Identity-, Directory- und Access-Services von AWS

Bewältigen Sie mühelos alles rund um die Authentifizierung, Autorisierung und Governance in der AWS Cloud.

Die Identity-, Directory- und Access-Services von AWS erleichtern Ihnen das Management von Authentifizierung, Autorisierung und Governance in der AWS Cloud. Mit diesen Services können Sie überall in der AWS Cloud den Zugriff auf Ihre AWS-Konten und die Infrastruktur auf sichere Weise verwalten und prüfen. Mit AWS erhalten Sie maßgeschneiderte Identitäts-, Verzeichnis- und Zugriffsservices, die Ihnen die unkomplizierte und sichere Migration von bestehenden Workloads zur AWS Cloud sowie die Erstellung von neuen Cloud-eigenen Anwendungen erleichtern. Dabei bleiben Sie flexibel und können Ihre vorhandenen Identitäten und Verzeichnisse verwenden oder die AWS-verwalteten Services nutzen.

Damit Benutzer sich einfach und sicher authentifizieren können, ermöglichen die Identity-, Directory- und Access-Services von AWS den Benutzern, ihre eigenen Identitäten auch in der AWS Cloud zu verwenden. Zur Benutzerauthentifizierung für Ihre eigenen Anwendungen können Sie beispielsweise Anbieter von sozialen Identitäten wie Facebook und Amazon verwenden. Sie können den Entwicklern und AWS-Administratoren auch ermöglichen, beim Zugriff auf ihre AWS-Konten die bisherigen Unternehmens-Anmeldeinformationen anzugeben. AWS unterstützt Sie mithilfe von differenzierten Zugriffsrichtlinien und zeitlich begrenzten Anmeldeinformationen zur Verwaltung von Berechtigungen für Ihre AWS-Ressourcen beim Management der Autorisierung innerhalb von AWS-Konten. Wenn Sie Ihr System ausbauen und weitere AWS-Konten und -Ressourcen hinzufügen, unterstützt Sie AWS mit seinen Services für die Verwaltung des SSO-Zugriffs (Single Sign-On, einmaliges Anmelden) und die Verwaltung der Richtlinien und Governance über mehrere AWS-Konten hinweg bei der Erfüllung Ihrer Prüf- und Compliance-Anforderungen. Mit AWS sind Sie schnell einsatzbereit und profitieren bei einer Erweiterung in der AWS Cloud auf sichere Weise von einem immer umfangreicheren Funktionsspektrum.

 

re:Invent 2017: SID303: Erfolg in der AWS Cloud durch Verwendung der AWS Identity-Services

Vorteile

Schneller und sicherer Einstieg

Mit den Identity-, Directory- und Access-Services von AWS profitieren Sie von bewährten Methoden in puncto Sicherheit, damit Sie schnell und sicher mit der AWS Cloud loslegen können. Mit den durch das AWS Identity and Access Management (IAM) verwalteten Richtlinien sowie dem grafischen Point-and-Click-Editor können Sie ganz einfach auf Basis von allgemeinen Jobfunktionen wie Datenbankadministrator, Datenwissenschaftler und Prüfer IAM-Richtlinien erstellen. Zudem haben Sie die Möglichkeit, diese internen Richtlinien für die Erfüllung Ihrer jeweiligen Sicherheitsanforderungen zu erweitern. Sie können beispielsweise die internen Richtlinien für Datenbankadministratoren kopieren und die Berechtigungen verringern, sodass nur der Zugriff auf Amazon DynamoDB möglich ist.

Nutzung von immer umfangreicheren Funktionen

Mit AWS können Sie immer mehr Funktionen nutzen, wenn Ihre Anforderungen mit der Zeit höher werden. Sie können differenzierte Zugriffsrichtlinien erstellen, um die strengen regulatorischen Anforderungen und Compliance-Anforderungen zu erfüllen. Sie haben die Möglichkeit, die Berechtigungen für AWS-Services und -Ressourcen auf eine API-Ebene zu begrenzen, und können Bedingungen festlegen, die regeln, wann und wie diese Berechtigungen verwendet werden können. Zudem können Sie durch Integrationen in AWS-Services für Protokollierung und Überwachung wie etwa AWS CloudTrail und AWS CloudWatchim gesamten Bereich Ihrer AWS-Ressourcen für Transparenz sorgen und wissen genau, wer auf welche Ressourcen zugegriffen hat.

Sichere Skalierung in der AWS Cloud

Damit Sie stets auf der sicheren Seite sind, wenn Sie Ihr System ausbauen und weitere AWS-Konten hinzufügen, können Sie mit den Identity-, Directory- und Access-Services von AWS für all Ihre AWS-Konten den Zugriff und die Governance verwalten. Mit AWS Single Sign-On (SSO) haben Sie die Möglichkeit, den Zugriff auf mehrere AWS-Konten zentral zu verwalten. Und mit AWS Organizations können Sie Kontengruppen erstellen und danach Service-Kontrollrichtlinien anwenden, um zu verwalten, welche AWS-Service-APIs in Ihren AWS-Konten erlaubt sind. So können Sie beispielsweise separate Kontengruppen erstellen, die für Entwicklungs- und Produktionsressourcen genutzt werden, und anschließend auf jede Gruppe eigene Service-Kontrollrichtlinien anwenden.

Anwendungsfälle

100x100_benefit_team-access

Verwalten und schützen Sie den Benutzerzugriff auf Ihre AWS-Ressourcen und -Geschäftsanwendungen.

Die Verwaltung und Absicherung des Benutzerzugriffs auf Ihre AWS-Ressourcen und Geschäftsanwendungen sind ein kritischer Teil Ihrer Sicherheits- und Compliance-Richtlinien. Mit den Identity-, Directory- und Access-Services von AWS können Sie den Benutzerzugriff auf Ihre AWS-Konten und Geschäftsanwendungen unter Verwendung Ihrer bisherigen Unternehmensidentitäten verwalten und differenzierte Zugriffsrichtlinien erstellen, die Sie zur Verwaltung der Berechtigungen für Ihre AWS-Ressourcen nutzen können. Zudem können Sie die Verwendung von AWS-Service-APIs über all Ihre AWS-Konten hinweg steuern, um auf diese Weise Sicherheits- und Compliance-Richtlinien zu erfüllen. Die Identity-, Directory- und Access-Services von AWS ermöglichen Ihnen darüber hinaus die Erweiterung der Berechtigungen auf die Ressourcen, die von einem Benutzer in seinem AWS-Konto ausgeführt werden. So können Sie beispielsweise sicherstellen, dass die Berechtigungen, die für eine von einem Sicherheitstechniker ausgelöste AWS Lambda-Funktion erteilt werden, nicht die für den Techniker erteilten Berechtigungen überschreiten.

100x100_benefit_workflow2

Verwalten und schützen Sie den Anwendungszugriff auf Ihre AWS-Ressourcen.

Für die Erstellung von verteilten Anwendungen, die in unterschiedlichen AWS-Services und -Konten ausgeführt werden, müssen Sie in der Lage sein, die Identität und Berechtigungen Ihrer Anwendungsressourcen zu prüfen. Mit den Identity-, Directory- und Access-Services von AWS können Sie Identitäten auf sichere Weise prüfen und Ressourcenberechtigungen unter Verwendung von zeitlich begrenzten Anmeldeinformationen, die als Rollen bezeichnet werden, verwalten. Rollen erleichtern den Einsatz von bewährten Sicherheitsverfahren für die Erteilung eines Zugriffs mit den geringsten Rechten, und Sie können zudem differenzierte Berechtigungen für AWS-Services und -Anwendungen verwalten, die in Amazon EC2-Instances und Containern ausgeführt werden. Mithilfe der Rollen können Sie diesen Ressourcen Zugriff auf Daten gewähren, ohne hierfür Passwörter und API-Schlüssel verteilen zu müssen. Auch eine feste Codierung von Anmeldeinformationen in Ihrem Quellcode ist nicht erforderlich.

100x100_benefit_credential

Verwalten und schützen Sie den Zugriff auf Ihre eigenen Anwendungen.

Die Erstellung von angepassten Lösungen für die Verwaltung von Identitäten und Authentifizierung in Anwendungen ist eine komplexe Angelegenheit. Die Identity-, Directory- und Access-Services von AWS ermöglichen Ihnen die Aufnahme einer Registrierungs- und Anmeldefunktionalität in Ihre Anwendungen sowie die Erstellung von skalierbaren Cloud-eigenen Verzeichnissen für Ihre Anwendungsbenutzer. Sie können Benutzern auch die Nutzung eigener Identitäten aus Anbietern von sozialen Identitäten wie Facebook und Amazon oder die Verwendung ihrer bisherigen Unternehmensidentitäten über SAML ermöglichen. Um den Schutz des Zugriffs rund um die Benutzerkonten für Ihre Anwendungen zu erleichtern, können Sie mit den Identity-, Directory- und Access-Services von AWS Ihren Anwendungen eine Multifaktor-Authentifizierung (MFA) hinzufügen. Wenn MFA aktiviert ist, müssen Benutzer einen zusätzlichen Verifizierungsfaktor angeben, damit sie auf Ihre Anwendung zugreifen können. Dies kann beispielsweise ein sechsstelliger Code sein, der per SMS gesendet wurde.

Identity-, Directory- und Access-Services


Mit AWS Identity and Access Management (IAM) können Sie den Zugriff auf AWS-Services und -Ressourcen verwalten. Sie können IAM-Richtlinien erstellen, mit denen Berechtigungen für IAM-Benutzer und -Gruppen verwaltet werden, die den Zugriff auf AWS-Ressourcen erlauben oder verweigern.


AWS Organizations bietet richtlinienbasierte Verwaltung für mehrere AWS-Konten. Mit Organizations können Sie Kontengruppen erstellen und anschließend Richtlinien für diese Gruppen anwenden.


Mit AWS Directory Service für Microsoft Active Directory können Sie in der AWS Cloud für Ihre verzeichnisfähigen Workloads und AWS-Ressourcen ein verwaltetes Active Directory verwenden.


AWS Single Sign-On (SSO) erleichtert die zentrale Verwaltung des SSO-Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen. Benutzer können sich mit ihren Unternehmens-Anmeldeinformationen bei einem Benutzerportal anmelden und zentral von einem Ort aus auf ihre Konten und Anwendungen zugreifen.


Mit Amazon Cognito können Sie problemlos Benutzerregistrierung und -anmeldung zu Ihren mobilen und Web-Apps hinzufügen. Sie können Benutzer auch über Anbieter von sozialen Identitäten wie Facebook und Amazon oder mit Unternehmensidentitäten über SAML authentifizieren.


Mit Amazon Cloud Directory können Sie flexible Cloud-Verzeichnisse für das Organisieren von Datenhierarchien in mehreren Dimensionen erstellen. Sie können Verzeichnisse für verschiedene Anwendungsfälle, wie zum Beispiel Organisationsdiagramme, Kurskataloge und Geräteregistrierungen, erstellen.

Webinare

Best Practices for Using AWS Identity and Access Management (IAM) Roles
SAML Federation for AWS
Becoming an AWS Policy Ninja Using AWS IAM and AWS Organizations
AWS Organizations – Account Management at Enterprise Scale
How to Integrate AWS Directory Service with Office 365
Deep Dive on User Sign Up and Sign In with Amazon Cognito

Bleiben Sie mit AWS-Webinaren auf dem Laufenden.

Wichtigste Funktionen

Verwenden Sie Ihre bestehenden Unternehmensidentitäten.

Mit AWS können Sie Ihre bestehenden Unternehmensidentitäten für die Verwaltung des Benutzerzugriffs auf Ihre AWS-Ressourcen und Geschäftsanwendungen verwenden. AWS Identity and Access Management (IAM) kann in Ihr lokales Microsoft Active Directory (AD) mit SAML 2.0 (Security Assertion Markup Language 2.0) integriert werden. Dadurch können Sie Single Sign-on (SSO) für den Zugriff auf Ihre AWS-Konten unter Verwendung Ihrer AD-Anmeldeinformationen verwenden. Um die Aufwärtsskalierung in der AWS Cloud im Zuge der Aufnahme weiterer AWS-Konten zu erleichtern, können Sie AWS Single Sign-On (SSO) für die zentrale Verwaltung des SSO-Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen nutzen. Mit dem AWS Directory Service können Sie Ihr lokales AD unter Verwendung von AD-Forest-Trusts oder mit einem AD-Connector auf die AWS Cloud ausweiten. Danach können Sie Ihre vorhandenen AD-Benutzer und -Gruppen für die Verwaltung des Zugriffs auf Ihre AWS-Konten und AD-fähigen Workloads wie Amazon RDS for SQL Server, Amazon EC2 for Windows Server und Amazon WorkSpaces verwenden.

Verwalten Sie Identitäten und den Zugriff in Ihren eigenen Anwendungen auf sichere Weise.

Mit Amazon Cognito können Sie unter Verwendung mehrerer Optionen für externe Identitäten den Zugriff auf Ihre eigenen Anwendungen verwalten. Sie können den Benutzern ermöglichen, für die Registrierung und Anmeldung bei Ihrer Anwendung eigene Identitäten zu verwenden, die von Anbietern von sozialen Identitäten wie Facebook und Amazon stammen. Auch die Verwendung von eigenen Anbietern von Unternehmensidentitäten über SAML ist möglich. Zudem können Sie Ihre Anwendungsbenutzer in einem skalierbaren, Cloud-eigenen Verzeichnis mithilfe von Amazon Cognito-Benutzerpools verwalten.

Sicherer Zugriff dank Multifaktor-Authentifizierung

Schützen Sie den Zugriff auf Ihre AWS-Ressourcen und -Anwendungen mit einer Multifaktor-Authentifizierung (MFA). Mit AWS Identity and Access Management (IAM) können Sie MFA für den Zugriff auf Ihre AWS-Konten aktivieren. Sie können auch AWS Directory Service für Microsoft Active Directory verwenden, um eine RADIUS-basierte MFA (RADIUS = Remote Authentication Dial-In User Service) für Ihre AD-fähigen Anwendungen zu ermöglichen. Sie können MFA mit Amazon Cognito aber auch Ihren eigenen Anwendungen hinzufügen.

Erstellen Sie differenzierte Zugriffsrichtlinien.

Die Identity-, Directory- und Access-Services von AWS erleichtern Ihnen die sichere Zugriffsverwaltung in der AWS Cloud. Mithilfe von AWS Identity and Access Management (IAM) können Sie differenzierte Zugriffsrichtlinien für Ihre AWS-Ressourcen festlegen. So können Sie beispielsweise eine Richtlinie erstellen, die festlegt, welche AWS-Service-APIs von einer IAM-Benutzergruppe unter welchen Bedingungen verwendet werden dürfen.

Verwalten Sie den Zugriff unter Verwendung von zeitlich begrenzten Anmeldeinformationen.

Mit AWS IAM-Rollen können Sie den Zugriff auf Ihre AWS-Ressourcen unter Verwendung von zeitlich begrenzten Anmeldeinformationen verwalten. IAM-Rollen ermöglichen Ihnen die Erteilung von Zugriff auf Ressourcen in Ihren AWS-Konten, ohne dass Sie Passwörter oder API-Schlüssel verteilen müssen. So können Sie beispielsweise einer AWS Lambda-Funktion eine IAM-Rolle zuweisen, um ihr in Ihrem Namen Schreibberechtigungen für Protokolle in AWS CloudWatch zu erteilen. Es wäre auch denkbar, dass Sie mit IAM-Rollen für Amazon EC2 Ihren Anwendungen, die in EC2 ausgeführt werden, Zugriffsberechtigungen für eine Amazon RDS-Datenbank erteilen.

Verwaltete Verzeichnisservices.

AWS bietet mehrere Verzeichnisserviceoptionen, damit unterschiedlichste Arten von Anwendungen unterstützt werden können. Für Anwendungen, die Microsoft AD erfordern, können Sie AWS Directory Service für Microsoft Active Directory (auch als "AWS Managed Microsoft AD" bekannt) verwenden und einen verwalteten AD-Service nutzen. Falls AWS Managed Microsoft AD jedoch nicht Ihren Anforderungen entspricht, können Sie auch Ihr eigenes AD für Amazon EC2 bereitstellen. Mithilfe von Amazon Cognito-Benutzerpools können Sie auch Cloud-eigene Benutzerverzeichnisse für Ihre eigenen Anwendungen erstellen. Sie können aber auch mit Amazon Cloud Directory skalierbare Verzeichnisse für die Verwaltung von detaillierten Datenhierarchien wie Organisationsdiagramme, Kurskataloge und Geräteregistrierungen erstellen.

Erste Schritte mit AWS

icon1

Registrieren Sie sich für ein AWS-Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
icon2

Erfahren Sie mehr in unseren zehnminütigen praktischen Anleitungen

Entdecken und lernen Sie mit einfachen Tutorials.
icon3

Beginnen Sie die Entwicklung mit AWS

Entwickeln Sie mit Hilfe von schrittweisen Anleitungen, die Ihnen helfen, Ihr AWS-Projekt zu starten.

Erste Schritte mit AWS

Registrieren
Haben Sie Fragen?
Kontakt