Erstellen Sie einen IAM Benutzer für den Notfallzugriff - AWS Identitäts- und Zugriffsverwaltung
So erstellen Sie einen IAM Benutzer für den Notfallzugriff

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen IAM Benutzer für den Notfallzugriff

Ein IAMBenutzer ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt.

Ein IAM Benutzer für den Notfallzugriff ist einer der empfohlenen Gründe, einen IAM Benutzer zu erstellen, damit Sie auf Ihren Benutzer zugreifen können, AWS-Konto falls Ihr Identitätsanbieter nicht darauf zugreifen kann.

Anmerkung

Aus Sicherheitsgründen empfehlen wir, dass Sie den Zugriff auf Ihre Ressourcen über einen Identitätsverbund gewähren, anstatt IAM Benutzer zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt werden?

So erstellen Sie einen IAM Benutzer für den Notfallzugriff

Wählen Sie die Registerkarte für die Methode, mit der Sie den IAM Benutzer erstellen möchten:

Mindestberechtigungen

Um die folgenden Schritte ausführen zu können, benötigen Sie mindestens die folgenden IAM Berechtigungen:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Mehr anzeigenWeniger anzeigen
IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Startseite der Konsole den IAM Dienst aus.

  3. Wählen Sie im Navigationsbereich Benutzer und dann Benutzer erstellen aus.

    Anmerkung

    Wenn Sie IAM Identity Center aktiviert haben, AWS Management Console wird eine Erinnerung angezeigt, dass es am besten ist, den Benutzerzugriff in IAM Identity Center zu verwalten. Bei diesem Verfahren ist der IAM Benutzer, den Sie erstellen, nur dann vorgesehen, wenn Ihr Identitätsanbieter nicht verfügbar ist.

  4. Geben Sie auf der Seite Specify user details (Benutzerdetails angeben) unter User details (Benutzerdetails) in das Feld User name (Benutzername) den Namen für den neuen Benutzer ein. Dies ist der Anmeldename für AWS. Geben Sie für dieses Beispiel EmergencyAccess ein.

    Anmerkung

    Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (_) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. Sie können beispielsweise nicht zwei Benutzer namens TESTUSER und testuser erstellen. Wenn ein Benutzername in einer Richtlinie oder als Teil einer verwendet wirdARN, unterscheidet der Name zwischen Groß- und Kleinschreibung. Wenn Kunden in der Konsole ein Benutzername angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Benutzernamens nicht beachtet.

  5. Aktivieren Sie das Kontrollkästchen neben Benutzerzugriff auf gewähren AWS Management Console— optional und wählen Sie dann Ich möchte einen IAM Benutzer erstellen aus.

  6. Wählen Sie unter Console password (Konsolenpasswort) Autogenerated password (Automatisch generiertes Passwort).

  7. Deaktivieren Sie das Kontrollkästchen neben Der Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen). Da dieser IAM Benutzer für den Notfallzugriff vorgesehen ist, speichert ein vertrauenswürdiger Administrator das Passwort und gibt es nur bei Bedarf weiter.

  8. Wählen Sie auf der Seite Set permissions (Berechtigungen festlegen) unter Permissions options (Berechtigungsoptionen) die Option Add user to group (Benutzer zur Gruppe hinzufügen) aus. Wählen Sie dann unter User groups (Benutzergruppen) die Option Create group (Gruppe erstellen) aus.

  9. Geben Sie auf der Seite Create user group (Benutzergruppe erstellen) im Feld User group name (Benutzergruppenname) EmergencyAccessGroup ein. Wählen Sie dann unter Berechtigungsrichtlinien die Option aus AdministratorAccess.

  10. Wählen Sie Benutzergruppe erstellen aus, um zur Seite „Berechtigungen festlegen“ zurückzukehren.

  11. Wählen Sie unter User groups (Benutzergruppen) den Namen der EmergencyAccessGroup aus, die Sie zuvor erstellt haben.

  12. Wählen Sie Weiter, um mit der Seite Überprüfen und Erstellen fortzufahren.

  13. Überprüfen Sie auf der Seite Review and create (Überprüfen und erstellen) die Liste der Benutzergruppenmitgliedschaften, die dem neuen Benutzer hinzugefügt werden sollen. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

  14. Wählen Sie auf der Seite „Passwort abrufen“ die Option CSV-Datei herunterladen aus, um eine CSV-Datei mit den Anmeldeinformationen des Benutzers (VerbindungURL, Benutzername und Passwort) zu speichern.

  15. Speichern Sie diese Datei, um sie zu verwenden, wenn Sie sich bei Ihrem Identitätsanbieter anmelden müssen IAM und keinen Zugriff darauf haben.

Der neue IAM Benutzer wird in der Benutzerliste angezeigt. Wählen Sie den Link User name (Benutzername), um die Benutzerdetails anzuzeigen.

AWS CLI

  1. Erstellen Sie einen Benutzer mit dem NamenEmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Um ein Passwort für einen IAM Benutzer zu erstellen, können Sie den --cli-input-json Parameter verwenden, um eine JSON Datei zu übergeben, die das Passwort enthält. Sie müssen dem Benutzer auch die URLAnmeldeseite Ihres Kontos geben.

    • als ich create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Öffnen Sie die create-login-profile.json Datei in einem Texteditor und geben Sie ein Passwort ein, das Ihren Passwortrichtlinien entspricht. Speichern Sie dann die Datei. Beispielsweise: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Verwenden Sie den aws iam create-login-profile Befehl erneut und übergeben Sie den --cli-input-json Parameter zur Angabe Ihrer JSON Datei.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    Anmerkung

    Wenn das Passwort, das Sie in der JSON Datei angegeben haben, gegen die Passwortrichtlinien Ihres Kontos verstößt, erhalten Sie eine PassworPolicyViolation Fehlermeldung. In diesem Fall überprüfen Sie die Passwortrichtlinie für Ihr Konto und aktualisieren Sie das Passwort in der JSON Datei, damit es den Anforderungen entspricht.

  3. Erstellen Sie dieEmergencyAccessGroup, fügen Sie die AWS verwaltete Richtlinie AdministratorAccess der Gruppe hinzu und fügen Sie den EmergencyAccess Benutzer der Gruppe hinzu.

    Anmerkung

    Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie hat ihren eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. arn:aws:iam::aws:policy/IAMReadOnlyAccessIst beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unterIAM ARNs. Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter AWS Verwaltete Richtlinien.

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • war ich attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws am -group add-user-to 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Führen Sie den Befehl aws iam get-group aus, um die EmergencyAccessGroup und ihre Mitglieder aufzulisten.

      
aws iam get-group \
   --group-name EmergencyAccessGroup