Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos
<a name="enable-mfa-for-root"></a>

**Wichtig**  
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden AWS, da diese resistenter gegen Angriffe wie Phishing sind. Weitere Informationen finden Sie unter [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-root).

Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher und effektiver Mechanismus zur Verbesserung Ihrer Sicherheit. Der erste Faktor – Ihr Passwort – ist ein Geheimnis, das Sie sich merken, auch Wissensfaktor genannt. Andere Faktoren können Besitzfaktoren (etwas, das Sie besitzen, wie etwa ein Sicherheitsschlüssel) oder Inhärenzfaktoren (etwas, das Sie sind, wie etwa ein biometrischer Scan) sein. Um die Sicherheit zu erhöhen, empfehlen wir dringend, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen.

**Anmerkung**  
Für alle AWS-Konto Typen (eigenständige Konten, Verwaltungs- und Mitgliedskonten) muss MFA für ihren Root-Benutzer konfiguriert sein. Benutzer müssen MFA innerhalb von 35 Tagen nach ihrem ersten Anmeldeversuch registrieren, um auf die zuzugreifen, AWS-Managementkonsole sofern MFA nicht bereits aktiviert ist.

Sie können MFA für die Root-Benutzer des AWS-Kontos und IAM-Benutzer aktivieren. Wenn Sie MFA für den Root-Benutzer aktivieren, wirkt sich dies nur auf die Anmeldeinformationen des Root-Benutzers aus. Weitere Informationen zum Aktivieren von MFA für Ihre IAM-Benutzer finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

**Anmerkung**  
AWS-Konten Managed Using bietet AWS Organizations möglicherweise die Option, den [Root-Zugriff für Mitgliedskonten zentral zu verwalten](id_root-user.md#id_root-user-access-management), um die Wiederherstellung von Anmeldeinformationen und den Zugriff in großem Umfang zu verhindern. Wenn diese Option aktiviert ist, können Sie die Anmeldeinformationen des Root-Benutzers aus den Mitgliedskonten löschen, einschließlich Passwörtern und MFA, wodurch die Anmeldung als Root-Benutzer, die Passwortwiederherstellung oder die Einrichtung von MFA effektiv verhindert wird. Wenn Sie lieber passwortbasierte Anmeldemethoden beibehalten möchten, können Sie Ihr Konto zusätzlich sichern, indem Sie MFA registrieren, um den Schutz Ihres Kontos zu verbessern.

Bevor Sie MFA für Ihren Root-Benutzer aktivieren, überprüfen und [aktualisieren Sie Ihre Kontoeinstellungen und Kontaktinformationen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html), um sicherzustellen, dass Sie Zugriff auf die E-Mail-Adresse und Telefonnummer haben. Wenn Ihr MFA-Gerät verloren geht, gestohlen wird oder nicht funktioniert, können Sie sich immer noch als Stammbenutzer anmelden, indem Sie Ihre Identität mit dieser E-Mail und Telefonnummer verifizieren. Weitere Informationen zum Anmelden mit alternativen Authentifizierungsmethoden finden Sie unter [Wiederherstellung einer MFA-geschützten Identität in IAM](id_credentials_mfa_lost-or-broken.md). Wenn Sie dieses Feature deaktivieren möchten, wenden Sie sich an [AWS Support](https://console.aws.amazon.com/support/home#/). 

AWS unterstützt die folgenden MFA-Typen für Ihren Root-Benutzer:
+ [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-root)
+ [Anwendungen für virtuelle Authentifikatoren](#virtual-auth-apps-for-root)
+ [Hardware-TOTP-Token](#hardware-totp-token-for-root)

## Passkeys und Sicherheitsschlüssel
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel für MFA. Basierend auf den FIDO-Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung zu gewährleisten, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.
+ **Sicherheitsschlüssel**: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einzelner Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM-Benutzer unterstützen. 
+ **Synchronisierte Passkeys**: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Du kannst integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um deinen Anmeldeinformationsmanager zu entsperren und dich dort anzumelden. AWS Passkeys werden bei Ihrem ausgewählten Anbieter anhand Ihres Fingerabdrucks, Gesichts oder der Geräte-PIN erstellt. Sie können auch einen Passkey für die geräteübergreifende Authentifizierung (CDA) auf einem Gerät, z. B. einem Mobilgerät oder einem Hardware-Sicherheitsschlüssel, verwenden, um sich auf einem anderen Gerät, z. B. einem Laptop, anzumelden. Weitere Informationen finden Sie unter [Geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Du kannst Passkeys auf all deinen Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu verbessern. AWS Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md).

Die FIDO Alliance führt eine Liste aller [FIDO-zertifizierten Produkte](https://fidoalliance.org/certification/fido-certified-products/), die mit den FIDO-Spezifikationen kompatibel sind.

## Anwendungen für virtuelle Authentifikatoren
<a name="virtual-auth-apps-for-root"></a>

Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein [zeitgesteuertes Einmalpasswort (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss bei der Anmeldung einen gültigen Code vom Gerät eingeben, wenn er dazu aufgefordert wird. Jeder Token, der einem Benutzer zugeordnet wird, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Token eines anderen Benutzers eingeben.

Wir empfehlen die Verwendung eines virtuellen MFA-Geräts beim Warten auf die Genehmigung für den Hardware-Kauf oder während Sie warten, bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Anweisungen zum Einrichten eines virtuellen MFA-Geräts mit finden Sie AWS unter[Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md).

## Hardware-TOTP-Token
<a name="hardware-totp-token-for-root"></a>

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code basierend auf dem [zeitgesteuerten Einmalpasswort (TOTP)-Algorithmus](https://datatracker.ietf.org/doc/html/rfc6238). Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben. Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Weitere Informationen zu unterstützten Hardware-MFA-Geräten finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Anweisungen zum Einrichten eines Hardware-TOTP-Tokens mit AWS finden Sie unter [Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).

Wenn Sie ein physisches MFA-Gerät verwenden möchten, empfehlen wir Ihnen, FIDO-Sicherheitsschlüssel als Alternative zu Hardware-TOTP-Geräten zu verwenden. FIDO-Sicherheitsschlüssel bieten die Vorteile, dass sie keine Batterie benötigen, Phishing-resistent sind und zur Verbesserung der Sicherheit mehrere Root- und IAM-Benutzer auf einem einzigen Gerät unterstützen.

**Topics**
+ [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-root)
+ [Anwendungen für virtuelle Authentifikatoren](#virtual-auth-apps-for-root)
+ [Hardware-TOTP-Token](#hardware-totp-token-for-root)
+ [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md)
+ [Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md)
+ [Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md)

# Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)
<a name="enable-fido-mfa-for-root"></a>

Sie können einen Hauptschlüssel für Ihren Root-Benutzer AWS-Managementkonsole nur über die AWS API konfigurieren und aktivieren, nicht über die AWS CLI oder. <a name="enable_fido_root"></a>

**So aktivieren Sie einen Passkey oder Sicherheitsschlüssel für Ihren Root-Benutzer (Konsole)**

1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.

   Anweisungen finden Sie [im *Benutzerhandbuch* unter AWS-Managementkonsole Als Root-Benutzer anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html).AWS-Anmeldung 

1. Wählen Sie rechts in der Navigationsleiste Ihren Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Wählen Sie auf der Seite **Meine Sicherheitsanmeldeinformationen** Ihres Root-Benutzers unter **Multi-Faktor-Authentifizierung (MFA)** die Option **MFA-Gerät zuweisen** aus.

1. Geben Sie auf der Seite **MFA-Gerätename** einen **Gerätenamen** ein, wählen Sie **Passkey oder Sicherheitsschlüssel** und klicken Sie dann auf **Weiter**.

1. Richten Sie unter **Gerät einrichten** Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

1. Befolgen Sie die Anweisungen in Ihrem Browser, um einen Passkey-Anbieter auszuwählen oder den Ort anzugeben, an dem Sie Ihren Passkey für die Verwendung auf allen Ihren Geräten speichern möchten. 

1. Klicken Sie auf **Weiter**.

Sie haben jetzt Ihren Hauptschlüssel für die Verwendung mit AWS registriert. Wenn Sie sich das nächste Mal mit Ihren Root-Benutzer-Anmeldeinformationen anmelden, müssen Sie sich mit Ihrem Passkey authentifizieren, um den Anmeldevorgang abzuschließen.

Hilfe zur Fehlerbehebung von Problemen mit Ihrem FIDO-Sicherheitsschlüssel finden Sie unter [Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md).

# Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)
<a name="enable-virt-mfa-for-root"></a>

Sie können das verwenden AWS-Managementkonsole , um ein virtuelles MFA-Gerät für Ihren Root-Benutzer zu konfigurieren und zu aktivieren. Um MFA-Geräte für zu aktivieren AWS-Konto, müssen Sie AWS mit Ihren Root-Benutzeranmeldedaten angemeldet sein. 

**So konfigurieren und aktivieren Sie ein virtuelles MFA-Gerät zur Verwendung mit dem (Konsole)**

1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.

   Anweisungen finden Sie [im *Benutzerhandbuch unter Melden Sie sich AWS-Managementkonsole als AWS-Anmeldung Root-Benutzer*](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) an.

1. Klicken Sie rechts auf der Navigationsleiste auf Ihren Kontonamen und wählen Sie **Security Credentials (Sicherheits-Anmeldeinformationen)** aus.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Authenticator app (Authenticator-App)** und dann **Next (Weiter)**.

   IAM generiert Konfigurationsinformationen für das virtuelle MFA-Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des geheimen Konfigurationsschlüssels, der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

1. Öffnen Sie die virtuelle MFA-App auf dem Gerät. 

   Wenn die virtuelle MFA-App mehrere virtuelle MFA-Geräte oder -Konten unterstützt, wählen Sie die Option zum Erstellen eines neuen virtuellen MFA-Geräts oder -Kontos.

1. Die einfachste Methode zum Konfigurieren der App ist die Verwendung der App zum Scannen des QR-Codes. Wenn es nicht möglich ist, den Code zu scannen, können Sie die Konfiguration manuell eingeben. Der von IAM generierte QR-Code und der geheime Konfigurationsschlüssel sind an Ihr Konto gebunden AWS-Konto und können nicht mit einem anderen Konto verwendet werden. Sie können jedoch zum Konfigurieren eines neuen MFA-Geräts für Ihr Konto wiederverwendet werden, falls Sie den Zugriff auf das ursprüngliche MFA-Gerät verlieren.
   + Um den QR-Code zur Konfiguration des virtuellen MFA-Geräts zu verwenden, wählen Sie im Assistenten **Show QR code (QR-Code anzeigen)**. Folgen Sie dann den Anweisungen der App zum Scannen des Codes. Sie müssen beispielsweise das Kamerasymbol oder einen Tippbefehl wie z. B. **Scan account barcode (Barcode des Kontos scannen)** auswählen und dann mit der Kamera des Geräts den QR-Code scannen.
   + Wählen Sie im Assistenten **zum Einrichten des Geräts** die Option **Show secret key (Geheimen Schlüssel anzeigen)** aus und geben Sie dann den geheimen Schlüssel in Ihre MFA-App ein.
**Wichtig**  
Erstellen Sie eine sichere Kopie des QR-Codes oder geheimen Zugriffsschlüssels oder stellen Sie sicher, dass Sie mehrere MFA-Geräte für Ihr Konto aktivieren. Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Ein virtuelles MFA-Gerät ist möglicherweise nicht mehr verfügbar, wenn Sie beispielsweise das Smartphone verlieren, auf dem das virtuelle MFA-Gerät gehostet wird. Wenn dies geschieht und Sie sich ohne zusätzliche MFA-Geräte, die an den Benutzer angeschlossen sind, oder sogar über [Wiederherstellen eines Stammbenutzer-MFA-Geräts](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) nicht bei Ihrem Konto anmelden können, können Sie sich nicht bei Ihrem Konto anmelden und müssen den [Kundendienst kontaktieren](https://support.aws.amazon.com/#/contacts/aws-mfa-support), um den MFA-Schutz für das Konto zu entfernen. 

   Das Gerät beginnt, sechsstellige Zahlen zu generieren.

1. Geben Sie im Assistenten im Feld **MFA Code 1** das aktuell am virtuellen MFA-Gerät angezeigte Einmalpasswort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite Einmalpasswort in das Feld **MFA Code 2** ein. Wählen Sie **Add MFA (MFA hinzufügen)**. 
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das Gerät ist einsatzbereit für. AWS Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).

# Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)
<a name="enable-hw-mfa-for-root"></a>

Sie können ein physisches MFA-Gerät für Ihren Root-Benutzer AWS-Managementkonsole nur über die AWS API konfigurieren und aktivieren, nicht über die AWS CLI oder.

**Anmerkung**  
Möglicherweise wird Ihnen unterschiedlicher Text angezeigt, z. B. **Sign in using MFA (Melden Sie sich mit MFA an)** und **Troubleshoot your authentication device (Fehlerbehebung bei Ihrem Authentifizierungsgerät)**. Es stehen jedoch die gleichen Features zur Verfügung. Wenn Sie die E-Mail-Adresse und Telefonnummer Ihres Kontos in beiden Fällen nicht mithilfe alternativer Authentifizierungsfaktoren verifizieren können, wenden Sie sich an [AWS Support](https://aws.amazon.com/forms/aws-mfa-support), um Ihre MFA-Einstellung löschen zu lassen.<a name="enable_physical_root"></a>

**So aktivieren Sie ein Hardware-TOTP-Token für Ihren Root-Benutzer (Konsole)**

1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.

   Anweisungen finden Sie [im *Benutzerhandbuch unter Melden Sie sich AWS-Managementkonsole als AWS-Anmeldung Root-Benutzer*](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) an.

1. Wählen Sie rechts in der Navigationsleiste Ihren Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Erweitern Sie den Bereich **Multi-Factor Authentication (MFA)**.

1. Wählen Sie **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.

1. Geben Sie im Feld **Serial number (Seriennummer)** die auf der Rückseite des MFA-Geräts aufgeführte Seriennummer ein.

1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.  
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)

1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

1. Wählen Sie **Add MFA (MFA hinzufügen)**. Das MFA-Gerät ist jetzt mit dem AWS-Konto verknüpft.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

   Wenn Sie sich das nächste Mal mit Ihren Stammbenutzer-Anmeldeinformationen anmelden, müssen Sie einen am MFA-Gerät angezeigten Code eingeben.