWS: Ein Workload ist eine Sammlung von Ressourcen und Code, z. B. eine Anwendung, die eine Identität benötigt, um Anfragen an AWS-Services zu stellen. Durch die Verwendung von IAM-Rollen kann Ihre Anwendung, die in einer beliebigen AWS-Rechenumgebung läuft, wie z. B. Amazon-EC2-Instances, mit temporären Anmeldeinformationen auf AWS-Ressourcen zugreifen, wodurch die Verwaltung langfristiger Anmeldeinformationen entfällt.
Zugriff auf Workloads, die außerhalb von AWS laufen: Sie haben möglicherweise Arbeitslasten, die außerhalb von AWS laufen und Zugriff auf Ihre AWS-Ressourcen benötigen. Durch die Verwendung von IAM Roles Anywhere können Ihre Anwendungen außerhalb von AWS temporären Zugriff auf Ressourcen in Ihrer AWS-Umgebung erhalten.
Aktivieren Sie den kontoübergreifenden Zugriff: Wir empfehlen Ihnen, mehrere AWS-Konten zu verwenden, um Ihre Geschäftsanwendungen und Daten zu isolieren und zu verwalten. Um Ihren Identitäten in einem AWS-Konto den Zugriff auf Ressourcen in einem anderen AWS-Konto zu ermöglichen, können Sie IAM-Rollen für den Zugriff verwenden.
Gewähren Sie Zugriff auf AWS-Services: AWS-Services müssen die Erlaubnis erhalten, Aktionen in Ihrem AWS-Konto in Ihrem Namen durchzuführen. Wenn Sie eine AWS-Serviceumgebung einrichten, definieren Sie eine Rolle, die der Service übernehmen soll. Der Service kann dann die Servicerolle übernehmen und nur die Aktionen ausführen, die Sie angegeben haben.
Weitere Informationen zu Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.
So verwalten Sie Berechtigungen mit IAM