AWS IAM (Identity and Access Management) ist ein Sicherheitsdienst, mit dem du Benutzer, Rollen und Berechtigungen in deiner AWS-Umgebung verwalten kannst. IAM legt fest, wer auf welche Ressourcen zugreifen darf und welche Aktionen erlaubt sind. Damit ist IAM ein zentrales Werkzeug zur Umsetzung von Sicherheits- und Zugriffskontrollen in AWS.
Hauptmerkmale von IAM
- Verwaltung von IAM-Benutzern mit individuellen Zugangsdaten
- Erstellung von Benutzergruppen zur einfacheren Rechtevergabe
- Verwendung von Rollen für temporäre Berechtigungen (z. B. für AWS-Services oder externe Identitäten)
- Einsatz von Richtlinien (Policies) zur feingranularen Steuerung des Zugriffs
- Multi-Faktor-Authentifizierung (MFA) zur Erhöhung der Sicherheit
- Zentrale Protokollierung und Analyse über AWS CloudTrail
- Zugriff über Konsole, CLI oder API steuerbar
Typische Anwendungsfälle
- Zugriffskontrolle für Teammitglieder mit unterschiedlichen Rollen (z. B. Entwickler, Administratoren)
- Rollen für AWS-Services wie EC2 oder Lambda, um auf andere Dienste zuzugreifen (z. B. S3 oder DynamoDB)
- Temporärer Zugriff für Externe oder Anwendungen über föderierte Identitäten
- Integration mit externen Identitätsanbietern über IAM Identity Center (ehemals AWS SSO)
Best Practices
- Root-User nur für Notfälle verwenden und mit MFA schützen
- Nur die minimal nötigen Rechte vergeben (Least Privilege)
- Benutzer nicht direkt berechtigen, sondern Gruppen und Rollen nutzen
- IAM-Rollen statt langfristiger Zugangsschlüssel verwenden
- Regelmäßige Prüfung und Bereinigung alter Benutzer, Rollen und Policies
- Nutzung von IAM Access Analyzer zur Erkennung von öffentlich zugänglichen Ressourcen
- Einsatz von Service Control Policies (SCPs) zur Steuerung von Rechten in AWS Organizations
Vorteile
- Zentrale und feingranulare Steuerung von Zugriffsrechten
- Sicherer Betrieb von Anwendungen und Cloud-Infrastrukturen
- Automatische Integration mit nahezu allen AWS-Services
- Keine zusätzlichen Kosten für die Nutzung von IAM
Mit IAM kontrollierst du sicher und flexibel, wer auf welche Ressourcen in deiner AWS-Umgebung zugreifen darf – ein unverzichtbarer Bestandteil jeder Cloud-Sicherheitsstrategie.