Einstieg in die AWS-Cloud: Rollenbasierten Zugriff per AWS IAM konfigurieren

Beim Einstieg in die AWS-Cloud sollte als erstes die IAM-Konfiguration erfolgen. Später erstellte AWS-Ressourcen sind so optimal abgesichert.

Amazon Web Services ist mit einem – je nach Studie – Marktanteil zwischen 30 und 40 Prozent der mit Abstand führende Anbieter von Infrastrukturdiensten aus der Cloud (Infrastructure as a Service, IaaS) mit komfortablen Abstand vor Microsoft, IBM und Google. Wir zeigen in diesem und den folgenden Beiträgen, wie ausgewählte IaaS-Szenarien konkret implementiert werden können.

Bevor man aber tatsächlich an den Aufbau einer Amazon-Cloud geht, sollte man sich mit Fragen der Sicherheit und mit Amazons Identity- und Access-Management-Modell (IAM) vertraut machen.

Schnellstart in die AWS-Cloud

Wer bisher noch wenig Berührungspunkte mit AWS hatte, sollte zunächst einen Blick auf die Dokumentation sämtlicher Services werfen, wobei die Produktseite der richtige Einstiegspunkt ist, weil sich von hier aus alle weiteren Ressourcen erschließen, beispielsweise auch die AWS-Dokumentation.

AWS hat sein Portfolio an IaaS-, PaaS- (Platform as a Service) und SaaS-Diensten (Software as a Service) seit dem Start 2006 sukzessive auf heute über 50 Dienste erweitert. Wir befassen uns in den folgenden Artikeln vorrangig mit virtuellen Maschinen, bewegen uns also im IaaS-Umfeld. AWS bietet aber auch zahlreiche Managed Services, Analytics-Anwendungen, IoT-Services (Internet of Things), KI-Tools (Künstliche Intelligenz) und Serverless Programming (AWS Lambda).

Um AWS nutzen zu können, benötigt man zunächst ein AWS-Konto, für dessen Registrierung wiederum E-Mail-Adresse und Kreditkartendaten angegeben werden müssen. Hat man erst einmal ein AWS-Konto erstellt, so kann man viele der so genannten Foundation Services ein Jahr lang kostenlos testen, sofern dabei nicht 750 Stunden EC2 (Elastic Compute Cloud), 750 Stunden RDS (Amazon Relational Database Service) und 5 GB S3-Storage (Simple Storage Service) überschritten werden. Danach greift die für jeden verwendeten Dienst im Einzelfall relativ komplexe Preisstruktur.

Architektur der Amazon Web Services

Die AWS-Cloud erstreckt sich über 42 so genannte Availability Zones in 16 geografischen Regionen weltweit. Eine Region ist ein physischer Standort, von denen es auf jedem Kontinent mindestens einen gibt. Regionen wiederum bestehen aus mehreren Availability Zones. Die Availability Zones bestehen aus einem oder mehreren Rechenzentren, jedes verfügt über redundante Energieversorgung und Netzwerkanbindung in getrennten Räumlichkeiten.

Verfügbarkeitszonen bieten Nutzern eine einfache Möglichkeit, Anwendungen in mehreren Zonen spiegeln zu können, um deren Ausfallsicherheit zu erhöhen. Außerdem besteht die Möglichkeit, Anwendungen über mehrere AWS-Regionen hinweg zu betreiben, ohne dabei die Grenzen der jeweiligen Region, zum Beispiel der EU, zu verlassen. Aus Sicherheitsgründen gibt Amazon den genauen Standort der Rechenzentren nicht bekannt.

Seit 2014 gibt es mit der AWS-Region EU-Central in Frankfurt am Main eine Region auf deutschem Boden in einem nach deutschem Recht betriebenen Rechenzentrum. Dies ist nach London und Dublin die dritte Region auf dem europäischen Kontinent. Amazon garantiert, dass Daten die vom Nutzer einmal gewählte Region nicht verlassen, sofern er nicht selbst explizit Anwendungen in mehreren Regionen implementiert. Alle AWS-Rechenzentren werden laut Amazon CO2-neutral betrieben, wobei die Sicherheitszonen über dedizierte Leitung miteinander verbunden sind, damit sich Anwendungen bei Bedarf ausfallsicher zum Beispiel in Form mehrerer Verfügbarkeitszonen betreiben lassen.

Die Verantwortung für den sicheren Betrieb der Infrastruktur liegt bei Amazon. Amazon sorgt also im Rahmen der Zertifizierungen wie ISO 27001, SOC 1 oder PCI DSS Level 1 für den ausfallsicheren Betrieb der Hardware. Für den sicheren Zugang zu seiner virtuellen Infrastruktur (Firewall, Routing) und die Verfügbarkeit von virtuellen Servern sind dagegen die AWS-Kunden selbst verantwortlich – außer natürlich, man bewegt sich im IaaS-Porfolio (EC2, VPC, S3).

AWS Security Credentials

Hat man den AWS-Account erst einmal erstellt, kann man sich anschließend mit den Anmeldedaten an der AWS Management-Konsole anmelden. Oben rechts unterhalb des Namens finden sich dann sämtliche Funktionen zum Verwalten und Anpassen des Kontos sowie rechts oben die gewählte Region, die sich dort auch umstellen lässt.

An dieser Stelle ist man mit dem Root-Konto in AWS unterwegs, was zwar sämtliche Berechtigungen zum Zugriff auf alle in AWS verfügbaren Ressourcen bietet, aber noch keine granulare Steuerung von Berechtigungen erlaubt. Es sind also Authentifizierung und Autorisierung in einem einzigen simplen Vorgang vereint.

Klickt man jetzt im Nutzer-Menu auf My Security Credentials, kann man weitere Einstellungen vornehmen. Der sich anschließende Dialog bietet die Möglichkeit, direkt mit Continue to Security Credentials fortzufahren oder schon an dieser Stelle mit dem Einrichten von IAM-Usern zu beginnen. Über die erste Option können zunächst Security Credentials verwaltet werden. Statt das AWS-Root-Konto nur über ein Password abzusichern, können auch Multi-Faktor-Authentifizierung (MFA), Access Keys (diese benötigen Sie in Rahmen eines programmatischen Zugriffs) und X-509-Zertifikate verwendet werden oder einfach Account Identifiers wie AWS Account ID oder Canonical User ID betrachtet werden.

 Übersicht über die AWS Security Credentials.
Abbildung 1: Übersicht über die AWS Security Credentials.

IAM-Nutzer der AWS-Cloud anlegen

Wesentlich leistungsfähiger hingegen ist AWS Identity and Access Management. Mit IAM können ausgehend vom Root-Konto weitere eigene AWS-Benutzer und -Gruppen angelegt und verwaltet werden. Nur bei diesen kann dann mit Hilfe von Berechtigungen der Zugriff auf ausgewählte AWS-Ressourcen zugelassen oder verweigert werden. Mithilfe von IAM kann also bestimmt werden, wer Zugriff auf AWS-Ressourcen erhält (Authentifizierung) und welche Ressourcen wie verwendet werden dürfen (Autorisierung).

Hierfür klickt man in der IAM Management-Konsole oben links auf Dashboard und dort auf Users. Mit Add user wird ein neuer Benutzer angelegt. Bei User name wird ein Name vergeben und darunter die beiden Häkchen für Programmatic access und AWS Management Console access aktiviert.

Mit der ersten Option erstellt man so genannte Access Keys, die beispielsweise verwendet werden können, um AWS-Ressourcen aus eigenen Skripten oder externen Programmen heraus anzusteuern (etwa ein S3-Bucket aus einer externen Backup-Anwendung). Die zweite Optionen ermöglicht es neu angelegten Benutzern, sich mit einer eigenen ID selbst an der AWS Management Console anzumelden. Dieser benötigt ein Passwort, das entweder vom Passwort Generator generiert werden oder selbst vergeben werden kann.

 Hinzufügen eines neuen AWS-Benutzerkontos.
Abbildung 2: Hinzufügen eines neuen AWS-Benutzerkontos.

Anschließend klickt man unten rechts auf Next:Permissions, um dem neuen Nutzer Berechtigungen zuzuweisen. Dies kann indirekt über Gruppen erfolgen, durch Kopieren von einem anderen User oder durch direktes Anhängen vorhandener Policies. Eine vierte Option mit der Schaltfläche Create Policy erlaubt zudem das Erstellen eigener Policies. Richtlinien werden bei AWS grundsätzlich in einem JSON-Dokument gespeichert. Hierbei hätte man theoretisch wieder drei Möglichkeiten: Man könnte eine AWS Managed Policy anhängen, den Poliy Generator verwenden oder gänzlich individuelle Policies erstellen.

Policy-Konfiguration für AWS IAM.
Abbildung 3: Policy-Konfiguration für AWS IAM.

In unserer Konfiguration erstellen wir keine eigene Policy und klicken daher nicht auf Create Policy, sondern suchen im Feld bei Policy type nacheinander die gewünschten vorhandenen Policies heraus, etwa AmazonEC2FullAccess, AmazonVPCFullAcess, AmazonS3FullAcess oder IAMReadOnlyAcess. Diese vier Filterbegriffe können nacheinander angewendet und die jeweilige Policy durch Setzen des Häkchens markiert werden, ohne den Dialog verlassen zu müssen. Klickt man anschließend auf Next: Review, werden die vier gewählten Policies angezeigt.

Überblick über das neue AWS IAM-Benutzerkonto.
Abbildung 4: Überblick über das neue AWS IAM-Benutzerkonto.

Ein Klick auf Create User erstellt den neuen Nutzer und weist ihm die gewählten Policies zu. In der Access-Liste ist nur die Access key id sichtbar. Access Key und Passwort sind durch Sternchen unkenntlich gemacht, können aber über Show ebenfalls angezeigt werden. Diese Gelegenheit sollte man nutzen, um das Access-Key-Paar über die Schaltfläche Download.csv herunterzuladen. In dieses Dokument sollte man bei der Gelegenheit auch das Passwort kopieren, denn dieses wird nicht in AWS gespeichert.

Klickt man den neuen Nutzer jetzt in der Users-Liste im IAM-Hauptmenü an, erkennt man oben den User ARN (Amazon Ressource Name), den Access-Pfad (/) und die Erstellzeit sowie im standardmäßig markierten Reiter Permissions die anfangs vergebenen Berechtigungen, die sich aber natürlich auch später noch erweitern und ändern lassen.

Anwenderliste für AWS IAM.
Abbildung 5: Anwenderliste für AWS IAM.

Im Reiter Security Credentials sieht man jetzt die eigene Access Key ID mit dem Status Active. Im oberen Bereich bei Sign-In-Credentials kann bei Bedarf mit Manage password das Passwort geändert oder zurückgesetzt werden. Hier markiert man schließlich noch den String bei Console login link und kopiert diesen in die Zwischenablage.

Mit dieser Information wird ein neuer Browser-Tab geöffnet, über den neuen IAM-Nutzer kann man sich nun an der AWS Management Console anmelden. Das Konto trägt automatisch als Namen die User ID des jeweiligen IAM-Nutzers.

Nach dem Login ist man entsprechend nicht mehr mit umfassenden Root-Rechten in AWS unterwegs, sondern mit den vorab festgelegten Berechtigungen. Zudem kann jetzt das Rollen-Modell und gezielte Rollen für die Ressourcennutzung eingerichtet werden, etwa eine Webserver-Rolle. Im nächsten Teil dieser Artikelreihe zeigen wir daher, wie sich ein hochverfügbarer Webserver in AWS einrichten lässt.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Public-Cloud-Infrastruktur

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close