Directory in der Cloud als wichtiger neuer Baustein
Einen wesentlichen Schritt für die Akzeptanz der AWS, besonders für den produktiven Einsatz und für größere Projekte, bedeutete die Einführung von Identity and Access Management (IAM). Vorher beschränkte sich die Zugangskontrolle zu den AWS auf die Anmeldung über das Amazon-Konto, dem die Cloud-Ressourcen zugeordnet sind. Es entspricht einem Admin- Account, der sämtliche Rechte gewährt. Er reicht aus, solange etwa nur ein Entwickler eine überschaubare Zahl an EC2-Instanzen für Testzwecke benötigt. Sobald mehrere User eine größere Zahl an Ressourcen verwenden wollen, lassen sich mit diesen beschränkten Mitteln weder die Benutzer verwalten noch die Zugriffsrechte steuern.
Über IAM lässt sich der Zugriff auf die meisten AWS-Dienste regeln, darunter EC2, S3, SimpleDB, Auto Scaling, CloudFormation oder CloudWatch. Dabei definiert jeder Service auf seine Weise, welche Formen des Zugriffs er je nach seinen Funktionen kennt. Für S3 lässt sich damit beispielsweise das Recht "CreateBucket" oder für CloudWatch auf "DeleteAlarms" erteilen.
Wie auch andere Verzeichnisdienste führt IAM die Konten für Benutzer, die man in Gruppen organisieren kann, wobei die Mitgliedschaft in mehreren Gruppen möglich ist. Damit Unternehmen, die intern in der Regel ein eigenes Directory betreiben, Benutzerkonten für Amazon nicht doppelt führen müssen, unterstützt IAM mittlerweile auch Identity Federation. Dabei können Anwendungen für interne User temporäre Zugangsdaten anfordern, die einen Zugriff auf AWS-Ressourcen für eine Dauer von maximal 36 Stunden erlauben. Zu den Applikationen, die ein solches Single-Sign-on unterstützen, gehört neuerdings auch die AWS Management Console, so dass sich die Cloud-Ressourcen über firmeninterne Benutzerkonten verwalten lassen.
Cloud-Anwendungen erfordern unbeschränkte Skalierbarkeit
Das starke Wachstum der Amazon Web Services, das sie zum unumstrittenen Marktführer macht, erklärt sich vor allem aus den vielen neuen Cloud-Anwendungen, die sich oft an eine weltweite Nutzerschaft richten. Diese Applikationen erfordern eine quasi unbeschränkte Skalierbarkeit und globale Verfügbarkeit, denen Amazon mit vielen der neuen Funktionen entgegenkam. Dagegen geht es in den Cloud-Strategien der etablierten Enterprise-Lieferanten in erster Linie um die flexible Auslagerung firmeninterner Workloads in die Cloud. Entscheidend ist hier vor allem die Kompatibilität mit Legacy-Anwendungen und den in den Unternehmen genutzten Systemen zur x86-Virtualisierung.
Amazon als Quereinsteiger aus dem E-Commerce hat keinen IT-Brückenkopf in den Unternehmen, der sich mit den Cloud-Services verbinden lässt. Auch wenn sich deshalb eine Hybrid Cloud mit den AWS nicht so ohne Weiteres einrichten lässt, hat der Anbieter in letzter Zeit einige neue Funktionen eingeführt, die eine Auslagerung interner Anwendungen in die Cloud vereinfachen.
Eine wesentliche Rolle bei der Verlagerung von Anwendungen aus der Enterprise-IT auf AWS spielen die Netzwerk-Features. So erlaubt es Virtual Private Cloud (VPC), einen isolierten Bereich zu definieren, in dem sich AWS-Ressourcen frei konfigurierbaren virtuellen Netzwerken zuordnen lassen. Damit können Firmen-LANs weitgehend nachgebildet werden, wobei der Administrator die IP-Adressbereiche selbst auswählen und bis zu 20 Subnets einrichten kann. Damit ist es beispielsweise möglich, die Web-Server in einem öffentlichen Subnet zu platzieren, während sich die Datenbank- oder Applikations-Server in private Subnets ohne Internet-Zugang verlagern lassen.