Tipps, Tricks & Tools

aws

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Storage-Technologien bieten Unternehmen immer neue Möglichkeiten zur flexiblen Datenhaltung, die angesichts der wachsenden Datenberge auch dringend geboten ... (mehr)

»Wir würden den Zugriff auf AWS-Ressourcen durch einzelne Teammitglieder gerne besser steuern, idealerweise rollenbasiert. Wie gehen wir dazu am besten vor?«

Mit dem Webservice "AWS Identity and Access Management" (IAM) können Sie steuern, wer zur Verwendung von Ressourcen authentifiziert (angemeldet) und autorisiert (berechtigt) ist. Mit der ersten Anmeldung bei AWS entsteht eine Anmeldeidentität mit Vollzugriff auf sämtliche Services. Wie bei allen Root-Benutzern sollte dieser Account auch hier nur für Konto- und Service-Verwaltungsaufgaben zum Einsatz kommen. So können Sie über die AWS-Management-Konsole mit dem Account des Stammbenutzers eine Gruppe von Personen zu Admins ernennen. In Umgebungen wie Amazon EC2 bietet sich beispielsweise eine Unterteilung in Systemadministratoren, Entwickler und Manager an. Systemadministratoren benötigen in diesem Beispiel etwa Berechtigungen zum Erstellen und Verwalten von AMIs, Instanzen, Snap­shots, Volumen und Sicherheitsgruppen. Diese werden über Richtlinien erteilt. Entwickler müssen nur mit Instanzen arbeiten können. Über eine Gruppenrichtlinie können ihnen die Berechtigungen für die Befehle DescribeInstances, RunInstances, StopInstances, StartInstances und TerminateInstances erteilt werden.

Den Zugriff auf das Betriebssystem selbst müssen Sie außerhalb von IAM festlegen. Diesen bestimmen Sie durch SSH-Schlüssel, Windows-Passwörter und Sicherheitsgruppen. Die Gruppe der Manager wiederum sollte keine Amazon-Instanzen aufsetzen und starten können. Allerdings muss sie unter Umständen die aktuell verfügbaren Ressourcen auflisten. In diesem Fall ist eine Richtlinie denkbar, mit der sie beispielsweise nur Amazon-EC2-Describe-API-Operationen aufrufen kann. Im Fall von S3 unterteilen Sie ein Bucket am besten in eine Reihe von Stammverzeichnissen für jeden Mitarbeiter und einen gemeinsam genutzten Bereich für Gruppen aus Entwicklern und Managern.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Tipps, Tricks & Tools

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020