Differenzierte IAM-Zugriffskontrolle

Übersicht

AWS Identity and Access Management (IAM) bietet Ihnen präzise Zugriffskontrolle, damit Sie Berechtigungen einrichten können, die festlegen, wer unter welchen Bedingungen auf welche AWS-Ressourcen zugreifen darf. Mit der differenzierten Zugriffskontrolle können Sie Ihre AWS-Ressourcen auf Ihrem Weg hin zur geringsten Berechtigung sichern. 

Klares Foto eines Vorhängeschlosses

Funktionsweise

So funktioniert es: Sie definieren in IAM über Richtlinien, wer auf Ihre AWS-Ressourcen zugreifen darf. Sie fügen die Richtlinien an IAM-Rollen in Ihren AWS-Konten und an Ihre AWS-Ressourcen an. IAM autorisiert eine Anfrage an AWS, indem es sie mit Ihren Richtlinien abgleicht und die Anfrage anschließend akzeptiert oder ablehnt. Weitere Informationen finden Sie im Abschnitt So funktioniert IAM im IAM-Benutzerhandbuch.

Die IAM-Richtliniensprache: Die IAM-Richtliniensprache heißt JSON und ermöglicht es Ihnen, Ihre Zugriffsanforderungen differenziert auszudrücken, indem Sie in den Richtlinien Aktionen, Ressourcen und Bedingungselemente verwenden. Weitere Informationen finden Sie in der IAM-JSON-Richtlinienreferenz.

Richtlinientypen, die Zugriff gewähren: Mit IAM können Sie Richtlinien sowohl an Ihre IAM-Rollen als auch an AWS-Ressourcen, die ressourcenbasierte Richtlinien unterstützen, anfügen. Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien definieren gemeinsam die Zugriffskontrolle. Weitere Informationen über Richtlinientypen finden Sie im Abschnitt Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.

Präventiver Integritätsschutz: Mit dem präventiven Integritätsschutz können Sie die maximal für Ihre IAM-Rollen verfügbaren Berechtigungen begrenzen. Sie können Service-Kontrollrichtlinien, Berechtigungsgrenzen und Sitzungsrichtlinien verwenden, um einzuschränken, wie viele Berechtigungen einer IAM-Rolle gewährt werden können. Weitere Informationen über das Einrichten eines präventiven Integritätsschutzes finden Sie unter Datenperimeter in AWS.

Attributbasierte Zugriffskontrolle (ABAC): Verwenden Sie ABAC, um differenzierte Berechtigungen basierend auf an IAM-Rollen angefügten Attributen, wie Abteilung oder Position, zu definieren. Wenn Sie den Zugriff auf individuelle Ressourcen basierend auf Attributen gewähren, müssen Sie nicht für jede neue Ressource, die Sie in Zukunft hinzufügen, Richtlinien aktualisieren. Weitere Informationen finden Sie unter ABAC für AWS.

Wenn Sie mehr über das Optimieren der Berechtigungenverwaltung erfahren möchten, lesen Sie IAM Access Analyzer führt Sie zu den geringsten Berechtigungen. Schauen Sie sich außerdem AWS identity: Next-Generation Permissions Management an, um mehr über die differenzierte Zugriffskontrolle in IAM zu erfahren.

So funktionieren Datenperimeter