Amazon Web Services für Einsteiger: Konto und Support

    Kostenloses Konto für AWS anmeldenUm die Amazon Web Services (AWS) aktiv nutzen zu können, be­nötigt man ein eigenes AWS-Konto. Dieser Root-Account ist nur für wenige Auf­gaben erfor­derlich, für die täg­liche Arbeit reichen viel­mehr so genannte IAM-User aus. Ihnen kann man über Gruppen und Rollen gezielt Rechte in AWS zuteilen.

    Hat man ein AWS-Konto angelegt, dann ist man damit ein so genannter Root- bzw. Stamm-Benutzer und verwendet zum Login seine Root-Anmelde­informationen, also E-Mail-Adresse und Passwort. Diese Credentials ermöglichen den unein­geschränkten Zugriff auf sämtliche Ressourcen des Kontos.

    IAM-User anlegen

    Da man die Berechtigungen für Root-Benutzer nicht einschränken kann, empfiehlt AWS, sofort nach Erstellen des Kontos die darin enthaltenen Root-Zugriffs­schlüssel zu löschen und statt­dessen so genannte IAM-Nutzer im AWS Identity and Access Management (IAM) anzulegen.

    Am besten startet man mit einem admini­strativen IAM-User, meldet sich mit diesem an und legt dann weitere IAM-Gruppen und -Rollen mit einge­schränkten Berech­tigungen an. Das Anmelden als IAM-Nutzer erfolgt immer mit einer Account-ID, dem zugehörigen IAM-Username und einem Passwort.

    Das Root-Konto braucht man in der Praxis nur für wenige ausgewählte Aktionen wie:

    • Ändern der Root-Benutzer-Details
    • Ändern des Support-Plans
    • Ändern von Zahlungsoptionen
    • Abrufen von Rechnungsinformationen
    • Schließen eines AWS Kontos
    • Erstellen von x.509-Signaturzertifikaten
    • Übertragen einer Route-53-Domäne an ein anderes AWS-Konto

    Als root über den IAM-Anmeldebildschirm einloggen

    Um sich am Anmelde­bildschirm für einen IAM-Nutzer als Root-Nutzer anmelden zu können, klickt man auf den zugehörigen Link unterhalb des Anmelde-Buttons.

    Übrigens lässt sich das Root-Konto auf Wunsch auch per Multifaktor-Authenti­fizierung (Hardware oder Software-Token) schützen. Selbst­verständlich unterstützt AWS auch verschiedene Arten der Föderation mit anderen Authenti­fizierungs­lösungen (OpenID, SAML, AD-Federation, etc.). Die zugehörigen Einstellungen finden sich, wenn man rechts oben in der AWS-Management-Konsole auf den Konto­namen klickt.

    Einstellungen für einen IAM-Account

    Ist man als IAM-Nutzer angemeldet erscheint oben rechts als Anmelde­name <iam-user@account-id>. Im Falle eines root-Users steht hier der ausge­schriebene Benutzername mit Vor- und Nachname. Als root-User kann man dann mit einem Klick auf My Account diverse Konto­einstellungen bearbeiten.

    Dazu gehören die konsolidierte Fakturierung, die Steuereinstellungen, DevPay, das Hinterlegen von Guthaben oder unter Präferenzen diverse Einstellungen zum Rechnungs­erhalt oder das Generieren von auto­matischen Abrechnungs­metriken. Diese können beispiels­weise an den AWS-eigenen Überwachungs­dienst Cloud Watch übermittelt werden. Damit lassen sich auf einfache Weise Kosten­alarme einrichten.

    Das Ändern von Konto- und Abrechnungspräferenzen bleibt dem root-User vorbehalten.

    Ferner erschließt der Dialog zum Bearbeiten der Konto­informationen den Zugang zu weiteren wichtigen Werkzeugen, wie dem Kosten-Explorer, Budgets, Berichte und zu den eigentlichen Rechnungen.

    Vertrag endet mit dem Löschen einer Ressource

    Die mit dem Anlegen eines Kontos zustande kommende AWS-Kunden­ver­einbarung kann jederzeit online in diversen Sprachen (auch deutsch) herunter­geladen werden. Die übersetzen Versionen der Kunden­vereinbarung dienen lediglich der eigenen Information, rechtlich maßgebend ist die englische Fassung.

    Ansonsten gilt aus Compliance- und Datenschutz jeder einzelne API-Call zum Abruf eines REST-Services quasi als ein Vertrag, der erst endet, wenn ein User eine Ressource wieder aus seinem Konto löscht.

    Terminiert er etwa eine EC2-Instanz, dann kann es je nach den konfigurierten Einstellungen durchaus sein, das im Konto trotzdem noch ein EBS-Volume, ein Snapshot, eine elastische IP-Adresse oder ein S3-Bucket erhalten bleibt und Kosten verursacht.

    Kostenfalle Free Account

    In der Vereinbarung steht zum Beispiel:

    "Um auf die Services zuzugreifen, müssen Sie einen AWS Account mit einer gültigen E-Mail-Adresse und einem gültigen Zahlungs­mittel haben. Sofern es Ihnen nicht ausdrücklich in den Service­bedingungen erlaubt wird, werden Sie nur einen Account pro E-Mail-Adresse einrichten“.

    Daraus geht hervor, dass man auch zur Nutzung des Free-Kontos neben einer gültigen Mail-Adresse eine Kreditkarte benötigt. Der Free-Account ist also ein ganz gewöhnliches AWS-Konto, das lediglich im ersten Jahr der Nutzung ein kosten­loses Kontingent von 750 Stunden EC2, 750 Stunden RDS, 5 GB S3-Speicher, 1 Mio. Lambda-Aufrufe und ein 1GB Quicksight einschließt.

    Das gilt aber nur, wenn man AWS-Ressourcen verwendet, die auch für das Free-Kontingent berechtigt sind. Bei EC2-Instanzen gilt das nur für den Instanz-Typ t2micro mit 1GB RAM und 1 vCPU.

    Dem kostenlosen Konto steht nur eine der EC2-Instanzen zur Verfügung.

    Ein produktiv betriebener Web-Server in AWS wird aber in der Praxis eher selten nur aus Free-Tier-berechtigten Services bestehen. Hier gilt es aufzupassen und sich frühzeitig mit einem oder mehreren Kosten­überwachung- und Analyse-Tools vertraut zu machen.

    Im Gegensatz dazu bietet beispiels­weise ein freies Azure-Konto 170 Euro Startguthaben für einen Monat sowie über 12 Monate Zugriff auf viele beliebte Dienste. Man benötigt dazu nur ein Microsoft-Login.

    Übrigens nutzen die meisten AWS-Einsteiger als Start-Konto für AWS einfach ihr bestehendes Amazon-Konto, das ja bereits mit einer Kreditkarte hinterlegt ist. Da Unternehmen in der Regel viele AWS-Konten benötigen, besteht im Billing-Dashboard die Möglichkeit, so genannte Organizations anzulegen und darin einzelne AWS-Konten zusammen­zufassen, um eine konsolidierte Fakturierung zu ermöglichen.

    Support

    Hat man erstmal ein eigenes, kostenloses AWS-Konto angelegt, ist man quasi Kunde und genießt automatisch Basis-Support. Weitere AWS-Support-Pläne (Developer, Business, Enterprise) kann man bei Bedarf erwerben. Generell gilt, dass alle AWS-Kunden Anspruch auf den mit jedem AWS-Konto enthalten Basis-Support haben.

    Alle Pläne einschließlich Basic Support bieten rund um die Uhr Zugang zum Kunden­service sowie zu AWS-Dokumen­tationen, Whitepapers und Support-Foren. Im Enterprise-Support-Level wird dem jeweiligen Kunden darüber hinaus ein eigener Support-Consierge (kümmert sich speziell um Angelegen­heiten rund um das eigene Konto) und ein eigener Technical Account Manager (TAM) fest zugewiesen.

    Wer übrigens nicht selbst in AWS aktiv werden will, sondern lediglich mit Hilfe externer Unter­stützung Projekte auf AWS hosten möchte, kann sich auch an einen APN-Partner wenden. AWS bietet im Rahmen seines APN-Partnerprogramms viele unterschiedlich abgestufte Programme.

    Keine Kommentare