Was ist IAM? - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist IAM?

AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf Ressourcen sicher kontrollieren können. AWS Mit IAM können Sie Berechtigungen verwalten, mit denen gesteuert wird, auf welche AWS Ressourcen Benutzer zugreifen können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. IAM stellt die notwendige Infrastruktur zur Verfügung, um die Authentifizierung und Autorisierung für Ihr AWS-Konten zu steuern.

Identitäten

Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen. Verwenden Sie diese nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern im IAM-Benutzerhandbuch.

Verwenden Sie IAM, um zusätzlich zu Ihrem Root-Benutzer weitere Identitäten einzurichten, z. B. Administratoren, Analysten und Entwickler, und gewähren Sie ihnen Zugriff auf die Ressourcen, die sie für die erfolgreiche Ausführung ihrer Aufgaben benötigen.

Zugriffsverwaltung

Nachdem ein Benutzer in IAM eingerichtet wurde, verwendet er seine Anmeldeinformationen, um sich bei AWS zu authentifizieren. Die Authentifizierung erfolgt, indem die Anmeldeinformationen einem Prinzipal (einem IAM-Benutzer, Verbundbenutzer, IAM-Rolle oder Anwendung) zugeordnet werden, dem das AWS-Konto vertraut. Als Nächstes wird eine Anfrage gestellt, um dem Prinzipal Zugriff auf Ressourcen zu gewähren. Der Zugriff wird als Antwort auf eine Autorisierungsanfrage gewährt, wenn dem Benutzer die Berechtigung für die Ressource gewährt wurde. Wenn Sie sich beispielsweise zum ersten Mal bei der Konsole anmelden und sich auf der Startseite der Konsole befinden, greifen Sie nicht auf einen bestimmten Service zu. Wenn Sie einen Service auswählen, wird die Autorisierungsanfrage an diesen Service gesendet und es wird geprüft, ob Ihre Identität auf der Liste der autorisierten Benutzer steht, welche Richtlinien zur Kontrolle der gewährten Zugriffsebene durchgesetzt werden und welche anderen Richtlinien möglicherweise in Kraft sind. Autorisierungsanfragen können von Schulleitern innerhalb Ihres Unternehmens AWS-Konto oder von einem anderen AWS-Konto , dem Sie vertrauen, gestellt werden.

Nach der Autorisierung kann der Prinzipal Maßnahmen ergreifen oder Operationen an Ressourcen in Ihrem AWS-Konto durchführen. Der Principal könnte beispielsweise eine neue Amazon Elastic Compute Cloud Instance starten, die IAM-Gruppenmitgliedschaft ändern oder Buckets löschen Amazon Simple Storage Service .

Tipp

AWS Training and Certification bietet eine 10-minütige Videoeinführung in IAM:

Einführung in AWS Identity and Access Management.

Service-Verfügbarkeit

IAM ist, wie viele andere AWS Dienste, irgendwann konsistent. IAM erreicht eine hohe Verfügbarkeit, indem die Daten innerhalb der weltweit verteilten Amazon-Rechenzentren über mehrere Server repliziert werden. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Allerdings muss die Änderung in IAM repliziert werden, was einige Zeit dauern kann. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie unter Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

Informationen zu den Servicekosten

AWS Identity and Access Management (IAM) AWS IAM Identity Center und AWS Security Token Service (AWS STS) sind Funktionen Ihres AWS Kontos, die ohne zusätzliche Kosten angeboten werden. Es fallen nur Gebühren an, wenn Sie mit Ihren IAM-Benutzern oder AWS STS temporären Sicherheitsanmeldedaten auf andere AWS Dienste zugreifen.

Die externe Zugriffsanalyse von IAM Access Analyzer wird ohne zusätzliche Kosten angeboten. Für ungenutzte Zugriffsanalysen und Kundenrichtlinienprüfungen fallen jedoch Gebühren an. Eine vollständige Liste der Kosten und Preise für IAM Access Analyzer finden Sie unter Preise für IAM Access Analyzer.

Informationen zu den Preisen anderer AWS Produkte finden Sie auf der Preisseite von Amazon Web Services.

Integration mit anderen AWS Diensten

IAM ist in viele AWS Dienste integriert. Eine Liste der AWS Dienste, die mit IAM funktionieren, und die IAM-Funktionen, die von den Diensten unterstützt werden, finden Sie unter. AWS Dienste, die mit IAM funktionieren