Um die Amazon Web Services (AWS) aktiv nutzen zu können, benötigt man ein eigenes AWS-Konto. Dieser Root-Account ist nur für wenige Aufgaben erforderlich, für die tägliche Arbeit reichen vielmehr so genannte IAM-User aus. Ihnen kann man über Gruppen und Rollen gezielt Rechte in AWS zuteilen.
Hat man ein AWS-Konto angelegt, dann ist man damit ein so genannter Root- bzw. Stamm-Benutzer und verwendet zum Login seine Root-Anmeldeinformationen, also E-Mail-Adresse und Passwort. Diese Credentials ermöglichen den uneingeschränkten Zugriff auf sämtliche Ressourcen des Kontos.
IAM-User anlegen
Am besten startet man mit einem administrativen IAM-User, meldet sich mit diesem an und legt dann weitere IAM-Gruppen und -Rollen mit eingeschränkten Berechtigungen an. Das Anmelden als IAM-Nutzer erfolgt immer mit einer Account-ID, dem zugehörigen IAM-Username und einem Passwort.
Das Root-Konto braucht man in der Praxis nur für wenige ausgewählte Aktionen wie:
- Ändern der Root-Benutzer-Details
- Ändern des Support-Plans
- Ändern von Zahlungsoptionen
- Abrufen von Rechnungsinformationen
- Schließen eines AWS Kontos
- Erstellen von x.509-Signaturzertifikaten
- Übertragen einer Route-53-Domäne an ein anderes AWS-Konto
Um sich am Anmeldebildschirm für einen IAM-Nutzer als Root-Nutzer anmelden zu können, klickt man auf den zugehörigen Link unterhalb des Anmelde-Buttons.
Übrigens lässt sich das Root-Konto auf Wunsch auch per Multifaktor-Authentifizierung (Hardware oder Software-Token) schützen. Selbstverständlich unterstützt AWS auch verschiedene Arten der Föderation mit anderen Authentifizierungslösungen (OpenID, SAML, AD-Federation, etc.). Die zugehörigen Einstellungen finden sich, wenn man rechts oben in der AWS-Management-Konsole auf den Kontonamen klickt.
Ist man als IAM-Nutzer angemeldet erscheint oben rechts als Anmeldename <iam-user@account-id>. Im Falle eines root-Users steht hier der ausgeschriebene Benutzername mit Vor- und Nachname. Als root-User kann man dann mit einem Klick auf My Account diverse Kontoeinstellungen bearbeiten.
Dazu gehören die konsolidierte Fakturierung, die Steuereinstellungen, DevPay, das Hinterlegen von Guthaben oder unter Präferenzen diverse Einstellungen zum Rechnungserhalt oder das Generieren von automatischen Abrechnungsmetriken. Diese können beispielsweise an den AWS-eigenen Überwachungsdienst Cloud Watch übermittelt werden. Damit lassen sich auf einfache Weise Kostenalarme einrichten.
Ferner erschließt der Dialog zum Bearbeiten der Kontoinformationen den Zugang zu weiteren wichtigen Werkzeugen, wie dem Kosten-Explorer, Budgets, Berichte und zu den eigentlichen Rechnungen.
Vertrag endet mit dem Löschen einer Ressource
Die mit dem Anlegen eines Kontos zustande kommende AWS-Kundenvereinbarung kann jederzeit online in diversen Sprachen (auch deutsch) heruntergeladen werden. Die übersetzen Versionen der Kundenvereinbarung dienen lediglich der eigenen Information, rechtlich maßgebend ist die englische Fassung.
Ansonsten gilt aus Compliance- und Datenschutz jeder einzelne API-Call zum Abruf eines REST-Services quasi als ein Vertrag, der erst endet, wenn ein User eine Ressource wieder aus seinem Konto löscht.
Terminiert er etwa eine EC2-Instanz, dann kann es je nach den konfigurierten Einstellungen durchaus sein, das im Konto trotzdem noch ein EBS-Volume, ein Snapshot, eine elastische IP-Adresse oder ein S3-Bucket erhalten bleibt und Kosten verursacht.
Kostenfalle Free Account
In der Vereinbarung steht zum Beispiel:
„Um auf die Services zuzugreifen, müssen Sie einen AWS Account mit einer gültigen E-Mail-Adresse und einem gültigen Zahlungsmittel haben. Sofern es Ihnen nicht ausdrücklich in den Servicebedingungen erlaubt wird, werden Sie nur einen Account pro E-Mail-Adresse einrichten“.
Daraus geht hervor, dass man auch zur Nutzung des Free-Kontos neben einer gültigen Mail-Adresse eine Kreditkarte benötigt. Der Free-Account ist also ein ganz gewöhnliches AWS-Konto, das lediglich im ersten Jahr der Nutzung ein kostenloses Kontingent von 750 Stunden EC2, 750 Stunden RDS, 5 GB S3-Speicher, 1 Mio. Lambda-Aufrufe und ein 1GB Quicksight einschließt.
Das gilt aber nur, wenn man AWS-Ressourcen verwendet, die auch für das Free-Kontingent berechtigt sind. Bei EC2-Instanzen gilt das nur für den Instanz-Typ t2micro mit 1GB RAM und 1 vCPU.
Ein produktiv betriebener Web-Server in AWS wird aber in der Praxis eher selten nur aus Free-Tier-berechtigten Services bestehen. Hier gilt es aufzupassen und sich frühzeitig mit einem oder mehreren Kostenüberwachung- und Analyse-Tools vertraut zu machen.
Im Gegensatz dazu bietet beispielsweise ein freies Azure-Konto 170 Euro Startguthaben für einen Monat sowie über 12 Monate Zugriff auf viele beliebte Dienste. Man benötigt dazu nur ein Microsoft-Login.
Übrigens nutzen die meisten AWS-Einsteiger als Start-Konto für AWS einfach ihr bestehendes Amazon-Konto, das ja bereits mit einer Kreditkarte hinterlegt ist. Da Unternehmen in der Regel viele AWS-Konten benötigen, besteht im Billing-Dashboard die Möglichkeit, so genannte Organizations anzulegen und darin einzelne AWS-Konten zusammenzufassen, um eine konsolidierte Fakturierung zu ermöglichen.
Support
Hat man erstmal ein eigenes, kostenloses AWS-Konto angelegt, ist man quasi Kunde und genießt automatisch Basis-Support. Weitere AWS-Support-Pläne(Developer, Business, Enterprise) kann man bei Bedarf erwerben. Generell gilt, dass alle AWS-Kunden Anspruch auf den mit jedem AWS-Konto enthalten Basis-Support haben.
Alle Pläne einschließlich Basic Support bieten rund um die Uhr Zugang zum Kundenservice sowie zu AWS-Dokumentationen, Whitepapers und Support-Foren. Im Enterprise-Support-Level wird dem jeweiligen Kunden darüber hinaus ein eigener Support-Consierge (kümmert sich speziell um Angelegenheiten rund um das eigene Konto) und ein eigener Technical Account Manager (TAM) fest zugewiesen.
Wer übrigens nicht selbst in AWS aktiv werden will, sondern lediglich mit Hilfe externer Unterstützung Projekte auf AWS hosten möchte, kann sich auch an einen APN-Partner wenden. AWS bietet im Rahmen seines APN-Partnerprogramms viele unterschiedlich abgestufte Programme.