IAM-Benutzer für den Notfallzugriff erstellen - AWS Identitäts- und Zugriffsverwaltung
So erstellen Sie einen IAM-Benutzer für den Notfallzugriff

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Benutzer für den Notfallzugriff erstellen

Ein IAM-Benutzer ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt.

Ein IAM-Benutzer für den Notfallzugriff ist einer der empfohlenen Gründe, einen IAM-Benutzer zu erstellen, damit Sie auf Ihren zugreifen können, AWS-Konto falls Ihr Identitätsanbieter nicht erreichbar ist.

Anmerkung

Im Sinne bewährter Sicherheitsmethoden wird empfohlen, den Zugriff auf Ihre Ressourcen über einen Identitätsverbund zu ermöglichen, anstatt IAM-Benutzer zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.

So erstellen Sie einen IAM-Benutzer für den Notfallzugriff

Mindestberechtigungen

Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Mehr anzeigenWeniger anzeigen
IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich Benutzer und dann Benutzer erstellen aus.

    Anmerkung

    Wenn Sie IAM Identity Center aktiviert haben, AWS Management Console wird eine Erinnerung angezeigt, dass es am besten ist, den Benutzerzugriff im IAM Identity Center zu verwalten. In diesem Verfahren ist der von Ihnen erstellte IAM-Benutzer ausschließlich für die Verwendung vorgesehen, wenn Ihr Identitätsanbieter nicht verfügbar ist.

  4. Geben Sie auf der Seite Specify user details (Benutzerdetails angeben) unter User details (Benutzerdetails) in das Feld User name (Benutzername) den Namen für den neuen Benutzer ein. Dies ist der Anmeldename für AWS. Geben Sie für dieses Beispiel EmergencyAccess ein.

    Anmerkung

    Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (_) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. So können Sie beispielsweise keine zwei Gruppen mit Namen TESTBENUTZER und testbenutzer erstellen. Wenn ein Benutzername in einer Richtlinie oder als Teil eines ARN verwendet wird, ist die Groß-/Kleinschreibung des Namens zu beachten. Wenn Kunden in der Konsole ein Benutzername angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Benutzernamens nicht beachtet.

  5. Aktivieren Sie das Kontrollkästchen neben Benutzerzugriff auf die AWS Management Console gewähren – optional und wählen Sie dann Ich möchte einen IAM-Benutzer erstellen aus.

  6. Wählen Sie unter Console password (Konsolenpasswort) Autogenerated password (Automatisch generiertes Passwort).

  7. Deaktivieren Sie das Kontrollkästchen neben Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen). Da dieser IAM-Benutzer für den Notfallzugriff vorgesehen ist, behält ein vertrauenswürdiger Administrator das Passwort und gibt es nur bei Bedarf weiter.

  8. Wählen Sie auf der Seite Set permissions (Berechtigungen festlegen) unter Permissions options (Berechtigungsoptionen) die Option Add user to group (Benutzer zur Gruppe hinzufügen) aus. Wählen Sie dann unter User groups (Benutzergruppen) die Option Create group (Gruppe erstellen) aus.

  9. Geben Sie auf der Seite Create user group (Benutzergruppe erstellen) im Feld User group name (Benutzergruppenname) EmergencyAccessGroup ein. Wählen Sie dann unter Berechtigungsrichtlinien die Option aus. AdministratorAccess

  10. Wählen Sie Benutzergruppe erstellen aus, um zur Seite Berechtigungen festlegen zurückzukehren.

  11. Wählen Sie unter User groups (Benutzergruppen) den Namen der EmergencyAccessGroup aus, die Sie zuvor erstellt haben.

  12. Wählen Sie Weiter, um mit der Seite Überprüfen und erstellen fortzufahren.

  13. Überprüfen Sie auf der Seite Review and create (Überprüfen und erstellen) die Liste der Benutzergruppenmitgliedschaften, die dem neuen Benutzer hinzugefügt werden sollen. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

  14. Wählen Sie auf der Seite Passwort abrufen die Option CSV-Datei herunterladen aus, um eine CSV-Datei mit den Benutzer-Anmeldeinformationen (Verbindungs-URL, Benutzername und Passwort) zu speichern.

  15. Speichern Sie diese Datei für die Verwendung, wenn Sie sich bei IAM anmelden müssen und keinen Zugriff auf Ihren Identitätsanbieter haben.

Der neue IAM-Benutzer wird in der Liste Users (Benutzer) angezeigt. Wählen Sie den Link User name (Benutzername), um die Benutzerdetails anzuzeigen.

AWS CLI

  1. Erstellen Sie einen Benutzer mit dem Namen EmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Um ein Passwort für einen IAM-Benutzer zu erstellen, können Sie den --cli-input-json-Parameter verwenden, um eine JSON-Datei zu übergeben, die das Passwort enthält. Sie müssen dem Benutzer außerdem die URL der Anmeldeseite Ihres Kontos mitteilen.

    • war ich create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Öffnen Sie die create-login-profile.json-Datei in einem Texteditor und geben Sie ein Passwort ein, das Ihrer Passwortrichtlinie entspricht. Speichern Sie dann die Datei. Zum Beispiel: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Verwenden Sie den aws iam create-login-profile-Befehl erneut und übergeben Sie den --cli-input-json-Parameter zur Angabe Ihrer JSON-Datei.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    Anmerkung

    Wenn das Passwort, das Sie in der JSON-Datei angegeben haben, gegen die Passwortrichtlinie Ihres Kontos verstößt, erhalten Sie eine PassworPolicyViolation-Fehlermeldung. In diesem Fall überprüfen Sie die Passwortrichtlinie für Ihr Konto und aktualisieren Sie das Passwort in der JSON-Datei, um den Anforderungen zu entsprechen.

  3. Erstellen Sie dieEmergencyAccessGroup, fügen Sie die AWS verwaltete Richtlinie AdministratorAccess der Gruppe hinzu und fügen Sie den EmergencyAccess Benutzer der Gruppe hinzu.

    Anmerkung

    Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie verfügt über einen eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. arn:aws:iam::aws:policy/IAMReadOnlyAccessIst beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unterIAM-ARNs. Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter AWS Verwaltete Richtlinien.

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • war ich attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • war ich add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Führen Sie den Befehl aws iam get-group aus, um die EmergencyAccessGroup und ihre Mitglieder aufzulisten.

      
aws iam get-group \
   --group-name EmergencyAccessGroup