Notice: This page requires JavaScript to function properly.
Please enable JavaScript in your browser settings or update your browser.Lernen IAM-Rollen und -Richtlinien | Netzwerk und Sicherheit
AWS Solutions Architect Associate
course content

Kursinhalt

AWS Solutions Architect Associate

AWS Solutions Architect Associate

1. AWS-Grundlagen
EinführungVerständnis von Cloud Computing und AWSAWS Globale InfrastrukturÜbersicht Über AWS-DiensteAWS-Preise und SupportpläneAWS-VerwaltungskonsoleAWS CLI und SDKsAWS Gut Gestaltetes Framework
2. Rechnen
Amazon EC2 GrundlagenStarten und Verwalten von EC2-InstanzenElastic Load Balancing (ELB)Auto ScalingGrundlagen von AWS LambdaAWS Elastic BeanstalkAWS Batch
3. Speicher
Amazon S3 GrundlagenVerwaltung der S3-SicherheitAmazon EBSAmazon EFSAmazon GlacierAWS Storage GatewayS3-Übertragungsbeschleunigung
4. Netzwerk und Sicherheit
Amazon VPC GrundlagenKonfigurieren von VPCAWS Direct ConnectAws VpnIAM-Benutzer und -GruppenIAM-Rollen und -RichtlinienAWS-Sicherheitsbewährte Praktiken
5. Datenbanken und Überwachung
Amazon RDS GrundlagenDynamoDBAmazon AuroraAmazon RedshiftAmazon ElastiCacheAWS CloudWatchAWS CloudTrail

book
IAM-Rollen und -Richtlinien

IAM-Rollen und -Richtlinien sind entscheidend für die Verwaltung von Berechtigungen und die Sicherung des Zugriffs in AWS. Rollen ermöglichen es Ihnen, Berechtigungen zu delegieren, ohne langfristige Anmeldeinformationen zu teilen, während Richtlinien die gewährten oder verweigerten Berechtigungen festlegen. Dieses Kapitel untersucht diese Komponenten und bietet Einblicke in ihre Verwendung und bewährte Verfahren für eine sichere Verwaltung.

IAM-Rollen fungieren als temporäre Sicherheitsanmeldeinformationen, die AWS-Dienste, Benutzer oder externe Identitäten übernehmen können. Sie erhöhen die Sicherheit, indem sie die Notwendigkeit statischer Anmeldeinformationen beseitigen und so die Exposition von Zugriffsschlüsseln verringern. Rollen können sein:

  • Servicerollen: Werden von AWS-Diensten wie EC2 oder Lambda verwendet, um sicher mit anderen AWS-Diensten zu interagieren;
  • Web-Identitätsföderationsrollen: Ermöglichen Benutzern, die über externe Identitätsanbieter wie Amazon Cognito oder Google authentifiziert sind, den Zugriff auf AWS-Ressourcen;
  • SAML 2.0-Föderationsrollen: Integrieren sich in Unternehmensverzeichnisse für Single-Sign-On-Funktionen;
  • Rollen für kontenübergreifenden Zugriff: Ermöglichen Benutzern eines AWS-Kontos den Zugriff auf Ressourcen in einem anderen Konto.

Jede Rolle hat eine Vertrauensrichtlinie, die festlegt, welche Entitäten die Rolle übernehmen können und die Grundlage der Vertrauensbeziehung in AWS bildet.

IAM-Richtlinien definieren, welche Aktionen auf AWS-Ressourcen erlaubt oder verweigert sind. Diese Richtlinien werden in JSON geschrieben und enthalten Schlüsselelemente wie:

  • Effect: Gibt an, ob die Aktion erlaubt oder verweigert wird;
  • Action: Gibt die Operationen an, die durchgeführt werden können;
  • Resource: Identifiziert die AWS-Ressourcen, auf denen Aktionen ausgeführt werden können;
  • Condition: Optionale Einschränkungen, wie Zeit- oder IP-Adressbeschränkungen, die bestimmen, wann die Richtlinie gilt.

Es gibt zwei Haupttypen von Richtlinien:

  • Identitätsbasierte Richtlinien: Diese können entweder verwaltet (vordefiniert von AWS oder benutzerdefiniert) oder inline (spezifisch für einen Benutzer, eine Gruppe oder eine Rolle) sein;
  • Ressourcenbasierte Richtlinien: Direkt an Ressourcen wie S3-Buckets oder Lambda-Funktionen angehängt, definieren sie, welche Aktionen Benutzer oder Rollen ausführen können.

Berechtigungsgrenzen schränken die maximalen Berechtigungen ein, die eine Identität haben kann, und stellen sicher, dass keine Rolle oder kein Benutzer die festgelegten Grenzen überschreitet.

Das Erstellen von IAM-Richtlinien kann mit dem Visual Policy Editor von AWS zur Vereinfachung oder dem JSON-Editor für detailliertere Kontrolle erfolgen. Hier sind einige bewährte Praktiken:

  • Minimalprinzip: Nur die für die Aufgabe notwendigen Berechtigungen erteilen;
  • Explizites Verweigern: Verwenden Sie dies, um alle Erlaubnisberechtigungen für kritische Sicherheit zu überschreiben;
  • Bedingungen: Zugriff basierend auf bestimmten Bedingungen wie Zeit oder IP-Adresse einschränken.

Vor der Bereitstellung verwenden Sie den Policy Simulator, um zu testen, wie Richtlinien in Ihrer AWS-Umgebung funktionieren, um sicherzustellen, dass sie wie erwartet funktionieren.

Um Rollen zu verwenden, hängen Sie sie an Entitäten wie EC2-Instanzen an, die dann mit temporären Anmeldeinformationen aus dem Instanz-Metadatenservice auf Ressourcen wie S3 zugreifen können. Rollen sind entscheidend in Szenarien wie dem kontenübergreifenden Zugriff oder der föderierten Identität, bei denen Benutzer aus externen Systemen sicher mit AWS-Ressourcen interagieren.

Sicherheit mit Rollen und Richtlinien umfasst:

  • Vermeidung von zu großzügigen Richtlinien: Halten Sie Berechtigungen streng, um Sicherheitslücken zu vermeiden;
  • Regelmäßige Audits: Überprüfen Sie regelmäßig Rollen und Richtlinien, um Compliance und Sicherheit zu gewährleisten;
  • Bedingungen: Verwenden Sie Bedingungen, um die Zugriffskontrolle zu verfeinern;
  • Rollenverkettung: Sorgfältig verwalten, um unbeabsichtigte Berechtigungserhöhungen zu verhindern.

Zusammenfassend ist das Beherrschen von IAM-Rollen und -Richtlinien entscheidend für die Sicherung des Zugriffs in AWS. Durch die sorgfältige Anwendung dieser Konzepte verbessern Sie die Sicherheit Ihrer AWS-Infrastruktur. Fahren Sie mit dem nächsten Modul fort, um mehr über die besten Sicherheitspraktiken von AWS zu erfahren.

1. Was ist der Hauptvorteil der Verwendung von IAM-Rollen gegenüber statischen Zugriffsschlüsseln?

2. Welche Art von Richtlinie würden Sie direkt an einen S3-Bucket anhängen?

3. Was legt eine Vertrauensrichtlinie in IAM-Rollen fest?

4. Warum sind Bedingungen in IAM-Richtlinien nützlich?

question mark

Was ist der Hauptvorteil der Verwendung von IAM-Rollen gegenüber statischen Zugriffsschlüsseln?

Wählen Sie die richtige Antwort aus

question mark

Welche Art von Richtlinie würden Sie direkt an einen S3-Bucket anhängen?

Wählen Sie die richtige Antwort aus

question mark

Was legt eine Vertrauensrichtlinie in IAM-Rollen fest?

Wählen Sie die richtige Antwort aus

question mark

Warum sind Bedingungen in IAM-Richtlinien nützlich?

Wählen Sie die richtige Antwort aus

War alles klar?

Wie können wir es verbessern?

Danke für Ihr Feedback!

Abschnitt 4. Kapitel 6
We're sorry to hear that something went wrong. What happened?
some-alt