Die Verwaltung von Benutzerzugängen und Berechtigungen kann in einer AWS Multi-Account Umgebung eine Herausforderung darstellen. Je größer die Multi-Account Umgebung wird desto aufwändiger wird es für Administratoren, als auch für Anwender, die Zugänge zu den jeweiligen AWS Accounts zu organisieren. Amazon Web Services bietet hierzu eine vereinfachte Lösung, die ich gern vorstellen möchte.
Unternehmen, die ihre Infrastruktur in AWS aufbauen und transparent halten möchten, sind früher oder später dazu angehalten einzelne Ressourcen und Services in mehrere AWS Accounts zu unterteilen. Das hat den Nachteil, dass eine Vielzahl an Zugriffen und Berechtigungen von Administratoren verwaltet werden muss. Je nachdem in welchen Projekten beispielsweise ein Mitarbeiter involviert ist, müssen an der Stelle mehrere Zugänge zu verschiedenen AWS Accounts eingerichtet werden. Das sorgt wiederum dafür, dass der Mitarbeiter eine große Anzahl an Anmeldedaten verwalten muss. Dieser Zustand kann auf Dauer die Produktivität des Mitarbeiters senken, da dieser in seinem täglichen Arbeitsfluss beeinträchtigt wird. Um diesen Zuständen entgegenzuwirken ist der hauseigene SSO Service sehr zu empfehlen.
AWS SSO ist ein cloudbasierter Single-Sign On Service, der eine zentrale Schnittstelle zur Verwaltung von AWS-Konten, Zugriffen und Berechtigungen ermöglicht und eine Verbindung zu weiteren Geschäftsanwendungen wie Dropbox oder Office 365 schafft. Folgende Abbildung soll das Konzept von AWS SSO verdeutlichen:
AWS SSO ist mit dem Active Directory Service und dem AWS Organizations Service verbunden. Die einzelnen Ressourcen beider Services werden demzufolge miteinander verknüpft. Aus diesem Grund ist es möglich, Zugriffe und Berechtigungen von Active Directory Benutzern und Gruppen auf entsprechende AWS Accounts und Geschäftsanwendungen zentral zu verwalten.
Das Active Directory Benutzerkonto kann beispielsweise in eine Zugriffsgruppe hinzugefügt werden, welche wiederrum in AWS SSO angezeigt wird. An die Gruppe können dann Zugriffe und Berechtigungen beigefügt werden. Das hat den Vorteil, dass u.a. ein neuer Mitarbeiter im Active Directory nur angelegt und in die entsprechende Zugriffsgruppe hinterlegt werden muss.
Nachdem die Zugriffe und Berechtigungen in AWS SSO erfolgt sind, kann der User sich im AWS SSO User Portal anmelden. Dieser wird anschließend durch das Active Directory authentifiziert. Nachdem die Authentifizierung erfolgt ist, werden nach einer Autorisierung die Ressourcen angezeigt, auf die der User berechtigt ist.
Das Benutzerportal könnte wie folgt aussehen:
Der User hat somit die Gelegenheit auf alle Ressourcen über AWS SSO zuzugreifen. Diese Methode spart nicht nur viel Zeit, sondern vereinfacht zugleich das Passwortmanagement des Users, wodurch eine erhöhte Produktivität gewährleistet wird. Zudem reduziert der Einsatz von AWS SSO den administrativen Aufwand, da an der Stelle nur der Active Directory Account ausreicht um auf verschiedene Ressourcen zugreifen zu können. Des Weiteren, wird die mühsame Erstellung von IAM-Benutzern in unzähligen AWS Accounts vermieden.
Zum Abschluss lässt sich sagen, dass der AWS SSO Service sich besonders für Unternehmen eignet, die mehrere AWS Accounts und Geschäftsanwendungen einsetzen, da die Verwaltung von Benutzerzugriffen und Berechtigungen vereinfacht und den Mitarbeitern ein umständliches Account- und Passwortmanagement erspart wird.
https://aws.amazon.com/de/single-sign-on/
https://aws.amazon.com/de/blogs/security/how-to-create-and-manage-users-within-aws-sso/
Stay in touch with us and find out what is going on right now.
