Steuern Sie den Zugriff auf CloudFormation mit AWS Identity and Access Management. - AWS CloudFormation
Definition von identitätsbasierten IAM-Richtlinien für CloudFormationErkennen von IAM-Ressourcen in CloudFormation-VorlagenVerwaltung von Anmeldeinformationen für Anwendungen, die auf Amazon EC2-Instances laufenGewährung von temporärem Zugang (Verbundzugang)

Steuern Sie den Zugriff auf CloudFormation mit AWS Identity and Access Management.

Mit AWS Identity and Access Management (IAM) können Sie IAM-Benutzer erstellen und deren Zugriff auf bestimmte Ressourcen in Ihrem AWS-Kontokontrollieren. Wenn Sie IAM verwenden, können Sie steuern, was Benutzer mit CloudFormation tun können, z. B. ob sie Stack-Vorlagen anzeigen, Stacks erstellen oder löschen können.

Neben den CloudFormation-spezifischen Aktionen können Sie verwalten, welche AWS-Dienste und Ressourcen für jeden Benutzer verfügbar sind. Auf diese Weise können Sie kontrollieren, auf welche Ressourcen Benutzer zugreifen können, wenn sie CloudFormation verwenden. Sie können beispielsweise festlegen, welche Benutzer Amazon EC2-Instances erstellen, Datenbank-Instances beenden oder VPCs aktualisieren. Die gleichen Berechtigungen gelten immer dann, wenn sie CloudFormation für diese Aktionen verwenden.

Verwenden Sie die Informationen in den folgenden Abschnitten, um zu kontrollieren, wer auf CloudFormation zugreifen kann. Wir werden auch untersuchen, wie Sie die Erstellung von IAM-Ressourcen in Vorlagen autorisieren, Anwendungen, die auf EC2-Instances laufen, die erforderlichen Berechtigungen erteilen und temporäre Sicherheitsanmeldeinformationen für mehr Sicherheit in Ihrer AWS-Umgebung nutzen können.

Definition von identitätsbasierten IAM-Richtlinien für CloudFormation

Um den Zugriff auf CloudFormation zu ermöglichen, müssen Sie IAM-Richtlinien erstellen und zuweisen, die Ihren IAM-Identitäten (beispielsweise Benutzern oder Rollen) die Erlaubnis geben, die benötigten API-Aktionen aufzurufen.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. CloudFormation unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel.

Wenn Sie neu bei IAM sind, machen Sie sich zunächst mit den Elementen einer IAM JSON-Richtlinie vertraut. Weitere Informationen finden Sie unter IAM JSON policy element reference im IAM User Guide. Um zu erfahren, wie Sie IAM-Richtlinien erstellen, lesen Sie das Tutorial Erstellen und Anhängen Ihrer ersten vom Kunden verwalteten Richtlinie in der IAM-Dokumentation.

Richtlinienaktionen für CloudFormation

Im Element Action Ihrer IAM-Richtlinienanweisung können Sie jede API-Aktion angeben, die CloudFormation anbietet. Sie müssen dem Aktionsnamen die klein geschriebene Zeichenfolge cloudformation:voranstellen. Beispiel: cloudformation:CreateStack, cloudformation:CreateChangeSet und cloudformation:UpdateStack.

Wenn Sie mehrere Aktionen in einer einzigen Anweisung angeben möchten, trennen Sie diese wie folgt durch Kommas:

"Action": [ "cloudformation:action1", "cloudformation:action2" ]

Sie können auch mehrere Aktionen mittels Platzhaltern angeben. Sie können zum Beispiel alle Aktionen, deren Namen mit dem Wort Getbeginnen, wie folgt angeben:

"Action": "cloudformation:Get*"

Eine vollständige Liste der Aktionen, die mit dem Service-Präfix cloudformation verbunden sind, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für CloudFormation und Aktionen, Ressourcen und Bedingungsschlüssel für AWS -Cloud-Control- API in der Service Authorization Reference.

Beispiele

Im Folgenden sehen Sie ein Beispiel für eine Berechtigungsrichtlinie, die die Berechtigung zum Anzeigen von CloudFormation-Stapeln erteilt.

Beispiel 1: Eine Beispielrichtlinie, die View Stack-Berechtigungen gewährt
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:DescribeStacks",
            "cloudformation:DescribeStackEvents",
            "cloudformation:DescribeStackResource",
            "cloudformation:DescribeStackResources"
        ],
        "Resource":"*"
    }]
}

Benutzer, die Stapel erstellen oder löschen, benötigen zusätzliche Berechtigungen, die auf ihren Stapelvorlagen basieren. Wenn Ihre Vorlage beispielsweise eine Amazon SQS-Warteschlange beschreibt, müssen Benutzer sowohl für CloudFormation- als auch für Amazon SQS-Aktionen Berechtigungen haben, wie in der folgenden Beispielrichtlinie gezeigt.

Beispiel 2: Eine Beispielrichtlinie, die das Erstellen und Anzeigen von Stack-Aktionen sowie alle Amazon SQS-Aktionen erlaubt
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "sqs:*",
            "cloudformation:CreateStack",
            "cloudformation:DescribeStacks",
            "cloudformation:DescribeStackEvents",
            "cloudformation:DescribeStackResources",
            "cloudformation:GetTemplate",
            "cloudformation:ValidateTemplate"  
        ],
        "Resource":"*"
    }]
}

Konsolenspezifische Aktionen für CloudFormation

Benutzer der CloudFormation-Konsole benötigen zusätzliche Berechtigungen, die über die für die AWS Command Line Interface- oder CloudFormation-APIs erforderlichen hinausgehen. Diese zusätzlichen Berechtigungen unterstützen konsolenspezifische Features wie das Hochladen von Vorlagen in Amazon S3-Buckets und Dropdown-Listen für-AWSspezifische Parametertypen.

Gewähren Sie für alle unten aufgeführten Aktionen die Berechtigung für alle Ressourcen

Die folgende Aktion wird nur von der CloudFormation-Konsole verwendet und ist nicht in der API-Referenz dokumentiert. Die Aktion erlaubt Benutzern, Vorlagen zu Amazon S3-Buckets hochzuladen.

  • cloudformation:CreateUploadBucket

Wenn Benutzer Vorlagen hochladen, benötigen sie außerdem die folgenden Amazon S3-Berechtigungen:

  • s3:PutObject

  • s3:ListBucket

  • s3:GetObject

  • s3:CreateBucket

Um Werte in den Parameter-Dropdown-Listen für Vorlagen mit-AWSspezifischen Parametertypen zu sehen, benötigen Benutzer die Berechtigung, die entsprechenden beschriebenen API-Aufrufe zu tätigen. Zum Beispiel sind die folgenden Berechtigungen erforderlich, wenn diese Parametertypen in der Vorlage verwendet werden:

  • ec2:DescribeKeyPairs- Erforderlich für den Parametertyp AWS::EC2::KeyPair::KeyName .

  • ec2:DescribeSecurityGroups- Erforderlich für den Parametertyp AWS::EC2::SecurityGroup::Id .

  • ec2:DescribeSubnets- Erforderlich für den Parametertyp AWS::EC2::Subnet::Id .

  • ec2:DescribeVpcs- Erforderlich für den Parametertyp AWS::EC2::VPC::Id .

Weitere Informationen über-AWSspezifische Parametertypen finden Sie unter Spezifizieren Sie vorhandene Ressourcen zur Laufzeit mit von CloudFormation bereitgestellten Parametertypen.

Richtlinien-Ressourcen für CloudFormation

In einer IAM-Richtlinienanweisung gibt das Resource-Element das Objekt oder die Objekte an, für die die Anweisung gilt. Bei CloudFormation gilt jede IAM-Richtlinienanweisung für die Ressourcen, die Sie über ihre Amazon Resource Names (ARNs) angeben. Das spezifische ARN-Format hängt von der Ressource ab.

Eine vollständige Liste der CloudFormation-Ressourcentypen und ihrer ARNs finden Sie unter Ressourcentypen definiert durch CloudFormation in der Service Authorization Reference. Um zu erfahren, welche Aktionen Sie mit dem ARN jeder Ressource angeben können, siehe Aktionen definiert durch CloudFormation.

Sie können Aktionen für einen bestimmten Stapel festlegen, wie im folgenden Beispiel gezeigt. Wenn Sie einen ARN bereitstellen, ersetzen Sie das placeholder text durch Ihre ressourcenspezifischen Informationen.

Beispiel 1: Eine Beispielrichtlinie, die das Löschen und Aktualisieren von Stack-Aktionen für den angegebenen Stack verweigert
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "cloudformation:DeleteStack",
                "cloudformation:UpdateStack"
            ],
            "Resource": "arn:aws:cloudformation:us-east-1:111122223333:stack/MyProductionStack/*"
        }
    ]
}

Die obige Richtlinie verwendet einen Platzhalter am Ende des Stack-Namens, so dass Stack löschen und Stack aktualisieren sowohl für die vollständige Stack-ID (beispielsweise arn:aws:cloudformation:region:account-id:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) als auch für den Stack-Namen (beispielsweise MyProductionStack) verweigert werden.

Um AWS::Serverless-Transformationen die Erstellung eines Änderungssatzes zu gestatten, fügen Sie die Berechtigung auf Ressourcenebene arn:aws:cloudformation:region:aws:transform/Serverless-2016-10-31 hinzu, wie in der folgenden Richtlinie gezeigt.

Beispiel 2: Eine Beispielrichtlinie, die die Aktion Änderungssatz erstellen für die angegebene Transformation erlaubt
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateChangeSet"
            ],
            "Resource": "arn:aws:cloudformation:us-east-1:aws:transform/Serverless-2016-10-31"
        }
    ]
}

Richtlinienbedingungsschlüssel für CloudFormation

In einer IAM-Richtlinienanweisung können Sie optional Bedingungen angeben, die steuern, wann eine Richtlinie in Kraft ist. Sie können beispielsweise eine Richtlinie definieren, die -Benutzern erlaubt, einen Stack nur dann zu erstellen, wenn sie eine bestimmte URL-Vorlage angeben. Sie können CloudFormation-spezifische Bedingungen und-AWSweite Bedingungen definieren, wie beispielsweise DateLessThan, das angibt, wann eine Richtlinie nicht mehr in Kraft tritt. Weitere Informationen und eine Liste von AWS-weiten Bedingungen finden Sie unter „Condition“ in der Referenz zu IAM-Richtlinien-Elementen im IAM-Benutzerhandbuch.

Anmerkung

Verwenden Sie nicht die Bedingung aws:SourceIp-AWSweit. CloudFormation stellt Ressourcen über seine eigene IP-Adresse bereit, nicht über die IP-Adresse der anfragenden Person. Wenn Sie beispielsweise einen Stack erstellen, stellt CloudFormation Anfragen von dessen IP-Adresse, um eine Amazon EC2-Instance zu starten oder einen Amazon S3-Bucket zu erstellen, und nicht von der IP-Adresse des Aufrufs CreateStack oder des Befehls create-stack .

Die folgende Liste beschreibt die CloudFormation-spezifischen Bedingungen. Diese Bedingungen werden nur angewendet, wenn Benutzer Stacks erstellen oder aktualisieren:

cloudformation:ChangeSetName

Ein CloudFormation-Änderungssatzname, den Sie mit einer Richtlinie verknüpfen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Änderungssätze -Benutzer ausführen oder löschen können.

cloudformation:ImportResourceTypes

Die Vorlagenressourcentypen, die Sie einer Richtlinie zuordnen möchten, z. B. AWS::EC2::Instance. Verwenden Sie diese Bedingung, um zu steuern, mit welchen Ressourcentypen -Benutzer arbeiten können, wenn sie Ressourcen in einen Stack importieren. Diese Bedingung wird anhand der Ressourcentypen geprüft, die Benutzer im ResourcesToImport-Parameter deklarieren, der aktuell nur für AWS CLI und API-Anforderungen unterstützt wird. Wenn Sie diesen Parameter verwenden, müssen Sie alle Ressourcentypen angeben, die Benutzer während des Importvorgangs steuern sollen. Weitere Informationen über den Parameter ResourcesToImport finden Sie in der Aktion CreateChangeSet in der AWS CloudFormation API-Referenz.

Eine Liste der möglichen ResourcesToImportfinden Sie unter Unterstützung für Ressourcentypen.

Verwenden Sie die dreiteilige Ressourcennamenskonvention, um anzugeben, mit welchen Ressourcentypen Benutzer arbeiten können, von allen Ressourcen innerhalb einer Organisation bis hinunter zu einem einzelnen Ressourcentyp.

organization::*

Geben Sie alle Ressourcentypen für eine bestimmte Organisation an.

organization::service_name::*

Geben Sie alle Ressourcentypen für den angegebenen Service innerhalb einer bestimmten Organisation an.

organization::service_name::resource_type

Geben Sie einen bestimmten Ressourcentyp an.

Zum Beispiel:

AWS::*

Geben Sie alle unterstützten AWS-Ressourcentypen an.

AWS::service_name::*

Geben Sie alle unterstützten Ressourcen für einen bestimmten AWS-Service an.

AWS::service_name::resource_type

Geben Sie einen bestimmten AWS-Ressourcentyp an, wie z. B. AWS::EC2::Instance (alle EC2-Instances).

cloudformation:ResourceTypes

Die Vorlagenressourcentypen wie z. B. AWS::EC2::Instance, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Ressourcentypen -Benutzern zur Verfügung stehen, wenn sie einen Stack erstellen oder aktualisieren. Diese Bedingung wird anhand der Ressourcentypen geprüft, die Benutzer im ResourceTypes-Parameter deklarieren, der aktuell nur für AWS CLI und API-Anforderungen unterstützt wird. Bei Verwendung dieses Parameters müssen Benutzer alle Ressourcentypen angeben, die sich in ihrer Vorlage befinden. Weitere Informationen über den Parameter ResourceTypes finden Sie in der Aktion CreateStack in der AWS CloudFormation API-Referenz.

Eine Liste der Ressourcentypen finden Sie unter CloudFormation Template Reference Guide.

Verwenden Sie die dreiteilige Ressourcennamenskonvention, um anzugeben, mit welchen Ressourcentypen Benutzer arbeiten können, von allen Ressourcen innerhalb einer Organisation bis hinunter zu einem einzelnen Ressourcentyp.

organization::*

Geben Sie alle Ressourcentypen für eine bestimmte Organisation an.

organization::service_name::*

Geben Sie alle Ressourcentypen für den angegebenen Service innerhalb einer bestimmten Organisation an.

organization::service_name::resource_type

Geben Sie einen bestimmten Ressourcentyp an.

Zum Beispiel:

AWS::*

Geben Sie alle unterstützten AWS-Ressourcentypen an.

AWS::service_name::*

Geben Sie alle unterstützten Ressourcen für einen bestimmten AWS-Service an.

AWS::service_name::resource_type

Geben Sie einen bestimmten AWS-Ressourcentyp an, wie z. B. AWS::EC2::Instance (alle EC2-Instances).

Alexa::ASK::*

Geben Sie alle Ressourcentypen im Alexa Skill Kit an.

Alexa::ASK::Skill

Geben Sie den individuellen Alexa::ASK::Skill Ressourcentyp an.

Custom::*

Geben Sie alle benutzerdefinierten Ressourcen an.

Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Bereitstellungslogik mit benutzerdefinierten Ressourcen.

Custom::resource_type

Geben Sie einen bestimmten benutzerdefinierten Ressourcentyp an.

Weitere Informationen finden Sie unter Erstellen Sie eine benutzerdefinierte Bereitstellungslogik mit benutzerdefinierten Ressourcen.

cloudformation:RoleARN

Der Amazon-Ressourcenname (ARN) einer IAM-Servicerolle, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Servicerolle -Benutzer verwenden können, wenn sie mit Stacks oder Änderungssätzen arbeiten.

cloudformation:StackPolicyUrl

Eine Amazon S3-Stack-Richtlinien-URL, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Stack-Richtlinien -Benutzer einem Stack während einer Aktion zum Erstellen oder Aktualisieren von Stacks zuordnen können. Weitere Informationen zu Stack-Richtlinien finden Sie unter Verhindern von Aktualisierungen der Stack-Ressourcen.

Anmerkung

Um sicherzustellen, dass Benutzer nur Stacks mit den von Ihnen hochgeladenen Stack-Richtlinien erstellen oder aktualisieren können, setzen Sie den S3-Bucket für diese Benutzer auf schreibgeschützt.

cloudformation:TemplateUrl

Eine Amazon S3-Vorlagen-URL, die Sie einer Richtlinie zuordnen möchten. Verwenden Sie diese Bedingung, um zu steuern, welche Vorlagen -Benutzer verwenden können, wenn sie Stacks erstellen oder aktualisieren.

Anmerkung

Um sicherzustellen, dass Benutzer nur Stapel mit den von Ihnen hochgeladenen Vorlagen erstellen oder aktualisieren können, setzen Sie den S3-Bucket für diese Benutzer auf schreibgeschützt.

Anmerkung

Die folgenden CloudFormation-spezifischen Bedingungen gelten für die gleichnamigen API-Parameter:

  • cloudformation:ChangeSetName

  • cloudformation:RoleARN

  • cloudformation:StackPolicyUrl

  • cloudformation:TemplateUrl

Beispielsweise gilt cloudformation:TemplateUrl nur für den TemplateUrl-Parameter für CreateStack, UpdateStack und CreateChangeSet-APIs.

Beispiele für IAM-Richtlinien, die Bedingungsschlüssel zur Zugriffskontrolle verwenden, finden Sie unter Beispiel für identitätsbasierte IAM-Richtlinien für CloudFormation.

Erkennen von IAM-Ressourcen in CloudFormation-Vorlagen

Bevor Sie einen Stack erstellen können, validiert CloudFormation Ihre Vorlage. Während der Validierung prüft CloudFormation Ihre Vorlage auf IAM-Ressourcen, die sie erstellen könnte. IAM-Ressourcen, wie z. B. ein Benutzer mit Vollzugriff, können auf jede Ressource in Ihrem zugreifen und diese ändern AWS-Konto. Daher wird empfohlen, die den einzelnen IAM-Ressourcen zugeordneten Berechtigungen zu prüfen, bevor Sie fortfahren, damit Sie nicht versehentlich Ressourcen mit eskalierten Berechtigungen erstellen. Um sicherzustellen, dass Sie dies getan haben, müssen Sie bestätigen, dass die Vorlage diese Ressourcen enthält, indem Sie CloudFormation die angegebenen Fähigkeiten geben, bevor es den Stack erstellt.

Sie können die Fähigkeiten von CloudFormation-Vorlagen über die CloudFormation-Konsole, AWS Command Line Interface (AWS CLI) oder die API bestätigen:

  • Wählen Sie in der CloudFormation-Konsole auf der Seite Stack-Optionen konfigurieren des Assistenten Stack erstellen oder Stack aktualisieren Ich bestätige, dass diese Vorlage IAM-Ressourcen erstellen kann.

  • Wenn Sie in AWS CLIdie Befehle create-stack und update-stack verwenden, geben Sie den Wert CAPABILITY_IAM oder CAPABILITY_NAMED_IAM für die Option --capabilities an. Wenn Ihre Vorlage IAM-Ressourcen enthält, können Sie jede der beiden Fähigkeiten angeben. Wenn Ihre Vorlage benutzerdefinierte Namen für IAM-Ressourcen enthält, müssen Sie angeben CAPABILITY_NAMED_IAM.

  • Wenn Sie in der API die Aktionen CreateStack und UpdateStack verwenden, geben Sie Capabilities.member.1=CAPABILITY_IAM oder Capabilities.member.1=CAPABILITY_NAMED_IAMan. Wenn Ihre Vorlage IAM-Ressourcen enthält, können Sie jede der beiden Fähigkeiten angeben. Wenn Ihre Vorlage benutzerdefinierte Namen für IAM-Ressourcen enthält, müssen Sie angeben CAPABILITY_NAMED_IAM.

Wichtig

Wenn Ihre Vorlage benutzerdefinierte benannte IAM-Ressourcen enthält, erstellen Sie unter Wiederverwendung der gleichen Vorlage nicht mehrere Stacks. IAM-Ressourcen müssen innerhalb Ihres Kontos global eindeutig sein. Wenn Sie dieselbe Vorlage verwenden, um mehrere Stacks in verschiedenen Regionen zu erstellen, teilen sich Ihre Stacks möglicherweise dieselben IAM-Ressourcen, anstatt dass jeder eine eindeutige hat. Die gemeinsame Verwendung von Ressourcen durch Stacks kann unbeabsichtigte Folgen haben, die nicht rückgängig gemacht werden können. Wenn Sie beispielsweise gemeinsam verwendete IAM-Ressourcen löschen oder aktualisieren, ändern Sie versehentlich die Ressourcen anderer Stacks.

Verwaltung von Anmeldeinformationen für Anwendungen, die auf Amazon EC2-Instances laufen

Wenn Sie eine Anwendung haben, die auf einer Amazon-EC2-Instance ausgeführt wird und die Anforderungen an AWS-Ressourcen wie Amazon-S3-Buckets oder eine DynamoDB-Tabelle stellen muss, benötigt die Anwendung AWS-Sicherheitsanmeldeinformationen. Allerdings stellt die Verteilung und Einbettung langfristiger Sicherheitsanmeldeinformationen in jede Instance, die Sie starten, eine Herausforderung und ein potenzielles Sicherheitsrisiko dar. Anstelle von langfristigen Anmeldeinformationen, wie z. B. IAM-Benutzeranmeldeinformationen, empfehlen wir, eine IAM-Rolle zu erstellen, die einer Amazon EC2-Instance zugeordnet wird, wenn die Instance gestartet wird. Eine Anwendung kann dann von der Amazon EC2-Instance temporäre Sicherheitsanmeldeinformationen abrufen. Sie müssen auf der Instance keine langfristigen Anmeldeinformationen einbetten. Um die Verwaltung von Anmeldeinformationen zu erleichtern, können Sie für mehrere Amazon EC2-Instances auch nur eine Rolle angeben; Sie müssen nicht für jede Instance eindeutige Anmeldeinformationen erstellen.

Einen Vorlagenausschnitt, der zeigt, wie eine Instance mit einer Rolle gestartet wird, finden Sie unter Vorlagenbeispiele für IAM-Rollen.

Anmerkung

Anwendungen auf Instances, die temporäre Sicherheitsanmeldeinformationen verwenden, können alle CloudFormation-Aktionen aufrufen. Da CloudFormation jedoch mit vielen anderen AWS-Diensten interagiert, müssen Sie überprüfen, ob alle Dienste, die Sie verwenden möchten, temporäre Sicherheitsanmeldeinformationen unterstützen. Eine Liste der Dienste, die temporäre Sicherheitsnachweise akzeptieren, finden Sie unter AWS Dienste, die mit IAM arbeiten im IAM-Benutzerhandbuch.

Gewährung von temporärem Zugang (Verbundzugang)

In einigen Fällen möchten Sie Benutzern möglicherweise keine AWS-Anmeldeinformationen für temporären Zugriff auf Ihr AWS-Konto gewähren. Verwenden Sie AWS Security Token Service (AWS STS), wenn Sie temporären Zugriff gewähren möchten, anstatt langfristige Anmeldeinformationen zu erstellen und zu löschen. Sie können beispielsweise IAM-Rollen verwenden. Von einer IAM-Rolle aus können Sie programmgesteuert viele temporäre Sicherheitsanmeldeinformationen (einschließlich eines Zugriffsschlüssels, eines geheimen Zugriffsschlüssels und eines Sicherheits-Tokens) erstellen und dann verteilen. Diese Anmeldeinformationen haben eine begrenzte Laufzeit, sodass damit nach deren Ablauf nicht auf Ihr AWS-Konto zugegriffen werden kann. Sie können auch mehrere IAM-Rollen erstellen, um einzelnen Benutzern verschiedene Ebenen von Berechtigungen zu gewähren. IAM-Rollen sind nützlich für Szenarien wie verbundene Identitäten und Single Sign-On.

Ein Identitätsverbund ist eine unabhängige Identität, die Sie für mehrere Systeme verwenden können. Bei Enterprise-Benutzern mit einem festgelegten On-Premises-Identitätssystem (wie LDAP oder Active Directory) kann die gesamte Authentifizierung mit Ihrem lokalen Identitätssystem erfolgen. Nachdem ein Benutzer authentifiziert wurde, stellen Sie aus dem entsprechenden IAM-Benutzer oder der entsprechenden IAM-Rolle temporäre Sicherheitsanmeldeinformationen bereit. Sie können zum Beispiel eine Administratorenrolle und eine Entwicklerrolle erstellen, wobei Administratoren vollen Zugriff auf das Konto AWS haben und Entwickler nur die Berechtigung haben, mit CloudFormation Stacks zu arbeiten. Nachdem ein Administrator authentifiziert wurde, ist er berechtigt, temporäre Sicherheitsnachweise aus der Administratorenrolle zu erhalten. Entwickler können jedoch nur über die Entwicklerrolle temporäre Sicherheitsanmeldeinformationen erhalten.

Sie können auch verbundenen Benutzern Zugriff auf die gewähren AWS-Managementkonsole. Nachdem sich Benutzer bei Ihrem On-Premises-Identitätssystem authentifiziert haben, können Sie programmgesteuert eine temporäre URL erstellen, die direkten Zugriff auf die AWS-Managementkonsole bietet. Wenn Benutzer die temporäre URL verwenden, müssen sie sich nicht bei AWS anmelden, da sie bereits authentifiziert wurden (Single Sign-On). Da die URL außerdem aus den temporären Sicherheitsanmeldeinformationen des Benutzers erstellt wurde, bestimmen die mit diesen Anmeldeinformationen verfügbaren Berechtigungen, welche Berechtigungen Benutzer in der besitzen AWS-Managementkonsole.

Sie können mehrere verschiedene AWS STS-APIs verwenden, um temporäre Sicherheitsanmeldeinformationen zu generieren. Weitere Informationen darüber, welche API Sie verwenden sollten, finden Sie unter Vergleichen AWS STS Anmeldeinformationen im IAM-Benutzerhandbuch.

Wichtig

Sie können IAM nicht verwenden, wenn Sie temporäre Sicherheitsanmeldeinformationen verwenden, die über die GetFederationToken-API generiert wurden. Wenn Sie IAM verwenden müssen, verwenden Sie stattdessen temporäre Sicherheitsanmeldeinformationen aus einer Rolle.

CloudFormation interagiert mit vielen anderen AWS-Diensten. Wenn Sie temporäre Sicherheitsanmeldeinformationen mit CloudFormation verwenden, überprüfen Sie, ob alle Dienste, die Sie verwenden möchten, temporäre Sicherheitsanmeldeinformationen unterstützen. Eine Liste der Dienste, die temporäre Sicherheitsnachweise akzeptieren, finden Sie unter AWS Dienste, die mit IAM arbeiten im IAM-Benutzerhandbuch.

Weitere Informationen finden Sie in den folgenden verwandten Ressourcen im IAM-Benutzerhandbuch: