Skip to content

IAM-Rollen vs. Benutzer vs. Richtlinien — wie wendet man geringste Rechte in der Cloud an?

Kurzantwort

Ein Benutzer ist eine langlebige Identität mit permanenten Anmeldedaten; eine Rolle ist eine Identität ohne permanente Anmeldedaten, die jeder vertrauenswürdige Principal annehmen kann, um kurzlebige Tokens zu erhalten; eine Richtlinie ist das JSON-Dokument, das Berechtigungen gewährt und an beide angehängt wird. Geringste Rechte bedeutet, Rollen Benutzern vorzuziehen, Richtlinien auf konkrete Aktionen und Ressourcen einzugrenzen und nur das zu gewähren, was eine Aufgabe braucht — und im Lauf der Zeit zu überprüfen und auszumisten.

Diese Frage trennt diejenigen, die die Cloud nutzen, von denen, die sie absichern. Die drei Konzepte sind verschieden, und sie zu vermengen führt direkt zu Umgebungen mit übermäßigen Rechten.

Die drei Bausteine

  • Benutzer. Eine langlebige Identität, meist für einen Menschen, mit permanenten Anmeldedaten (Passwort, Zugriffsschlüssel). Permanente Schlüssel sind ein Risiko — sie lecken in Repositories und CI-Logs.
  • Rolle. Eine Identität ohne permanente Anmeldedaten. Ein vertrauenswürdiger Principal (eine EC2-Instanz, eine Lambda, ein anderes Konto, ein föderierter Benutzer) nimmt die Rolle über STS an und erhält kurzlebige, automatisch rotierende Tokens. Das ist das bevorzugte Muster für Workloads und kontenübergreifenden Zugriff, weil es keine statischen Secrets zu stehlen gibt.
  • Richtlinie. Das JSON-Dokument, das tatsächlich Berechtigungen gewährt oder verweigert — Effect, Action, Resource und ein optionales Condition. Richtlinien werden an Benutzer, Rollen oder Gruppen angehängt. Eine Rolle oder ein Benutzer ohne Richtlinie kann nichts tun.

Geringste Rechte anwenden

Geringste Rechte bedeutet, dass jede Identität nur die Berechtigungen hat, die eine konkrete Aufgabe erfordert, und nicht mehr:

  • Rollen Benutzern vorziehen für alles Nicht-Menschliche, damit es keine statischen Schlüssel gibt.
  • Aktionen und Ressourcen eingrenzen. Ersetze s3:* auf * durch die konkreten Aktionen auf konkrete ARNs. Füge Condition-Klauseln hinzu (Quell-IP, MFA, Tags), wo sie passen.
  • Eskalationspfade beobachten. Berechtigungen wie iam:PassRole, iam:CreatePolicyVersion oder das Anhängen von Admin-Richtlinien lassen eine Identität mit niedrigen Rechten zum Admin werden — geringste Rechte muss die IAM-Aktionen selbst abdecken.
  • Überprüfen und ausmisten. Nutze Access Analyzer und Last-Used-Daten, um ungenutzte Berechtigungen im Lauf der Zeit zu entfernen.

Worauf Interviewer achten

Klare Definitionen, eine deutliche Neigung zu Rollen und kurzlebigen Anmeldedaten und das Bewusstsein, dass IAM-Berechtigungen selbst ein Eskalationsvektor sein können.

Wahrscheinliche Anschlussfragen

  • Wann würdest du für eine Anwendung eine Rolle statt eines IAM-Benutzers verwenden?
  • Wie grenzt du eine Richtlinie in der Praxis von einer Wildcard auf geringste Rechte ein?
  • Was ist Rechteausweitung über IAM, z. B. eine iam:PassRole- oder Richtlinienbearbeitungs-Berechtigung?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.