Identitäts- und Zugriffsmanagement in AWS Data Exchange - AWS Data Exchange Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitäts- und Zugriffsmanagement in AWS Data Exchange

Um einen Vorgang in ausführen zu können AWS Data Exchange, wie z. B. das Erstellen eines Importauftrags mit einer oder das Abonnieren eines Produkts in der AWS Data Exchange Konsole, AWS Identity and Access Management müssen Sie sich authentifizieren, dass Sie ein zugelassener AWS Benutzer sind. AWS SDK IAM Wenn Sie beispielsweise die AWS Data Exchange Konsole verwenden, authentifizieren Sie Ihre Identität, indem Sie Ihre Anmeldeinformationen angeben. AWS

Nachdem Sie Ihre Identität authentifiziert haben, IAM steuert es Ihren Zugriff auf AWS mit einem definierten Satz von Berechtigungen für eine Reihe von Vorgängen und Ressourcen. Wenn Sie ein Kontoadministrator sind, können Sie IAM damit den Zugriff anderer Benutzer auf die Ressourcen kontrollieren, die Ihrem Konto zugeordnet sind.

Authentifizierung

Sie können AWS mit einer der folgenden Arten von Identitäten darauf zugreifen:

  • AWS-Konto Root-Benutzer — Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. IAM

  • Benutzer — Ein Benutzer ist eine Identität in Ihrem System AWS-Konto , die über spezifische benutzerdefinierte Berechtigungen verfügt. Sie können Ihre IAM Anmeldeinformationen verwenden, um sich auf sicheren AWS Webseiten wie dem AWS Management Console oder dem AWS Support Center anzumelden.

  • IAMRolle — Eine IAMRolle ist eine IAM Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt. Eine IAM Rolle ähnelt einem IAM Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und welche nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. Rollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:

    • Föderierter Benutzerzugriff — Anstatt einen Benutzer zu erstellen, können Sie vorhandene Identitäten aus AWS Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen.

    • AWS-Service Zugriff — Eine Servicerolle ist eine IAM Rolle, die ein Dienst übernimmt, um in Ihrem Namen Aktionen in Ihrem Konto auszuführen. Wenn Sie einige AWS-Service Umgebungen einrichten, müssen Sie eine Rolle definieren, die der Dienst übernehmen soll. Diese Servicerolle muss alle Berechtigungen enthalten, die der Dienst für den Zugriff auf die benötigten AWS Ressourcen benötigt. Servicerollen unterscheiden sich von Service zu Service, aber viele erlauben Ihnen, Ihre Berechtigungen auszuwählen, solange Sie die dokumentierten Anforderungen für diesen Service erfüllen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Sie können eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon Redshift-Cluster laden kann. Weitere Informationen finden Sie unter Eine Rolle zum Delegieren von Berechtigungen für einen AWS Dienst erstellen.

    • Auf Amazon ausgeführte Anwendungen EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Amazon-Instance ausgeführt werden und AWS API Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln in der EC2 Amazon-Instance vorzuziehen. Um einer EC2 Amazon-Instance eine AWS Rolle zuzuweisen und sie für alle ihre Anwendungen verfügbar zu machen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Amazon-Instance ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie unter Verwenden einer IAM Rolle, um Berechtigungen für Anwendungen zu gewähren, die auf EC2 Amazon-Instances ausgeführt werden.