Was ist IAM und wie funktioniert IAM in AWS?

IAM (Identitäts- und Zugriffsmanagement) fällt unter den Dienst „Sicherheit, Identität & Compliance“ in AWS (Amazon Web Services). Es ermöglicht uns, den Zugang zu den Diensten und Ressourcen der AWS sicher zu verwalten. Mit IAM können wir AWS-Benutzer, Gruppen und Rollen erstellen und verwalten und Berechtigungen verwenden, um ihnen den Zugriff auf AWS-Ressourcen zu erlauben oder zu verweigern.

IAM wird „ohne Aufpreis“ geliefert und uns werden nur die anderen von uns in Anspruch genommenen AWS-Dienstleistungen in Rechnung gestellt.

AWS IAM hilft uns dabei:

  • Verwalten Sie die Benutzer und ihren Zugang:
    Wir können Benutzer in IAM erstellen und ihnen individuelle Sicherheitsinformationen zuweisen. Wir können Berechtigungen verwalten, um zu steuern, welche Operationen ein Benutzer ausführen darf und welche nicht.
  • Verwaltung von Rollen und deren Berechtigungen: Wir
    können Rollen in IAM erstellen und Berechtigungen verwalten, um zu kontrollieren, welche Operationen von der Entität oder dem AWS-Dienst, der die Rolle übernimmt, durchgeführt werden können.
  • Verwalten von Benutzern im Verbund und ihren Berechtigungen: Wir
    können den Identitätsverbund aktivieren, um bestehenden Benutzern, Gruppen und Rollen in unserem Unternehmen den Zugriff auf die AWS-Verwaltung zu ermöglichen.

Um den IAM-Dienst im Detail zu verstehen, können Sie die offizielle AWS-Dokumentation einsehen.

In diesem Artikel sehen wir, wie man einen IAM-Benutzer, eine Gruppe, eine IAM-Rolle, eine Berechtigung zuweist und eine benutzerdefinierte Richtlinie erstellt.

Hinweis: IAM gehört nicht zu einer bestimmten Region und erstreckt sich über das gesamte AWS-Konto.

Voraussetzungen

  1. AWS-Konto (Erstellen Sie wenn Sie keine haben).

Was wir tun werden

  1. Anmeldung bei AWS.
  2. Erstellen Sie einen IAM-Benutzer.
  3. Erstellen Sie eine IAM-Gruppe und fügen Sie Benutzer hinzu.
  4. Erstellen Sie eine IAM-Rolle.
  5. Erstellen Sie eine IAM-Richtlinie.

Anmeldung bei AWS

  1. Klicken Sie auf hier um zur AWS-Anmeldeseite zu gelangen.

Wenn wir auf den obigen Link klicken, sehen wir eine Webseite wie folgt, auf der wir uns mit unseren Anmeldedaten anmelden müssen.

Anmeldung bei AWS

Sobald wir uns erfolgreich in die AWS einloggen, sehen wir die Hauptkonsole mit allen Diensten, die wie folgt aufgelistet sind.

AWS-Verwaltungskonsole

IAM-Benutzer erstellen

Ein (IAM)-Benutzer ist eine Entität, die wir auf AWS erstellen, um die Person oder Anwendung zu repräsentieren, die sie zur Interaktion mit AWS verwendet. Ein Benutzer in der AWS besteht aus einem Namen und einem Berechtigungsnachweis.

Klicken Sie auf „Dienstleistungen“ in der linken oberen Ecke und Sie sehen einen Bildschirm mit allen Dienstleistungen. Markieren Sie “ IAM unter “ Sicherheit, Identität und Compliance“ und klicken Sie auf “ IAM“.

IAM-Benutzer erstellen

Sie werden ein Dashboard sehen. Dies ist die Homepage von IAM. Klicken Sie auf „Benutzer“ in der linken Leiste.

Identitäts- und Zugriffsmanagement

Klicken Sie auf „ Benutzer hinzufügen, um einen neuen Benutzer zu erstellen.

Benutzer hinzufügen

Geben Sie hier einen Namen für den zu erstellenden Benutzer an. Wir können einen Benutzer mit zwei verschiedenen Zugriffsarten erstellen.

  1. Programmatischer Zugang:
    Wir können den Vorgang für ein AWS-Konto aus der AWS-API, der CLI, dem SDK und anderen Entwicklungstools mit dieser Zugriffsart durchführen.
  2. Zugriff auf die AWS-Verwaltungskonsole:
    Diese Zugriffsart ermöglicht eine Anmeldung an der AWS-Verwaltungskonsole.

In diesem Artikel werden wir einen Benutzer mit “ AWS Management Console Zugriff“ erstellen.

Sobald Sie auf “ AWS Management Console access“ klicken, erhalten Sie ein Feld, um ein Passwort für den Benutzer zu vergeben.

Wir können entweder ein “ Autogenes Passwort“ oder ein “ Benutzerdefiniertes Passwort“ haben. Hier wählen wir „ Benutzerdefiniertes Passwort“ und weisen dem Benutzer ein Passwort zu. Je nach Anforderung können wir einen Benutzer zwingen, das Passwort bei der nächsten Anmeldung zu ändern. Hier, lassen Sie es so, wie es ist. Klicken Sie auf “ Weiter: Permission„, um weiter zu gehen und die Berechtigungen zuzuweisen.

Benutzerdetails festlegen

Klicken Sie auf dem nächsten Bildschirm auf „ Vorhandene Richtlinien direkt anhängen“ und suchen Sie nach “ readonlyaccess“ und aktivieren Sie das Kontrollkästchen, wie im folgenden Bildschirm gezeigt. Bei “ ReadOnlyAccess kann der Benutzer keine der AWS-Ressourcen erstellen. Sie können die Liste der Berechtigungen durchgehen, um sie zu verstehen. Klicken Sie auf “ Weiter: Tag“ für das weitere Vorgehen.

Berechtigungen festlegen

Die Zuweisung von Tags ist optional, hilft aber, den Zugriff für diesen Benutzer zu organisieren, zu verfolgen oder zu kontrollieren. Klicken Sie auf “ Weiter: Review„, um weiter zu gehen und einen Benutzer zu erstellen.

Tags hinzufügen

Überprüfen Sie die Konfiguration und klicken Sie auf „Benutzer erstellen“, um einen Benutzer zu erstellen.

Benutzerdetails überprüfen

Klicken Sie auf „Download .csv„, der einen „Konsolen-Anmeldelink“ enthält. Im Falle der Erstellung eines Benutzers mit „ Programmatic access“ ist diese Datei sehr wichtig, da sie “ Access key ID“ und „ Secret access key“ enthalten würde, die für den Zugriff erforderlich sind. Jetzt können Sie auf „Schließen“ klicken, da wir unseren ersten Benutzer angelegt haben.

Benutzer erfolgreich hinzugefügt

Erstellen einer IAM-Rolle

Eine IAM-Rolle ist eine IAM-Identität, die wir in unserem AWS-Konto erstellen können und die über bestimmte Berechtigungen verfügt. Es ist ähnlich wie bei einem IAM-Benutzer mit Berechtigungsrichtlinien, die festlegen, was die Identität in der AWS tun kann und was nicht. Die IAM-Rolle ermöglicht es den AWS-Dienststellen, Aktionen in unserem Namen durchzuführen.

Klicken Sie auf der IAM-Homepage im linken Bereich auf „Rollen. Klicken Sie auf „Rolle erstellen“.

Erstellen einer IAM-Rolle

In diesem Artikel werden wir eine Rolle für den Lambda-Service schaffen. Klicken Sie auf “ Lambda und klicken Sie auf “ Weiter: Genehmigungen„.

Berechtigungen

Suchen Sie im Suchfeld nach “ ec2readonlyaccess“ und kreuzen Sie das Kontrollkästchen für die Politik “ AmazonEC2ReadyOnlyAccess“ an. Dies wird einen „nur-lesenden Zugang zur Lambda-Funktion im EC2-Dienst ermöglichen. Klicken Sie auf “ Weiter: Schlagwörter„.

AmazonEC2ReadyOnly-Zugang

Das Hinzufügen von Tags ist optional, kann aber dazu verwendet werden, den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu kontrollieren. Klicken Sie auf “ Weiter: Review„, um weiter zu gehen.

Rolle anlegen

Geben Sie der Rolle einen Namen, fügen Sie eine Beschreibung hinzu und klicken Sie auf „Rolle erstellen“. Dadurch wird eine Rolle geschaffen, die es Lambda-Funktionen ermöglicht, AWS-Dienste in Ihrem Namen mit “ ReadOnlyAccess auf dem “ EC2″-Dienst aufzurufen.

Nur-Lese-Rolle

Erstellen Sie eine IAM-Gruppe

Eine IAM-Gruppe ist eine Sammlung von IAM-Benutzern. Wir können Berechtigungen für mehrere Benutzer mit Hilfe der Rolle angeben, was die Verwaltung der Berechtigungen für diese Benutzer erleichtern kann.

Klicken Sie auf der IAM-Homepage im linken Bereich auf „Gruppen“. Klicken Sie auf „Neue Gruppe erstellen“.

Erstellen Sie eine IAM-Gruppe

Geben Sie einen Namen an und klicken Sie auf „Nächster Schritt“.

Gruppenname festlegen

Suchen Sie nach “ readonlyaccess„, scrollen Sie nach unten und kreuzen Sie das Kästchen an. Klicken Sie auf „Nächster Schritt“.

Eine Richtlinie anhängen

 

Überprüfen Sie die Konfiguration und klicken Sie auf „Gruppe erstellen“.

Jetzt haben wir eine Gruppe mit “ ReadOnlyAccess“, was bedeutet, dass Benutzer, die dieser Gruppe angehören, nur “ Read-Only“-Zugriff auf AWS-Ressourcen/Dienste haben.

Einstellungen überprüfen

Gehen Sie zurück zur IAM-Homepage und wählen Sie die Gruppe aus, die wir gerade erstellt haben. Klicken Sie auf „ Benutzer zur Gruppe hinzufügen, um unseren Benutzer zu dieser Gruppe hinzuzufügen.

Benutzer zur Gruppe hinzufügen

Wählen Sie den Benutzer, den wir im vorherigen Schritt erstellt haben, und klicken Sie auf „Benutzer hinzufügen“. Dadurch wird unser Benutzer zu der von uns erstellten Gruppe mit “ ReadOnlyAccess“ hinzugefügt.

Nur lesen Benutzer

Erstellen einer IAM-Richtlinie

Eine IAM-Richtlinie ist eine Entität, die einer Identität oder Ressource zugeordnet ist, um deren Berechtigungen zu definieren.

Klicken Sie auf der IAM-Homepage auf „Policies in der linken Leiste. Klicken Sie auf „Richtlinie erstellen“.

Erstellen einer IAM-Richtlinie

Klicken Sie auf „ Service“, um einen Dienst auszuwählen, für den eine Richtlinie erstellt werden muss. Suchen Sie im Suchfeld nach einem Dienst und wählen Sie den Dienst aus.

Dienst

Sie erhalten eine Liste der Berechtigungen, die zugewiesen werden können, wählen Sie hier „Liste„. Klicken Sie auf „Richtlinie überprüfen“.

Politik der Überprüfung

Geben Sie der Richtlinie einen Namen und klicken Sie auf „Richtlinie erstellen“. Diese Richtlinie kann nun an einen Benutzer angehängt werden, um nur „List-Berechtigungen für den EC2-Dienst zu erteilen. Wir können dieselben Schritte befolgen, die wir beim Anlegen einer Richtlinie befolgt haben, während wir einen Benutzer zum Anhängen dieser Richtlinie erstellen.

Neue Richtlinie erstellen

Schlussfolgerung:

In diesem Artikel haben wir einen Benutzer, eine Rolle und eine Richtlinie erstellt, eine Gruppe erstellt und einen Benutzer hinzugefügt, eine benutzerdefinierte Richtlinie erstellt, die dem Benutzer hinzugefügt werden kann.

Das könnte dich auch interessieren …