Richtlinien für verschiedenen Anwendergruppen in AWS Identity and Access Management anlegen

Um festzulegen, wer für die Verwendung von AWS-Ressourcen autorisiert (berechtigt) und authentifiziert (angemeldet) ist, nutzen Sie AWS Identity and Access Management (IAM). Mit der ersten Anmeldung bei AWS entsteht ein Root-Benutzer mit Vollzugriff auf sämtliche Services. Auch in diesem Fall sollten Sie Root-Benutzer nur für Service- und Verwaltungsaufgaben einsetzen. Die einzelnen Admins ernennen Sie über die AWS Management Konsole oder über das Command Line Interface (AWS CLI).

Screenshot: AWS

Bewährt in Umgebungen wie EC2 hat sich beispielsweise eine Unterteilung in Systemadministratoren, Entwickler und Manager. Die einzelnen Berechtigungen werden dabei über „Richtlinien“ erteilt. System-Admins benötigen in diesem Beispiel Berechtigungen zum Erstellen und Verwalten von AMIs, Instanzen, Snapshots, Volumen und Sicherheitsgruppen.

Entwickler wiederum könnten über eine Gruppenrichtlinie beispielsweise die Berechtigungen für die Befehle DescribeInstances, RunInstances, StopInstances, StartInstances und TerminateInstances erhalten. Schließlich müssen sie mit Instanzen nur arbeiten können. Den eigentlichen Zugriff auf das Betriebssystem legen Sie außerhalb von IAM fest. Dabei kommen SSH-Schlüssel, Windows-Passwörter und Sicherheitsgruppen zum Einsatz.

Manager wiederum müssen möglicherweise die verfügbaren Ressourcen auflisten können, aber keine Amazon-Instanzen aufsetzen und starten. In diesem Fall würde eine mögliche Richtlinie besagen, dass nur Amazon EC2-Describe-API-Operationen aufgerufen werden können.