Was ist IAM und wie funktioniert IAM in AWS?

IAM (Identity and Access Management) fällt unter den Dienst „Sicherheit, Identität und Compliance“ in AWS (Amazon Web Services). Es ermöglicht uns, den Zugriff auf AWS-Dienste und -Ressourcen sicher zu verwalten. Mit IAM können wir AWS-Benutzer, Gruppen, Rollen erstellen und verwalten sowie Berechtigungen verwenden, um den Zugriff auf AWS-Ressourcen zu gewähren oder zu verweigern.

IAM kommt mit “ keinen zusätzlichen Kosten “ und wir werden nur für andere von uns genutzte AWS-Dienste berechnet.

AWS IAM hilft uns:

• Benutzer und deren Zugriff verwalten:
  Wir können Benutzer in IAM erstellen und ihnen individuelle Sicherheitsanmeldeinformationen zuweisen. Wir können Berechtigungen verwalten, um zu steuern, welche Operationen ein Benutzer ausführen kann und welche nicht.
• Rollen und deren Berechtigungen verwalten:
  Wir können Rollen in IAM erstellen und Berechtigungen verwalten, um zu steuern, welche Operationen von der Entität oder dem AWS-Dienst, der die Rolle übernimmt, ausgeführt werden können.
• Föderierte Benutzer und deren Berechtigungen verwalten:
  Wir können die Identitätsföderation aktivieren, um bestehenden Benutzern, Gruppen und Rollen in unserem Unternehmen den Zugriff auf die AWS-Verwaltung zu ermöglichen.

Um den IAM-Dienst detaillierter zu verstehen, können Sie auf die offizielle AWS-Dokumentation verweisen.

In diesem Artikel werden wir sehen, wie man einen IAM-Benutzer, eine Gruppe, eine IAM-Rolle erstellt, Berechtigungen zuweist und eine benutzerdefinierte Richtlinie erstellt.

Hinweis: IAM gehört nicht zu einer bestimmten Region und erstreckt sich über das gesamte AWS-Konto.

Voraussetzungen

1. AWS-Konto (Erstellen Sie eines, wenn Sie noch keines haben).

Was wir tun werden

1. Melden Sie sich bei AWS an.
2. Erstellen Sie einen IAM-Benutzer.
3. Erstellen Sie eine IAM-Gruppe und fügen Sie den Benutzer hinzu.
4. Erstellen Sie eine IAM-Rolle.
5. Erstellen Sie eine IAM-Richtlinie.

Anmeldung bei AWS

1. Klicken Sie hier, um zur AWS-Anmeldeseite zu gelangen.

Wenn wir den obigen Link aufrufen, sehen wir eine Webseite, auf der wir uns mit unseren Anmeldedaten anmelden müssen.

Sobald wir uns erfolgreich bei AWS angemeldet haben, sehen wir die Hauptkonsole mit allen aufgelisteten Diensten wie folgt.

Erstellen eines IAM-Benutzers

Ein (IAM) Benutzer ist eine Entität, die wir in AWS erstellen, um die Person oder Anwendung darzustellen, die damit interagiert. Ein Benutzer in AWS besteht aus einem Namen und Anmeldeinformationen.

Klicken Sie auf „ Dienste “ in der oberen linken Ecke, und Sie sehen einen Bildschirm mit allen Diensten. Suchen Sie „ IAM “ unter „ Sicherheit, Identität und Compliance “ und klicken Sie auf „ IAM “.

Sie sehen ein Dashboard. Dies ist die Startseite für IAM. Klicken Sie auf „ Benutzer “ im linken Bereich.

Klicken Sie auf „ Benutzer hinzufügen “, um einen neuen Benutzer zu erstellen.

Hier geben Sie einen Namen für den zu erstellenden Benutzer ein. Wir können einen Benutzer mit zwei verschiedenen Zugriffstypen erstellen.

1. Programmgesteuerter Zugriff:
   Wir können Operationen auf dem AWS-Konto über die AWS-API, CLI, SDK und andere Entwicklungstools mit diesem Zugriffstyp ausführen.
2. Zugriff auf die AWS Management Console:
   Dieser Zugriffstyp ermöglicht es einem Benutzer, sich bei der AWS Management Console anzumelden.

In diesem Artikel werden wir einen Benutzer mit „ Zugriff auf die AWS Management Console “ erstellen.

Sobald Sie auf „ Zugriff auf die AWS Management Console “ klicken, erhalten Sie ein Feld, um ein Passwort für den Benutzer festzulegen.

Wir können entweder ein „ automatisch generiertes Passwort “ oder ein „ benutzerdefiniertes Passwort “ haben. Hier wählen wir „ benutzerdefiniertes Passwort “ und weisen dem Benutzer ein Passwort zu. Je nach Anforderung können wir einen Benutzer zwingen, das Passwort bei der nächsten Anmeldung zu ändern. Hier lassen wir es so, wie es ist. Klicken Sie auf „ Weiter: Berechtigungen “, um fortzufahren und die Berechtigungen zuzuweisen.

Auf dem nächsten Bildschirm klicken Sie auf „ Vorhandene Richtlinien direkt anhängen “ und suchen nach „ readonlyaccess “ und wählen das Kontrollkästchen aus, wie im folgenden Bildschirm gezeigt. Durch die Vergabe von „ ReadOnlyAccess “ kann der Benutzer keine AWS-Ressourcen erstellen. Sie können die Liste der Berechtigungen durchsehen, um sie zu verstehen. Klicken Sie auf „ Weiter: Tag “, um fortzufahren.

Das Zuweisen von Tags ist optional, hilft jedoch, diesen Benutzer zu organisieren, zu verfolgen oder den Zugriff zu steuern. Klicken Sie auf „ Weiter: Überprüfen “, um fortzufahren und einen Benutzer zu erstellen.

Überprüfen Sie die Konfiguration und klicken Sie auf „ Benutzer erstellen “, um einen Benutzer zu erstellen.

Klicken Sie auf „ .csv herunterladen “, das den „ Console-Login-Link “ enthält. Im Falle der Erstellung eines Benutzers mit „ programmgesteuertem Zugriff “ ist diese Datei sehr wichtig, da sie die „ Zugangs-ID “ und den „ geheimen Zugriffsschlüssel “ enthält, die erforderlich sind, um Zugriff zu erhalten. Jetzt können Sie auf „ Schließen “ klicken, da wir unseren ersten Benutzer erstellt haben.

Erstellen einer IAM-Rolle

Eine IAM-Rolle ist eine IAM-Identität, die wir in unserem AWS-Konto erstellen können und die spezifische Berechtigungen hat. Sie ist ähnlich wie ein IAM-Benutzer mit Berechtigungspolitiken, die bestimmen, was die Identität in AWS tun und nicht tun kann. IAM-Rollen ermöglichen es AWS-Diensten, in unserem Namen Aktionen auszuführen.

Auf der IAM-Startseite klicken Sie im linken Bereich auf „ Rollen “. Klicken Sie auf „ Rolle erstellen “.

In diesem Artikel werden wir eine Rolle für den Lambda-Dienst erstellen. Klicken Sie auf „ Lambda “ und dann auf „ Weiter: Berechtigungen “.

Geben Sie im Suchfeld „ ec2readonlyaccess “ ein und aktivieren Sie das Kontrollkästchen für die Richtlinie „ AmazonEC2ReadyOnlyAccess “. Dies gibt „ readonly “ Zugriff auf die Lambda-Funktion im EC2-Dienst. Klicken Sie auf „ Weiter: Tags “.

Das Hinzufügen von Tags ist optional, kann jedoch verwendet werden, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern. Klicken Sie auf „ Weiter: Überprüfen “, um fortzufahren.

Geben Sie der Rolle einen Namen, fügen Sie eine Beschreibung hinzu und klicken Sie auf „ Rolle erstellen “. Dies erstellt eine Rolle, die es Lambda-Funktionen ermöglicht, AWS-Dienste in Ihrem Namen mit „ ReadOnlyAccess “ im „ EC2 “-Dienst aufzurufen.

Erstellen einer IAM-Gruppe

Eine IAM-Gruppe ist eine Sammlung von IAM-Benutzern. Wir können Berechtigungen für mehrere Benutzer mithilfe von Rollen festlegen, was es einfacher macht, die Berechtigungen für diese Benutzer zu verwalten.

Auf der IAM-Startseite klicken Sie im linken Bereich auf „ Gruppen “. Klicken Sie auf „ Neue Gruppe erstellen “.

Geben Sie einen Namen an und klicken Sie auf „ Nächster Schritt “.

Suchen Sie nach „ readonlyaccess “, scrollen Sie nach unten und aktivieren Sie das Kontrollkästchen. Klicken Sie auf „ Nächster Schritt “.

Überprüfen Sie die Konfiguration und klicken Sie auf „ Gruppe erstellen “.

Jetzt haben wir eine Gruppe mit „ ReadOnlyAccess “, was bedeutet, dass Benutzer, die zu dieser Gruppe gehören, nur „ Nur-Lese “-Zugriff auf AWS-Ressourcen/-Dienste haben.

Gehen Sie zurück zur IAM-Startseite und wählen Sie die Gruppe aus, die wir gerade erstellt haben. Klicken Sie auf „ Benutzer zur Gruppe hinzufügen “, um unseren Benutzer zu dieser Gruppe hinzuzufügen.

Wählen Sie den Benutzer aus, den wir im vorherigen Schritt erstellt haben, und klicken Sie auf „ Benutzer hinzufügen “. Dies wird unseren Benutzer zu der Gruppe hinzufügen, die wir mit „ ReadOnlyAccess “ erstellt haben.

Erstellen einer IAM-Richtlinie

Eine IAM-Richtlinie ist eine Entität, die an eine Identität oder Ressource angehängt wird, um deren Berechtigungen zu definieren.

Auf der IAM-Startseite klicken Sie im linken Bereich auf „ Richtlinien “. Klicken Sie auf „ Richtlinie erstellen “.

Klicken Sie auf „ Dienst “, um einen Dienst auszuwählen, für den eine Richtlinie erstellt werden muss. Suchen Sie nach einem Dienst im Suchfeld und wählen Sie den Dienst aus.

Sie erhalten eine Liste von Berechtigungen, die zugewiesen werden können. Wählen Sie hier „ List “ aus. Klicken Sie auf „ Richtlinie überprüfen “.

Geben Sie der Richtlinie einen Namen und klicken Sie auf „ Richtlinie erstellen “. Diese Richtlinie kann nun einem Benutzer angehängt werden, um nur „ List “-Berechtigungen im EC2-Dienst zu gewähren. Wir können die gleichen Schritte befolgen, die wir beim Erstellen eines Benutzers befolgt haben, um diese Richtlinie anzuhängen.

Fazit:

In diesem Artikel haben wir einen Benutzer, eine Rolle erstellt und eine Richtlinie an sie angehängt, eine Gruppe erstellt und einen Benutzer hinzugefügt, eine benutzerdefinierte Richtlinie erstellt, die dem Benutzer hinzugefügt werden kann.