Identity and Access Management für Amazon Nimble Studio - Amazon Nimble Studio
ZielgruppeAuthentifizierung mit IdentitätenVerwalten des Zugriffs mit Richtlinien

Hinweis zum Ende des Supports: Am 22. Oktober 2024 AWS wird der Support für Amazon Nimble Studio eingestellt. Nach dem 22. Oktober 2024 können Sie nicht mehr auf die Nimble Studio-Konsole oder die Nimble Studio-Ressourcen zugreifen.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identity and Access Management für Amazon Nimble Studio

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS Administratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Amazon Nimble Studio-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

Themen

Zielgruppe

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in Nimble Studio ausführen.

Dienstbenutzer — Wenn Sie den Nimble Studio-Dienst für Ihre Arbeit verwenden, sind Sie ein Dienstbenutzer. In diesem Fall stellt Ihnen Ihr Administrator die Anmeldeinformationen und Berechtigungen zur Verfügung, die Sie für den Zugriff auf Ihre zugewiesenen Ressourcen benötigen. Wenn Sie mehr Nimble Studio-Funktionen für Ihre Arbeit verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Wenn Sie in Nimble Studio nicht auf eine Funktion zugreifen können, finden Sie weitere Informationen unter. Fehlerbehebung bei Identität und Zugriff auf Amazon Nimble Studio

Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die Nimble Studio-Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf Nimble Studio. Es ist Ihre Aufgabe, zu bestimmen, auf welche Funktionen und Ressourcen von Nimble Studio Ihre Mitarbeiter zugreifen sollen. Senden Sie dann Anfragen an Ihren Administrator, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit Nimble Studio verwenden kann, finden Sie unter. So funktioniert Amazon Nimble Studio mit IAM

Authentifizierung mit Identitäten

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Weitere Informationen zur Anmeldung mit dem AWS-Managementkonsole finden Sie unter AWS-Managementkonsole Als IAM-Benutzer oder Root-Benutzer anmelden im IAM-Benutzerhandbuch.

Sie müssen als AWS-Konto Root-Benutzer oder als Benutzer authentifiziert (angemeldet AWS) sein oder eine IAM-Rolle annehmen. Sie können auch die Single-Sign-On-Authentifizierung Ihres Unternehmens verwenden oder sich sogar über Google oder Facebook anmelden. In diesen Fällen hat Ihr Administrator vorher einen Identitätsverbund unter Verwendung von IAM-Rollen eingerichtet. Wenn Sie AWS mit Anmeldeinformationen eines anderen Unternehmens zugreifen, übernehmen Sie indirekt eine Rolle.

Um sich direkt bei der anzumelden AWS-Managementkonsole, verwenden Sie Ihr Passwort zusammen mit Ihrer Root-Benutzer-E-Mail-Adresse oder Ihrem Benutzernamen. Sie können AWS programmgesteuert mit Ihrem Root-Benutzer oder Ihren Benutzerzugriffsschlüsseln darauf zugreifen.

AWS bietet SDK- und Befehlszeilentools, mit denen Sie Ihre Anfrage mit Ihren Anmeldeinformationen kryptografisch signieren können. Wenn Sie keine AWS Tools verwenden, signieren Sie die Anfrage selbst. Hierzu verwenden Sie Signature Version 4, ein Protokoll für die Authentifizierung eingehender API-Anforderungen. Weitere Informationen zu diesen Authentifizierungsanfragen finden Sie unter Signature Version 4-Signaturprozess im Allgemeine AWS-Referenz .

Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise auch zusätzliche Sicherheitsinformationen angeben. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) AWS im IAM-Benutzerhandbuch.

AWS-Konto Root-Benutzer

Wenn Sie zum ersten Mal einen erstellen AWS-Konto, beginnen Sie mit einer einzigen Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Der Zugriff erfolgt, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir empfehlen dringend, den Root-Benutzer nicht für Ihre täglichen Aufgaben zu verwenden, auch nicht für die administrativen. Folgen Sie stattdessen dem bewährten Verfahren, den Stammbenutzer ausschließlich zur Erstellung des ersten IAM-Benutzers zu verwenden. Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

Benutzer und Gruppen

Ein Benutzer ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Ein Benutzer kann über langfristige Anmeldeinformationen oder eine Reihe von Zugriffsschlüsseln verfügen. Informationen zum Generieren von Zugriffsschlüsseln finden Sie unter Verwaltung von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch. Wenn Sie Zugriffsschlüssel für einen Benutzer generieren, können Sie das key pair anzeigen und sicher speichern. Sie können den geheimen Zugriffsschlüssel in future nicht wiederherstellen. Generieren Sie stattdessen ein neues Zugriffsschlüsselpaar.

Eine IAM-Gruppe ist eine Identität, die eine Sammlung von Benutzern spezifiziert. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise eine Gruppe benennen IAMAdminsund dieser Gruppe Berechtigungen zur Verwaltung von IAM-Ressourcen erteilen.

Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Wann sollte ein Benutzer (statt einer Rolle) erstellt werden?

IAM-Rollen

Eine IAM-Rolle ist eine Identität innerhalb Ihres Unternehmens, für AWS-Konto die bestimmte Berechtigungen gelten. Sie ähnelt einem Benutzer, ist aber keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM-Rolle in der übernehmen, AWS-Managementkonsole indem Sie die Rollen wechseln. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI oder AWS API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen im IAM-Benutzerhandbuch.

IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

  • Temporäre Benutzerberechtigungen – Ein Benutzer kann eine IAM-Rolle übernehmen, um vorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.

  • Föderierter Benutzerzugriff — Anstatt einen Benutzer zu erstellen, können Sie vorhandene Identitäten aus Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter Verbundbenutzer und Rollen im IAM-Benutzerhandbuch.

    • Mitgliedschaft — Nimble Studio verwendet ein Konzept namens „Mitgliedschaft“, um einem Benutzer Zugriff auf ein bestimmtes Startprofil zu gewähren. Durch die Mitgliedschaft können Studio-Administratoren den Zugriff auf Ressourcen an Benutzer delegieren, ohne IAM-Richtlinien schreiben oder verstehen zu müssen. Wenn ein Nimble Studio-Administrator eine Mitgliedschaft für einen Benutzer in einem Startprofil erstellt, ist der Benutzer berechtigt, IAM-Aktionen durchzuführen, die für die Verwendung eines Startprofils erforderlich sind, wie z. B. das Anzeigen seiner Eigenschaften und das Starten einer Streaming-Sitzung mit diesem Startprofil.

    • Servicerolle – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Servicerollen bieten Zugriff nur innerhalb Ihres Kontos und können nicht verwendet werden, um Zugriff auf Dienste in anderen Konten zu gewähren. Ein Administrator kann eine Servicerolle in IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an eine AWS-Service im IAM-Benutzerhandbuch.

    • Serviceverknüpfte Rolle — Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Nimble Studio unterstützt keine dienstbezogenen Rollen.

  • Auf Amazon ausgeführte Anwendungen EC2 — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Instance ausgeführt werden und AWS API-Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Instance vorzuziehen. Um einer EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

Informationen darüber, ob Sie IAM-Rollen oder Benutzer verwenden sollten, finden Sie unter Wann sollte eine IAM-Rolle (anstelle eines Benutzers) erstellt werden? im IAM-Benutzerhandbuch.

Verwalten des Zugriffs mit Richtlinien

Sie steuern den Zugriff, AWS indem Sie Richtlinien erstellen und diese an IAM-Identitäten oder -Ressourcen anhängen. AWS Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. Sie können sich als Root-Benutzer oder als Benutzer anmelden oder eine IAM-Rolle übernehmen. Wenn Sie dann eine Anfrage stellen, werden die zugehörigen identitäts- oder ressourcenbasierten Richtlinien AWS bewertet. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden als JSON-Dokumente gespeichert. AWS Weitere Informationen zur Struktur und zum Inhalt von JSON-Richtliniendokumenten finden Sie im IAM-Benutzerhandbuch unter Überblick über JSON-Richtlinien.

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher Principal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Eine IAM-Entität (Benutzer oder Rolle) besitzt zunächst keine Berechtigungen. Anders ausgedrückt, können Benutzer standardmäßig keine Aktionen ausführen und nicht einmal ihr Passwort ändern. Um einem Benutzer die Berechtigung für eine Aktion zu erteilen, muss ein Administrator einem Benutzer eine Berechtigungsrichtlinie zuweisen. Alternativ kann der Administrator den Benutzer zu einer Gruppe hinzufügen, die über die gewünschten Berechtigungen verfügt. Wenn ein Administrator einer Gruppe Berechtigungen erteilt, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zur Ausführung der Aktion verwenden. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die iam:GetRole-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen von der AWS-Managementkonsole AWS CLI, der oder der AWS API abrufen.

Identitätsbasierte Richtlinien

Identitätsbasierte Richtlinien sind Richtliniendokumente für JSON-Berechtigungen, die Sie an eine Identität anhängen können, z. B. an einen Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen Benutzer und Rollen auf welchen Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Identitätsbasierte Richtlinien können weiter als Inline-Richtlinien oder verwaltete Richtlinien kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen zur Auswahl zwischen einer verwalteten Richtlinie oder einer Inline-Richtlinie finden Sie im IAM-Benutzerhandbuch unter Auswahl zwischen verwalteten Richtlinien und Inline-Richtlinien.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an die die Richtlinie angehängt ist, definiert die Richtlinie, welche Aktionen ein bestimmter Principal für diese Ressource ausführen kann und unter welchen Bedingungen. Geben Sie einen Prinzipal in einer ressourcenbasierten Richtlinie an. Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

Zugriffskontrolllisten (ACLs) in Nimble Studio

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) Berechtigungen für den Zugriff auf eine Ressource haben. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter Übersicht über ACLs die Zugriffskontrollliste (ACL) im Amazon Simple Storage Service Developer Guide.

Weitere Richtlinientypen

AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Diese Richtlinientypen können die maximalen Berechtigungen festlegen, die Ihnen von den häufiger verwendeten Richtlinientypen erteilt werden können.

  • Berechtigungsgrenzen — Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM-Entität (Benutzer oder Rolle) gewähren kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die daraus resultierenden Berechtigungen stellen die Schnittmenge zwischen den identitätsbasierten Richtlinien der Entität und ihren Berechtigungsgrenzen dar. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle in dem Principal Feld angeben, sind nicht durch die Berechtigungsgrenze begrenzt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

  • Dienststeuerungsrichtlinien (SCPs) — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in Organizations festlegen. Organizations ist ein Service zur Gruppierung und zentralen Verwaltung mehrerer AWS-Konten Unternehmenseigentümer. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich jedes AWS-Konto Root-Benutzers. Weitere Informationen zu Organizations und SCPs finden Sie unter So SCPs arbeiten Sie im AWS Organizations Benutzerhandbuch.

  • Sitzungsrichtlinien – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind die Schnittmenge der identitätsbasierten Richtlinien des Benutzers oder der Rolle und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie unter Sitzungsrichtlinien im IAM-Benutzerhandbuch.

Mehrere Richtlinientypen

Wenn mehrere auf eine Anforderung mehrere Richtlinientypen angewendet werden können, sind die entsprechenden Berechtigungen komplizierter. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie im IAM-Benutzerhandbuch unter Bewertungslogik für Richtlinien.