Was ist IAM und wie funktioniert IAM in AWS?
IAM (Identitäts- und Zugriffsmanagement) fällt unter den Dienst „Sicherheit, Identität & Compliance“ in AWS (Amazon Web Services). Es ermöglicht uns, den Zugang zu den Diensten und Ressourcen der AWS sicher zu verwalten. Mit IAM können wir AWS-Benutzer, Gruppen und Rollen erstellen und verwalten und Berechtigungen verwenden, um ihnen den Zugriff auf AWS-Ressourcen zu erlauben oder zu verweigern.
IAM wird „ohne Aufpreis“ geliefert und uns werden nur die anderen von uns in Anspruch genommenen AWS-Dienstleistungen in Rechnung gestellt.
AWS IAM hilft uns dabei:
- Verwalten Sie die Benutzer und ihren Zugang:
Wir können Benutzer in IAM erstellen und ihnen individuelle Sicherheitsinformationen zuweisen. Wir können Berechtigungen verwalten, um zu steuern, welche Operationen ein Benutzer ausführen darf und welche nicht. - Verwaltung von Rollen und deren Berechtigungen: Wir
können Rollen in IAM erstellen und Berechtigungen verwalten, um zu kontrollieren, welche Operationen von der Entität oder dem AWS-Dienst, der die Rolle übernimmt, durchgeführt werden können. - Verwalten von Benutzern im Verbund und ihren Berechtigungen: Wir
können den Identitätsverbund aktivieren, um bestehenden Benutzern, Gruppen und Rollen in unserem Unternehmen den Zugriff auf die AWS-Verwaltung zu ermöglichen.
Um den IAM-Dienst im Detail zu verstehen, können Sie die offizielle AWS-Dokumentation einsehen.
In diesem Artikel sehen wir, wie man einen IAM-Benutzer, eine Gruppe, eine IAM-Rolle, eine Berechtigung zuweist und eine benutzerdefinierte Richtlinie erstellt.
Hinweis: IAM gehört nicht zu einer bestimmten Region und erstreckt sich über das gesamte AWS-Konto.
Voraussetzungen
- AWS-Konto (Erstellen Sie wenn Sie keine haben).
Was wir tun werden
- Anmeldung bei AWS.
- Erstellen Sie einen IAM-Benutzer.
- Erstellen Sie eine IAM-Gruppe und fügen Sie Benutzer hinzu.
- Erstellen Sie eine IAM-Rolle.
- Erstellen Sie eine IAM-Richtlinie.
Anmeldung bei AWS
- Klicken Sie auf hier um zur AWS-Anmeldeseite zu gelangen.
Wenn wir auf den obigen Link klicken, sehen wir eine Webseite wie folgt, auf der wir uns mit unseren Anmeldedaten anmelden müssen.
Sobald wir uns erfolgreich in die AWS einloggen, sehen wir die Hauptkonsole mit allen Diensten, die wie folgt aufgelistet sind.
IAM-Benutzer erstellen
Ein (IAM)-Benutzer ist eine Entität, die wir auf AWS erstellen, um die Person oder Anwendung zu repräsentieren, die sie zur Interaktion mit AWS verwendet. Ein Benutzer in der AWS besteht aus einem Namen und einem Berechtigungsnachweis.
Klicken Sie auf „Dienstleistungen“ in der linken oberen Ecke und Sie sehen einen Bildschirm mit allen Dienstleistungen. Markieren Sie “ IAM„ unter “ Sicherheit, Identität und Compliance“ und klicken Sie auf “ IAM“.
Sie werden ein Dashboard sehen. Dies ist die Homepage von IAM. Klicken Sie auf „Benutzer“ in der linken Leiste.
Klicken Sie auf „ Benutzer hinzufügen„, um einen neuen Benutzer zu erstellen.
Geben Sie hier einen Namen für den zu erstellenden Benutzer an. Wir können einen Benutzer mit zwei verschiedenen Zugriffsarten erstellen.
- Programmatischer Zugang:
Wir können den Vorgang für ein AWS-Konto aus der AWS-API, der CLI, dem SDK und anderen Entwicklungstools mit dieser Zugriffsart durchführen. - Zugriff auf die AWS-Verwaltungskonsole:
Diese Zugriffsart ermöglicht eine Anmeldung an der AWS-Verwaltungskonsole.
In diesem Artikel werden wir einen Benutzer mit “ AWS Management Console Zugriff“ erstellen.
Sobald Sie auf “ AWS Management Console access“ klicken, erhalten Sie ein Feld, um ein Passwort für den Benutzer zu vergeben.
Wir können entweder ein “ Autogenes Passwort“ oder ein “ Benutzerdefiniertes Passwort“ haben. Hier wählen wir „ Benutzerdefiniertes Passwort“ und weisen dem Benutzer ein Passwort zu. Je nach Anforderung können wir einen Benutzer zwingen, das Passwort bei der nächsten Anmeldung zu ändern. Hier, lassen Sie es so, wie es ist. Klicken Sie auf “ Weiter: Permission„, um weiter zu gehen und die Berechtigungen zuzuweisen.
Klicken Sie auf dem nächsten Bildschirm auf „ Vorhandene Richtlinien direkt anhängen“ und suchen Sie nach “ readonlyaccess“ und aktivieren Sie das Kontrollkästchen, wie im folgenden Bildschirm gezeigt. Bei “ ReadOnlyAccess„ kann der Benutzer keine der AWS-Ressourcen erstellen. Sie können die Liste der Berechtigungen durchgehen, um sie zu verstehen. Klicken Sie auf “ Weiter: Tag“ für das weitere Vorgehen.
Die Zuweisung von Tags ist optional, hilft aber, den Zugriff für diesen Benutzer zu organisieren, zu verfolgen oder zu kontrollieren. Klicken Sie auf “ Weiter: Review„, um weiter zu gehen und einen Benutzer zu erstellen.
Überprüfen Sie die Konfiguration und klicken Sie auf „Benutzer erstellen“, um einen Benutzer zu erstellen.
Klicken Sie auf „Download .csv„, der einen „Konsolen-Anmeldelink“ enthält. Im Falle der Erstellung eines Benutzers mit „ Programmatic access“ ist diese Datei sehr wichtig, da sie “ Access key ID“ und „ Secret access key“ enthalten würde, die für den Zugriff erforderlich sind. Jetzt können Sie auf „Schließen“ klicken, da wir unseren ersten Benutzer angelegt haben.
Erstellen einer IAM-Rolle
Eine IAM-Rolle ist eine IAM-Identität, die wir in unserem AWS-Konto erstellen können und die über bestimmte Berechtigungen verfügt. Es ist ähnlich wie bei einem IAM-Benutzer mit Berechtigungsrichtlinien, die festlegen, was die Identität in der AWS tun kann und was nicht. Die IAM-Rolle ermöglicht es den AWS-Dienststellen, Aktionen in unserem Namen durchzuführen.
Klicken Sie auf der IAM-Homepage im linken Bereich auf „Rollen„. Klicken Sie auf „Rolle erstellen“.
In diesem Artikel werden wir eine Rolle für den Lambda-Service schaffen. Klicken Sie auf “ Lambda„ und klicken Sie auf “ Weiter: Genehmigungen„.
Suchen Sie im Suchfeld nach “ ec2readonlyaccess“ und kreuzen Sie das Kontrollkästchen für die Politik “ AmazonEC2ReadyOnlyAccess“ an. Dies wird einen „nur-lesenden„ Zugang zur Lambda-Funktion im EC2-Dienst ermöglichen. Klicken Sie auf “ Weiter: Schlagwörter„.
Das Hinzufügen von Tags ist optional, kann aber dazu verwendet werden, den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu kontrollieren. Klicken Sie auf “ Weiter: Review„, um weiter zu gehen.
Geben Sie der Rolle einen Namen, fügen Sie eine Beschreibung hinzu und klicken Sie auf „Rolle erstellen“. Dadurch wird eine Rolle geschaffen, die es Lambda-Funktionen ermöglicht, AWS-Dienste in Ihrem Namen mit “ ReadOnlyAccess„ auf dem “ EC2″-Dienst aufzurufen.
Erstellen Sie eine IAM-Gruppe
Eine IAM-Gruppe ist eine Sammlung von IAM-Benutzern. Wir können Berechtigungen für mehrere Benutzer mit Hilfe der Rolle angeben, was die Verwaltung der Berechtigungen für diese Benutzer erleichtern kann.
Klicken Sie auf der IAM-Homepage im linken Bereich auf „Gruppen“. Klicken Sie auf „Neue Gruppe erstellen“.
Geben Sie einen Namen an und klicken Sie auf „Nächster Schritt“.
Suchen Sie nach “ readonlyaccess„, scrollen Sie nach unten und kreuzen Sie das Kästchen an. Klicken Sie auf „Nächster Schritt“.
Überprüfen Sie die Konfiguration und klicken Sie auf „Gruppe erstellen“.
Jetzt haben wir eine Gruppe mit “ ReadOnlyAccess“, was bedeutet, dass Benutzer, die dieser Gruppe angehören, nur “ Read-Only“-Zugriff auf AWS-Ressourcen/Dienste haben.
Gehen Sie zurück zur IAM-Homepage und wählen Sie die Gruppe aus, die wir gerade erstellt haben. Klicken Sie auf „ Benutzer zur Gruppe hinzufügen„, um unseren Benutzer zu dieser Gruppe hinzuzufügen.
Wählen Sie den Benutzer, den wir im vorherigen Schritt erstellt haben, und klicken Sie auf „Benutzer hinzufügen“. Dadurch wird unser Benutzer zu der von uns erstellten Gruppe mit “ ReadOnlyAccess“ hinzugefügt.
Erstellen einer IAM-Richtlinie
Eine IAM-Richtlinie ist eine Entität, die einer Identität oder Ressource zugeordnet ist, um deren Berechtigungen zu definieren.
Klicken Sie auf der IAM-Homepage auf „Policies„ in der linken Leiste. Klicken Sie auf „Richtlinie erstellen“.
Klicken Sie auf „ Service“, um einen Dienst auszuwählen, für den eine Richtlinie erstellt werden muss. Suchen Sie im Suchfeld nach einem Dienst und wählen Sie den Dienst aus.
Sie erhalten eine Liste der Berechtigungen, die zugewiesen werden können, wählen Sie hier „Liste„. Klicken Sie auf „Richtlinie überprüfen“.
Geben Sie der Richtlinie einen Namen und klicken Sie auf „Richtlinie erstellen“. Diese Richtlinie kann nun an einen Benutzer angehängt werden, um nur „List„-Berechtigungen für den EC2-Dienst zu erteilen. Wir können dieselben Schritte befolgen, die wir beim Anlegen einer Richtlinie befolgt haben, während wir einen Benutzer zum Anhängen dieser Richtlinie erstellen.
Schlussfolgerung:
In diesem Artikel haben wir einen Benutzer, eine Rolle und eine Richtlinie erstellt, eine Gruppe erstellt und einen Benutzer hinzugefügt, eine benutzerdefinierte Richtlinie erstellt, die dem Benutzer hinzugefügt werden kann.