Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern CloudFormation Sie den Zugriff mit AWS Identity and Access Management
Mit AWS Identity and Access Management (IAM) können Sie IAM-Benutzer erstellen und deren Zugriff auf bestimmte Ressourcen in Ihrem System kontrollieren. AWS-Konto Wenn Sie IAM verwenden, können Sie steuern, was Benutzer verwenden können CloudFormation, z. B. ob sie Stack-Vorlagen anzeigen, Stacks erstellen oder Stapel löschen können.
Neben CloudFormation spezifischen Aktionen können Sie verwalten, welche AWS Dienste und Ressourcen jedem Benutzer zur Verfügung stehen. Auf diese Weise können Sie steuern, auf welche Ressourcen Benutzer zugreifen können, wenn sie sie verwenden CloudFormation. Sie können beispielsweise angeben, welche Benutzer EC2 Amazon-Instances erstellen, Datenbank-Instances beenden oder Updates durchführen können VPCs. Dieselben Berechtigungen gelten immer dann CloudFormation, wenn sie diese Aktionen ausführen.
Verwenden Sie die Informationen in den folgenden Abschnitten, um zu steuern, wer darauf zugreifen kann CloudFormation. Wir werden auch untersuchen, wie Sie die Erstellung von IAM-Ressourcen in Vorlagen autorisieren, Anwendungen, die auf EC2 Instances ausgeführt werden, die erforderlichen Berechtigungen erteilen und temporäre Sicherheitsanmeldedaten verwenden, um die Sicherheit in Ihrer AWS Umgebung zu erhöhen.
Definition identitätsbasierter IAM-Richtlinien für CloudFormation
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen erteilt oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. CloudFormation unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel.
Wenn Sie mit IAM noch nicht vertraut sind, sollten Sie sich zunächst mit den Elementen einer IAM-JSON-Richtlinie vertraut machen. Weitere Informationen finden Sie unter Referenz zu den IAM-JSON-Richtlinienelementen im IAM-Benutzerhandbuch. Um zu erfahren, wie Sie IAM-Richtlinien erstellen können, lesen Sie das Tutorial Erstellen und Anhängen Ihrer ersten vom Kunden verwalteten Richtlinie in der IAM-Dokumentation durch.
Themen
Richtlinienaktionen für CloudFormation
In einer IAM-Richtlinienanweisung können Sie jede API-Aktion von jedem Service, der IAM unterstützt, angeben. Verwenden Sie für CloudFormation das folgende Präfix mit dem Namen der API-Aktion:cloudformation:. Beispiel: cloudformation:CreateStack, cloudformation:CreateChangeSet und cloudformation:UpdateStack.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommas:
"Action": [ "cloudformation:action1", "cloudformation:action2" ]
Sie können auch mehrere Aktionen mittels Platzhaltern angeben. Sie können beispielsweise alle Aktionen, deren Namen mit dem Wort beginnenGet, wie folgt angeben:
"Action": "cloudformation:Get*"
Eine vollständige Liste der CloudFormation API-Aktionen finden Sie unter Actions defined by AWS CloudFormation in der Service Authorization Reference.
Beispiele
Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie, die Berechtigungen zum Anzeigen von CloudFormation Stacks gewährt.
Beispiel 1: Eine Beispielrichtlinie, die View-Stack-Berechtigungen gewährt
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }
Benutzer, die Stacks erstellen oder löschen, benötigen zusätzliche Berechtigungen, die auf ihren Stack-Vorlagen basieren. Wenn Ihre Vorlage beispielsweise eine Amazon SQS SQS-Warteschlange beschreibt, müssen Benutzer über Berechtigungen sowohl für Amazon SQS-Aktionen als auch CloudFormation für Amazon SQS SQS-Aktionen verfügen, wie in der folgenden Beispielrichtlinie dargestellt.
Beispiel 2: Eine Beispielrichtlinie, die Stack-Aktionen zum Erstellen und Anzeigen sowie alle Amazon SQS SQS-Aktionen gewährt
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }
Konsolenspezifische Aktionen für CloudFormation
Benutzer der CloudFormation Konsole benötigen zusätzliche Berechtigungen, die über die Berechtigungen für oder hinausgehen. AWS Command Line Interface CloudFormation APIs Diese zusätzlichen Berechtigungen unterstützen konsolenspezifische Funktionen wie Vorlagen-Uploads in Amazon S3 S3-Buckets und Drop-down-Listen für AWS-spezifische Parametertypen.
Erteilen Sie für alle unten aufgeführten Aktionen Berechtigungen für alle Ressourcen. Beschränken Sie sie nicht auf bestimmte Stacks oder Buckets.
Die folgende Aktion wird nur von der CloudFormation Konsole verwendet und ist in der API-Referenz nicht dokumentiert. Die Aktion erlaubt Benutzern, Vorlagen zu Amazon S3-Buckets hochzuladen.
-
cloudformation:CreateUploadBucket
Wenn Benutzer Vorlagen hochladen, benötigen Benutzer außerdem die folgenden Amazon S3 S3-Berechtigungen:
-
s3:PutObject -
s3:ListBucket -
s3:GetObject -
s3:CreateBucket
Um Werte in den Parameter-Dropdownlisten für Vorlagen mit AWS-spezifischen Parametertypen zu sehen, benötigen Benutzer Berechtigungen, um die entsprechenden Describe-API-Aufrufe durchzuführen. Beispielsweise sind die folgenden Berechtigungen erforderlich, wenn diese Parametertypen in der Vorlage verwendet werden:
-
ec2:DescribeKeyPairs— Für denAWS::EC2::KeyPair::KeyNameParametertyp erforderlich. -
ec2:DescribeSecurityGroups— Erforderlich für denAWS::EC2::SecurityGroup::IdParametertyp. -
ec2:DescribeSubnets— Erforderlich für denAWS::EC2::Subnet::IdParametertyp. -
ec2:DescribeVpcs— Erforderlich für denAWS::EC2::VPC::IdParametertyp.
Weitere Hinweise zu AWS-spezifischen Parametertypen finden Sie unterGeben Sie vorhandene Ressourcen zur Laufzeit mit von CloudFormation -bereitgestellten Parametertypen an.
Politische Ressourcen für CloudFormation
In einer IAM-Richtlinienanweisung gibt das Resource-Element das Objekt oder die Objekte an, für die die Anweisung gilt. Denn CloudFormation jede IAM-Richtlinienerklärung gilt für die Ressourcen, die Sie unter Verwendung ihrer Amazon-Ressourcennamen (ARNs) angeben. Das spezifische ARN-Format hängt von der Ressource ab.
Eine vollständige Liste der CloudFormation Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Ressourcentypen definiert von AWS CloudFormation in der Service Authorization Reference. Informationen zu den Aktionen, die Sie mit dem ARN jeder Ressource angeben können, finden Sie unter Aktionen definiert von AWS CloudFormation.
Sie können Aktionen für einen bestimmten Stack angeben, wie im folgenden Richtlinienbeispiel gezeigt. Wenn Sie einen ARN angeben, ersetzen Sie ihn durch Ihre ressourcenspezifischen Informationen. placeholder
text
Beispiel 1: Eine Beispielrichtlinie, die die Aktionen zum Löschen und Aktualisieren des Stacks für den angegebenen Stack verweigert
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:region:account-id:stack/MyProductionStack/*" }] }
Die obige Richtlinie verwendet einen Platzhalter am Ende des Stack-Namens, sodass das Löschen des Stacks und das Aktualisieren des Stacks sowohl für die vollständige Stack-ID (wiearn:aws:cloudformation:) als auch für den Stacknamen (wieregion:account-id:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49cMyProductionStack
Damit AWS::Serverless Transformationen einen Änderungssatz erstellen können, fügen Sie die Berechtigung arn:aws:cloudformation: auf Ressourcenebene hinzu, wie in der folgenden Richtlinie dargestellt.region:aws:transform/Serverless-2016-10-31
Beispiel 2: Eine Beispielrichtlinie, die die Aktion „Änderungssatz erstellen“ für die angegebene Transformation ermöglicht
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:region:aws:transform/Serverless-2016-10-31" }] }
Schlüssel für die Richtlinienbedingung CloudFormation
In einer IAM-Richtlinienerklärung können Sie optional Bedingungen angeben, die steuern, wann eine Richtlinie in Kraft tritt. Sie können beispielsweise eine Richtlinie definieren, die -Benutzern erlaubt, einen Stack nur dann zu erstellen, wenn sie eine bestimmte URL-Vorlage angeben. Sie können CloudFormation spezifische Bedingungen und AWS allgemeine Bedingungen definieren, z. B. DateLessThan festlegen, wann eine Richtlinie nicht mehr wirksam wird. Weitere Informationen und eine Liste der AWS allgemeinen Bedingungen finden Sie unter Bedingung in der Referenz zu den IAM-Richtlinienelementen im IAM-Benutzerhandbuch.
Anmerkung
Verwenden Sie nicht die Bedingung -wide. aws:SourceIp AWS CloudFormationstellt Ressourcen mithilfe der eigenen IP-Adresse bereit, nicht der IP-Adresse der ursprünglichen Anfrage. Wenn Sie beispielsweise einen Stack erstellen, CloudFormation stellt er Anfragen von seiner IP-Adresse aus, um eine EC2 Amazon-Instance zu starten oder einen Amazon S3-Bucket zu erstellen, und nicht von der IP-Adresse aus dem CreateStack Aufruf oder dem create-stack Befehl.
In der folgenden Liste werden die CloudFormation -spezifischen Bedingungen beschrieben. Diese Bedingungen werden nur angewendet, wenn Benutzer Stacks erstellen oder aktualisieren:
cloudformation:ChangeSetName-
Ein Name des CloudFormation Änderungssatzes, den Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Änderungssätze -Benutzer ausführen oder löschen können.
cloudformation:ImportResourceTypes-
Die Vorlagenressourcentypen, die Sie einer Richtlinie zuordnen möchten, z. B.
AWS::EC2::Instance. Verwenden Sie diese Bedingung, um zu steuern, mit welchen Ressourcentypen -Benutzer arbeiten können, wenn sie Ressourcen in einen Stack importieren. Diese Bedingung wird anhand der Ressourcentypen geprüft, die Benutzer imResourcesToImportParameter deklarieren. Dieser Parameter wird derzeit nur für AWS CLI und API-Anfragen unterstützt. Wenn Sie diesen Parameter verwenden, müssen Sie alle Ressourcentypen angeben, die Benutzer während des Importvorgangs steuern sollen. Weitere Informationen zu demResourcesToImportParameter finden Sie im CreateChangeSetAktion in der AWS CloudFormation API-Referenz.Eine Liste der möglichen
ResourcesToImportOptionen finden Sie unterUnterstützung für Ressourcentypen.Verwenden Sie die dreiteilige Ressourcennamenskonvention, um anzugeben, mit welchen Ressourcentypen Benutzer arbeiten können, von allen Ressourcen innerhalb einer Organisation bis hinunter zu einem einzelnen Ressourcentyp.
organization::*-
Geben Sie alle Ressourcentypen für eine bestimmte Organisation an.
organization::service_name-
Geben Sie alle Ressourcentypen für den angegebenen Service innerhalb einer bestimmten Organisation an.
organization::service_nameresource_type-
Geben Sie einen bestimmten Ressourcentyp an.
Zum Beispiel:
AWS::*-
Geben Sie alle unterstützten AWS Ressourcentypen an.
AWS::service_name::*-
Geben Sie alle unterstützten Ressourcen für einen bestimmten AWS -Service an.
AWS::service_name::resource_type-
Geben Sie einen bestimmten AWS Ressourcentyp an, z. B.
AWS::EC2::Instance(alle EC2 Instanzen).
cloudformation:ResourceTypes-
Die Vorlagenressourcentypen wie z. B.
AWS::EC2::Instance, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Ressourcentypen -Benutzern zur Verfügung stehen, wenn sie einen Stack erstellen oder aktualisieren. Diese Bedingung wird anhand der Ressourcentypen geprüft, die Benutzer imResourceTypes-Parameter deklarieren, der aktuell nur für AWS CLI und API-Anforderungen unterstützt wird. Bei Verwendung dieses Parameters müssen Benutzer alle Ressourcentypen angeben, die sich in ihrer Vorlage befinden. Weitere Informationen zu demResourceTypesParameter finden Sie im CreateStackAktion in der AWS CloudFormation API-Referenz.Eine Liste von Ressourcentypen finden Sie unter AWS Referenz zu Ressourcen- und Eigenschaftstypen.
Verwenden Sie die dreiteilige Ressourcennamenskonvention, um anzugeben, mit welchen Ressourcentypen Benutzer arbeiten können, von allen Ressourcen innerhalb einer Organisation bis hinunter zu einem einzelnen Ressourcentyp.
organization::*-
Geben Sie alle Ressourcentypen für eine bestimmte Organisation an.
organization::service_name-
Geben Sie alle Ressourcentypen für den angegebenen Service innerhalb einer bestimmten Organisation an.
organization::service_nameresource_type-
Geben Sie einen bestimmten Ressourcentyp an.
Zum Beispiel:
AWS::*-
Geben Sie alle unterstützten AWS Ressourcentypen an.
AWS::service_name::*-
Geben Sie alle unterstützten Ressourcen für einen bestimmten AWS -Service an.
AWS::service_name::resource_type-
Geben Sie einen bestimmten AWS Ressourcentyp an, z. B.
AWS::EC2::Instance(alle EC2 Instanzen). Alexa::ASK::*-
Geben Sie alle Ressourcentypen im Alexa Skill Kit an.
Alexa::ASK::Skill-
Geben Sie den individuellen Alexa: :ASK: :Skill-Ressourcentyp an.
Custom::*-
Geben Sie alle benutzerdefinierten Ressourcen an.
Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Bereitstellungslogik mit benutzerdefinierten Ressourcen.
Custom::resource_type-
Geben Sie einen bestimmten benutzerdefinierten Ressourcentyp an.
Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Bereitstellungslogik mit benutzerdefinierten Ressourcen.
cloudformation:RoleARN-
Der Amazon-Ressourcenname (ARN) einer IAM-Servicerolle, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Servicerolle -Benutzer verwenden können, wenn sie mit Stacks oder Änderungssätzen arbeiten.
cloudformation:StackPolicyUrl-
Eine Amazon S3-Stack-Richtlinien-URL, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Stack-Richtlinien -Benutzer einem Stack während einer Aktion zum Erstellen oder Aktualisieren von Stacks zuordnen können. Weitere Informationen zu Stack-Richtlinien finden Sie unter Verhindern von Aktualisierungen der Stack-Ressourcen.
Anmerkung
Um sicherzustellen, dass Benutzer nur Stacks mit den von Ihnen hochgeladenen Stack-Richtlinien erstellen oder aktualisieren können, stellen Sie den S3-Bucket so ein, dass er nur für diese Benutzer lesbar ist.
cloudformation:TemplateUrl-
Eine Amazon S3-Vorlagen-URL, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Vorlagen -Benutzer verwenden können, wenn sie Stacks erstellen oder aktualisieren.
Anmerkung
Um sicherzustellen, dass Benutzer nur Stacks mit den von Ihnen hochgeladenen Vorlagen erstellen oder aktualisieren können, stellen Sie den S3-Bucket so ein, dass er nur für diese Benutzer lesbar ist.
Anmerkung
Die folgenden CloudFormation spezifischen Bedingungen gelten für die gleichnamigen API-Parameter:
-
cloudformation:ChangeSetName -
cloudformation:RoleARN -
cloudformation:StackPolicyUrl -
cloudformation:TemplateUrl
Gilt beispielsweise
cloudformation:TemplateUrlnur für denTemplateUrlParameter fürCreateStackUpdateStack, undCreateChangeSetAPIs. -
Beispiele für IAM-Richtlinien, die Bedingungsschlüssel zur Zugriffskontrolle verwenden, finden Sie unterBeispiel für identitätsbasierte IAM-Richtlinien für CloudFormation.
Bestätigen von IAM-Ressourcen in CloudFormation-Vorlagen
Bevor Sie einen Stack erstellen können, wird Ihre CloudFormation Vorlage validiert. Bei der Validierung prüft CloudFormation Ihre Vorlage auf IAM-Ressourcen, die es möglicherweise erstellt. IAM-Ressourcen, wie z. B. ein Benutzer mit Vollzugriff, können auf jede Ressource in Ihrem AWS-Konto zugreifen und diese ändern. Daher wird empfohlen, die den einzelnen IAM-Ressourcen zugeordneten Berechtigungen zu prüfen, bevor Sie fortfahren, damit Sie nicht versehentlich Ressourcen mit eskalierten Berechtigungen erstellen. Um sicherzustellen, dass Sie dies getan haben, müssen Sie bestätigen, dass die Vorlage diese Ressourcen enthält, und CloudFormation die angegebenen Funktionen bereitstellen, bevor der Stack erstellt wird.
Sie können die Funktionen von CloudFormation Vorlagen mithilfe der CloudFormation Konsole, AWS Command Line Interface (AWS CLI) oder der API überprüfen:
-
Wählen Sie in der CloudFormation Konsole auf der Seite „Stack-Optionen konfigurieren“ der Assistenten „Stack erstellen“ oder „Stack aktualisieren“ die Option Ich bestätige, dass diese Vorlage IAM-Ressourcen erstellen kann.
-
In der AWS CLI, wenn Sie den create-stack und update-stackBefehle, geben Sie den
CAPABILITY_NAMED_IAMWertCAPABILITY_IAModer für die--capabilitiesOption an. Wenn Ihre Vorlage IAM-Ressourcen enthält, können Sie jede der beiden Fähigkeiten angeben. Wenn Ihre Vorlage benutzerdefinierte Namen für IAM-Ressourcen enthält, müssen SieCAPABILITY_NAMED_IAMangeben. -
In der API, wenn Sie die CreateStack und UpdateStackAktionen, spezifizieren Sie
Capabilities.member.1=CAPABILITY_IAModerCapabilities.member.1=CAPABILITY_NAMED_IAM. Wenn Ihre Vorlage IAM-Ressourcen enthält, können Sie jede der beiden Fähigkeiten angeben. Wenn Ihre Vorlage benutzerdefinierte Namen für IAM-Ressourcen enthält, müssen SieCAPABILITY_NAMED_IAMangeben.
Wichtig
Wenn Ihre Vorlage benutzerdefinierte benannte IAM-Ressourcen enthält, erstellen Sie unter Wiederverwendung der gleichen Vorlage nicht mehrere Stacks. IAM-Ressourcen müssen innerhalb Ihres Kontos global eindeutig sein. Wenn Sie dieselbe Vorlage verwenden, um mehrere Stacks in verschiedenen Regionen zu erstellen, teilen sich Ihre Stacks möglicherweise dieselben IAM-Ressourcen, anstatt dass jeder eine eindeutige hat. Die gemeinsame Verwendung von Ressourcen durch Stacks kann unbeabsichtigte Folgen haben, die nicht rückgängig gemacht werden können. Wenn Sie beispielsweise gemeinsam verwendete IAM-Ressourcen löschen oder aktualisieren, ändern Sie versehentlich die Ressourcen anderer Stacks.
Verwaltung von Anmeldeinformationen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden
Wenn Sie eine Anwendung haben, die auf einer EC2 Amazon-Instance läuft und Anfragen an AWS Ressourcen wie Amazon S3-Buckets oder eine DynamoDB-Tabelle stellen muss, benötigt AWS die Anwendung Sicherheitsanmeldedaten. Allerdings stellt die Verteilung und Einbettung langfristiger Sicherheitsanmeldeinformationen in jede Instance, die Sie starten, eine Herausforderung und ein potenzielles Sicherheitsrisiko dar. Anstatt langfristige Anmeldeinformationen wie IAM-Benutzeranmeldedaten zu verwenden, empfehlen wir, dass Sie eine IAM-Rolle erstellen, die einer EC2 Amazon-Instance zugeordnet ist, wenn die Instance gestartet wird. Eine Anwendung kann dann temporäre Sicherheitsanmeldedaten von der EC2 Amazon-Instance abrufen. Sie müssen auf der Instance keine langfristigen Anmeldeinformationen einbetten. Um die Verwaltung von Anmeldeinformationen zu vereinfachen, können Sie außerdem nur eine einzige Rolle für mehrere EC2 Amazon-Instances angeben. Sie müssen nicht für jede Instance eindeutige Anmeldeinformationen erstellen.
Einen Vorlagenausschnitt, der zeigt, wie eine Instance mit einer Rolle gestartet wird, finden Sie unter IAMBeispiele für Rollenvorlagen.
Anmerkung
Anwendungen auf Instances, die temporäre Sicherheitsanmeldeinformationen verwenden, können jede beliebige CloudFormation -Aktion aufrufen. Da es jedoch mit vielen anderen AWS Diensten CloudFormation interagiert, müssen Sie sicherstellen, dass alle Dienste, die Sie verwenden möchten, temporäre Sicherheitsanmeldedaten unterstützen. Eine Liste der Dienste, die temporäre Sicherheitsanmeldedaten akzeptieren, finden Sie im IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM funktionieren.
Temporären Zugriff gewähren (Verbundzugriff)
In einigen Fällen möchten Sie möglicherweise Benutzern ohne AWS Anmeldeinformationen temporären Zugriff auf Ihre AWS-Konto gewähren. Verwenden Sie AWS Security Token Service (AWS STS), anstatt langfristige Anmeldeinformationen zu erstellen und zu löschen, wann immer Sie temporären Zugriff gewähren möchten. Sie können beispielsweise IAM-Rollen verwenden. Von einer IAM-Rolle aus können Sie programmgesteuert viele temporäre Sicherheitsanmeldeinformationen (einschließlich eines Zugriffsschlüssels, eines geheimen Zugriffsschlüssels und eines Sicherheits-Tokens) erstellen und dann verteilen. Diese Anmeldeinformationen haben eine begrenzte Lebensdauer, sodass sie AWS-Konto nach Ablauf nicht mehr für den Zugriff auf Ihre Anmeldeinformationen verwendet werden können. Sie können auch mehrere IAM-Rollen erstellen, um einzelnen Benutzern verschiedene Ebenen von Berechtigungen zu gewähren. IAM-Rollen sind nützlich für Szenarien wie verbundene Identitäten und Single Sign-On.
Ein Identitätsverbund ist eine unabhängige Identität, die Sie für mehrere Systeme verwenden können. Bei Enterprise-Benutzern mit einem festgelegten On-Premises-Identitätssystem (wie LDAP oder Active Directory) kann die gesamte Authentifizierung mit Ihrem lokalen Identitätssystem erfolgen. Nachdem ein Benutzer authentifiziert wurde, stellen Sie aus dem entsprechenden IAM-Benutzer oder der entsprechenden IAM-Rolle temporäre Sicherheitsanmeldeinformationen bereit. Sie können beispielsweise eine Administratorrolle und eine Entwicklerrolle erstellen, in denen Administratoren vollen Zugriff auf das AWS Konto haben und Entwickler nur berechtigt sind, mit CloudFormation Stacks zu arbeiten. Nachdem ein Administrator authentifiziert wurde, ist der Administrator berechtigt, temporäre Sicherheitsanmeldedaten von der Administratorrolle abzurufen. Entwickler können temporäre Sicherheitsanmeldedaten jedoch nur von der Entwicklerrolle beziehen.
Sie können Verbundbenutzern auch Zugriff auf die AWS Management Console gewähren. Nachdem sich Benutzer bei Ihrem On-Premises-Identitätssystem authentifiziert haben, können Sie programmgesteuert eine temporäre URL erstellen, die direkten Zugriff auf die AWS Management Console bietet. Wenn Benutzer die temporäre URL verwenden, müssen sie sich nicht anmelden, AWS da sie bereits authentifiziert wurden (Single Sign-On). Da die URL außerdem aus den temporären Sicherheitsanmeldeinformationen des Benutzers erstellt wurde, bestimmen die mit diesen Anmeldeinformationen verfügbaren Berechtigungen, welche Berechtigungen Benutzer in der AWS Management Console besitzen.
Sie können mehrere verschiedene verwenden, um temporäre Sicherheitsanmeldeinformationen AWS STS APIs zu generieren. Weitere Informationen darüber, welche API verwendet werden sollte, finden Sie unter AWS STS Anmeldeinformationen vergleichen im IAM-Benutzerhandbuch.
Wichtig
Sie können IAM nicht verwenden, wenn Sie temporäre Sicherheitsanmeldeinformationen verwenden, die über die GetFederationToken-API generiert wurden. Wenn Sie IAM verwenden müssen, verwenden Sie stattdessen temporäre Sicherheitsanmeldeinformationen aus einer Rolle.
CloudFormation interagiert mit vielen anderen AWS Diensten. Wenn Sie temporäre Sicherheitsanmeldedaten mit verwenden CloudFormation, stellen Sie sicher, dass alle Dienste, die Sie verwenden möchten, temporäre Sicherheitsanmeldedaten unterstützen. Eine Liste der Dienste, die temporäre Sicherheitsanmeldedaten akzeptieren, finden Sie im IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM funktionieren.
Weitere Informationen finden Sie in den folgenden verwandten Ressourcen im IAM-Benutzerhandbuch:
