Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Benutzer für Workloads erstellen, die keine IAM-Rollen verwenden können
**Wichtig**
Als [bewährte Methode](best-practices.md#lock-away-credentials) empfehlen wir, dass Ihre menschlichen Benutzer beim Zugriff [AWS temporäre Anmeldeinformationen](id_credentials_temp.md) verwenden müssen.
Alternativ können Sie Ihre Benutzeridentitäten, einschließlich Ihres Administratorbenutzers, mit [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) verwalten. Wir empfehlen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Wenn Sie einen externen Identitätsanbieter verwenden, können Sie die Zugriffsberechtigungen für Benutzeridentitäten auch im IAM Identity Center konfigurieren.
Wenn Ihr Anwendungsfall IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen erfordert, empfehlen wir Ihnen, Verfahren zum Aktualisieren von Zugriffsschlüsseln bei Bedarf einzurichten. Weitere Informationen finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md).
Um jedoch einige Konto- und Service-Verwaltungsaufgaben durchzuführen, müssen Sie sich mit den Anmeldeinformationen des Root-Benutzers anmelden. Informationen zum Anzeigen der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](id_root-user.md#root-user-tasks).
## So erstellen Sie einen IAM-Benutzer für Workloads, die keine IAM-Rollen verwenden können
**Mindestberechtigungen**
Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.
1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.
1. Wählen Sie im Navigationsbereich **Benutzer** und dann **Benutzer erstellen** aus.
1. Gehen Sie auf der Seite **Benutzerdetails angeben** wie folgt vor:
1. Geben Sie ***WorkloadName*** als **Benutzername** ein. Ersetzen Sie ***WorkloadName*** durch den Namen des Workloads, der das Konto verwenden wird.
1. Wählen Sie **Weiter** aus.
1. (Optional) Gehen Sie auf der Seite **Berechtigungen festlegen** wie folgt vor:
1. Wählen Sie **Add user to group**.
1. Wählen Sie **Create group (Gruppe erstellen)**.
1. Geben Sie im Dialogfeld **Benutzergruppe erstellen** unter **Benutzergruppenname** einen Namen ein, der die Verwendung der Workloads in der Gruppe darstellt. Verwenden Sie für dieses Beispiel den Namen **Automation**.
1. Aktivieren Sie unter **Berechtigungsrichtlinien** das Kontrollkästchen für die **PowerUserAccess**verwaltete Richtlinie.
**Tipp**
Geben Sie *Power* in das Suchfeld für **Berechtigungsrichtlinien** ein, um die verwaltete Richtlinie schnell zu finden.
1. Wählen Sie **Create user group (Benutzergruppe erstellen)**.
1. Aktivieren Sie auf der Seite mit der Liste der IAM-Gruppen das Kontrollkästchen für Ihre neue Benutzergruppe. Wählen Sie **Aktualisieren**, wenn die neue Gruppe nicht in der Liste angezeigt wird.
1. Wählen Sie **Weiter** aus.
1. (Optional) Fügen Sie im Abschnitt **Tags** Metadaten zum Benutzer hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).
1. Überprüfen Sie die Mitgliedschaften für Benutzergruppen für den neuen Benutzer. Wenn Sie bereit sind, fortzufahren, wählen Sie **Create user (Benutzer erstellen)** aus.
1. Eine Statusmeldung informiert Sie darüber, dass der Benutzer erfolgreich erstellt wurde. Wählen Sie **Benutzer anzeigen**, um zur Seite mit den Benutzerdetails zu gelangen
1. Wählen Sie die Registerkarte **Sicherheits-Anmeldeinformationen** aus. Erstellen Sie dann die für den Workload erforderlichen Anmeldeinformationen.
+ **Zugriffsschlüssel** – Wählen Sie **Zugriffsschlüssel erstellen** aus, um Zugriffsschlüssel für den Benutzer zu generieren und herunterzuladen.
**Wichtig**
Dies ist Ihre einzige Möglichkeit, die geheimen Zugriffsschlüssel einzusehen oder herunterzuladen. Sie müssen diese Informationen Ihren Benutzern zur Verfügung stellen, bevor sie die AWS API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. **Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.**
+ **Öffentliche SSH-Schlüssel für AWS CodeCommit** — Wählen Sie Öffentlichen **SSH-Schlüssel hochladen aus, um einen öffentlichen SSH-Schlüssel** hochzuladen, sodass der Benutzer über SSH mit CodeCommit Repositorys kommunizieren kann.
+ **HTTPS-Git-Anmeldeinformationen für AWS CodeCommit** — Wählen Sie **Anmeldeinformationen generieren** aus, um einen eindeutigen Satz von Benutzeranmeldeinformationen zur Verwendung mit Git-Repositorys zu generieren. Wählen Sie **Anmeldeinformationen herunterladen** aus, um den Benutzernamen und das Passwort in einer CSV-Datei zu speichern. Dies ist der einzige Zeitpunkt, zu dem Informationen verfügbar sind. Wenn Sie das Passwort vergessen oder verlieren, müssen Sie es zurücksetzen.
+ **Anmeldeinformationen für Amazon Keyspaces (für Apache Cassandra)** – Wählen Sie **Anmeldeinformationen generieren** aus, um servicespezifische Benutzer-Anmeldeinformationen zur Verwendung mit Amazon Keyspaces zu generieren. Wählen Sie **Anmeldeinformationen herunterladen** aus, um den Benutzernamen und das Passwort in einer CSV-Datei zu speichern. Dies ist der einzige Zeitpunkt, zu dem Informationen verfügbar sind. Wenn Sie das Passwort vergessen oder verlieren, müssen Sie es zurücksetzen.
**Wichtig**
Servicespezifische Anmeldeinformationen sind langfristige Anmeldeinformationen, die einem bestimmten IAM-Benutzer zugeordnet sind und nur für den Service verwendet werden können, für den sie erstellt wurden. Verwenden Sie die Authentifizierung mit dem AWS SigV4-Authentifizierungs-Plugin für Amazon Keyspaces, um IAM-Rollen oder föderierten Identitäten Berechtigungen für den Zugriff auf all Ihre AWS Ressourcen mit temporären Anmeldeinformationen zu erteilen. Weitere Informationen finden Sie unter [Verwendung temporärer Anmeldeinformationen zum Herstellen einer Verbindung mit Amazon Keyspaces (für Apache Cassandra) mithilfe einer IAM-Rolle und des SigV4-Plugins](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) im *Entwicklerhandbuch zu Amazon Keyspaces (für Apache Cassandra)*.
+ **X.509-Signaturzertifikate** — Wählen Sie **X.509-Zertifikat erstellen**, wenn Sie sichere SOAP-Protokollanfragen stellen müssen und sich in einer Region befinden, die von nicht unterstützt wird. AWS Certificate Manager Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Weitere Informationen zu ACM finden Sie im [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Sie haben einen Benutzer mit programmatischem Zugriff erstellt und ihn mit der Job-Funktion konfiguriert. **PowerUserAccess** Die Berechtigungsrichtlinie dieses Benutzers gewährt vollen Zugriff auf alle Dienste außer IAM und. AWS Organizations
Sie können denselben Prozess verwenden, um zusätzlichen Workloads programmgesteuerten Zugriff auf Ihre AWS-Konto Ressourcen zu gewähren, falls die Workloads keine IAM-Rollen übernehmen können. Bei diesem Verfahren wurde die **PowerUserAccess**verwaltete Richtlinie verwendet, um Berechtigungen zuzuweisen. Um die bewährte Methode der geringsten Berechtigungen zu befolgen, sollten Sie die Verwendung einer restriktiveren Richtlinie in Betracht ziehen oder eine benutzerdefinierte Richtlinie erstellen, die den Zugriff nur auf die für das Programm erforderlichen Ressourcen beschränkt. Informationen zur Verwendung von Richtlinien, mit denen Benutzerberechtigungen auf bestimmte AWS Ressourcen beschränkt werden, finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md) und[Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md). Weitere Informationen zum Hinzufügen von zusätzlichen Benutzern zur Gruppe nach ihrer Erstellung finden Sie unter [Bearbeiten von Benutzern in IAM-Gruppen](id_groups_manage_add-remove-users.md).
------
#### [ AWS CLI ]
1. Erstellen Sie einen Benutzer mit dem Namen **Automation**.
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. Erstellen Sie eine IAM-Benutzergruppe mit dem Namen**AutomationGroup**, fügen Sie der Gruppe die AWS verwaltete Richtlinie `PowerUserAccess` hinzu, und fügen Sie dann den **Automation** Benutzer der Gruppe hinzu.
**Anmerkung**
Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie verfügt über einen eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. Dies `arn:aws:iam::aws:policy/IAMReadOnlyAccess` ist beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unter[ICH BIN ARNs](reference_identifiers.md#identifiers-arns). Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [war ich attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [war ich add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ Führen Sie den Befehl [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) aus, um die **AutomationGroup** und ihre Mitglieder aufzulisten.
```
aws iam get-group \
--group-name AutomationGroup
```
1. Erstellen Sie die für den Workload erforderlichen Sicherheits-Anmeldeinformationen.
+ **Zugangsschlüssel zum Testen erstellen** — [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html) iam create-access-key
```
aws iam create-access-key \
--user-name Automation
```
Die Ausgabe dieses Befehls zeigt den geheimen Zugriffsschlüssel und die Zugriffsschlüssel-ID an. Notieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Bei Verlust dieser Anmeldeinformationen, können sie nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen.
**Wichtig**
Bei diesen IAM-Benutzer-Zugriffsschlüsseln handelt es sich um langfristige Anmeldeinformationen, die ein Sicherheitsrisiko für Ihr Konto darstellen. Nachdem Sie die Tests abgeschlossen haben, empfehlen wir Ihnen, diese Zugriffsschlüssel zu löschen. Wenn Sie Szenarien haben, in denen Sie Zugriffsschlüssel in Betracht ziehen, prüfen Sie, ob Sie MFA für Ihren Workload-IAM-Benutzer aktivieren und [aws sts](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) verwenden können, get-session-token um temporäre Anmeldeinformationen für die Sitzung abzurufen, anstatt IAM-Zugriffsschlüssel zu verwenden.
+ **Laden Sie öffentliche SSH-Schlüssel** [für — aws iam hoch AWS CodeCommit upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)
Das folgende Beispiel geht davon aus, dass Sie Ihre öffentlichen SSH-Schlüssel in der Datei `sshkey.pub` gespeichert haben.
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **Laden Sie ein X.509-Signaturzertifikat** [hoch — aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
Laden Sie ein X.509-Zertifikat hoch, wenn Sie sichere SOAP-Protokollanfragen stellen müssen und sich in einer Region befinden, die von nicht unterstützt wird. AWS Certificate Manager Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Weitere Informationen zu ACM finden Sie im [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Im folgenden Beispiel wird davon ausgegangen, dass Ihr X.509-Signaturzertifikat in der Datei `certificate.pem` gespeichert ist.
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
Sie können denselben Prozess verwenden, um zusätzlichen Workloads programmatischen Zugriff auf Ihre AWS-Konto Ressourcen zu gewähren, falls die Workloads keine IAM-Rollen übernehmen können. Bei diesem Verfahren wurde die **PowerUserAccess**verwaltete Richtlinie verwendet, um Berechtigungen zuzuweisen. Um die bewährte Methode der geringsten Berechtigungen zu befolgen, sollten Sie die Verwendung einer restriktiveren Richtlinie in Betracht ziehen oder eine benutzerdefinierte Richtlinie erstellen, die den Zugriff nur auf die für das Programm erforderlichen Ressourcen beschränkt. Informationen zur Verwendung von Richtlinien, mit denen Benutzerberechtigungen auf bestimmte AWS Ressourcen beschränkt werden, finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md) und[Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md). Weitere Informationen zum Hinzufügen von zusätzlichen Benutzern zur Gruppe nach ihrer Erstellung finden Sie unter [Bearbeiten von Benutzern in IAM-Gruppen](id_groups_manage_add-remove-users.md).
------