Berechtigungsverwaltung

Verwalten Sie Berechtigungen zum Steuern des Zugriffs für menschliche Identitäten und Maschinenidentitäten, die Zugriff auf AWS und Ihre Workloads benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann. Legen Sie Berechtigungen für bestimmte Personen- oder Maschinenidentitäten fest, um Zugriff auf bestimmte Service-Aktionen für bestimmte Ressourcen zu gewähren. Geben Sie außerdem Bedingungen an, die erfüllt sein müssen, damit der Zugriff gewährt wird. Sie können beispielsweise Entwicklern erlauben, neue Lambda-Funktionen zu erstellen, aber nur in einer bestimmten Region. Befolgen Sie bei der skalierbaren Verwaltung Ihrer AWS-Umgebungen die folgenden bewährten Methoden, um sicherzustellen, dass Identitäten nur den benötigten Zugriff haben und nicht mehr.

Es gibt eine Reihe von Möglichkeiten, Zugriff auf verschiedene Arten von Ressourcen zu gewähren. Eine Möglichkeit ist die Verwendung verschiedener Richtlinienarten.

Identitätsbasierte Richtlinien in IAM sind verwaltete Richtlinien oder Inline-Richtlinien und werden IAM-Identitäten, einschließlich Benutzern, Gruppen oder Rollen, angefügt. Mit diesen Richtlinien können Sie festlegen, was die betreffende Identität tun darf (ihre Berechtigungen). Identitätsbasierte Richtlinien können weiter unterteilt werden.

Verwaltete Richtlinien – Eigenständige identitätsbasierte Richtlinien, die Sie an mehrere Benutzer, Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Es gibt zwei Arten von verwalteten Richtlinien:

Verwaltete Richtlinien sind die bevorzugte Methode für die Anwendung von Berechtigungen. Sie können jedoch auch Inline-Richtlinien verwenden, die Sie direkt zu einem einzelnen Benutzer, einer Gruppe oder einer Rolle hinzufügen. Bei Inline-Richtlinien besteht eine strikte Eins-zu-Eins-Beziehung zwischen einer Richtlinie und einer Identität. Inline-Richtlinien werden gelöscht, wenn Sie die Identität löschen.

In den meisten Fällen sollten Sie Ihre eigenen, vom Kunden verwalteten Richtlinien erstellen und dabei dem Prinzip der geringsten Berechtigung folgen.

Ressourcenbasierte Richtlinien werden einer Ressource angefügt. Eine S3-Bucket-Richtlinie ist zum Beispiel eine ressourcenbasierte Richtlinie. Diese Richtlinien erteilen einem Prinzipal, der sich in demselben Konto wie die Ressource oder in einem anderen Konto befinden kann, eine Berechtigung. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren.

Berechtigungsgrenzen verwenden eine verwaltete Richtlinie, um die maximalen Berechtigungen festzulegen, die ein Administrator festlegen kann. Auf diese Weise können Sie die Fähigkeit zum Erstellen und Verwalten von Berechtigungen an Entwickler delegieren, z. B. die Erstellung einer IAM-Rolle, aber die Berechtigungen, die diese erteilen können, einschränken, sodass sie ihre Berechtigungen nicht mit den erstellten Berechtigungen erweitern können.

Mit der attributbasierten Zugriffskontrolle (ABAC) können Sie Berechtigungen basierend auf Attributen erteilen. In AWS werden diese Tags genannt. Tags können an IAM-Prinzipale (Benutzer oder Rollen) und an AWS-Ressourcen angefügt werden. Mithilfe von IAM-Richtlinien können Administratoren eine wiederverwendbare Richtlinie erstellen, die Berechtigungen basierend auf den Attributen des IAM-Prinzipals anwendet. Als Administrator können Sie beispielsweise eine einzelne IAM-Richtlinie verwenden, die Entwicklern in Ihrer Organisation Zugriff auf AWS-Ressourcen gewährt, die mit den Projekt-Tags der Entwickler übereinstimmen. Wenn das Entwicklerteam Ressourcen zu Projekten hinzufügt, werden Berechtigungen automatisch basierend auf Attributen angewendet. Daher ist nicht für jede neue Ressource eine Richtlinienaktualisierung erforderlich.

Organizations Service Control Policies (SCP) definieren die maximalen Berechtigungen für Kontomitglieder einer Organisation oder Organisationseinheit (OU). SCPs beschränken die Berechtigungen, die identitätsbasierte Richtlinien oder ressourcenbasierte Richtlinien Entitäten (Benutzern oder Rollen) innerhalb des Kontos gewähren, erteilen aber keine Berechtigungen.

Sitzungsrichtlinien übernehmen eine Rolle oder einen Verbundbenutzer. Übergeben Sie Sitzungsrichtlinien, wenn Sie die AWS-CLI- oder AWS-API-Sitzungsrichtlinien verwenden, um die Berechtigungen einzuschränken, die die identitätsbasierten Richtlinien der Rolle oder des Benutzers für die Sitzung gewähren. Diese Richtlinien beschränken die Berechtigungen für eine erstellte Sitzung, gewähren aber keine Berechtigungen. Weitere Informationen finden Sie unter Sitzungsrichtlinien.