Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wann verwende ich IAM?
AWS Identity and Access Management ist ein zentraler Infrastrukturservice, der die Grundlage für die Zugriffskontrolle basierend auf den in AWS enthaltenen Identitäten bildet. Sie verwenden IAM jedes Mal, wenn Sie auf Ihr AWS-Konto zugreifen. Die Art und Weise, wie Sie IAM verwenden, hängt von den spezifischen Verantwortlichkeiten und Aufgabenbereichen in Ihrer Organisation ab. Benutzer von AWS-Services verwenden IAM, um auf die für ihre tägliche Arbeit erforderlichen AWS-Ressourcen zuzugreifen, wobei Administratoren die entsprechenden Berechtigungen gewähren. IAM-Administratoren hingegen sind für die Verwaltung von IAM-Identitäten und das Erstellen von Richtlinien zur Kontrolle des Zugriffs auf Ressourcen verantwortlich. Unabhängig von Ihrer Rolle interagieren Sie mit IAM, wenn Sie den Zugriff auf AWS-Ressourcen authentifizieren und autorisieren. Dies könnte die Anmeldung als IAM-Benutzer, die Übernahme einer IAM-Rolle oder die Nutzung der Identitätsverbund für einen nahtlosen Zugriff umfassen. Für die effektive Verwaltung des sicheren Zugriffs auf Ihre AWS-Umgebung ist es wichtig, die verschiedenen IAM-Funktionen und Anwendungsfälle zu verstehen. Wenn es um die Erstellung von Richtlinien und Berechtigungen geht, bietet IAM einen flexiblen und differenzierten Ansatz. Sie können neben identitätsbasierten Richtlinien, die die Aktionen und Ressourcen angeben, auf die ein Benutzer oder eine Rolle zugreifen kann, auch Vertrauensrichtlinien definieren, um zu steuern, welche Prinzipale eine Rolle übernehmen können. Durch die Konfiguration dieser IAM-Richtlinien können Sie sicherstellen, dass Benutzer und Anwendungen über die entsprechende Berechtigungsstufe verfügen, um ihre erforderlichen Aufgaben auszuführen.
Wenn Sie verschiedene berufliche Funktionen ausüben
AWS Identity and Access Management ist ein zentraler Infrastrukturservice, der die Grundlage für die Zugriffskontrolle basierend auf den in AWS enthaltenen Identitäten bildet. Sie verwenden IAM jedes Mal, wenn Sie auf Ihr AWS-Konto zugreifen.
Wie Sie IAM verwenden, unterscheidet sich je nach Ihrer Arbeit in AWS.
-
Servicebenutzer – Wenn Sie den AWS-Service zur Ausführung von Aufgaben verwenden, stellt Ihnen Ihr Administrator die Anmeldeinformationen und Berechtigungen bereit, die Sie benötigen. Wenn Sie für Ihre Arbeit erweiterte Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen.
-
Serviceadministrator – Wenn Sie in Ihrem Unternehmen für eine AWS-Ressource verantwortlich sind, haben Sie wahrscheinlich vollständigen Zugriff auf IAM. Es ist Ihre Aufgabe, zu bestimmen, auf welche IAM-Funktionen und Ressourcen Ihre Service-Benutzer zugreifen sollen. Anschließend müssen Sie Anforderungen an Ihren IAM-Administrator senden, um die Berechtigungen der Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen.
-
IAM-Administrator – Wenn Sie ein IAM-Administrator sind, verwalten Sie IAM-Identitäten und schreiben Richtlinien, um den Zugriff auf IAM zu verwalten.
Wenn Sie berechtigt sind, auf AWS-Ressourcen zuzugreifen
Sie melden sich über eine Authentifizierung mit Ihren Anmeldeinformationen bei AWS an. Die Authentifizierung muss als Root-Benutzer des AWS-Kontos, als IAM-Benutzer oder durch Übernahme einer IAM-Rolle erfolgen.
Sie können sich als Verbundidentität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single-Sign-On-Authentifizierung oder Google-/Facebook-Anmeldeinformationen verwenden. Weitere Informationen zum Anmelden finden Sie unter So melden Sie sich bei Ihrem AWS-Konto an im Benutzerhandbuch für AWS-Anmeldung.
AWS bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter AWS Signature Version 4 for API requests im IAM-Benutzerhandbuch.
Wenn Sie sich als IAM-Benutzer anmelden.
Ein IAM-Benutzer ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Verwenden Sie möglichst temporäre Anmeldeinformationen statt IAM-Benutzer mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie unter Menschliche Benutzer auffordern, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen im IAM-Benutzerhandbuch.
Eine IAM-Gruppe gibt eine Sammlung von IAM-Benutzern an und vereinfacht die Verwaltung von Berechtigungen bei großer Benutzerzahl. Weitere Informationen finden Sie unter Use cases for IAM users im IAM-Benutzerhandbuch.
Wenn Sie eine IAM-Rolle annehmen
Eine IAM-Rolle ist eine Identität mit bestimmten Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine IAM-Rolle übernehmen, indem Sie von einem Benutzer zu einer IAM-Rolle (Konsole) wechseln oder eine AWS CLI- bzw. AWS-API-Operation aufrufen. Weitere Informationen finden Sie unter Methods to assume a role im IAM-Benutzerhandbuch.
IAM-Rollen sind nützlich für Verbundbenutzerzugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die in Amazon EC2 ausgeführt werden. Weitere Informationen finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM im IAM-Benutzerhandbuch.
Wenn Sie Richtlinien und Berechtigungen erstellen
Sie können einem Benutzer Berechtigungen erteilen, indem Sie eine Richtlinie erstellen, d. h. ein Dokument, in dem die Aktionen aufgeführt sind, die ein Benutzer ausführen kann, sowie die Ressourcen, auf die sich diese Aktionen auswirken können. Alle Aktionen oder Ressourcen, die nicht explizit erlaubt sind, werden standardmäßig verweigert. Richtlinien können erstellt und an Prinzipale (Benutzer, Benutzergruppen, von Benutzern angenommene Rollen und Ressourcen) angehängt werden.
Sie können diese Richtlinien mit einer IAM-Rolle verwenden:
-
Vertrauensrichtlinie – Definiert, welcher Prinzipal die Rolle unter welchen Bedingungen übernehmen kann. Eine Vertrauensrichtlinie ist eine spezifische ressourcenbasierte Richtlinie für IAM-Rollen. Eine Rolle kann nur eine Vertrauensrichtlinie haben.
-
Identitätsbasierte Richtlinien (intern und verwaltet) – Diese Richtlinien definieren die Berechtigungen, die der Benutzer der Rolle ausüben kann (oder denen die Ausführung verweigert wird) und für welche Ressourcen.
Verwenden Sie die Beispiele für identitätsbasierte Richtlinien in IAM, um Berechtigungen für Ihre IAM-Identitäten zu definieren. Nachdem Sie die benötigte Richtlinie gefunden haben, wählen Sie „View the policy (Richtlinie anzeigen)“, um den JSON-Code der Richtlinie anzuzeigen. Sie können das JSON-Richtliniendokument als Vorlage für Ihre eigenen Richtlinien verwenden.
Anmerkung
Wenn Sie das IAM Identity Center zur Verwaltung Ihrer Benutzer verwenden, weisen Sie Berechtigungssätze im IAM Identity Center zu, anstatt eine Berechtigungsrichtlinie an einen Prinzipal anzufügen. Wenn Sie einer Gruppe oder einem Benutzer im AWS IAM Identity Center einen Berechtigungssatz zuweisen, erstellt IAM Identity Center entsprechende IAM-Rollen in jedem Konto und fügt diesen Rollen die im Berechtigungssatz angegebenen Richtlinien an. IAM Identity Center verwaltet die Rolle und ermöglicht es den autorisierten Benutzern, die Rolle anzunehmen. Wenn Sie den Berechtigungssatz ändern, stellt IAM Identity Center sicher, dass die entsprechenden IAM-Richtlinien und -Rollen entsprechend aktualisiert werden.
Weitere Informationen zu IAM Identity Center finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center-Benutzerhandbuch.
