Wie gehe ich damit umIAM? - AWS Identitäts- und Zugriffsverwaltung
Verwenden Sie die AWS Management ConsoleAWS BefehlszeilentoolsVerwenden Sie den AWS SDKsVerwenden Sie die IAM Abfrage API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie gehe ich damit umIAM?

Die Verwaltung AWS Identity and Access Management innerhalb einer AWS Umgebung erfordert die Nutzung einer Vielzahl von Tools und Schnittstellen. Die gängigste Methode ist die webbasierte Oberfläche AWS Management Console, mit der Sie eine Vielzahl von IAM Verwaltungsaufgaben ausführen können, von der Erstellung von Benutzern und Rollen bis hin zur Konfiguration von Berechtigungen.

Für Benutzer, die sich mit Befehlszeilenschnittstellen besser auskennen, AWS stehen zwei Gruppen von Befehlszeilentools zur Verfügung: das AWS Command Line Interface und das AWS Tools for Windows PowerShell. Mit diesen können Sie verwandte Befehle IAM direkt vom Terminal aus ausführen, was oft effizienter ist als das Navigieren in der Konsole. Darüber hinaus AWS CloudShell können Sie SDK OR-Befehle direkt von Ihrem Webbrowser aus ausführen CLI und dabei die mit Ihrer Konsolenanmeldung verknüpften Berechtigungen verwenden.

Neben der Konsole und der Befehlszeile AWS bietet es Software Development Kits (SDKs) für verschiedene Programmiersprachen, mit denen Sie IAM Verwaltungsfunktionen direkt in Ihre Anwendungen integrieren können. Alternativ können Sie mithilfe von IAM Query IAM programmgesteuert darauf zugreifenAPI, sodass Sie HTTPS Anfragen direkt an den Dienst richten können. Die Nutzung dieser verschiedenen Managementansätze bietet Ihnen die Flexibilität, sie IAM in Ihre bestehenden Workflows und Prozesse zu integrieren.

Verwenden Sie die AWS Management Console

Die Konsole ist eine browserbasierte Oberfläche zur Verwaltung von IAM AWS Ressourcen. Weitere Informationen zum Zugriff IAM über die Konsole finden Sie unter So melden Sie sich an AWS im AWS-Anmeldung Benutzerhandbuch.

AWS Konsole

Die AWS Management Console ist eine Webanwendung, die eine breite Sammlung von Servicekonsolen für die Verwaltung von AWS Ressourcen umfasst und sich auf diese bezieht. Wenn Sie sich zum ersten Mal anmelden, sehen Sie die Startseite der Konsole. Die Startseite bietet Zugriff auf jede Servicekonsole und bietet einen zentralen Ort, an dem Sie auf die Informationen zugreifen können, die Sie für die Ausführung der AWS damit verbundenen Aufgaben benötigen. Welche Dienste und Anwendungen Ihnen nach der Anmeldung an der Konsole zur Verfügung stehen, hängt davon ab, auf welche AWS Ressourcen Sie zugreifen dürfen. Sie können Berechtigungen für Ressourcen erhalten, indem Sie entweder eine Rolle übernehmen, Mitglied einer Gruppe sind, der Berechtigungen gewährt wurden, oder indem Ihnen explizit eine Berechtigung gewährt wird. Bei einem eigenständigen AWS Konto konfiguriert der Root-Benutzer oder IAM Administrator den Zugriff auf Ressourcen. Denn AWS Organizations das Verwaltungskonto oder der delegierte Administrator konfiguriert den Zugriff auf Ressourcen.

Wenn Sie planen, dass Benutzer die AWS Management Console zur Verwaltung von AWS Ressourcen verwenden, empfehlen wir aus Sicherheitsgründen, Benutzer mit temporären Anmeldeinformationen zu konfigurieren. IAMBenutzer, die eine Rolle übernommen haben, Verbundbenutzer und Benutzer in IAM Identity Center verfügen über temporäre Anmeldeinformationen, während der IAM Benutzer und der Root-Benutzer über langfristige Anmeldeinformationen verfügen. Root-Benutzeranmeldedaten bieten vollen Zugriff auf die AWS-Konto, während andere Benutzer über Anmeldeinformationen verfügen, die ihnen Zugriff auf die Ressourcen gewähren, die ihnen durch IAM Richtlinien gewährt werden.

Das Anmeldeerlebnis ist für die verschiedenen AWS Management Console Benutzertypen unterschiedlich.

  • IAMBenutzer und der Root-Benutzer melden sich über die AWS Hauptanmeldung an (URL). https://signin.aws.amazon.com Sobald sie diese angemeldet haben, haben sie Zugriff auf die Ressourcen in dem Konto, für das ihnen die Berechtigung gewährt wurde.

    Um sich als Root-Benutzer anzumelden, benötigen Sie die E-Mail-Adresse und das Passwort für den Root-Benutzer.

    Um sich als IAM Benutzer anzumelden, benötigen Sie die AWS-Konto Nummer oder den Alias, den IAM Benutzernamen und das IAM Benutzerkennwort.

    Wir empfehlen, dass Sie IAM Benutzer in Ihrem Konto auf bestimmte Situationen beschränken, in denen langfristige Anmeldeinformationen erforderlich sind, z. B. für den Notfallzugriff, und dass Sie den Root-Benutzer nur für Aufgaben verwenden, für die Root-Benutzeranmeldeinformationen erforderlich sind.

    Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich den IAM Benutzernamen und die Kontoinformationen zu merken. Wenn der Benutzer das nächste Mal eine Seite in der aufruft AWS Management Console, verwendet die Konsole das Cookie, um den Benutzer auf die Anmeldeseite für das Konto weiterzuleiten.

    Melden Sie sich nach Abschluss Ihrer Sitzung von der Konsole ab, um eine Wiederverwendung Ihrer vorherigen Anmeldung zu verhindern.

  • IAMIdentity Center-Benutzer melden sich über ein bestimmtes AWS Zugriffsportal an, das für ihre Organisation einzigartig ist. Sobald sie sich angemeldet haben, können sie auswählen, auf welches Konto oder welche Anwendung sie zugreifen möchten. Wenn diese auf ein Konto zugreifen möchten, wählen sie aus, welchen Berechtigungssatz sie für die Verwaltungssitzung verwenden möchten.

  • Verbundbenutzer, die bei einem externen Identitätsanbieter verwaltet werden und mit der Anmeldung bei einem AWS-Konto über ein benutzerdefiniertes Unternehmenszugriffsportal verknüpft sind. Die AWS Ressourcen, die Verbundbenutzern zur Verfügung stehen, hängen von den Richtlinien ab, die von ihrer Organisation ausgewählt wurden.

Anmerkung

Um ein zusätzliches Maß an Sicherheit zu bieten, können Root-Benutzer, IAM Benutzer und Benutzer in IAM Identity Center die Multi-Faktor-Authentifizierung (MFA) verifizieren lassen, AWS bevor der Zugriff AWS auf Ressourcen gewährt wird. Wenn aktiviert MFA ist, müssen Sie auch Zugriff auf das MFA Gerät haben, um sich anmelden zu können.

Weitere Informationen darüber, wie sich verschiedene Benutzer an der Managementkonsole anmelden, finden Sie unter Anmelden an der AWS Management Console im AWS Anmelde-Benutzerhandbuch.

AWS Befehlszeilentools

Sie können die AWS Befehlszeilentools verwenden, um Befehle an der Befehlszeile Ihres Systems auszuführen IAM und AWS Aufgaben auszuführen. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilentools sind auch nützlich, wenn Sie Skripts erstellen möchten, die AWS Aufgaben ausführen.

AWS stellt zwei Gruppen von Befehlszeilentools bereit: das AWS Command Line Interface(AWS CLI) und das AWS Tools for Windows PowerShell. Informationen zur Installation und Verwendung von finden Sie im AWS Command Line Interface Benutzerhandbuch. AWS CLI Informationen zur Installation und Verwendung der Tools für Windows PowerShell finden Sie im AWS Tools for Windows PowerShell Benutzerhandbuch.

Nachdem Sie sich bei der Konsole angemeldet haben, können Sie AWS CloudShell von Ihrem Browser aus SDK Befehle ausführenCLI. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich an der Konsole angemeldet haben. Je nach Ihrer Erfahrung ist dies möglicherweise CLI die effizientere Methode zur Verwaltung Ihrer AWS-Konto. Weitere Informationen finden Sie unter Wird verwendet AWS CloudShell , um mit AWS Identity and Access Management zu arbeiten

AWS Befehlszeilenschnittstelle (CLI) und Softwareentwicklungskits (SDKs)

IAMIdentity Center und IAM Benutzer verwenden unterschiedliche Methoden zur Authentifizierung ihrer Anmeldeinformationen, wenn sie sich über die CLI oder die Anwendungsschnittstellen (APIs) in der zugehörigen Datei authentifizieren. SDKs

Anmeldeinformationen und Konfigurationseinstellungen befinden sich an mehreren Stellen, z. B. in den System- oder Benutzerumgebungsvariablen, in lokalen AWS Konfigurationsdateien oder werden explizit in der Befehlszeile als Parameter deklariert. Bestimmte Speicherorte haben Vorrang vor anderen.

Sowohl IAM Identity Center als auch IAM stellen Zugriffsschlüssel bereit, die zusammen mit dem CLI oder verwendet werden könnenSDK. IAMBei Identity Center-Zugriffsschlüsseln handelt es sich um temporäre Anmeldeinformationen, die automatisch aktualisiert werden können. Sie werden im Vergleich zu den langfristigen Zugriffsschlüsseln, die IAM Benutzern zugewiesen sind, empfohlen.

Zur Verwaltung Ihrer AWS-Konto Nutzung von CLI oder können SDK Sie es AWS CloudShell von Ihrem Browser aus verwenden. Wenn Sie SDK Befehle ausführen CLI oder verwenden CloudShell , müssen Sie sich zuerst an der Konsole anmelden. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich an der Konsole angemeldet haben. Je nach Ihrer Erfahrung ist dies möglicherweise CLI die effizientere Methode zur Verwaltung Ihrer AWS-Konto.

Für die Anwendungsentwicklung können Sie das CLI oder SDK auf Ihren Computer herunterladen und sich über die Befehlszeile oder ein Docker-Fenster anmelden. In diesem Szenario konfigurieren Sie die Authentifizierungs- und Zugriffsanmeldeinformationen als Teil des CLI Skripts oder SDK der Anwendung. Sie können den programmgesteuerten Zugriff auf Ressourcen je nach Umgebung und verfügbarem Zugriff auf unterschiedliche Weise konfigurieren.

  • Zu den empfohlenen Optionen für die Authentifizierung von lokalem Code mit dem AWS Dienst gehören IAM Identity Center und IAM Roles Anywhere

  • Die empfohlenen Optionen für die Authentifizierung von Code, der in einer AWS Umgebung ausgeführt wird, sind die Verwendung von IAM Rollen oder IAM Identity Center-Anmeldeinformationen.

Wenn Sie sich über das AWS Zugriffsportal anmelden, können Sie kurzfristige Anmeldeinformationen auf der Startseite der Seite abrufen, auf der Sie Ihren Berechtigungssatz auswählen. Diese Anmeldeinformationen haben eine definierte Dauer und werden nicht automatisch aktualisiert. Wenn Sie diese Anmeldeinformationen verwenden möchten, wählen Sie nach der Anmeldung im AWS Portal den AWS-Konto und anschließend den Berechtigungssatz aus. Wählen Sie Befehlszeilen- oder Programmzugriff aus, um die Optionen anzuzeigen, mit denen Sie programmgesteuert oder über den auf AWS Ressourcen zugreifen können. CLI Weitere Informationen zu diesen Methoden finden Sie unter Abrufen und Aktualisieren temporärer Anmeldeinformationen im IAMIdentity Center-Benutzerhandbuch. Diese Anmeldeinformationen werden häufig während der Anwendungsentwicklung verwendet, um Code schnell zu testen.

Wir empfehlen die Verwendung von IAM Identity Center-Anmeldeinformationen, die bei der Automatisierung des Zugriffs auf Ihre AWS Ressourcen automatisch aktualisiert werden. Wenn Sie Benutzer und Berechtigungssätze in IAM Identity Center konfiguriert haben, verwenden Sie den aws configure sso Befehl, um einen Befehlszeilenassistenten zu verwenden, der Ihnen hilft, die für Sie verfügbaren Anmeldeinformationen zu identifizieren und sie in einem Profil zu speichern. Weitere Informationen zur Konfiguration Ihres Profils finden Sie unter Konfiguration Ihres Profils mit dem aws configure sso-Assistenten im Benutzerhandbuch für die AWS -Befehlszeilenschnittstelle für Version 2.

Anmerkung

Viele Beispielanwendungen verwenden Schlüssel für den langfristigen Zugriff, die IAM Benutzern oder Root-Benutzern zugeordnet sind. Im Rahmen einer Lernübung sollten Sie langfristige Anmeldeinformationen nur in einer Sandbox-Umgebung verwenden. Prüfen Sie die Alternativen zu langfristigen Zugriffsschlüsseln und planen Sie, Ihren Code so bald wie möglich auf alternative Anmeldeinformationen wie IAM Identity Center-Anmeldeinformationen oder IAM Rollen umzustellen. Löschen Sie nach der Umstellung Ihres Codes die Zugriffsschlüssel.

Weitere Informationen zur Konfiguration von finden Sie unter Installieren oder Aktualisieren der neuesten Version von AWS CLI im AWS Command Line Interface User Guide für Version 2 und Authentifizierungs- und Zugangsdaten im AWS Command Line Interface-Benutzerhandbuch CLI

Weitere Informationen zur Konfiguration von finden Sie unter IAMIdentity Center-Authentifizierung im Referenzhandbuch AWS SDKsund unter Tools Reference Guide und IAMRoles Anywhere im AWS SDKsTools-Referenzhandbuch. SDK

Verwenden Sie den AWS SDKs

AWS stellt SDKs (Software Development Kits) bereit, die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen bestehen (Java, Python, Ruby,. NET, iOS, Android usw.). SDKsSie bieten eine bequeme Möglichkeit, programmatischen Zugriff auf IAM und AWS zu erstellen. SDKsSie kümmern sich beispielsweise um Aufgaben wie das kryptografische Signieren von Anfragen, das Verwalten von Fehlern und das automatische Wiederholen von Anfragen. Informationen zu den AWS SDKs, einschließlich deren Download und Installation, finden Sie auf der Seite Tools für Amazon Web Services.

Verwenden Sie die IAM Abfrage API

Sie können mithilfe der IAM Query AWS programmgesteuert darauf zugreifen IAMAPI, sodass Sie HTTPS Anfragen direkt an den Dienst richten können. Wenn Sie die Abfrage verwendenAPI, müssen Sie Code hinzufügen, um Anfragen mit Ihren Anmeldeinformationen digital zu signieren. Weitere Informationen finden Sie unter Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen und in der IAMAPIReferenz.