Wie IAM funktioniert - AWS Identitäts- und Zugriffsverwaltung
Bestandteile einer AnfrageWie werden Principals authentifiziertGrundlagen der Autorisierungs- und Berechtigungsrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie IAM funktioniert

AWS Identity and Access Management bietet die Infrastruktur, die zur Steuerung der Authentifizierung und Autorisierung für Sie erforderlich ist AWS-Konto.

Zunächst verwendet ein menschlicher Benutzer oder eine Anwendung seine Anmeldeinformationen, um sich bei AWS zu authentifizieren. IAMordnet die Anmeldeinformationen einem Prinzipal (einem IAM Benutzer, Verbundbenutzer, IAM Rolle oder Anwendung) zu, dem der vertraut, AWS-Konto und authentifiziert die Zugriffsberechtigung. AWS

Stellt als Nächstes eine Anfrage, IAM um dem Principal Zugriff auf Ressourcen zu gewähren. IAMgewährt oder verweigert den Zugriff als Antwort auf eine Autorisierungsanfrage. Wenn Sie sich beispielsweise zum ersten Mal an der Konsole anmelden und sich auf der Startseite der Konsole befinden, greifen Sie nicht auf einen bestimmten Dienst zu. Wenn Sie einen Dienst auswählen, senden Sie eine Autorisierungsanfrage IAM für diesen Dienst an. IAMüberprüft, ob Ihre Identität auf der Liste der autorisierten Benutzer steht, bestimmt, welche Richtlinien die gewährte Zugriffsebene kontrollieren, und bewertet alle anderen Richtlinien, die möglicherweise in Kraft sind. Principals innerhalb Ihres Unternehmens AWS-Konto oder eines anderen Unternehmens, dem Sie vertrauen AWS-Konto , können Autorisierungsanfragen stellen.

Nach der Autorisierung kann der Principal Aktionen oder Operationen mit Ressourcen in Ihrem AWS-Konto System ausführen. Der Principal könnte beispielsweise eine neue Amazon Elastic Compute Cloud Instance starten, die IAM Gruppenmitgliedschaft ändern oder Amazon Simple Storage Service Buckets löschen. Das folgende Diagramm veranschaulicht diesen Prozess anhand der IAM Infrastruktur:

Dieses Diagramm zeigt, wie ein Principal vom IAM Dienst authentifiziert und autorisiert wird, Aktionen oder Operationen mit anderen AWS Diensten oder Ressourcen auszuführen.

Bestandteile einer Anfrage

Wenn ein Principal versucht AWS Management Console, den AWS API, den oder den zu verwenden AWS CLI, sendet dieser Principal eine Anfrage an AWS. Die Anforderung enthält die folgenden Informationen:

  • Aktionen oder Operationen — Die Aktionen oder Operationen, die der Principal ausführen möchte, z. B. eine Aktion im AWS Management Console oder eine Operation im AWS CLI oder AWS API.

  • Ressourcen — Das AWS Ressourcenobjekt, für das der Principal die Ausführung einer Aktion oder eines Vorgangs anfordert.

  • Auftraggeber – Die Person oder Anwendung, die eine Entität (Benutzer oder Rolle) verwendet hat, um die Anforderung zu senden. Zu den Informationen über den Principal gehören die Berechtigungsrichtlinien.

  • Umgebungsdaten — Informationen über die IP-Adresse, den Benutzeragenten, den SSL Aktivierungsstatus und den Zeitstempel.

  • Ressourcendaten — Daten, die sich auf die angeforderte Ressource beziehen, z. B. ein DynamoDB-Tabellenname oder ein Tag auf einer EC2 Amazon-Instance.

AWS fasst die Anforderungsinformationen in einem Anforderungskontext zusammen, der dann IAM ausgewertet wird, um die Anfrage zu autorisieren.

Wie werden Principals authentifiziert

Ein Principal meldet sich AWS mit seinen Anmeldeinformationen an, die IAM authentifiziert werden, damit der Principal eine Anfrage an senden kann. AWS Einige Dienste, wie Amazon S3 und AWS STS, ermöglichen spezifische Anfragen von anonymen Benutzern. Sie sind jedoch die Ausnahme von der Regel. Jeder Benutzertyp durchläuft eine Authentifizierung.

  • Root-Benutzer — Ihre für die Authentifizierung verwendeten Anmeldeinformationen sind die E-Mail-Adresse, mit der Sie das erstellt haben, AWS-Konto und das Passwort, das Sie zu diesem Zeitpunkt angegeben haben.

  • Verbundbenutzer — Ihr Identitätsanbieter authentifiziert Sie und leitet Ihre Anmeldeinformationen weiter AWS, ohne dass Sie sich direkt anmelden müssen. AWS Sowohl IAM Identity Center als auch IAM unterstützen Verbundbenutzer.

  • Benutzer in AWS-IAM-Identity-Center-Verzeichnis (nicht verbündet) — Benutzer, die direkt im IAM Identity Center-Standardverzeichnis erstellt wurden, melden sich über das AWS Zugriffsportal an und geben Ihren Benutzernamen und Ihr Passwort ein.

  • IAMuser — Sie melden sich an, indem Sie Ihre Konto-ID oder Ihren Alias, Ihren Benutzernamen und Ihr Passwort angeben. Um Workloads vom API oder aus zu authentifizieren AWS CLI, können Sie temporäre Anmeldeinformationen verwenden, indem Sie eine Rolle übernehmen, oder Sie können langfristige Anmeldeinformationen verwenden, indem Sie Ihren Zugriffsschlüssel und Ihren geheimen Schlüssel angeben.

    Weitere Informationen zu den IAM Entitäten finden Sie unter IAMNutzer und. IAMRollen

AWS empfiehlt, dass Sie für alle Benutzer die Multi-Faktor-Authentifizierung (MFA) verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen über MFA finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM.

Grundlagen der Autorisierungs- und Berechtigungsrichtlinien

Autorisierung bezieht sich darauf, dass der Prinzipal über die erforderlichen Berechtigungen verfügt, um seine Anfrage zu bearbeiten. IAMIdentifiziert während der Autorisierung anhand von Werten aus dem Anforderungskontext die Richtlinien, die für die Anfrage gelten. Anschließend wird anhand der Richtlinien festgelegt, ob die Anforderung zugelassen oder abgelehnt werden soll. IAMspeichert die meisten Berechtigungsrichtlinien als JSONDokumente, die die Berechtigungen für Prinzipalentitäten spezifizieren.

Es gibt verschiedene Arten von Richtlinien, die sich auf eine Autorisierungsanfrage auswirken können. Um Ihren Benutzern Berechtigungen für den Zugriff auf die AWS Ressourcen in Ihrem Konto zu gewähren, können Sie identitätsbasierte Richtlinien verwenden. Ressourcenbasierte Richtlinien können kontoübergreifenden Zugriff gewähren. Um eine Anfrage in einem anderen Konto zu stellen, muss Ihnen eine Richtlinie in dem anderen Konto den Zugriff auf die Ressource ermöglichen, und die IAM Entität, mit der Sie die Anfrage stellen, muss über eine identitätsbasierte Richtlinie verfügen, die die Anfrage zulässt.

IAMüberprüft jede Richtlinie, die für den Kontext Ihrer Anfrage gilt. IAMBei der Richtlinienevaluierung wird eine explizite Ablehnung verwendet. Wenn also eine einzelne Berechtigungsrichtlinie eine verweigerte Aktion beinhaltet, wird IAM die gesamte Anfrage abgelehnt und die Auswertung beendet. Da Anfragen standardmäßig abgelehnt werden, müssen die geltenden Berechtigungsrichtlinien es zulassen, dass jeder Teil Ihrer Anfrage autorisiert wird. IAM Die Bewertungslogik für eine Anfrage innerhalb eines einzelnen Kontos folgt diesen Grundregeln:

  • Standardmäßig werden alle Anforderungen verweigert. (Anforderungen, die mit Root-Benutzer des AWS-Kontos -Anmeldeinformationen für Ressourcen im Konto gesendet werden, werden im Allgemeinen erlaubt.)

  • Eine explizite Zugriffserlaubnis in einer Berechtigungsrichtlinie (identitätsbasiert oder ressourcenbasiert) hat Vorrang vor diesem Standardwert.

  • Das Vorhandensein einer Dienststeuerungsrichtlinie (SCP) oder Ressourcensteuerungsrichtlinie (RCP) einer Organizations, einer IAM Berechtigungsgrenze oder einer Sitzungsrichtlinie setzt die Zulässigkeit außer Kraft. Wenn eine oder mehrere dieser Richtlinienarten vorhanden sind, müssen sie alle die Anfrage zulassen. Andernfalls wird sie implizit verweigert. Weitere Informationen zu SCPs und RCPs finden Sie unter Autorisierungsrichtlinien AWS Organizations im AWS Organizations Benutzerhandbuch.

  • Eine ausdrückliche Ablehnung in einer Richtlinie hat Vorrang vor allen Genehmigungen in einer Richtlinie.

Weitere Informationen hierzu finden Sie unter Auswertungslogik für Richtlinien.

After IAM authentifiziert und autorisiert den Principal und IAM genehmigt die in der Anfrage enthaltenen Aktionen oder Operationen, indem die für den Principal geltende Berechtigungsrichtlinie geprüft wird. Jeder AWS Dienst definiert die Aktionen (Operationen), die er unterstützt, und umfasst Dinge, die Sie mit einer Ressource tun können, z. B. diese Ressource anzeigen, erstellen, bearbeiten und löschen. Die für den Principal geltende Berechtigungsrichtlinie muss die für die Ausführung eines Vorgangs erforderlichen Aktionen beinhalten. Weitere Informationen darüber, wie Berechtigungsrichtlinien IAM bewertet werden, finden Sie unterAuswertungslogik für Richtlinien.

Der Dienst definiert eine Reihe von Aktionen, die ein Principal für jede Ressource ausführen kann. Achten Sie beim Erstellen von Berechtigungsrichtlinien darauf, dass Sie die Aktionen angeben, die der Benutzer ausführen kann. IAMUnterstützt beispielsweise über 40 Aktionen für eine Benutzerressource, einschließlich der folgenden grundlegenden Aktionen:

  • CreateUser

  • DeleteUser

  • GetUser

  • UpdateUser

Darüber hinaus können Sie in Ihrer Berechtigungsrichtlinie Bedingungen angeben, die Zugriff auf Ressourcen gewähren, wenn die Anforderung die angegebenen Bedingungen erfüllt. Beispielsweise möchten Sie möglicherweise, dass eine Richtlinienerklärung nach einem bestimmten Datum in Kraft tritt oder den Zugriff steuert, wenn ein bestimmter Wert in einer angezeigt wirdAPI. Um Bedingungen festzulegen, verwenden Sie das ConditionElement einer Grundsatzerklärung.

Nachdem der Principal die Vorgänge in einer Anfrage IAM genehmigt hat, kann er mit den entsprechenden Ressourcen in Ihrem Konto arbeiten. Eine Ressource ist ein Objekt, das innerhalb eines Services existiert. Beispiele hierfür sind eine EC2 Amazon-Instance, ein IAM Benutzer und ein Amazon S3-Bucket. Wenn der Principal eine Anfrage zur Ausführung einer Aktion für eine Ressource erstellt, die nicht in der Berechtigungsrichtlinie enthalten ist, lehnt der Service die Anfrage ab. Wenn Sie beispielsweise berechtigt sind, eine IAM Rolle zu löschen, aber das Löschen einer IAM Gruppe anfordern, schlägt die Anfrage fehl, wenn Sie nicht berechtigt sind, IAM Gruppen zu löschen. Weitere Informationen darüber, welche Aktionen, Ressourcen und Bedingungsschlüssel die verschiedenen AWS Dienste unterstützen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste.