Meldung

Zugriff auf AWS-Ressourcen verwalten

Wenn Sie den Zugriff auf AWS-Ressourcen durch einzelne Teammitglieder gerne besser steuern wollen, idealerweise rollenbasiert, können Sie mit dem Webservice "AWS Identity and Access Management" (IAM) festlegen, wer zur Verwendung von Ressourcen authentifiziert (angemeldet) und autorisiert (berechtigt) ist. Die Vorgehensweise dazu erklären wir in diesem Tipp.
Mit IAM erstellen Sie AWS-Benutzer und -Gruppen und legen fest, wer Zugriff auf AWS-Ressourcen hat.
Mit der ersten Anmeldung bei AWS entsteht eine Anmeldeidentität mit Vollzugriff auf sämtliche Services. Wie bei allen Root-Benutzern sollte dieser Account auch hier nur für Konto- und Service-Verwaltungsaufgaben zum Einsatz kommen. So können Sie über die AWS-Management-Konsole mit dem Account des Stammbenutzers eine Gruppe von Personen zu Admins ernennen.

In Umgebungen wie Amazon EC2 bietet sich beispielsweise eine Unterteilung in Systemadministratoren, Entwickler und Manager an. Systemadministratoren benötigen in diesem Beispiel etwa Berechtigungen zum Erstellen und Verwalten von AMIs, Instanzen, Snapshots, Volumen und Sicherheitsgruppen. Diese werden über Richtlinien erteilt. Entwickler müssen nur mit Instanzen arbeiten können. Über eine Gruppenrichtlinie können ihnen die Berechtigungen für die Befehle DescribeInstances, RunInstances, StopInstances, StartInstances und TerminateInstances erteilt werden.

Den Zugriff auf das Betriebssystem selbst müssen Sie außerhalb von IAM [1] festlegen. Diesen bestimmen Sie durch SSH-Schlüssel, Windows-Passwörter und Sicherheitsgruppen. Die Gruppe der Manager wiederum sollte keine Amazon-Instanzen aufsetzen und starten können. Allerdings muss sie unter Umständen die aktuell verfügbaren Ressourcen auflisten. In diesem Fall ist eine Richtlinie denkbar, mit der sie beispielsweise nur Amazon- EC2-Describe-API-Operationen aufrufen kann.

Im Fall von S3 unterteilen Sie ein Bucket am besten in eine Reihe von Stammverzeichnissen für jeden Mitarbeiter und einen gemeinsam genutzten Bereich für Gruppen aus Entwicklern und Managern. Anschließend erstellen Sie mehrere Richtlinien, um Berechtigungen für Benutzer und Gruppen zuzuweisen. Dazu gehören beispielsweise der Zugriff auf das Home Directory und Shared Directory Access für gemeinsame Objekte von Managern und Entwicklern.
14.07.2019/AWS/ln

Tipps & Tools

Moderne PowerShell-Kommandos [20.10.2019]

Microsoft versucht schon seit Jahren, die PowerShell als neue Skriptsprache in den Köpfen der Admins zu verankern. Nichtsdestotrotz kommen noch oft alte Command-Befehle zum Einsatz, um einfache Aufgaben auf bewährtem Weg zu lösen. Ein Beispiel dafür ist der Net-Use-Befehl, um Netzlaufwerke zu verbinden. Doch für diese Zwecke gibt es inzwischen "moderne" PowerShell-Kommandos. [mehr]

Jetzt bestellen: "PowerShell" und "Windows 10 im Unternehmen" [7.10.2019]

In seiner Kompakt-Buchreihe bündelt IT-Administrator die besten Artikel zu ausgesuchten Themen. Das neue Buch "PowerShell" beleuchtet den Einstieg in das Framework und stellt unter anderem die Systemverwaltung mit Cmdlets sowie Skripten vor. Wieder erhältlich ist außerdem der Verkaufsschlager "Windows 10 im Unternehmen", diesmal als Kindle-Version. Darin erfahren Sie als Administrator alles Wissenswerte rund um den Betrieb von Windows 10. [mehr]

Fachartikel

Risikobasierter Ansatz für das Zero-Trust-Modell [9.10.2019]

Vertrauen ist gut, Kontrolle ist besser. Das Zero-Trust-Modell ist simpel: Es gibt keinen vertrauenswürdigen Netzverkehr. Doch wie wägen Administratoren am besten ab, welche Teile des Unternehmensnetzwerks und welche Daten der einzelne Benutzer tatsächlich benötigt? Oder von welchem Standort aus er die Daten abrufen darf, um die Zugriffsrechte auf ein absolutes Mindestmaß zu beschränken? Wie der Beitrag zeigt, ist ein risikobasierter Ansatz für Prävention, Erkennung und Reaktion von entscheidender Bedeutung. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen