IAM-Benutzer für den Notfallzugriff erstellen - AWS Identity and Access Management
So erstellen Sie einen IAM-Benutzer für den Notfallzugriff

IAM-Benutzer für den Notfallzugriff erstellen

Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmten Berechtigungen für eine einzelne Person oder eine einzelne Anwendung.

Die Einrichtung eines IAM-Benutzers für den Notfallzugriff ist einer der empfohlenen Gründe für die Erstellung eines IAM-Benutzers, damit Sie auf Ihr AWS-Konto zugreifen können, wenn Ihr Identitätsanbieter nicht erreichbar ist.

Anmerkung

Im Sinne bewährter Sicherheitsmethoden wird empfohlen, den Zugriff auf Ihre Ressourcen über einen Identitätsverbund zu ermöglichen, anstatt IAM-Benutzer zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.

So erstellen Sie einen IAM-Benutzer für den Notfallzugriff

Wählen Sie die Registerkarte für das Verfahren aus, das Sie zur Erstellung eines IAM-Benutzers benutzen möchten:

Mindestberechtigungen

Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Mehr anzeigenWeniger anzeigen
IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich Benutzer und dann Benutzer erstellen aus.

    Anmerkung

    Wenn Sie das IAM Identity Center aktiviert haben, zeigt die AWS Management Console eine Erinnerung an, dass Sie den Zugriff der Benutzer am besten im IAM Identity Center verwalten sollten. In diesem Verfahren ist der von Ihnen erstellte IAM-Benutzer ausschließlich für die Verwendung vorgesehen, wenn Ihr Identitätsanbieter nicht verfügbar ist.

  4. Geben Sie auf der Seite Specify user details (Benutzerdetails angeben) unter User details (Benutzerdetails) in das Feld User name (Benutzername) den Namen für den neuen Benutzer ein. Dies ist der Anmeldename für AWS. Geben Sie für dieses Beispiel EmergencyAccess ein.

    Anmerkung

    Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (_) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. So können Sie beispielsweise keine zwei Gruppen mit Namen TESTBENUTZER und testbenutzer erstellen. Wenn ein Benutzername in einer Richtlinie oder als Teil eines ARN verwendet wird, ist die Groß-/Kleinschreibung des Namens zu beachten. Wenn Kunden in der Konsole ein Benutzername angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Benutzernamens nicht beachtet.

  5. Aktivieren Sie das Kontrollkästchen neben Benutzerzugriff auf die AWS Management Console gewähren – optional und wählen Sie dann Ich möchte einen IAM-Benutzer erstellen aus.

  6. Wählen Sie unter Console password (Konsolenpasswort) Autogenerated password (Automatisch generiertes Passwort).

  7. Deaktivieren Sie das Kontrollkästchen neben Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen). Da dieser IAM-Benutzer für den Notfallzugriff vorgesehen ist, behält ein vertrauenswürdiger Administrator das Passwort und gibt es nur bei Bedarf weiter.

  8. Wählen Sie auf der Seite Set permissions (Berechtigungen festlegen) unter Permissions options (Berechtigungsoptionen) die Option Add user to group (Benutzer zur Gruppe hinzufügen) aus. Wählen Sie dann unter User groups (Benutzergruppen) die Option Create group (Gruppe erstellen) aus.

  9. Geben Sie auf der Seite Create user group (Benutzergruppe erstellen) im Feld User group name (Benutzergruppenname) EmergencyAccessGroup ein. Wählen Sie dann unter Permissions policies (Berechtigungsrichtlinien) die Option AdministratorAccess aus.

  10. Wählen Sie Benutzergruppe erstellen aus, um zur Seite Berechtigungen festlegen zurückzukehren.

  11. Wählen Sie unter User groups (Benutzergruppen) den Namen der EmergencyAccessGroup aus, die Sie zuvor erstellt haben.

  12. Wählen Sie Weiter, um mit der Seite Überprüfen und erstellen fortzufahren.

  13. Überprüfen Sie auf der Seite Review and create (Überprüfen und erstellen) die Liste der Benutzergruppenmitgliedschaften, die dem neuen Benutzer hinzugefügt werden sollen. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

  14. Wählen Sie auf der Seite Passwort abrufen die Option CSV-Datei herunterladen aus, um eine CSV-Datei mit den Benutzer-Anmeldeinformationen (Verbindungs-URL, Benutzername und Passwort) zu speichern.

  15. Speichern Sie diese Datei für die Verwendung, wenn Sie sich bei IAM anmelden müssen und keinen Zugriff auf Ihren Identitätsanbieter haben.

Der neue IAM-Benutzer wird in der Liste Users (Benutzer) angezeigt. Wählen Sie den Link User name (Benutzername), um die Benutzerdetails anzuzeigen.

AWS CLI

  1. Erstellen Sie einen Benutzer mit dem Namen EmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Um ein Passwort für einen IAM-Benutzer zu erstellen, können Sie den --cli-input-json-Parameter verwenden, um eine JSON-Datei zu übergeben, die das Passwort enthält. Sie müssen dem Benutzer außerdem die URL der Anmeldeseite Ihres Kontos mitteilen.

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Öffnen Sie die create-login-profile.json-Datei in einem Texteditor und geben Sie ein Passwort ein, das Ihrer Passwortrichtlinie entspricht. Speichern Sie dann die Datei. Beispielsweise: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Verwenden Sie den aws iam create-login-profile-Befehl erneut und übergeben Sie den --cli-input-json-Parameter zur Angabe Ihrer JSON-Datei.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    Anmerkung

    Wenn das Passwort, das Sie in der JSON-Datei angegeben haben, gegen die Passwortrichtlinie Ihres Kontos verstößt, erhalten Sie eine PassworPolicyViolation-Fehlermeldung. In diesem Fall überprüfen Sie die Passwortrichtlinie für Ihr Konto und aktualisieren Sie das Passwort in der JSON-Datei, um den Anforderungen zu entsprechen.

  3. Erstellen Sie die EmergencyAccessGroup, fügen Sie die von AWS verwaltete Richtlinie AdministratorAccess der Gruppe hinzu und fügen Sie den EmergencyAccess-Benutzer der Gruppe hinzu.

    Anmerkung

    Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie verfügt über einen eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. Zum Beispiel arn:aws:iam::aws:policy/IAMReadOnlyAccess ist eine von AWS verwaltete Richtlinie. Weitere Informationen zu ARNs finden Sie unter IAM-ARNs. Die Liste der von AWS verwalteten Richtlinien für AWS-Services finden Sie unter Von AWS verwaltete Richtlinien.

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Führen Sie den Befehl aws iam get-group aus, um die EmergencyAccessGroup und ihre Mitglieder aufzulisten.

      
aws iam get-group \
   --group-name EmergencyAccessGroup