Berechtigungssätze erstellen, verwalten und löschen - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungssätze erstellen, verwalten und löschen

Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Berechtigungssätze werden in IAM Identity Center gespeichert und können für einen oder mehrere AWS-Konten Personen bereitgestellt werden. Sie können einem Benutzer mehrere Berechtigungssätze zuweisen. Weitere Informationen zu Berechtigungssätzen und deren Verwendung in IAM Identity Center finden Sie unterAWS-Konten Mit Berechtigungssätzen verwalten.

Beachten Sie bei der Erstellung von Berechtigungssätzen die folgenden Überlegungen:

  • Beginnen Sie mit einem vordefinierten Berechtigungssatz

    Mit einem vordefinierten Berechtigungssatz, der vordefinierte Berechtigungen verwendet, wählen Sie eine einzelne AWS verwaltete Richtlinie aus einer Liste verfügbarer Richtlinien aus. Jede Richtlinie gewährt eine bestimmte Zugriffsebene auf AWS Dienste und Ressourcen oder Berechtigungen für eine allgemeine Aufgabenfunktion. Informationen zu jeder dieser Richtlinien finden Sie unter AWS Verwaltete Richtlinien für Berufsfunktionen. Nachdem Sie Nutzungsdaten erfasst haben, können Sie den Berechtigungssatz so verfeinern, dass er restriktiver ist.

  • Beschränken Sie die Dauer der Verwaltungssitzung auf angemessene Arbeitszeiträume

    Wenn Benutzer sich mit ihnen verbinden AWS-Konto und die AWS Management Console oder die AWS Befehlszeilenschnittstelle (AWS CLI) verwenden, verwendet IAM Identity Center die Einstellung für die Sitzungsdauer im Berechtigungssatz, um die Dauer der Sitzung zu steuern. Wenn die Benutzersitzung die Sitzungsdauer erreicht, werden sie von der Konsole abgemeldet und aufgefordert, sich erneut anzumelden. Aus Sicherheitsgründen empfehlen wir, die Sitzungsdauer nicht länger festzulegen, als für die Ausführung der Rolle erforderlich ist. Standardmäßig ist der Wert für die Sitzungsdauer eine Stunde. Sie können einen Höchstwert von 12 Stunden angeben. Weitere Informationen finden Sie unter Legen Sie die Sitzungsdauer fest für AWS-Konten.

  • Beschränken Sie die Sitzungsdauer des Workforce-Benutzerportals

    Workforce-Benutzer verwenden Portalsitzungen, um Rollen auszuwählen und auf Anwendungen zuzugreifen. Standardmäßig beträgt der Wert für Maximale Sitzungsdauer, der bestimmt, wie lange ein Workforce-Benutzer beim AWS Access-Portal angemeldet sein kann, bevor er sich erneut authentifizieren muss, acht Stunden. Sie können einen Höchstwert von 90 Tagen angeben. Weitere Informationen finden Sie unter Konfigurieren Sie die Sitzungsdauer des AWS Zugriffsportals und der integrierten IAM Identity Center-Anwendungen.

  • Verwenden Sie die Rolle, die Berechtigungen mit den geringsten Rechten gewährt

    Jeder Berechtigungssatz, den Sie erstellen und Ihrem Benutzer zuweisen, wird im Zugriffsportal als verfügbare Rolle angezeigt. AWS Wenn Sie sich als dieser Benutzer beim Portal anmelden, wählen Sie die Rolle aus, die dem restriktivsten Berechtigungssatz entspricht, den Sie für die Ausführung von Aufgaben im Konto verwenden können, und nichtAdministratorAccess. Testen Sie Ihre Berechtigungssätze, um sicherzustellen, dass sie den erforderlichen Zugriff gewähren, bevor Sie die Benutzereinladung senden.

Anmerkung

Sie können sie auch verwenden AWS CloudFormation, um Berechtigungssätze zu erstellen und zuzuweisen und diesen Berechtigungssätzen Benutzer zuzuweisen.

Themen