aufgepasst … AWS IAM User sind nun case-sensitiv

Amazon AWS hat die Loginpage für die AWS Console überarbeitet und im Zuge dessen sind nun IAM Usernamen case-sensitiv … also beim Login nun darauf achten, sonst wundert man sich, warum der Login nicht mehr geht …

 

Amazon AWS Cross-Account Zugriff

Viele AWS Kunden haben mehrere AWS Accounts, die über einen zentralen Account abgerechnet werden. (Consolidated Billing). Wenn man so einen zentralen Account hat, wäre es natürlich prima, wenn man seine IAM-User nur im zentralen AWS-Account anlegt und diese dann auch Rechte in den untergeordneten AWS Accounts haben. Möglich wäre diese durch Definition einer speziellen IAM-Rolle. Leider gilt der damit erteilte Zugriff im Augenblick nur für API-Zugriffe und NICHT für AWS-Consolen Zugriffe … somit bleibt nur die Hoffnung, dass diese Rolle auch bald bei AWS-Consolen Zugriffen Berücksichtigung findet.

IAM Management Console - Google Chrome_2013-07-01_16-54-29

IAM User Rechte einschränken

In vielen Unternehmen müssen Mitarbeiter selbst bei geringsten Beschaffungen sich eine Unterschrift von ihrem Chef holen … in der Amazon Cloud hingegen kann ein Mitarbeiter oft viele tausend Euro auf Knopfdruck ausgeben … sofern man dieses nicht explizit über Rechte in IAM unterbindet.

Viele Unternehmen definieren für Ihre Admins eine IAM-Gruppe “Operators”, die dann mit Rechten aus dem Policy Template “Power User Access” versehen wird. Dadurch haben Mitglieder dieser Gruppe dann Rechte auf alle Module aber nicht auf IAM.

Wenn diese Operators aber in EC2 z.B. keine Reserved Instances kaufen dürfen, dann muss dieses noch durch weitere Policies unterbunden werden. Hier ein Beispiel, wie man den Kauf von EC2 Reserved Instances unterbindet:

1. Für die Gruppe Operators eine weitere Policy hinzufügen:

mehr … »

Richtige Nutzung der Amazon AWS Command Line unter Einsatz von IAM

Um die Amazon AWS Command Line Tools (am besten zu nutzen über die Bitnami Cloud Tools, siehe diesen Artikel) nutzen zu können, muss man allerdings für die AWS Command Line Tools entsprechende Zertifikate hinterlegen, da die Authentifizierung der AWS Command Line Tools am entsprechenden Amazon AWS Account automatisiert über Zertifikate erfolgt.

In der Regel machen das die meisten Kunden, in dem sie sich mit dem Master Account User anmelden (das ist der User, der das entsprechende AWS Konto erstellt hat) und in der AWS Console rechts oben im Menü auf Security Credentials klicken.

  

Anschließend kann man sich dort im Bereich X.509 ein neues Zertifikat erstellen lassen und das Zertifikat und den Private Key herunterladen und diese entsprechend in den AWS Command Line Tools einbinden.

Diese beiden Dateien werden dann i.d.R. an die Programmierer und Administratoren verteilt und alle fangen an zu arbeiten. Funktioniert technisch prima, ist aber suboptimal … denn was passiert, wenn einer das Unternehmen verlässt … dann muss man eigentlich ein neues Zertifikat mit Private Key erstellen und wieder neu verteilen …

mehr … »