ACCT.04 Berechtigungen zuweisen

Konfigurieren Sie Benutzerberechtigungen im Konto, indem Sie Richtlinien zu ihrer IAM-Identität (Benutzergruppe oder Rolle) zuweisen. Sie können die Berechtigungen anpassen oder AWS verwaltete Richtlinien anhängen. Dabei handelt es sich um eigenständige Richtlinien, die entwickelt wurden, AWS um Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. Wenn Sie Berechtigungen anpassen, befolgen Sie die bewährten Sicherheitsmethoden von Gewährung der geringsten Berechtigung. Geringste Berechtigung ist die Praxis, jedem Benutzer das Minimum an Berechtigungen zu gewähren, das er zur Ausführung seiner Aufgaben benötigt.

Wenn Sie verbundene Identitäten verwenden, greifen Benutzer auf das Konto zu, indem sie über den externen Identitätsanbieter eine IAM-Rolle übernehmen. Die IAM-Rolle definiert, was Benutzer, die vom IdP Ihrer Organisation authentifiziert wurden, tun dürfen. AWS Sie wenden benutzerdefinierte oder AWS verwaltete Richtlinien auf diese Rolle an, um Berechtigungen zu konfigurieren.

Wenn Sie IAM-Benutzer verwenden, können Sie Benutzergruppen oder Rollen verwenden, um die Berechtigungen für mehrere IAM-Benutzer zu verwalten. Wir empfehlen Benutzergruppen für Startups, da sie einfacher zu verwalten sind und weniger anfällig für Fehlkonfigurationen sind, welche ein Sicherheitsrisiko für Ihr Konto darstellen könnten. Weisen Sie Benutzer zu Benutzergruppen zu, die ihren Aufgaben entsprechen. Beispiele für Benutzergruppen sind Anwendungs-, Daten-, Netzwerk- und Entwicklungsingenieure (DevOps). Sie können die Benutzertypen auch je nach Entscheidungsbefugnis in kleinere Benutzergruppen unterteilen, z. B. für erfahrene oder nicht erfahrene Techniker.