Identity and Access Management für AWS-Ressourcen
AWS Identity and Access Management (IAM) ist ein Webservice, der Ihnen hilft, den Zugriff auf AWS-Ressourcen zu steuern. Wenn ein Auftraggeber eine Anforderung in AWS stellt, überprüft der AWS-Durchführungscode, ob der Auftraggeber authentifiziert (angemeldet) und autorisiert ist (d. h. über Berechtigungen verfügt). Für die Zugriffsverwaltung in AWS erstellen Sie Richtlinien und fügen sie an die IAM-Identitäten oder AWS-Ressourcen an. Richtlinien sind JSON-Dokumente in AWS, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definieren. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
Detaillierte Informationen zum Rest des Authentifizierungs- und Autorisierungsprozesses finden Sie unter Funktionsweise von IAM.
Während der Autorisierung verwendet der AWS-Durchführungscode Werte aus dem Anforderungskontext, um nach übereinstimmenden Richtlinien zu suchen und zu bestimmen, ob die Anforderung zuzulassen oder zu verweigern ist.
AWS überprüft jede Richtlinie, die für den Kontext der Anforderung gilt. Wenn eine einzelne Richtlinie die Anforderung verweigert, verweigert AWS die gesamte Anforderung und beendet die Richtlinienauswertung. Dieser Vorgang wird als explizite Zugriffsverweigerung bezeichnet. Da Anforderungen standardmäßig verweigert werden, autorisiert IAM Ihre Anforderung nur dann, wenn jeder Teil Ihrer Anforderung von den anwendbaren Richtlinien erlaubt wird. Die Auswertungslogik für eine Anforderung in einem einzelnen Konto folgt diesen Regeln:
-
Standardmäßig werden alle Anforderungen implizit verweigert. (Alternativ hat Root-Benutzer des AWS-Kontos standardmäßig vollen Zugriff.)
-
Eine explizite Zugriffserlaubnis in einer identitätsbasierten oder ressourcenbasierten Richtlinie hat Vorrang vor diesem Standardwert.
-
Wenn eine Berechtigungsgrenze, Organizations-SCP oder Sitzungsrichtlinie vorhanden ist, kann sie die Zugriffserlaubnis mit einer impliziten Zugriffsverweigerung überschreiben.
-
Eine explizite Zugriffsverweigerung überschreibt jede Zugriffserlaubnis in einer Richtlinie.
Nachdem Ihre Anforderung authentifiziert und autorisiert wurde, genehmigt AWS die Anforderung. Wenn Sie eine Anforderung in einem anderen Konto initiieren müssen, muss eine Richtlinie in dem anderen Konto Ihnen den Zugriff auf die Ressource erlauben. Darüber hinaus muss die IAM-Entität, die Sie zum Erstellen der Anforderung verwenden, eine identitätsbasierte Richtlinie aufweisen, die die Anforderung zulässt.
Zugriffsmanagementressourcen
Weitere Informationen über Berechtigungen und zum Erstellen von Richtlinien finden Sie in folgenden Ressourcen:
Die folgenden Einträge im AWS-Sicherheitsblog decken übliche Möglichkeiten zum Erstellen von Richtlinien für den Zugriff auf Amazon S3-Buckets und Objekte ab.
-
Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket
-
Writing IAM policies: Zugriff auf benutzerspezifische Ordner in einem Amazon S3 Bucket gewähren
-
IAM Policies and Bucket Policies and ACLs! Oh je! (Steuern des Zugriffs auf S3-Ressourcen)
-
Eine Einführung in die Berechtigungen auf RDS-Ressourcenebene
-
Entmystifizierung von EC2-Berechtigungen auf Ressourcenebene
