Grundlegendes zu Berechtigungen - AWS Identitäts- und Zugriffsverwaltung
Arten von BerechtigungenBeispiel für einen Anwendungsfall: Datenverarbeitungs-Workload

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu Berechtigungen

Im Rahmen des Onboarding-Prozesses für Funktionen müssen Sie Richtlinien bei IAM registrieren, die die Berechtigungen definieren, die Sie für AWS Kundenkonten beantragen möchten. Der Registrierungsprozess sorgt für ein einheitlicheres Kundenerlebnis und trägt dazu bei, häufige Fallstricke bei der Erstellung von Richtlinien zu vermeiden.

Während der Registrierung werden Ihre Richtlinien anhand einer Reihe von Validierungen AWS bewertet. Diese Validierungen sollen die Formatierung und Struktur der Richtlinien standardisieren und grundlegende Schutzmaßnahmen gegen bekannte Anti-Pattern-Angriffe bieten. Die Validierungen verringern auch das Risiko von Rechteerweiterungen, unbeabsichtigten kontenübergreifenden Zugriffen und einem breiten Zugriff auf hochwertige Ressourcen in Kundenkonten.

Arten von Berechtigungen

AWS wird zwei Kategorien von Genehmigungen in Betracht ziehen: temporäre und langfristige.

Temporäre Genehmigungen

Temporäre Berechtigungen beschränken die Berechtigungen, die temporären Sitzungen mit delegiertem Zugriff zugewiesen werden. Temporäre Berechtigungen werden in Richtlinienvorlagen beschrieben, die auf die delegierte Sitzung angewendet werden. Die Vorlagen unterstützen Parameter, die Sie angeben, wenn Sie eine Delegierungsanfrage erstellen. Diese Parameterwerte werden dann an die Sitzung gebunden. Die temporären Berechtigungen funktionieren genauso wie die AWS STS heute verfügbaren Sitzungsrichtlinien: Die Richtlinien schränken die Fähigkeiten des zugrunde liegenden Benutzers ein, gewähren jedoch keinen zusätzlichen Zugriff. Weitere Informationen finden Sie in der AWS STS Dokumentation zu Sitzungsrichtlinien.

Langfristige Berechtigungen

Langfristige Berechtigungen schränken die Berechtigungen aller Rollen ein, die über temporären Zugriff erstellt oder verwaltet werden. Langfristige Berechtigungen werden als IAM-Berechtigungsgrenzen implementiert. Sie können im Rahmen des Onboardings eine oder mehrere Berechtigungsgrenzen angeben. AWS Nach der Genehmigung teilt AWS ich Ihnen einen Policy-ARN mit, auf den Sie in Ihren Richtlinien verweisen können.

Diese Grenzrichtlinien weisen zwei bemerkenswerte Merkmale auf. Erstens sind sie unveränderlich. Wenn Sie Berechtigungen aktualisieren möchten, können Sie eine neue Berechtigungsgrenze registrieren. Anschließend können Sie die neue Berechtigungsgrenze den Rollen Ihrer Kunden zuordnen, indem Sie eine neue Delegierungsanfrage senden. Zweitens gibt es keine Vorlagen für die Richtlinien. Da die gleichen Grenzrichtlinien weltweit gelten, können sie nicht für jeden einzelnen Kunden geändert werden.

Wichtig

Für Zugriffsgrenzen gilt eine maximale Größenbeschränkung von 6.144 Zeichen.

Anmerkung

Wenn Sie eine Berechtigungsgrenze oder eine Richtlinienvorlage aktualisieren möchten, wenden Sie sich an IAM unter aws-iam-partner-onboarding @amazon .com. Sobald die neue Berechtigungsgrenze registriert ist, können Sie eine Delegierungsanfrage an Kunden senden, um die IAM-Rolle zu aktualisieren und die neu registrierte Berechtigungsgrenze anzuhängen. Weitere Informationen finden Sie im Abschnitt Beispiele.

Beispiel für einen Anwendungsfall: Datenverarbeitungs-Workload

Stellen Sie sich einen Produktanbieter vor, der einen Datenverarbeitungs-Workload in Kundenkonten ausführt. Der Anbieter muss beim ersten Onboarding die Infrastruktur einrichten, benötigt aber auch fortlaufenden Zugriff, um den Workload zu verwalten.

Temporäre Berechtigungen (für die Ersteinrichtung):

  • EC2 Amazon-Instances, VPC und Sicherheitsgruppen erstellen

  • Erstellen Sie einen Amazon S3 S3-Bucket für verarbeitete Daten

  • Erstellen Sie eine IAM-Rolle für den laufenden Betrieb

  • Fügen Sie der IAM-Rolle eine Berechtigungsgrenze hinzu

Langfristige Berechtigungen (IAM-Rolle mit Berechtigungsgrenze für den laufenden Betrieb):

  • EC2 Amazon-Instances starten und stoppen, um Verarbeitungsjobs auszuführen

  • Eingabedaten aus dem Amazon S3 S3-Bucket lesen

  • Verarbeitete Ergebnisse in den Amazon S3 S3-Bucket schreiben

Die temporären Berechtigungen werden einmal während des Onboardings verwendet, um die Infrastruktur zu konfigurieren. Die während dieses Prozesses erstellte IAM-Rolle hat eine Berechtigungsgrenze, die ihre maximalen Berechtigungen auf die Operationen beschränkt, die für das laufende Workload-Management erforderlich sind. Dadurch wird sichergestellt, dass selbst bei einer Änderung der Rollenrichtlinien die in der Grenze definierten Berechtigungen nicht überschritten werden können.