Identitäts- und Zugriffsmanagement im AWS Control Tower

• AWS Konto (Root-Benutzer) — Wenn Sie zum ersten Mal einen erstellen AWS Konto, Sie beginnen mit einer Identität, die vollständigen Zugriff auf alle hat AWS Dienste und Ressourcen im Konto. Diese Identität wird als AWS Root-Benutzer des Kontos. Sie haben Zugriff auf diese Identität, wenn Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit dem Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Halten Sie sich stattdessen an die bewährte Methode, den Root-Benutzer nur zu verwenden, um Ihren ersten IAM Identity Center-Benutzer (empfohlen) oder IAM Benutzer (in den meisten Anwendungsfällen keine bewährte Methode) zu erstellen. Anschließend legen Sie die Anmeldedaten für den Root-Benutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. Weitere Informationen finden Sie unter Wann sollten Sie sich als Root-Benutzer anmelden.

• IAMBenutzer — Ein IAMBenutzer ist eine Identität innerhalb Ihres AWS Konto mit spezifischen, benutzerdefinierten Berechtigungen. Sie können die IAM Benutzeranmeldedaten verwenden, um sich bei Secure anzumelden AWS Webseiten wie AWS Management-Konsole, AWS Diskussionsforen oder das AWS Unterstützungszentrum. AWS Es wird empfohlen, einen IAM Identity Center-Benutzer anstelle eines IAM Benutzers zu erstellen, da ein höheres Sicherheitsrisiko besteht, wenn Sie einen IAM Benutzer mit langfristigen Anmeldeinformationen erstellen.

  Wenn Sie für einen bestimmten Zweck einen IAM Benutzer erstellen müssen, können Sie zusätzlich zu den Anmeldedaten auch Zugriffsschlüssel für jeden IAM Benutzer generieren. Sie können diese Schlüssel verwenden, wenn Sie anrufen AWS Dienste programmgesteuert, entweder über einen der mehreren SDKs oder mithilfe der AWS Befehlszeilenschnittstelle ()CLI. Die CLI Tools SDK und verwenden die Zugriffsschlüssel, um Ihre Anfrage kryptografisch zu signieren. Wenn Sie nicht verwenden AWS Tools, Sie müssen die Anfrage selbst unterschreiben. AWSControl Tower unterstützt Signature Version 4, ein Protokoll zur Authentifizierung eingehender AnfragenAPI. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter Signaturprozess für Signature Version 4 im AWS Allgemeine Referenz.

• IAMRolle — Eine IAMRolle ist eine IAM Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM Rolle ähnelt einem IAM Benutzer insofern, als es sich um eine AWS Identität, und es gibt Berechtigungsrichtlinien, die festlegen, was die Identität tun kann und was nicht AWS. Anstatt jedoch eindeutig einer Person zugeordnet zu sein, soll eine Rolle von jedem übernommen werden können, der sie benötigt. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAMRollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:

  • Föderierter Benutzerzugriff — Anstatt einen IAM Benutzer zu erstellen, können Sie vorhandene Identitäten von verwenden AWS Directory Service, Ihr Unternehmensbenutzerverzeichnis oder ein Web-Identitätsanbieter. Diese werden als verbundene Benutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen im Benutzerhandbuch. IAM

  • AWS Dienstzugriff — Eine Servicerolle ist eine IAM Rolle, die ein Dienst übernimmt, um in Ihrem Namen Aktionen in Ihrem Konto auszuführen. Wenn Sie einige einrichten AWS In Serviceumgebungen müssen Sie eine Rolle definieren, die der Dienst übernehmen soll. Diese Servicerolle muss alle Berechtigungen enthalten, die für den Zugriff auf den Dienst erforderlich sind AWS Ressourcen, die sie benötigt. Servicerollen unterscheiden sich von Service zu Service, aber viele erlauben Ihnen, Ihre Berechtigungen auszuwählen, solange Sie die dokumentierten Anforderungen für diesen Service erfüllen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Sie können eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon Redshift-Cluster laden kann. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an ein AWS Service im IAMBenutzerhandbuch.

  • Anwendungen, die auf Amazon laufen EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Amazon-Instance ausgeführt werden und AWS CLIoder AWS APIAnfragen. Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Amazon-Instance vorzuziehen. Um eine zuzuweisen AWS Wenn Sie einer EC2 Amazon-Instance eine Rolle zuweisen und sie für alle ihre Anwendungen verfügbar machen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Amazon-Instance ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Gewährung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

• IAMDie Identity Center-Benutzerauthentifizierung im IAM Identity Center-Benutzerportal wird durch das Verzeichnis gesteuert, das Sie mit IAM Identity Center verbunden haben. Allerdings ist die Autorisierung für AWS Konten, die Endbenutzern vom Benutzerportal aus zur Verfügung stehen, werden von zwei Faktoren bestimmt:

  • Wem wurde Zugriff auf diese zugewiesen AWS Konten in der AWS IAMIdentity Center-Konsole. Weitere Informationen finden Sie unter Single Sign-On-Zugriff im AWS IAM Identity Center Benutzerleitfaden.

  • Welche Berechtigungsstufen wurden den Endbenutzern in der AWS IAMIdentity Center-Konsole, um ihnen den entsprechenden Zugriff auf diese zu ermöglichen AWS Konten. Weitere Informationen finden Sie unter Berechtigungssätze im AWS IAM Identity Center Benutzerleitfaden.

Themen

• Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen

• Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower