Amazon bringt mit den AWS Identity and Access Management (IAM) eine weitere Komponente für seine Cloud-Services. Sie spielen neben den diversen Middleware- und Automatisierungsfunktionen eine wesentliche Rolle bei der Transformation der Amazon Web Services in Richtung Platform as a Service (PaaS). IAM bietet alle grundlegenden Funktionen, die bei firmenintern genutzten Directory Services üblich sind.

Ohne IAM beschränkt sich die Zugangskontrolle zu den AWS auf die Anmeldung über das Amazon-Konto, dem die Cloud-Ressourcen zugeordnet sind. Es entspricht einem root-Account, der vollen Zugang und sämtliche Rechte gewährt. Er reicht aus, solange etwa nur ein Entwickler eine überschaubare Zahl an EC2-Instanzen benötigt. Sobald mehrere User eine größere Zahl an Ressourcen verwenden wollen, lassen sich mit diesen beschränkten Mitteln weder die Benutzer verwalten noch die Zugriffsrechte steuern.

Verwaltung von Benutzern, Gruppen und Passwörtern

Daher gehört es zu den grundlegenden Funktionen von IAM, dass man damit Benutzerkonten anlegen und diese zu Gruppen zusammenfassen kann. Bei der Definition von Gruppen lassen sich verschiedene Kriterien anlegen, wie die Zugehörigkeit zu einer bestimmten Abteilung oder die Tätigkeit der Person (Entwickler, Manager, etc.). Wie von anderen Verzeichnisdiensten gewohnt, können User gleichzeitig in mehreren Gruppen Mitglied sein.

Über IAM lässt sich der Zugriff auf die meisten AWS-Dienste regeln, darunter EC2, S3, SimpleDB, Auto Scaling, Route 53, Elastic Load Balancing, CloudFormation oder CloudWatch. Dabei definiert jeder Service auf seine Weise, welche Formen des Zugriffs er kennt und die der Natur des Dienstes angemessen sind. Um die jeweils verschiedenen Funktionen, beispielsweise "CreateBucket" in S3 oder "DeleteAlarms" in CloudWatch, über Richtlinien leichter kontrollieren zu können, unterstützt Amazon die Administratoren mit einem Policy Generator.

Delegierung der Benutzerverwaltung über IAM-Regeln

Interessant ist zudem, dass sich der IAM-Service auf sich selbst anwenden lässt und so die Möglichkeit bietet, Aufgaben zur Verwaltung des Verzeichnisdienstes an Benutzer und Gruppen zu delegieren. Derzeit beschränkt sich IAM auf die Authentifizierung und die Zugriffskontrolle im Rahmen der Amazon Web Services. Es ist jedoch davon auszugehen, dass Amazon ein API zur Verfügung stellen wird, das den Einsatz von IAM auch in beliebigen externen Anwendungen erlaubt.

Für das Management von IAM stellt Amazon sowohl ein Kommandozeilen-Interface sowie grafische Konsole zu Verfügung. Letztere ist Bestandteil der AWS Management Console. Für die Nutzung von IAM fallen keine zusätzlichen Kosten an, der Verzeichnisdienst ist Teil des Amazon-Kontos.