Wie funktioniert das Identity and Access Management (IAM) in der Amazon Cloud?
- Grundlegendes Prinzip von IAM
- Identitäten verwalten: Benutzer, Gruppen und Rollen
- Zugriffssteuerung durch Richtlinien
- Authentifizierung und Autorisierung
- Besondere Funktionen: Temporäre Sicherheitsanmeldeinformationen und Verknüpfungen zu externen Identitäten
- Sicherheitsbest Practices und Auditierung
- Fazit
Grundlegendes Prinzip von IAM
Identity and Access Management (IAM) in der Amazon Web Services (AWS) Cloud ist ein zentraler Dienst,
der es ermöglicht, Benutzer, Gruppen und Rollen sowie deren Zugriffsrechte auf AWS-Ressourcen zu verwalten.
Das Ziel von IAM ist es, den Zugriff auf AWS-Dienste und Ressourcen sicher und kontrolliert zu gestalten,
sodass nur autorisierte Personen oder Systeme auf bestimmte Funktionen oder Daten zugreifen können.
Identitäten verwalten: Benutzer, Gruppen und Rollen
IAM unterscheidet verschiedene Identitäten: Benutzer, Gruppen und Rollen. Benutzer sind einzelne Personen oder Systeme,
die sich bei AWS authentifizieren müssen. Gruppen dienen dazu, mehrere Benutzer mit ähnlichen Zugriffsrechten zusammenzufassen,
was die Verwaltung vereinfacht. Rollen sind spezielle Identitäten, die keine eigene Anmeldung haben, sondern temporär
vergeben werden, beispielsweise für Anwendungen, die auf Ressourcen zugreifen müssen oder für den Zugriff zwischen verschiedenen AWS-Konten.
Zugriffssteuerung durch Richtlinien
Der Zugriff wird in IAM durch sogenannte Richtlinien (Policies) gesteuert. Diese sind JSON-Dokumente, die detailliert
festlegen, welche Aktionen von welchen Identitäten auf welche Ressourcen erlaubt oder verweigert werden.
Eine Richtlinie kann sehr spezifisch sein und beispielsweise erlauben, dass ein Benutzer nur Leserechte auf bestimmte S3-Buckets hat,
aber keine Schreibrechte. Policies können direkt an Benutzer, Gruppen oder Rollen angehängt werden, wodurch sich die Zugriffsrechte flexibel und granular verwalten lassen.
Authentifizierung und Autorisierung
Um Zugang zu AWS zu erhalten, müssen Benutzer sich zunächst authentifizieren. Dies geschieht typischerweise über die Eingabe von Zugangsdaten
wie Benutzername und Passwort, alternativ können auch Multi-Faktor-Authentifizierung (MFA) oder andere Identitätsanbieter mittels SSO integriert werden.
Nach erfolgreicher Authentifizierung überprüft AWS IAM anhand der zugewiesenen Richtlinien, welche Aktionen die Identität ausführen darf
(Autorisierung). Dieser zweistufige Prozess stellt sicher, dass nur berechtigte Nutzer Zugriff auf bestimmte Ressourcen erhalten.
Besondere Funktionen: Temporäre Sicherheitsanmeldeinformationen und Verknüpfungen zu externen Identitäten
IAM unterstützt die Nutzung temporärer Sicherheitsanmeldeinformationen, die etwa bei der Verwendung von Rollen generiert werden.
Dies erhöht die Sicherheit, da diese Zugangsdaten nur für einen begrenzten Zeitraum gültig sind. Außerdem kann IAM mit externen Identitätsanbietern verknüpft werden,
um beispielsweise Single Sign-On (SSO) oder Integration mit Unternehmensverzeichnissen (wie Active Directory oder SAML-basierten Diensten) zu ermöglichen.
Somit können Unternehmen ihre bestehende Nutzerverwaltung mit AWS verbinden und zentral steuern.
Sicherheitsbest Practices und Auditierung
IAM bietet umfangreiche Möglichkeiten zur Überwachung und Protokollierung der Zugriffe, etwa durch Integration mit AWS CloudTrail,
was eine nachträgliche Prüfung aller Zugriffsversuche und Änderungen an IAM-Ressourcen erlaubt.
Best Practices empfehlen die Vergabe minimaler Rechte (Prinzip der geringsten Privilegien), regelmäßige Überprüfung von Richtlinien
Fazit
IAM ist eine zentrale Komponente der AWS-Sicherheitsarchitektur. Durch die fein granulare Verwaltung von Identitäten und Zugriffsrechten
ermöglicht IAM, die Sicherheit der Cloud-Umgebung deutlich zu erhöhen. Es stellt sicher, dass Ressourcen nur für berechtigte Nutzer oder Dienste verfügbar sind