So erstellen Sie einen IAM-Benutzer für Workloads, die keine IAM-Rollen verwenden können

IAM-Benutzer für Workloads erstellen, die keine IAM-Rollen verwenden können

Wichtig

Als bewährte Methode empfehlen wir, dass Sie von Ihren menschlichen Benutzern verlangen, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um einen Verbundzugriff auf AWS-Konten zu ermöglichen, indem Sie Rollen übernehmen, die temporäre Anmeldeinformationen bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von AWS IAM Identity Center (IAM Identity Center), um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Mit IAM Identity Center können Sie Ihre Benutzeridentitäten, einschließlich Ihres Administratorbenutzers, erstellen und verwalten. Wenn Sie einen externen Identitätsanbieter verwenden, können Sie die Zugriffsberechtigungen für Benutzeridentitäten auch im IAM Identity Center konfigurieren. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center-Benutzerhandbuch.

Wenn Ihr Anwendungsfall IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen erfordert, empfehlen wir Ihnen, Verfahren zum Aktualisieren von Zugriffsschlüsseln bei Bedarf einzurichten. Weitere Informationen finden Sie unter Zugriffsschlüssel aktualisieren.

Um jedoch einige Konto- und Service-Verwaltungsaufgaben durchzuführen, müssen Sie sich mit den Anmeldeinformationen des Root-Benutzers anmelden. Informationen zum Anzeigen der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.

So erstellen Sie einen IAM-Benutzer für Workloads, die keine IAM-Rollen verwenden können

Wählen Sie die Registerkarte für das Verfahren aus, das Sie zum Erstellen des IAM-Benutzers für einen Workload benutzen möchten:

Mindestberechtigungen

Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:

iam:AddUserToGroup
iam:AttachGroupPolicy
iam:CreateAccessKey
iam:CreateGroup
iam:CreateServiceSpecificCredential
iam:CreateUser
iam:GetAccessKeyLastUsed
iam:GetAccountPasswordPolicy
iam:GetAccountSummary
iam:GetGroup
iam:GetLoginProfile
iam:GetPolicy
iam:GetRole
iam:GetUser
iam:ListAccessKeys
iam:ListAttachedGroupPolicies
iam:ListAttachedUserPolicies
iam:ListGroupPolicies
iam:ListGroups
iam:ListGroupsForUser
iam:ListInstanceProfilesForRole
iam:ListMFADevices
iam:ListPolicies
iam:ListRoles
iam:ListRoleTags
iam:ListSSHPublicKeys
iam:ListServiceSpecificCredentials
iam:ListSigningCertificates
iam:ListUserPolicies
iam:ListUserTags
iam:ListUsers
iam:UploadSSHPublicKey
iam:UploadSigningCertificate

Weniger anzeigen

IAM console

Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.
Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.
Wählen Sie im Navigationsbereich Benutzer und dann Benutzer erstellen aus.
Gehen Sie auf der Seite Benutzerdetails angeben wie folgt vor:
1. Geben Sie für User name WorkloadName ein. Ersetzen Sie WorkloadName durch den Namen des Workloads, der das Konto verwenden wird.
2. Wählen Sie Weiter.
(Optional) Gehen Sie auf der Seite Berechtigungen festlegen wie folgt vor:
1. Wählen Sie Add user to group.
2. Wählen Sie Create group (Gruppe erstellen).
3. Geben Sie im Dialogfeld Benutzergruppe erstellen unter Benutzergruppenname einen Namen ein, der die Verwendung der Workloads in der Gruppe darstellt. Verwenden Sie für dieses Beispiel den Namen Automation.
4. Aktivieren Sie unter Berechtigungsrichtlinien das Kontrollkästchen für die verwaltete Richtlinie PowerUserAccess.
  
  Tipp
  Geben Sie Power in das Suchfeld für Berechtigungsrichtlinien ein, um die verwaltete Richtlinie schnell zu finden.
5. Wählen Sie Create user group (Benutzergruppe erstellen).
6. Aktivieren Sie auf der Seite mit der Liste der IAM-Gruppen das Kontrollkästchen für Ihre neue Benutzergruppe. Wählen Sie Aktualisieren, wenn die neue Gruppe nicht in der Liste angezeigt wird.
7. Wählen Sie Weiter.
(Optional) Fügen Sie im Abschnitt Tags Metadaten zum Benutzer hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen finden Sie unter Tags für AWS Identity and Access Management-Ressourcen.
Überprüfen Sie die Mitgliedschaften für Benutzergruppen für den neuen Benutzer. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.
Eine Statusmeldung informiert Sie darüber, dass der Benutzer erfolgreich erstellt wurde. Wählen Sie Benutzer anzeigen, um zur Seite mit den Benutzerdetails zu gelangen
Wählen Sie die Registerkarte Sicherheits-Anmeldeinformationen aus. Erstellen Sie dann die für den Workload erforderlichen Anmeldeinformationen.
- Zugriffsschlüssel – Wählen Sie Zugriffsschlüssel erstellen aus, um Zugriffsschlüssel für den Benutzer zu generieren und herunterzuladen.
  
  Wichtig
  Dies ist die einzige Gelegenheit, die geheimen Zugriffsschlüssel anzuzeigen oder herunterzuladen, und Sie müssen Ihren Benutzern diese Informationen bereitstellen, damit sie die AWS-API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.
- Öffentliche SSH-Schlüssel für AWS CodeCommit – Wählen Sie Öffentlichen SSH-Schlüssel hochladen aus, um einen öffentlichen SSH-Schlüssel hochzuladen, damit der Benutzer über SSH mit CodeCommit-Repositorys kommunizieren kann.
- HTTPS-Git-Anmeldeinformationen für AWS CodeCommit – Wählen Sie Anmeldeinformationen generieren aus, um einen eindeutigen Satz Benutzer-Anmeldeinformationen zur Verwendung mit Git-Repositorys zu generieren. Wählen Sie Anmeldeinformationen herunterladen aus, um den Benutzernamen und das Passwort in einer CSV-Datei zu speichern. Dies ist der einzige Zeitpunkt, zu dem Informationen verfügbar sind. Wenn Sie das Passwort vergessen oder verlieren, müssen Sie es zurücksetzen.
- Anmeldeinformationen für Amazon Keyspaces (für Apache Cassandra) – Wählen Sie Anmeldeinformationen generieren aus, um servicespezifische Benutzer-Anmeldeinformationen zur Verwendung mit Amazon Keyspaces zu generieren. Wählen Sie Anmeldeinformationen herunterladen aus, um den Benutzernamen und das Passwort in einer CSV-Datei zu speichern. Dies ist der einzige Zeitpunkt, zu dem Informationen verfügbar sind. Wenn Sie das Passwort vergessen oder verlieren, müssen Sie es zurücksetzen.
  
  Wichtig
  Servicespezifische Anmeldeinformationen sind langfristige Anmeldeinformationen, die einem bestimmten IAM-Benutzer zugeordnet sind und nur für den Service verwendet werden können, für den sie erstellt wurden. Um IAM-Rollen oder Verbundidentitäten Berechtigungen für den Zugriff auf alle Ihre AWS-Ressourcen mit temporären Anmeldedaten zu gewähren, verwenden Sie die AWS-Authentifizierung mit dem SigV4-Authentifizierungs-Plugin für Amazon Keyspaces. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen zum Herstellen einer Verbindung mit Amazon Keyspaces (für Apache Cassandra) mithilfe einer IAM-Rolle und des SigV4-Plugins im Entwicklerhandbuch zu Amazon Keyspaces (für Apache Cassandra).
- X.509-Signaturzertifikate – Wählen Sie X.509-Zertifikat erstellen aus, wenn Sie sichere SOAP-Protokollanforderungen stellen müssen und sich in einer Region befinden, die von AWS Certificate Manager nicht unterstützt wird. Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Weitere Informationen zu ACM finden Sie im AWS Certificate Manager-Leitfaden.

Sie haben einen Benutzer mit programmgesteuertem Zugriff erstellt und ihn mit der Auftragsfunktion PowerUserAccess konfiguriert. Die Berechtigungsrichtlinie dieses Benutzers gewährt vollen Zugriff auf alle Services mit Ausnahme von IAM und AWS Organizations.

Sie können denselben Prozess verwenden, um zusätzlichen Workloads programmgesteuerten Zugriff auf Ihre AWS-Konto-Ressourcen zu gewähren, wenn die Workloads keine IAM-Rollen übernehmen können. Bei diesem Verfahren wurde die verwaltete Richtlinie PowerUserAccess zum Zuweisen von Berechtigungen verwendet. Um die bewährte Methode der geringsten Berechtigungen zu befolgen, sollten Sie die Verwendung einer restriktiveren Richtlinie in Betracht ziehen oder eine benutzerdefinierte Richtlinie erstellen, die den Zugriff nur auf die für das Programm erforderlichen Ressourcen beschränkt. Weitere Informationen zum Verwenden von Richtlinien, mit denen Benutzerberechtigungen auf bestimmte AWS-Ressourcen beschränkt werden, finden Sie unter Identity and Access Management für AWS-Ressourcen und Beispiele für identitätsbasierte Richtlinien in IAM. Weitere Informationen zum Hinzufügen von zusätzlichen Benutzern zur Gruppe nach ihrer Erstellung finden Sie unter Bearbeiten von Benutzern in IAM-Benutzergruppen.

AWS CLI

Erstellen Sie einen Benutzer mit dem Namen Automation.

aws iam create-user



              aws iam create-user \
                  --user-name Automation

Erstellen Sie eine IAM-Benutzergruppe mit dem Namen AutomationGroup, fügen Sie der Gruppe die von AWS verwaltete Richtlinie PowerUserAccess hinzu und fügen Sie dann den Benutzer Automation zur Gruppe hinzu.

Anmerkung
Bei einer von AWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie verfügt über einen eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. Zum Beispiel arn:aws:iam::aws:policy/IAMReadOnlyAccess ist eine von AWS verwaltete Richtlinie. Weitere Informationen zu ARNs finden Sie unter IAM-ARNs. Die Liste der von AWS verwalteten Richtlinien für AWS-Services finden Sie unter Von AWS verwaltete Richtlinien.
- aws iam create-group
```
                  aws iam create-group \
                      --group-name AutomationGroup
```
- aws iam attach-group-policy
```
                  aws iam attach-group-policy \
                      --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
                      --group-name AutomationGroup
```
- aws iam add-user-to-group
```
                 aws iam add-user-to-group \
                     --user-name Automation \
                     --group-name AutomationGroup
               
```
- Führen Sie den Befehl aws iam get-group aus, um die AutomationGroup und ihre Mitglieder aufzulisten.
```
                aws iam get-group \
                     --group-name AutomationGroup
              
```
Erstellen Sie die für den Workload erforderlichen Sicherheits-Anmeldeinformationen.
- Zugriffsschlüssel zum Testen erstellen – aws iam create-access-key
```
                       aws iam create-access-key \
                           --user-name Automation
```
  Die Ausgabe dieses Befehls zeigt den geheimen Zugriffsschlüssel und die Zugriffsschlüssel-ID an. Notieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Bei Verlust dieser Anmeldeinformationen, können sie nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen.
  
  Wichtig
  Bei diesen IAM-Benutzer-Zugriffsschlüsseln handelt es sich um langfristige Anmeldeinformationen, die ein Sicherheitsrisiko für Ihr Konto darstellen. Nachdem Sie die Tests abgeschlossen haben, empfehlen wir Ihnen, diese Zugriffsschlüssel zu löschen. Wenn Sie Szenarien haben, in denen Sie Zugriffsschlüssel in Betracht ziehen, prüfen Sie, ob Sie MFA für Ihren Workload-IAM-Benutzer aktivieren und aws sts get-session-token verwenden können, um temporäre Anmeldeinformationen für die Sitzung zu erhalten, anstatt IAM-Zugriffsschlüssel zu verwenden.
- SSH-öffentliche Schlüssel für AWS CodeCommit hochladen – aws iam upload-ssh-public-key
  
  Das folgende Beispiel geht davon aus, dass Sie Ihre öffentlichen SSH-Schlüssel in der Datei sshkey.pub gespeichert haben.
```
                       aws upload-ssh-public-key \
                           --user-name Automation \
                           --ssh-public-key-body file://sshkey.pub
```
- X.509-Signaturzertifikat hochladen – aws iam upload-signing-certificate
  
  Laden Sie ein X.509-Zertifikat hoch, wenn Sie sichere SOAP-Protokollanfragen stellen müssen und sich in einer Region befinden, die nicht von AWS Certificate Manager unterstützt wird. Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Weitere Informationen zu ACM finden Sie im AWS Certificate Manager-Leitfaden.
  
  Im folgenden Beispiel wird davon ausgegangen, dass Ihr X.509-Signaturzertifikat in der Datei certificate.pem gespeichert ist.
```
                      aws iam upload-signing-certificate \
                      --user-name Automation \
                      --certificate-body file://certificate.pem
                    
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM-Benutzer für den Notfallzugriff erstellen

Hinzufügen der Multi-Faktor-Authentifizierung für Ihre Identitäten

IAM-Benutzer für Workloads erstellen, die keine IAM-Rollen verwenden können

Wichtig

So erstellen Sie einen IAM-Benutzer für Workloads, die keine IAM-Rollen verwenden können

Mindestberechtigungen

Tipp

Wichtig

Wichtig

Anmerkung

Wichtig