IAM-Rollen verwalten
Übersicht
AWS-Identity-and-Access-Management-Rollen (IAM) sind Entitäten, die Sie erstellen und denen Sie bestimmte Berechtigungen zuweisen, die es vertrauenswürdigen Identitäten wie Mitarbeiteridentitäten und Anwendungen ermöglichen, Aktionen in AWS durchzuführen. Wenn Ihre vertrauenswürdigen Identitäten IAM-Rollen übernehmen, werden ihnen nur die von diesen IAM-Rollen abgedeckten Berechtigungen gewährt. Die Verwendung von IAM-Rollen ist eine bewährte Sicherheitspraxis, da Rollen temporäre Anmeldeinformationen bieten, die nicht rotiert werden müssen.
Häufige Szenarien, in denen IAM-Rollen verwendet werden
Verbinden Sie die Identitäten Ihrer Mitarbeiter mit AWS:Mit dem IAM Identity Center können Ihre Benutzer ihre bestehenden Unternehmensanmeldeinformationen verwenden, um sich mit AWS-Konten zu verbinden. Mit IAM-Rollen können Sie die Berechtigungen festlegen, die Benutzer beim Zugriff auf AWS-Konten haben sollen.
Zugriff auf Workloads innerhalb von AWS: Ein Workload ist eine Sammlung von Ressourcen und Code, z. B. eine Anwendung, die eine Identität benötigt, um Anfragen an AWS-Services zu stellen. Durch die Verwendung von IAM-Rollen kann Ihre Anwendung, die in einer beliebigen AWS-Datenverarbeitungsumgebung, z. B. Amazon-EC2-Instances, ausgeführt wird, mit temporären Anmeldeinformationen auf AWS-Ressourcen zugreifen, wodurch die Verwaltung langfristiger Anmeldeinformationen entfällt.
Greifen Sie auf Workloads zu, die außerhalb von AWS ausgeführt werden: Möglicherweise laufen Workloads außerhalb von AWS, z. B. On-Premises, Hybrid- und Multi-Cloud-Umgebungen, die Zugriff auf Ihre AWS-Ressourcen benötigen. Durch die Verwendung von IAM Roles Anywhere können Ihre Anwendungen außerhalb von AWS temporären Zugriff auf Ressourcen in Ihrer AWS-Umgebung erhalten.
Aktivieren Sie den kontoübergreifenden Zugriff: Wir empfehlen Ihnen, mehrere AWS-Konten zu verwenden, um Ihre Geschäftsanwendungen und Daten zu isolieren und zu verwalten. Um Ihren Identitäten in einem AWS-Konto den Zugriff auf Ressourcen in einem anderen AWS-Konto zu ermöglichen, können Sie IAM-Rollen für den Zugriff verwenden.
Gewähren Sie Zugriff auf AWS-Services: AWS-Services müssen die Erlaubnis erhalten, Aktionen in Ihrem AWS-Konto in Ihrem Namen durchzuführen. Wenn Sie eine AWS-Serviceumgebung einrichten, definieren Sie eine Rolle, die der Service übernehmen soll. Der Service kann dann die Servicerolle übernehmen und nur die Aktionen ausführen, die Sie angegeben haben.
Weitere Informationen zu Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.