Definition: Identity and Access Management von Amazon Web Services Was ist Amazon IAM?

Mit dem Amazon Identity and Access Management (IAM) lässt sich der Zugriff auf die Dienste und Ressourcen der Amazon Web Services steuern und managen. Entsprechend der eingerichteten Berechtigungen erhalten einzelne Benutzer oder Benutzergruppen Zugriff auf AWS-Services, -Ressourcen und -Funktionen.

Firma zum Thema

Identity and Access Management: Mit Amazon IAM lässt sich der Benutzerzugriff auf AWS-Ressourcen granular steuern.
Identity and Access Management: Mit Amazon IAM lässt sich der Benutzerzugriff auf AWS-Ressourcen granular steuern.
(Bild: gemeinfrei © Gerd Altmann / Pixabay )

Amazon IAM steht für Amazon Identity and Access Management. Es handelt sich um einen Web-Service, mit dem sich der Zugriff auf die Dienste und Ressourcen der Amazon Web Services (AWS) steuern und verwalten lässt. Mit Hilfe von Amazon IAM ist es möglich, Benutzer anzulegen, sie in Gruppen zusammenzufassen, ihnen Rollen zuzuweisen und ihnen über Richtlinien Berechtigungen zuzuteilen. Amazon IAM authentifiziert die konfigurierten Benutzer und autorisiert sie, gemäß den erstellten Vorgaben auf Services oder Ressourcen zuzugreifen und bestimmte Funktionen auszuführen.

Ein neu erstelltes AWS-Konto hat zunächst nur einen einzigen Root-Benutzer mit Vollzugriff auf alle AWS-Ressourcen und -Services. Amazon rät ausdrücklich davon ab, nur den Root-Benutzer für die alltägliche, produktive Nutzung der AWS-Dienste zu verwenden. Mit der Anmeldeidentität des Root-Benutzers lassen sich über das Amazon Identity and Access Management einzelne Benutzer und Benutzergruppen mit definierten Rechten anlegen. Erst das Anlegen weiterer Identitäten ohne Vollzugriff erlaubt eine bedarfsgerechte Steuerung des Zugriffs und sichere Nutzung der Amazon Web Services.

Der Root-Benutzer sollte nur für Verwaltungsaufgaben des AWS-Kontos und der Services eingesetzt werden. Das Amazon Identity and Access Management steht den AWS-Kunden zur Verfügung, sobald ein AWS-Service abonniert ist. Es fallen keine zusätzlichen Kosten für Amazon IAM an. Das Identity and Access Management ist in den AWS-Services enthalten. Der Zugriff auf Amazon IAM ist über verschiedene Wege wie über die webbasierte grafische Benutzeroberfläche der AWS Management Console, die AWS-Kommandozeilenoberfläche oder APIs möglich.

Die Grundelemente des Amazon Identity and Access Managements

Um das Konzept und die Funktionsweise des Amazon Identity and Access Managements zu verstehen, ist zunächst das Verständnis einiger wichtiger Grundelemente und ihrer Aufgaben notwendig. Das Amazon IAM verwendet folgende fünf Grundelemente:

  • Benutzer,
  • Gruppen,
  • Rollen,
  • Berechtigungen,
  • Richtlinien (Policies).

Als Benutzer definiert das IAM eine eindeutige Identität. Sie besitzt einen eindeutigen Namen und identifiziert sich über einen Benutzernamen und weitere Sicherheitsmerkmale wie Passwort, Sicherheitsschlüssel oder zusätzliche Faktoren. Ein Benutzer kann eine einzelne Person, eine Anwendung oder ein System sein, das Zugriff auf AWS-Services benötigt. Jedem Benutzer lassen sich individuelle Berechtigungen zuweisen.

Eine Gruppe besteht aus einer Auswahl von Benutzern. Die Zugehörigkeit der Benutzer zu den Gruppen lässt sich über das IAM verwalten. Benutzer können einer oder mehreren Gruppen angehören. Den Gruppen lassen sich Berechtigungen zuweisen, die automatisch für die einzelnen Benutzer der Gruppe gelten. Dadurch reduziert sich der Konfigurationsaufwand, da die Berechtigungen nicht mehr jedem Benutzer einzeln zugewiesen werden müssen. Die Authentifizierung gegenüber den AWS-Services findet stets auf Benutzerebene statt.

Eine Rolle erlaubt es, Berechtigungen und Zugriffsrechte an eine vertrauenswürdige IAM-Entität zu delegieren. So können beispielsweise Benutzer oder Services, die normalerweise keine Zugriffsrechte auf die AWS-Ressourcen haben, Rollen annehmen. Sie erhalten temporäre Berechtigungen für den Zugriff und die Nutzung von Ressourcen oder Services. Typischer Anwendungsfall ist das Delegieren des Zugriffs an Benutzer eines anderen AWS-Kontos oder an einen bestimmten AWS-Service.

Berechtigungen können IAM-Entitäten wie Benutzern, Gruppen oder Rollen erteilt werden. Die Berechtigungen legen die Zugriffsrechte der IAM-Entitäten auf die AWS-Services und -Ressourcen fest. Berechtigungen lassen sich bei Bedarf an Bedingungen knüpfen, die erfüllt sein müssen, um die Zugriffsrechte zu erhalten. Um Berechtigungen zuzuweisen, kommen sogenannte Richtlinien (Policies) zum Einsatz. Richtlinien werden mit einer eigenen IAM-Richtliniensprache auf Basis von JSON-Dokumenten erstellt. Sie lassen sich zentral verwalten und bearbeiten und den Entitäten zuweisen.

Die Funktionen von Amazon IAM

Amazon IAM bietet ein Vielfalt an Funktionen, um den Zugriff auf die Amazon-Cloud-Services und -Ressourcen zu verwalten, zu steuern und abzusichern. Den erstellten Benutzern können individuelle Anmeldemöglichkeiten per Kennwort, Zugriffsschlüssel oder Multi-Faktor-Authentifizierung (MFA) zugewiesen werden.

MFA ist eine Sicherheitsfunktion ohne zusätzliche Kosten und fragt bei der Anmeldung einen weiteren Faktor wie den physischen Besitz eines Hardware-Tokens ab. Die Benutzer lassen sich in Gruppen organisieren. Sie erhalten die Zugriffsrechte der Gruppen und müssen diese nicht einzeln zugewiesen bekommen. Über Rollen ist das temporäre Delegieren von Zugriffen beispielsweise an Benutzer anderer AWS-Konten möglich. Zugriffsrechte können an bestimmte Bedingungen oder Merkmale wie Zeiten oder IP-Adressen gebunden sein.

Neben dem Verwalten und Zuweisen von Benutzern, Gruppen, Rollen, Berechtigungen und Richtlinien beinhaltet Amazon IAM umfangreiche Analysemöglichkeiten des Zugriffs auf die komplette AWS-Umgebung. Darüber hinaus ist die Einbindung eigener Identitätssysteme wie Microsoft Active Directory oder anderer SAML-2.0-basierter Lösungen möglich.

Amazon IAM - Nutzung und Zugriff

Das Amazon Identity and Access Management ist auf verschiedene Arten nutzbar. Für den Zugriff auf das IAM können die AWS Management Console, AWS-Befehlszeilen-Tools, das AWS Command Line Interface (CLI), AWS SDKs (Software Development Kits) oder APIs verwendet werden.

Die AWS Management Console stellt eine graphische Benutzeroberfläche zur Verfügung, auf die der Administrator per Webbrowser zugreift. Für die Nutzung der IAM-Funktionen ist die Anmeldung als Root- oder IAM-Benutzer an der AWS Management Console erforderlich.

Bei der Verwendung der AWS-Befehlszeilen-Tools werden die IAM-Aufgaben über Textbefehle in einer Kommandozeilenoberfläche ausgeführt. Neben dem AWS Command Line Interface stehen für die befehlsbasierte IAM-Nutzung die AWS-Tools für Windows PowerShell zur Verfügung.

AWS-SDKs bestehen aus Bibliotheken und Beispiel-Codes. Sie sind für verschiedene Plattformen wie Android oder iOS und Programmiersprachen wie Ruby, Python oder Java verfügbar. Mit Hilfe der SDKs lassen sich programmgesteuerte Zugriffe auf das Amazon IAM einrichten und automatisieren.

Über eine HTTPS-API ist ebenfalls ein programmgesteuerter Zugriff auf das Identity and Access Management möglich. HTTPS-Anfragen lassen sich mit der entsprechenden digitalen Signierung direkt an den Service senden.

Vorteile durch das Amazon Identity and Access Management

Das Amazon Identity and Access Management bietet unter anderem folgende Vorteile:

  • Einrichten von Benutzern mit definierten Zugriffsrechten,
  • präzise abgestufte Steuerung der Zugriffsrechte,
  • beliebiges Gruppieren von Benutzern,
  • temporäres Delegieren von Zugriffsrechten über Rollen,
  • zentrales Erstellen, Verwalten und Bearbeiten der Berechtigungen über JSON-dokumentbasierte Richtlinien,
  • Nutzung sicherer Anmelde- und Authentifizierungsverfahren per Passwörter, Schlüssel, Zertifikate oder per Multi-Faktor-Authentifizierung (MFA),
  • browserbasierte graphische Benutzeroberfläche,
  • Nutzung der IAM-Services über Kommadozeilentools, SDKs und APIs,
  • umfangreiche Analysemöglichkeiten der Zugriffe und bestehender Berechtigungen,
  • nahtlose Integration in die AWS-Services,
  • keine zusätzlichen Kosten für das Amazon IAM.

(ID:47263227)

Über den Autor