Amazon IAM: Directory Services in der Cloud


    Tags: ,

    Amazon Web ServicesAmazon bringt mit den AWS Identity and Access Management (IAM) eine weitere Komponente für seine Cloud-Services. Sie spielen neben den diversen Middleware- und Automatisierungsfunktionen eine wesentliche Rolle bei der Transformation der Amazon Web Services in Richtung Platform as a Service (PaaS). IAM bietet alle grundlegenden Funktionen, die bei firmenintern genutzten Directory Services üblich sind.

    Ohne IAM beschränkt sich die Zugangskontrolle zu den AWS auf die Anmeldung über das Amazon-Konto, dem die Cloud-Ressourcen zugeordnet sind. Es entspricht einem root-Account, der vollen Zugang und sämtliche Rechte gewährt. Er reicht aus, solange etwa nur ein Entwickler eine überschaubare Zahl an EC2-Instanzen benötigt. Sobald mehrere User eine größere Zahl an Ressourcen verwenden wollen, lassen sich mit diesen beschränkten Mitteln weder die Benutzer verwalten noch die Zugriffsrechte steuern.

    Verwaltung von Benutzern, Gruppen und Passwörtern

    Daher gehört es zu den grundlegenden Funktionen von IAM, dass man damit Benutzerkonten anlegen und diese zu Gruppen zusammenfassen kann. Bei der Definition von Gruppen lassen sich verschiedene Kriterien anlegen, wie die Zugehörigkeit zu einer bestimmten Abteilung oder die Tätigkeit der Person (Entwickler, Manager, etc.). Wie von anderen Verzeichnisdiensten gewohnt, können User gleichzeitig in mehreren Gruppen Mitglied sein.

    Über IAM lässt sich der Zugriff auf die meisten AWS-Dienste regeln, darunter EC2, S3, SimpleDB, Auto Scaling, Route 53, Elastic Load Balancing, CloudFormation oder CloudWatch. Dabei definiert jeder Service auf seine Weise, welche Formen des Zugriffs er kennt und die der Natur des Dienstes angemessen sind. Um die jeweils verschiedenen Funktionen, beispielsweise "CreateBucket" in S3 oder "DeleteAlarms" in CloudWatch, über Richtlinien leichter kontrollieren zu können, unterstützt Amazon die Administratoren mit einem Policy Generator.

    Delegierung der Benutzerverwaltung über IAM-Regeln

    Interessant ist zudem, dass sich der IAM-Service auf sich selbst anwenden lässt und so die Möglichkeit bietet, Aufgaben zur Verwaltung des Verzeichnisdienstes an Benutzer und Gruppen zu delegieren. Derzeit beschränkt sich IAM auf die Authentifizierung und die Zugriffskontrolle im Rahmen der Amazon Web Services. Es ist jedoch davon auszugehen, dass Amazon ein API zur Verfügung stellen wird, das den Einsatz von IAM auch in beliebigen externen Anwendungen erlaubt.

    Für das Management von IAM stellt Amazon sowohl ein Kommandozeilen-Interface sowie grafische Konsole zu Verfügung. Letztere ist Bestandteil der AWS Management Console. Für die Nutzung von IAM fallen keine zusätzlichen Kosten an, der Verzeichnisdienst ist Teil des Amazon-Kontos.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links