Zum Inhalt springen

AWS IAM

AWS IAM (Identity and Access Management) steuert, wer in einem AWS-Account was tun darf. Über Identitäten und feingranulare Berechtigungen wird der Zugriff auf jeden einzelnen Dienst geregelt.

Was ist AWS IAM?

AWS IAM (Identity and Access Management) ist das Berechtigungssystem von AWS. Es beantwortet bei jeder Aktion in einem AWS-Account die Frage: Darf diese Identität diese konkrete Aktion auf dieser konkreten Ressource ausführen? IAM ist damit das Fundament der Sicherheit jeder AWS-Umgebung – jeder andere Dienst stützt sich darauf.

IAM ist kostenlos und dennoch einer der wichtigsten Dienste überhaupt. Ein durchdachtes IAM-Konzept verhindert, dass Mitarbeitende, Anwendungen oder ein kompromittierter Zugang mehr Rechte haben als nötig.

Die Bausteine von IAM

  • Benutzer (Users): Identitäten für einzelne Personen mit eigenen Zugangsdaten.
  • Gruppen (Groups): Bündeln Benutzer mit ähnlichen Aufgaben, um Berechtigungen einheitlich zu vergeben.
  • Rollen (Roles): Identitäten, die temporär angenommen werden – von Anwendungen, AWS-Diensten oder Benutzern.
  • Richtlinien (Policies): Regelwerke im JSON-Format, die genau beschreiben, welche Aktionen erlaubt oder verboten sind.

Das Prinzip der geringsten Rechte

Der wichtigste Grundsatz bei IAM ist das Prinzip der geringsten Rechte (Least Privilege): Jede Identität erhält ausschließlich die Berechtigungen, die sie für ihre Aufgabe tatsächlich braucht – nicht mehr. So bleibt der Schaden begrenzt, falls ein Zugang missbraucht wird. Pauschale Administratorrechte „für alle Fälle" sind eines der größten vermeidbaren Sicherheitsrisiken in der Cloud.

Rollen statt langlebiger Schlüssel

Anwendungen und AWS-Dienste sollten niemals mit fest hinterlegten, langlebigen Zugangsschlüsseln arbeiten. Stattdessen nehmen sie eine IAM-Rolle an und erhalten dadurch temporäre, automatisch ablaufende Zugangsdaten. Eine EC2-Instance mit einer zugewiesenen Rolle kann etwa auf einen S3-Bucket zugreifen, ohne dass irgendwo ein Schlüssel gespeichert werden muss – ein Schlüssel, der nicht existiert, kann auch nicht gestohlen werden.

IAM im Mittelstand

Ein sauberes IAM-Konzept gehört an den Anfang jeder AWS-Nutzung. Dazu gehören die Absicherung des Hauptkontos mit Mehr-Faktor-Authentifizierung, klar abgegrenzte Rollen für Teams und Anwendungen sowie der konsequente Verzicht auf langlebige Schlüssel. Werden diese Grundlagen früh gelegt, wächst die Umgebung sicher mit – nachträgliches Aufräumen eines gewachsenen Berechtigungschaos ist deutlich aufwendiger.

Häufig gestellte Fragen zu AWS IAM

AWS IAM ist kostenlos. Es entstehen keine Gebühren für Benutzer, Gruppen, Rollen oder Richtlinien. Kosten fallen nur für die AWS-Dienste an, auf die über IAM zugegriffen wird.

Ein IAM-Benutzer ist eine dauerhafte Identität mit eigenen Zugangsdaten, typischerweise für eine Person. Eine IAM-Rolle hat keine dauerhaften Zugangsdaten und wird temporär angenommen – von Anwendungen, AWS-Diensten oder Benutzern. Rollen sind sicherer, weil die ausgestellten Zugangsdaten automatisch ablaufen.

Es bedeutet, dass jede Identität nur genau die Berechtigungen erhält, die sie für ihre Aufgabe braucht – nicht mehr. So bleibt der mögliche Schaden begrenzt, falls ein Zugang missbraucht wird. Pauschale Administratorrechte sind ein vermeidbares Sicherheitsrisiko.

Aktiviere Mehr-Faktor-Authentifizierung für das Hauptkonto und alle Benutzer, vermeide die tägliche Nutzung des Root-Accounts, vergib Berechtigungen nach dem Least-Privilege-Prinzip und ersetze langlebige Zugangsschlüssel durch IAM-Rollen mit temporären Zugangsdaten.

Verwandte Begriffe

DevSecOps Zero Trust Security Secrets Management Amazon S3 AWS KMS

Passende Leistungen

DevSecOps

Sicherheit, die nicht bremst: Wir integrieren Scans, Policies und Compliance-Checks direkt in Ihre Pipeline — so schützen Sie Daten, ohne die Entwicklung auszubremsen.

Interesse geweckt?

Lassen Sie uns über Ihr Projekt sprechen. Wir beraten Sie gerne unverbindlich.

Kontakt aufnehmen

Zuletzt aktualisiert: Mai 2026