Mit Berechtigungen können Sie den Zugriff auf AWS-Services und -Ressourcen festlegen und kontrollieren. Um IAM-Rollen Berechtigungen zu erteilen, können Sie eine Richtlinie hinzufügen, die die Art des Zugriffs, die durchführbaren Aktionen und die Ressourcen, auf denen die Aktionen durchgeführt werden können, festlegt.
Durch IAM-Richtlinien gewähren Sie Zugriff auf bestimmte AWS-Service-APIs und -Ressourcen. Sie können auch bestimmte Bedingungen festlegen, unter denen der Zugriff gewährt wird, z. B. die Gewährung des Zugriffs auf Identitäten einer bestimmten AWS-Organisation oder den Zugriff über einen bestimmten AWS-Service.
Mit den IAM-Rollen delegieren Sie den Zugriff auf Benutzer oder AWS-Services für die Arbeit innerhalb Ihres AWS-Kontos. Benutzer Ihres Identitätsanbieters oder Ihrer AWS-Services können eine Rolle übernehmen, um temporäre Sicherheitsanmeldeinformationen zu erhalten, die beim Konto der IAM-Rolle für eine AWS-Anfrage verwendet werden können. Daher können Sie sich mit IAM-Rollen auf kurzfristige Anmeldeinformationen für Benutzer, Arbeitslasten und AWS-Services, die Aktionen in Ihren AWS-Konten durchführen müssen, verlassen.
Weitere Informationen zum Delegieren des Zugriffs mit IAM-Rollen
Verwenden Sie IAM Roles Anywhere, um Workloads, die außerhalb von AWS ausgeführt werden, wie z. B. On-Premises-, Hybrid- und Multi-Cloud-Umgebungen, zu erlauben auf AWS-Ressourcen zugreifen, indem sie digitale X.509-Zertifikate verwenden, die von Ihrer registrierten Zertifizierungsstelle ausgestellt wurden. Mit IAM Roles Anywhere können Sie vorübergehende AWS-Anmeldeinformationen erhalten und die gleichen IAM-Rollen und -Richtlinien verwenden, die Sie für Ihre AWS-Workloads zum Zugriff auf AWS-Ressourcen konfiguriert haben.
Die geringste Berechtigung erreicht Sie durch einen kontinuierlichen Zyklus, in dem es darum geht, die richtigen differenzierten Berechtigungen zu erteilen, wenn sich Ihre Anforderungen entwickeln. IAM Access Analyzer hilft Ihnen, die Verwaltung von Berechtigungen zu optimieren, indem Sie Berechtigungen festlegen, überprüfen und verfeinern.
Mit AWS Organizations können Sie anhand von Service-Kontrollrichtlinien (SCPs) einen Berechtigungs-Integritätsschutz festlegen, an den sich alle IAM-Benutzer und -Rollen in den Konten einer Organisation halten müssen. Unabhängig davon, ob Sie gerade erst mit SCPs beginnen oder bereits über SCPs verfügen, können Sie mithilfe von IAM-Zugriffsanalysen Berechtigungen in Ihrer AWS-Organisation sicher beschränken.
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, die Sie verwenden können, um differenzierte Berechtigungen auf der Grundlage von Benutzerattributen wie Abteilung, Jobrolle und Teamname zu erstellen. Dank ABAC können Sie die Anzahl der unterschiedlichen Berechtigungen, die Sie für die Erstellung differenzierter Kontrollen in Ihrem AWS-Konto benötigen, reduzieren.