Jakub Jirsák - stock.adobe.com
Anleitung: Benutzer in AWS IAM erstellen und verwalten
AWS stellt über Identity Access Management Funktionen Richtlinien zum Verteilen von Zugriffsrechten an Benutzer. Wir führen Schritt für Schritt durch den Prozess mi der CLI.
Administratoren haben in AWS die Möglichkeit, ihre Umgebungen nicht nur manuell über Einstellungen abzusichern, sondern auch über das automatische Durchsetzen von Richtlinien. Der Schlüssel dazu ist das programmgesteuerte Erstellen und Konfigurieren neuer Benutzerkonten. In dieser Anleitung erläutern wir die Grundlagen von AWS Identity and Access Management sowie die ersten Schritte für die Umsetzung einer Benutzerstruktur.
Warum AWS-IAM?
AWS Identity and Access Management (IAM) ist ein Cloud-Dienst, mit dem Sie steuern, welche Benutzer und Anwendungen auf Ihre Ressourcen zugreifen kann sowie in welchem Umfang sie diese nutzen dürfen. AWS-Administratoren können Benutzer, Rollen und Gruppen erstellen und ihnen über Richtlinien Zugriff auf Ressourcen gewähren. Eine solche richtlinienbasierte Zugriffskontrolle ermöglicht granulare Entscheidungen, die von einem zentralen Kontrollpunkt ausgehen.
So kann ein AWS-Administrator einem Benutzer nur Zugriff auf Amazon Simple Storage Service (S3) oder Amazon Elastic Compute Cloud (EC2) gewähren. Dieser Sicherheitsansatz ist transparenter und konsistenter als ein individuell konfigurierter Kontozugriff.
Zu den wichtigsten Funktionen von AWS IAM gehören:
- ein zentralisiertes Portal für alle Identitäten und Zugriffe;
- Multifaktor-Authentifizierung für Benutzerkonten;
- granulare Einstellungen über Richtlinien; und
- Einrichten teilweiser Zugriffsrechte.
AWS IAM selbst ist kostenlos – AWS berechnet Anwendern lediglich den Speicherplatz und die Rechenressourcen, die durch die Benutzer der Konten belegt werden.
Wir beginnen unsere Anleitung in der AWS Management Console, in der wir einen IAM-Benutzer mit programmgesteuertem Zugriff erstellen. Danach wechseln wir zum AWS Command Line Interface (AWS CLI). Dort werden wir die Anmeldeinformationen hinterlegen, die das IAM in Zukunft abruft.
Erstellen von Benutzern über die AWS Management Console
Um einen Benutzer in AWS anzulegen, füllen das zugehörige Formular in der AWS Console (auch bekannt als AWS Management Console) aus und erhalten eine Zugangs-ID sowie einen privaten Schlüssel. Für unser Beispiel nennen wir den neuen Nutzer cli-user und statten ihn mit vollständigen Zugriffsberechtigungen und programmgesteuertem Zugriff aus. Mit diesem Benutzer werden wir später weitere Benutzer verwalten.
- Anmelden. Melden Sie sich als Stammbenutzer an (Abbildung 1). Geben Sie Benutzername und Kennwort ein, wenn Sie dazu aufgefordert werden.
- Öffnen Sie die IAM-Konsole der AWS-Konsole in einem Browserfenster.
- Wählen Sie links im Menü den Unterpunkt Benutzer.
- Fügen Sie einen Benutzer hinzu. Klicken Sie dafür auf die Schaltfläche Benutzer hinzufügen. Nun zeigt AWS Ihnen eine Maske an, in der Sie alle Details für den Benutzer hinzufügen können.
- In dieser Anleitung verwenden wir den Namen cli-user und aktivieren das Kontrollkästchen Zugriffsschlüssel – Programmgesteuerter Zugriff unter AWS-Zugriffstyp auswählen (Abbildung 2). Dadurch gewähren wir dem Nutzer Zugriff auf Entwicklungs-Tools, wie zum Beispiel die Kommandozeile, die Sie später in diesem Tutorial benötigen. Klicken Sie unten rechts auf Weiter: Berechtigungen, um fortzufahren.
- In diesem Fenster legen Sie die Benutzerberechtigungen fest. Klicken Sie auf Vorhandene Richtlinien direkt anfügen und filtern Sie die Richtlinien dann nach dem Stichwort: IAM. Wählen Sie für diesen Benutzer IAMFullAccess aus der Liste der verfügbaren Richtlinien aus (Abbildung 3).
Die IAMFullAccess-Richtlinie ermöglicht es diesem Benutzer, Benutzerberechtigungen in AWS zu erstellen und zu verwalten. Später im Tutorial führt dieser Benutzer Aufgaben im AWS IAM aus.
- Beenden Sie die Benutzereinrichtung. In diesem Tutorial überspringen wir den Tag-Abschnitt der Benutzererstellung. Überprüfen Sie die Details des Benutzernamens, des AWS-Zugriffstyps und der Berechtigungen. Klicken Sie dann auf Benutzer erstellen.
- AWS stellt Ihrem neuen Benutzer eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel bereit. Laden Sie diese Informationen herunter oder kopieren Sie sie an einen sicheren Ort, um sie später in diesem Tutorial zu verwenden (Abbildung 4).
Einrichten von AWS-Benutzeranmeldeinformationen in der CLI
In diesem Tutorial wird das Open-Source-AWS-CLI-Tool verwendet, das über den Cloud-Anbieter erhältlich ist.
Mit minimalem Setup können Administratoren ihre bevorzugte Shell oder CLI verwenden, um mit AWS zu interagieren. Auf dieser Seite von AWS finden Sie Links und Anleitungen für die Installation auf verschiedenen Systemen. Dieses Tutorial zeigt den Prozess mit einer Bash-Shell, die unter Ubuntu ausgeführt wird.
- Installieren Sie zunächst AWS CLI auf Ihrem System mit dem folgenden Befehl im Bash-Terminal:
sudo apt installiere awscli
Sobald das Setup fertig ist, überprüfen Sie die Installation:
aws –version
- Führen Sie den Befehl aws configure in der Shell aus; verwenden Sie dabei die Benutzer-ID und den geheimen Schlüssel, den Sie dafür von AWS bekommen haben.
In diesem Schritt speichert die CLI Ihre Anmeldeinformationen in einer lokalen Datei unter ~/.aws/credentials und Regions- und Ausgabeformat-Einstellungen unter ~/.aws/config.
Da wir cli-user mit programmgesteuertem Zugriff eingerichtet haben, können wir dieses Konto verwenden, um andere Benutzer zu erstellen und ihnen richtlinienbasierten Zugriff über AWS CLI zu gewähren. Die nächsten beiden Abschnitte erklären, wie Sie das machen.
Benutzer erstellen und Rechte zuweisen
Um einen Benutzer mit IAM zu erstellen, führen Sie den Befehl aws iam create-user in der AWS CLI aus und wählen einen Benutzernamen – in unserem Fall prateek:
aws iam create-user --user-name prateek
AWS erstellt einen neuen Benutzer und zeigt die Benutzerdetails in der Bash-Konsole an.
Angenommen, dieser Benutzer soll in Zukunft EC2-Dienste verwalten können. Um ihm die dafür notwendigen Berechtigungen zuzuweisen, müssen wir zunächst wissen, welche vorkonfigurierten EC2-Richtlinien in AWS verfügbar sind. Benutzen Sie dafür den Befehl:
aws iam list-policies | grep EC2FullAccess
Nun müssen Sie sich für eine der gelisteten Richtlinien entscheiden. In diesem Fall handelt es sich um AmazonEC2FullAccess. Übergeben Sie den Amazon-Ressourcennamen (ARN) an den folgenden Befehl im Parameter --policy-arn:
aws iam attach-user-policy --user-name prateek --policy-arn "arn:aws:iam::aws:policy/AmazonEC2FullAccess"
Überprüfen von Benutzerdetails und Auflisten von Berechtigungen
Nachdem Sie den Benutzer erstellt und ihm die entsprechende Benutzerrichtlinie hinzugefügt haben, überprüfen Sie, ob Sie alle Einstellungen korrekt vorgenommen haben.
Mit folgendem Befehl erhalten Sie eine Liste aller Ihrer IAM-Benutzer:
aws iam list-users
Die Richtlinien, die Sie einem Benutzer zugewiesen haben können Sie sich mit:
aws iam list-attached-user-policies --user-name prateek
anzeigen lassen.