IAM-Rollen verwalten

IAM-Rollen ermöglichen es Ihnen, den Zugriff an Benutzer oder Services zu delegieren, die normalerweise keinen Zugriff auf die AWS-Ressourcen Ihrer Organisation haben. IAM-Benutzer oder AWS-Services können eine Rolle annehmen, um temporäre Anmeldeinformationen zu erhalten, mit deren Hilfe Aufrufe von AWS-APIs erfolgen können. Dies bedeutet, dass Sie Anmeldeinformationen nicht langfristig freigeben oder Berechtigungen für jede Entität definieren müssen, die Zugriff auf eine Ressource benötigt.

Sicherer Zugriff auf AWS-Services mithilfe von IAM-Rollen (6:04)

In den folgenden Szenarien werden einige der Problemstellungen beleuchtet, die durch ein Delegieren des Zugriffs beseitigt werden können:

  • Erteilen des Zugriffs auf AWS-Ressourcen an Anwendungen, die in Amazon EC2-Instances ausgeführt werden

Um Anwendungen in einer Amazon EC2-Instance Zugriff auf AWS-Ressourcen zu erteilen, können Entwickler ihre Anmeldeinformationen an jede Instance verteilen. Anwendungen können anschließend diese Anmeldeinformationen nutzen, um auf Ressourcen wie Amazon S3-Buckets oder Amazon DynamoDB-Daten zuzugreifen. Die langfristige Verteilung von Anmeldeinformationen an jede Instance ist jedoch schwierig zu verwalten und birgt potenzielle Sicherheitsrisiken. Im Video oben wird detaillierter beschrieben, wie Sie diese Sicherheitsproblematik mithilfe von Rollen in den Griff bekommen.

  • Kontenübergreifender Zugriff
Zum Steuern oder Verwalten des Zugriffs auf Ressourcen, z. B. zum Isolieren einer Entwicklungs- von einer Produktionsumgebung, verfügen Sie ggf. über mehrere AWS-Konten. Dabei kann es mitunter vorkommen, dass Benutzer eines Kontos auf Ressourcen des anderen Kontos zugreifen müssen. Ein Benutzer in der Entwicklungsumgebung benötigt ggf. Zugriff auf die Produktionsumgebung, um ein Update vorzunehmen. Deshalb benötigen Benutzer Anmeldeinformationen für beide Konten, doch die Verwaltung mehrerer Anmeldeinformationen für mehrere Konten erschwert die Identitätsverwaltung. Die Nutzung einer IAM-Rolle kann dies erleichtern. Weitere Informationen zum kontenübergreifenden API-Zugriff erhalten Sie im Trend-Micro-Fallbeispiel.
  • Erteilen von Berechtigungen für AWS-Services
Bevor AWS-Services Aktionen für Sie durchführen können, müssen Sie ihnen entsprechende Berechtigungen erteilen. Sie können IAM-Rollen verwenden, um AWS-Services Berechtigungen zum Aufrufen anderer AWS-Services zu erteilen oder um AWS-Ressourcen für Sie in Ihrem Konto zu erstellen und zu verwalten. AWS-Services wie Amazon Lex bieten außerdem Service-verknüpfte Rollen, die vordefiniert sind und nur von diesem speziellen Service angenommen werden können.

Weitere Informationen zum Verwalten von Rollen in IAM finden Sie im Abschnitt Rollen des Handbuchs Verwenden von IAM.

So verwalten Sie Berechtigungen mit IAM

Seite zum Verwalten der Berechtigungen besuchen
Bereit zum Entwickeln?
Erste Schritte mit IAM
Haben Sie noch Fragen?
Kontakt