IAM-Dienste von AWS, Azure und Google Cloud im Vergleich

Was ist Identitäts- und Zugriffsmanagement?

Cloud IAM ist eine Art von Service für die Verwaltung des Zugriffs auf Cloud-Ressourcen. Administratoren können ein Cloud-IAM-Framework verwenden, um Zugriffsrichtlinien zu konfigurieren, die festlegen, welche Aktionen eine bestimmte Anzahl von Benutzern oder Gruppen für bestimmte Cloud-Ressourcen durchführen kann.

So können Administratoren beispielsweise einem Benutzer die Berechtigung erteilen, VM-Instanzen in einem Cloud-Service wie Amazon EC2 anzuzeigen, zu erstellen und zu löschen. Sie könnten auch eine separate Richtlinie erstellen, die verschiedenen Benutzern nur die Ansicht von VM-Instanzen gestattet.

Ohne IAM-Services sind alle Benutzer, die Zugriff auf eine Cloud-Umgebung haben, in der Lage, jede unterstützte Aktion für jede Ressourcen durchzuführen. Das ist in den meisten Fällen nicht wünschenswert, daher verwenden Unternehmen Cloud-IAM-Frameworks, um Zugriffsrichtlinien auf der Grundlage der Anforderungen einzelner Benutzer und Gruppen zu konfigurieren.

Vergleichen Sie IAM-Dienste: AWS versus Azure versus Google Cloud

Obwohl alle Cloud-Anbieter IAM-Dienste anbieten, funktioniert jeder Dienst auf eine etwas andere Weise. Im Folgenden finden Sie die wichtigsten Unterschiede zwischen den IAM-Frameworks von AWS, Azure und Google Cloud.

Konzepte und Terminologie

Die IAM-Dienste aller großen Cloud-Anbieter unterstützen einen hierarchiebasierten Ansatz für die Benutzerverwaltung. Das ermöglicht es Administratoren, jedem Benutzer innerhalb des Unternehmens, Untergruppen von Benutzern oder einzelnen Benutzern Berichtungen zuzuweisen.

Die Terminologie, die die Anbieter verwenden, um auf Ressourcen innerhalb dieser Hierarchie zu verweisen, ist jedoch unterschiedlich. Bei AWS wird die oberste Hierarchieebene als Konto bezeichnet. Bei Azure ist es die Organisation und bei Google Cloud das Projekt. Alle diese Begriffe beziehen sich auf dieselbe Art von Ressource – die größte Gruppe von Benutzern, auf die IAM-Richtlinien angewendet werden können.

In anderen Fällen hat derselbe Begriff in verschiedenen Cloud-IAM-Systemen eine etwas andere Bedeutung. In Google Cloud kann sich der Begriff Principal beispielsweise auf Endnutzer mit Google-Konten, auf nicht-menschliche Nutzer, wie Anwendungen, oder sogar auf Google Groups beziehen. Principals können alle Personen mit einem Google-Konto sein, auch wenn sie keine Nutzerkonten in Google Cloud haben. In AWS hingegen ist ein Principal eine Identität, die in AWS selbst existiert, so dass sich das Principal-Konzept nicht auf externe Nutzer erstreckt.

Konfiguration der Ressourcenhierarchie

Die Cloud-Anbieter unterscheiden sich auch leicht darin, wie sie erwarten, dass Kunden Ressourcenhierarchien konfigurieren. Bei AWS und Google Cloud ist es beispielsweise relativ üblich, dass ein und dasselbe Unternehmen mehrere Konten oder Projekte konfiguriert. Im Gegensatz dazu wird bei Azure davon ausgegangen, dass die meisten Unternehmen nur eine Organisation konfigurieren – obwohl es möglich ist, innerhalb dieser Organisation mehrere Tenants zu erstellen, um verschiedene Gruppen von Benutzern und IAM-Richtlinien zu segmentieren.

Die Unterschiede in den Konzepten und der Terminologie der Ressourcenhierarchien spiegeln größtenteils die Unterschiede in den breiteren Ökosystem wider, in dem die einzelnen Cloud-Anbieter tätig sind. Azure geht davon aus, dass jeder Kunde nur eine Organisation konfiguriert, da sein IAM-Modell auf Konzepten basiert, die ursprünglich von Microsoft Active Directory (AD) stammen, einem IAM-System, das ursprünglich für lokale Endbenutzer-Computing-Umgebung entwickelt wurde.

Ebenso verfolgt Google Cloud einen flexibleren Ansatz bei der Definition von Principals, da Google andere Produkte und Dienste anbietet, die es seine Cloud-Plattform integrieren möchte. Das ist keine Priorität für Amazon, dessen digitale Angebote innerhalb von AWS viel begrenzter sind. AWS unterstützt zwar die Verwendung von Amazon.com-Konten als Root-Benutzer für AWS-Konten, aber AWS IAM ist im Allgemeinen nicht eng mit den E-Commerce-Services von Amazon integriert.

Preisgestaltung und Servicebeschränkungen

Alle großen Cloud-IAM-Dienste sind im Allgemeinen kostenlos. Es gelten jedoch Quoten für die Anzahl der Benutzer oder Berechtigungssätze, die jeder Dienst für ein bestimmtes Konto, Projekt oder eine Organisation unterstützt.

AWS unterstützt zum Beispiel bis zu 1.000 Rollen pro Konto. Kunden können zusätzliche Rollen anfordern, bis zu einer Höchstgrenze von 5.000 pro Konto. Für die Änderung des Kontingents entstehen dem Kunden keine zusätzlichen Kosten, aber AWS muss die Änderungen genehmigen, bevor sie wirksam werden.

Zum Vergleich: Azure unterstützt 4.000 Rollen pro Abonnement. Kunden können Erweiterung beantragen.

Ein weiterer wichtiger Unterschied besteht darin, dass für den IAM-Dienst von Azure, der Entra ID heißt und früher als Azure AD bekannt war, kostenpflichtige Versionen verfügbar sind. Das zentrale IAM-Angebot ist jedoch kostenlos, und selbst große Unternehmen werden wahrscheinlich feststellen, dass die kostenlose Version ihre Anforderungen erfüllt. Bei AWS und Google Cloud sind die IAM-Dienste in allen Fällen völlig kostenlos.

Merkmale und Funktionalität

Die Cloud-IAM-Dienste von AWS, Azure und Google Cloud unterscheiden sich nicht wesentlich in ihrer Funktionalität, aber sie weisen leichte Abweichungen auf.

So unterstützt Azure beispielsweise keine erweiterbaren IAM-Quoten, AWS und Google Cloud hingegen schon. Ein weiteres Beispiel ist, dass die maximal zulässige Größe von IAM-Richtlinien 6.144 Zeichen nicht überschreiten, während sie bei Google Cloud auf eine Dateigröße von 64 KByte begrenzt sind und Azure keine Einschränkungen vorsieht.

Jedes Framework verwaltet auch die Berechtigungen für nicht-menschliche Benutzer – manchmal auch nicht-interaktive Benutzer genannt – etwas anders. AWS IAM behandelt menschliche und nicht-menschliche Benutzer auf die gleiche Art und Weise, so dass beide unter demselben Konto verwaltet werden können. Bei Google Cloud und Azure hingegen müssen Administratoren separate Principals oder Servicegruppen für nicht-menschliche Nutzer definieren.

Welcher Cloud-IAM-Service ist der beste für Sie?

Es ist nicht zutreffend, dass eine bestimmte Cloud einen besseren IAM-Service bietet als ihre Konkurrenten. Die IAM-Services aller großen Clouds sind zuverlässige, funktionsreiche Optionen, mit denen Administratoren sehr differenzierte Zugriffskontrollrichtlinien konfigurieren können.

Außerdem sollten Unternehmen eine Cloud nicht aufgrund ihres IAM-Frameworks auswählen. Vielmehr sollten sie auf die Funktionen und Preise der Cloud-Services achten, die sie nutzen möchten. Diese Faktoren spielen eine viel wichtigere Rolle, wenn es darum geht, wie viel Nutzen sie aus der Cloud ziehen können.

Die Unterschiede zwischen den IAM-Diensten der einzelnen Clouds können dazu führen, dass zumindest manchmal eine Option für bestimmte Arten von Unternehmen besser geeignet ist als eine andere, je nach ihrer Struktur und der von ihnen verwendeten Technologie. Allgemein lässt sich für jeden Cloud-Anbieter Folgendes feststellen:

• AWS IAM eignet sich gut für Unternehmen, deren Benutzer und Ressourcen sich ausschließlich auf AWS beschränken.
• Azure IAM ist eine gute Option für Unternehmen, die mit Microsoft Active Directory vertraut sind und ihre AD-basierten Benutzer- und Identitätsverwaltungspraktiken auf die Cloud ausweiten möchten.
• Google Cloud IAM ist ideal für Unternehmen, die auch andere Google-Dienste wie Google Workspace nutzen und die Möglichkeit haben möchten, die Nutzer dieser Dienste in ihre Cloud-IAM-Strategie zu integrieren.

Jedes der großen Cloud IAM Frameworks kann praktisch jeden Anwendungsfall eines Unternehmens unterstützen, auch wenn es einige Unterschiede in den Details der Funktionsweise der einzelnen Frameworks gibt.