Was ist IAM?

AWS Identity and Access Management (IAM) ist ein Webservice, der Ihnen hilft, den Zugriff auf AWS-Ressourcen zu steuern. Mit IAM können Sie Berechtigungen verwalten, die steuern, auf welche AWS-Ressourcen Benutzer zugreifen können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. IAM stellt die notwendige Infrastruktur zur Verfügung, um die Authentifizierung und Autorisierung für Ihr AWS-Konten zu steuern.

Identitäten

Wenn Sie ein AWS-Konto neu erstellen, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen. Verwenden Sie diese nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern im IAM-Benutzerhandbuch.

Verwenden Sie IAM, um zusätzlich zu Ihrem Root-Benutzer weitere Identitäten einzurichten, z. B. Administratoren, Analysten und Entwickler, und gewähren Sie ihnen Zugriff auf die Ressourcen, die sie für die erfolgreiche Ausführung ihrer Aufgaben benötigen.

Zugriffsverwaltung

Nachdem ein Benutzer in IAM eingerichtet wurde, verwendet er seine Anmeldeinformationen, um sich bei AWS zu authentifizieren. Die Authentifizierung erfolgt, indem die Anmeldeinformationen einem Prinzipal (einem IAM-Benutzer, Verbundbenutzer, IAM-Rolle oder Anwendung) zugeordnet werden, dem das AWS-Konto vertraut. Als Nächstes wird eine Anfrage gestellt, um dem Prinzipal Zugriff auf Ressourcen zu gewähren. Der Zugriff wird als Antwort auf eine Autorisierungsanfrage gewährt, wenn dem Benutzer die Berechtigung für die Ressource gewährt wurde. Wenn Sie sich beispielsweise zum ersten Mal bei der Konsole anmelden und sich auf der Startseite der Konsole befinden, greifen Sie nicht auf einen bestimmten Service zu. Wenn Sie einen Service auswählen, wird die Autorisierungsanfrage an diesen Service gesendet und es wird geprüft, ob Ihre Identität auf der Liste der autorisierten Benutzer steht, welche Richtlinien zur Kontrolle der gewährten Zugriffsebene durchgesetzt werden und welche anderen Richtlinien möglicherweise in Kraft sind. Autorisierungsanfragen können von Prinzipalen innerhalb Ihres AWS-Kontos oder von einem anderen AWS-Konto, denen/dem Sie vertrauen, gestellt werden.

Nach der Autorisierung kann der Prinzipal Maßnahmen ergreifen oder Operationen an Ressourcen in Ihrem AWS-Konto durchführen. Der Prinzipal könnte beispielsweise eine neue Amazon Elastic Compute Cloud-Instance starten, die IAM-Gruppenmitgliedschaft ändern oder Amazon Simple Storage Service-Buckets löschen.

Tipp

AWS-Schulung und Zertifizierung bietet eine 10-minütige Videoeinführung in IAM:

Einführung in AWS Identity and Access Management.

Service-Verfügbarkeit

Wie viele andere AWS-Services arbeitet IAM mit einem Eventually Consistent-Konzept. IAM erreicht eine hohe Verfügbarkeit, indem die Daten innerhalb der weltweit verteilten Amazon-Rechenzentren über mehrere Server repliziert werden. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Allerdings muss die Änderung in IAM repliziert werden, was einige Zeit dauern kann. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie unter Änderungen, die ich vornehme, sind nicht immer direkt sichtbar.

Informationen zu den Servicekosten

AWS Identity and Access Management (IAM), AWS IAM Identity Center und AWS Security Token Service (AWS STS) sind Features Ihres AWS-Kontos, die ohne zusätzliche Kosten angeboten werden. Sie werden nur berechnet, wenn Sie auf andere AWS-Dienste mit Ihren IAM-Benutzern oder AWS STS temporäre Sicherheitsanmeldeinformationen.

Die externe Zugriffsanalyse von IAM Access Analyzer wird ohne zusätzliche Kosten angeboten. Für ungenutzte Zugriffsanalysen und Kundenrichtlinienprüfungen fallen jedoch Gebühren an. Eine vollständige Liste der Kosten und Preise für IAM Access Analyzer finden Sie unter Preise für IAM Access Analyzer.

Informationen zu den Preisen andererAWS-Produkten finden Sie in der Amazon Web Services Preise-Seite.

Integration in andere AWS-Services

IAM ist in vielen AWS-Services integriert. Eine Liste der AWS-Services, die mit IAM funktionieren, und der von den Services unterstützten IAM-Features finden Sie unter AWS-Services, die mit IAM funktionieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Weshalb sollte ich IAM verwenden?