Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erste Schritte mit IAM AWS Identity and Access Management (IAM) hilft Ihnen, den Zugriff auf Amazon Web Services (AWS) und Ihre Kontoressourcen sicher zu kontrollieren. IAM kann auch Ihre Anmeldeinformationen geheim halten. Sie müssen sich nicht registrieren, um IAM zu verwenden. Die Nutzung von IAM ist kostenlos. Verwenden Sie IAM, um Identitäten wie Benutzern und Rollen Zugriff auf Ressourcen in Ihrem Konto zu geben. Sie können IAM beispielsweise mit bestehenden Benutzern in Ihrem Unternehmensverzeichnis verwenden, die Sie extern verwalten, AWS oder Sie können Benutzer erstellen, die Sie verwenden. AWS AWS IAM Identity Center Verbundidentitäten übernehmen definierte IAM-Rollen, um auf die Ressourcen zuzugreifen, die sie benötigen. Weitere Informationen zu IAM Identity Center finden Sie unter [ Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*. **Anmerkung** IAM ist in mehrere AWS Produkte integriert. Eine Liste der Services, die IAM unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Informationen zu den ersten Schritten AWS, zum Erstellen eines Administratorbenutzers und zum Verwenden mehrerer Dienste zur Lösung eines Problems AWS Organizations, z. B. beim Erstellen und Starten Ihres ersten Projekts, finden Sie im [Resource Center für die ersten Schritte](https://aws.amazon.com/getting-started/). # Einrichtung Ihres AWS-Konto Bevor Sie mit der Arbeit mit IAM beginnen, stellen Sie sicher, dass Sie die Ersteinrichtung Ihrer AWS Umgebung abgeschlossen haben. AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst. Als Sie sich für den Service angemeldet haben, haben Sie eine AWS-Konto mit einer E-Mail-Adresse und einem Passwort erstellt. Das sind Ihre AWS Root-Benutzeranmeldedaten. Es hat sich bewährt, dass Sie Ihre Root-Benutzeranmeldedaten nicht AWS für den Zugriff auf tägliche Aufgaben verwenden. Verwenden Sie Ihre Root-Benutzer-Anmeldeinformationen nur, um [Aufgaben auszuführen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html). Geben Sie Ihre Anmeldeinformationen außerdem nicht an Dritte weiter. Fügen Sie stattdessen Personen zu Ihrem Verzeichnis hinzu und gewähren Sie ihnen Zugriff auf Ihr AWS-Konto. **Um Ihre zu sichern Root-Benutzer des AWS-Kontos** 1. Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein. Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu. 1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer. Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*. **Gewähren von Zugriff auf die Fakturierungskonsole** IAM-Benutzer und -Rollen in einem AWS-Konto haben standardmäßig keinen Zugriff auf die Fakturierungs- und Kostenmanagement-Konsole. Dies gilt auch dann, wenn sie über IAM-Richtlinien verfügen, die den Zugriff auf bestimmte Abrechnungsfeatures gewähren. Um Zugriff zu gewähren, muss der AWS-Konto -Root-Benutzer zuerst den IAM-Zugriff aktivieren. **Anmerkung** Als bewährte Methode für die Sicherheit empfehlen wir, dass Sie den Zugriff auf Ihre Ressourcen über einen Identitätsverbund mit [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) bereitstellen. Wenn Sie IAM Identity Center in Verbindung mit aktivieren AWS Organizations, ist die Billing and Cost Management-Konsole standardmäßig mit konsolidierter Abrechnung für alle AWS-Konten in Ihrer Organisation aktiviert. Weitere Informationen finden Sie unter [Konsolidierung der Fakturierung für AWS Organizations](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) im *Benutzerhandbuch für Fakturierung und Kostenmanagement*. 1. Melden Sie sich AWS-Managementkonsole mit Ihren Root-Benutzeranmeldedaten (insbesondere der E-Mail-Adresse und dem Passwort, mit denen Sie Ihr AWS Konto erstellt haben) bei der an. 1. Wählen Sie in der Navigationsleiste Ihren Kontonamen und dann [Konto](https://console.aws.amazon.com/billing/home#/account) aus. 1. Scrollen Sie auf der Seite nach unten, bis Sie den Abschnitt **IAM-Benutzer- und Rollenzugriff auf Abrechnungsinformationen** finden, und wählen Sie dann **Bearbeiten** aus. 1. Aktivieren Sie das Kontrollkästchen **Activate IAM Access (-Zugriff aktivieren)**, um den Zugriff auf die Billing and Cost Management-Seiten zu aktivieren. 1. Wählen Sie **Update (Aktualisieren)**. Auf der Seite wird die Meldung angezeigt, dass der ** user/role IAM-Zugriff auf Rechnungsinformationen aktiviert ist**. **Wichtig** Durch die Aktivierung des IAM-Zugriffs allein werden Benutzern oder Rollen keine Berechtigungen gewährt, die Seiten der Fakturierungs- und Kostenmanagement-Konsole anzuzeigen. Sie müssen auch die erforderlichen identitätsbasierten Richtlinien an IAM-Rollen anfügen, um Zugriff auf die Fakturierungskonsole zu gewähren. Rollen stellen temporäre Anmeldeinformationen bereit, die Benutzer bei Bedarf übernehmen können. 1. Verwenden Sie die AWS-Managementkonsole , um [eine Rolle zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html), die ein Benutzer für den Zugriff auf die Abrechnungskonsole übernehmen kann. 1. Fügen Sie auf der Seite **Berechtigungen hinzufügen** für die Rolle Berechtigungen hinzu, um Details zu den Ressourcen für die Fakturierung in Ihrem AWS-Konto aufzulisten und anzuzeigen. Die AWS verwaltete Richtlinie [Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/managed-policies.html#security-iam-awsmanpol-Billing) gewährt Benutzern die Berechtigung, die Billing and Cost Management-Konsole anzuzeigen und zu bearbeiten. Dazu gehören die Anzeige der Kontonutzung, die Änderung von Budgets und Zahlungsmethoden. Weitere Beispiele für Richtlinien, die Sie an IAM-Rollen anfügen können, um den Zugriff auf die Fakturierungsinformationen Ihres Kontos zu steuern, finden Sie unter [Beispiele für AWS -Fakturierungsrichtlinien](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) im *Benutzerhandbuch für Fakturierung und Kostenmanagement*. # Deine AWS-Konto ID einsehen Wenn Sie bei der Konsole angemeldet sind, können Sie die Konto-ID für Ihr AWS-Konto mit den folgenden Methoden anzeigen. ## Um deine AWS-Konto ID einzusehen ------ #### [ Console ] Die AWS Konto-ID wird angezeigt, wenn Sie das **IAM-Dashboard im AWS-Konto Abschnitt** aufrufen. Sie können Ihre Konto-ID auch in der Navigationsleiste oben rechts anzeigen. Wählen Sie Ihren Benutzernamen aus, und die Konto-ID wird über Ihrem Benutzernamen angezeigt. ![\[Drop-down-Feld mit Kontoinformationen, in dem die Konto-ID hervorgehoben ist\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/find-account-id.png) ------ #### [ AWS CLI ] Verwenden Sie den folgenden Befehl, um Ihre Benutzer-ID, Konto-ID und Ihren Benutzer-ARN anzuzeigen: + [Was ist get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html) ------ #### [ API ] Verwenden Sie die folgende API, um Ihre Benutzer-ID, Konto-ID und Ihren Benutzer-ARN anzuzeigen: + [GetCallerIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetCallerIdentity.html) ------ # Verwenden Sie einen Alias für Ihre AWS-Konto ID Ihre Konto-ID ist eine 12-stellige Zahl, die Ihr Konto eindeutig identifiziert. Standardmäßig melden sich IAM-Benutzer im Konto mit einer Web-URL an, die die Konto-ID enthält. Wenn sie die URL nicht haben, können sie die Konto-ID bei der Anmeldung auf der AWS Anmeldeseite angeben. Die URL Ihrer Anmeldeseite hat standardmäßig das folgende Format. ``` https://Your_Account_ID.signin.aws.amazon.com/console/ ``` Für viele Menschen sind Wörter leichter zu merken als Zahlen. Daher kann die Erstellung eines Alias ​​für Ihre Konto-ID Ihren IAM-Benutzern die Anmeldung vereinfachen. Wenn Sie einen AWS-Konto Alias für Ihre AWS-Konto ID erstellen, sieht die URL Ihrer Anmeldeseite wie im folgenden Beispiel aus. ``` https://Your_Account_Alias.signin.aws.amazon.com/console/ ``` **Überlegungen vor der Erstellung eines Kontoalias** + Sie AWS-Konto können nur einen Alias haben. Wenn Sie einen neuen Alias für Ihr AWS Konto erstellen, überschreibt der neue Alias den vorherigen Alias und die URL, die den vorherigen Alias enthält, funktioniert nicht mehr. + Der Kontoalias darf nur Zahlen, Kleinbuchstaben und Bindestriche enthalten. Weitere Informationen zu Einschränkungen für AWS Kontoentitäten finden Sie unter[IAM und Kontingente AWS STS](reference_iam-quotas.md). + Der Kontoalias muss für alle Amazon-Web-Services-Produkte innerhalb einer bestimmten *Netzwerkpartition* eindeutig sein. Eine *Partition* ist eine Gruppe von AWS -Regionen. Jedes AWS Konto ist auf eine Partition beschränkt. Im Folgenden werden die unterstützten Partitionen angezeigt: + `aws`- Regionen AWS + `aws-cn` – China-Regionen + `aws-us-gov` – AWS GovCloud (US) -Regionen **Anmerkung** Kontoaliase sind keine Geheimnisse und werden auf der URL Ihrer öffentlichen Anmeldeseite angezeigt. Nehmen Sie keine vertraulichen Informationen in den Alias Ihres Kontos auf. Die ursprüngliche URL mit Ihrer AWS-Konto ID bleibt aktiv und kann verwendet werden, nachdem Sie Ihren AWS-Konto Alias erstellt haben. # Erstellen eines Konto-Alias Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich: + `iam:ListAccountAliases` + `iam:CreateAccountAlias` ## Um einen AWS-Konto Alias zu erstellen ------ #### [ Console ] 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie im Abschnitt **AWS -Konto** neben **Konto-Alias** die Option **Erstellen** aus. Wenn bereits ein Alias existiert, wählen Sie **Bearbeiten**. 1. Geben Sie im Dialogfeld den gewünschten Namen für den Alias ein und wählen Sie **Änderungen speichern** aus. ------ #### [ AWS CLI ] Führen Sie den folgenden Befehl aus: + `[aws iam create-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/create-account-alias.html)` ------ #### [ API ] Zum Erstellen eines Alias für die URL der AWS-Managementkonsole -Anmeldeseite rufen Sie die folgende Operation auf: + `[CreateAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccountAlias.html)` ------ # Löschen eines Konto-Alias Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich: + `iam:ListAccountAliases` + `iam:DeleteAccountAlias` ## So löschen Sie einen Konto-Alias ------ #### [ Console ] 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**. 1. Wählen Sie im Abschnitt **AWS -Konto** neben **Konto-Alias** die Option **Löschen** aus. ------ #### [ AWS CLI ] Führen Sie den folgenden Befehl aus, um einen AWS-Konto ID-Alias zu löschen: + `[aws iam delete-account-alias](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-alias.html)` Um zu bestätigen, dass der Kontoalias gelöscht wurde, versuchen Sie, Ihren AWS-Konto ID-Alias anzuzeigen, indem Sie den folgenden Befehl ausführen: + `[aws iam list-account-aliases](https://docs.aws.amazon.com/cli/latest/reference/iam/list-account-aliases.html)` ------ #### [ API ] Rufen Sie den folgenden Vorgang auf, um einen AWS-Konto ID-Alias zu löschen: + `[DeleteAccountAlias](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountAlias.html)` Um zu bestätigen, dass der Kontoalias gelöscht wurde, versuchen Sie, Ihren AWS-Konto ID-Alias anzuzeigen, indem Sie den folgenden Vorgang aufrufen: + `[ListAccountAliases](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccountAliases.html)` ------ **Anmerkung** Nachdem Sie Ihren Kontoalias gelöscht haben, basiert die einzige Anmelde-URL für Ihr Konto auf Ihrer Konto-ID. Alle Versuche, eine Verbindung zur Alias-URL herzustellen, schlagen fehl und werden nicht umgeleitet. # Planen Sie den Zugriff auf Ihr AWS Konto Planen Sie bei der Einrichtung AWS, wie die Benutzer auf Ihr AWS Konto und Ihre Ressourcen zugreifen sollen, um eine gut durchdachte und sichere Identitätsverwaltungslösung einzurichten. **Identitätsquellen** Gemäß den Best Practices von IAM sollten menschliche Benutzer und Workloads temporäre Anmeldeinformationen verwenden, wenn sie auf Ihre Ressourcen zugreifen. AWS Identitäten, die mit einer IAM-Rolle auf Ihre Ressourcen zugreifen, werden temporäre Anmeldeinformationen gewährt. Sowohl Benutzer, die in IAM eingebunden sind, als auch Benutzer im IAM Identity Center (entweder eingebunden oder im IAM-Identity-Center-Verzeichnis erstellt) verwenden IAM-Rollen für den Zugriff auf Ressourcen. Bevor Sie mit der Nutzung beginnen, sollten Sie planen AWS, wie Sie Ihre Identitäten einrichten möchten, indem Sie entweder: + Aktivieren von IAM Identity Center mit AWS Organizations und Hinzufügen von Benutzern in IAM Identity Center direkt zum Organisationsverzeichnis. Informationen zum direkten Hinzufügen von Benutzern zum Organisationsverzeichnis von IAM Identity Center finden Sie unter [Benutzer hinzufügen](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) + Verbinden Sie Ihren vorhandenen externen Identitätsanbieter mit IAM Identity Center oder IAM. Verwenden Sie das entsprechende [Tutorial für den Einstieg](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html), um zu erfahren, wie Sie einen externen Identitätsanbieter mit dem Organisationsverzeichnis des IAM Identity Center verbinden. **Zugriffsverwaltung** Identifizieren Sie die AWS Ressourcen und Dienste, auf die Ihre Benutzer zugreifen werden, und definieren Sie die Zugriffsberechtigungen und Richtlinien, die für jeden Benutzer, jede Gruppe oder Rolle erforderlich sind. + Wenn Sie IAM Identity Center verwenden, werden für jedes AWS Konto in Ihrer Organisation automatisch ein IAM-Identitätsanbieter sowie IAM-Rollen- und Berechtigungsrichtlinien erstellt. Diese Rollen und Berechtigungen entsprechen den Berechtigungen, die Sie angeben, wenn Sie Personen oder Gruppen bestimmten Anwendungen oder Konten zuweisen. AWS Weitere Informationen finden Sie unter [Zuweisen von Benutzerzugriff](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-assign-account-access-user.html) und [Einrichten von Single Sign-On-Zugriff auf Ihre Anwendungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/set-up-single-sign-on-access-to-applications.html). + Wenn Sie Ihren Identitätsanbieter direkt mit IAM in Ihrem verbinden AWS-Konto, müssen Sie eine Rolle für Ihre Benutzer und zwei Richtlinien erstellen: eine Vertrauensrichtlinie, die festlegt, wer die Rolle übernehmen kann, und eine Berechtigungsrichtlinie, die festlegt, auf welche AWS Aktionen und Ressourcen der Person, die die Rolle übernimmt, Zugriff gewährt oder verweigert wird. Weitere Informationen finden Sie unter [Identitätsanbieter und Verbund zu AWS](id_roles_providers.md). # Anwendungsfälle für IAM-Benutzer IAM-Benutzer, die Sie in Ihrem erstellen, AWS-Konto verfügen über langfristige Anmeldeinformationen, die Sie direkt verwalten. Wenn es um die Verwaltung des Zugriffs in geht AWS, sind IAM-Benutzer im Allgemeinen nicht die beste Wahl. Es gibt einige wichtige Gründe, warum Sie sich in den meisten Ihrer Anwendungsfälle nicht auf IAM-Benutzer verlassen sollten. Erstens sind IAM-Benutzer für einzelne Konten konzipiert und lassen sich daher nicht gut skalieren, wenn Ihre Organisation wächst. Die Verwaltung von Berechtigungen und Sicherheit für eine große Anzahl IAM-Benutzer kann schnell zu einer Herausforderung werden. IAM-Benutzern fehlen außerdem die zentralen Transparenz- und Auditfunktionen, die Sie mit anderen AWS Identitätsmanagementlösungen erhalten. Dies kann die Aufrechterhaltung der Sicherheit und die Einhaltung gesetzlicher Vorschriften schwieriger machen. Und schließlich ist die Implementierung bewährter Sicherheitsmethoden wie Multi-Faktor-Authentifizierung, Passwortrichtlinien und Rollentrennung mit skalierbareren Identitätsmanagement-Ansätzen viel einfacher. Anstatt sich auf IAM-Benutzer zu verlassen, empfehlen wir, robustere Lösungen wie IAM Identity Center oder föderierte Identitäten von externen Anbietern zu verwenden. AWS Organizations Diese Optionen bieten Ihnen eine bessere Kontrolle, Sicherheit und betriebliche Effizienz, wenn Ihre Umgebung wächst. AWS Daher empfehlen wir, IAM-Benutzer nur für [Anwendungsfälle zu verwenden, die nicht von Verbundbenutzern unterstützt werden](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html#id_which-to-choose). In der folgenden Liste sind die spezifischen Anwendungsfälle aufgeführt, für die langfristige Anmeldeinformationen mit IAM-Benutzern erforderlich sind. AWS Sie können IAM verwenden, um diese IAM-Benutzer unter dem Dach Ihres AWS Kontos zu erstellen und ihre Berechtigungen mithilfe von IAM zu verwalten. + Notfallzugriff auf Ihr Konto AWS + Workloads, die keine IAM-Rollen verwenden können + AWS CodeCommit Zugriff + Zugriff auf Amazon Keyspaces (für Apache Cassandra) + AWS Kunden von Drittanbietern + AWS IAM Identity Center ist für Ihr Konto nicht verfügbar und Sie haben keinen anderen Identitätsanbieter # IAM-Benutzer für den Notfallzugriff erstellen Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Ein IAM-Benutzer für den Notfallzugriff ist einer der empfohlenen Gründe, einen IAM-Benutzer zu erstellen, damit Sie auf Ihren zugreifen können, AWS-Konto falls Ihr Identitätsanbieter nicht erreichbar ist. **Anmerkung** Im Sinne [bewährter Sicherheitsmethoden](best-practices.md) wird empfohlen, den Zugriff auf Ihre Ressourcen über einen Identitätsverbund zu ermöglichen, anstatt IAM-Benutzer zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter [Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose). ## So erstellen Sie einen IAM-Benutzer für den Notfallzugriff **Mindestberechtigungen** Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich: `access-analyzer:ValidatePolicy` `iam:AddUserToGroup` `iam:AttachGroupPolicy` `iam:CreateGroup` `iam:CreateLoginProfile` `iam:CreateUser` `iam:GetAccountPasswordPolicy` `iam:GetLoginProfile` `iam:GetUser` `iam:ListAttachedGroupPolicies` `iam:ListAttachedUserPolicies` `iam:ListGroupPolicies` `iam:ListGroups` `iam:ListGroupsForUser` `iam:ListPolicies` `iam:ListUserPolicies` `iam:ListUsers` ------ #### [ Console ] 1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben. 1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein. 1. Wählen Sie im Navigationsbereich **Benutzer** und dann **Benutzer erstellen** aus. **Anmerkung** Wenn Sie IAM Identity Center aktiviert haben, AWS-Managementkonsole wird eine Erinnerung angezeigt, dass es am besten ist, den Benutzerzugriff im IAM Identity Center zu verwalten. In diesem Verfahren ist der von Ihnen erstellte IAM-Benutzer ausschließlich für die Verwendung vorgesehen, wenn Ihr Identitätsanbieter nicht verfügbar ist. 1. Geben Sie auf der Seite **Specify user details (Benutzerdetails angeben)** unter **User details (Benutzerdetails)** in das Feld **User name (Benutzername)** den Namen für den neuen Benutzer ein. Dies ist der Anmeldename für AWS. Geben Sie für dieses Beispiel **EmergencyAccess** ein. **Anmerkung** Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Plus (\$1), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (\$1) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Sie werden nicht nach Groß- und Kleinschreibung unterschieden. So können Sie beispielsweise keine zwei Gruppen mit Namen TESTBENUTZER und testbenutzer erstellen. Wenn ein Benutzername in einer Richtlinie oder als Teil eines ARN verwendet wird, ist die Groß-/Kleinschreibung des Namens zu beachten. Wenn Kunden in der Konsole ein Benutzername angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Benutzernamens nicht beachtet. 1. Aktivieren Sie das Kontrollkästchen neben **Benutzerzugriff auf die AWS-Managementkonsole gewähren – *optional*** und wählen Sie dann **Ich möchte einen IAM-Benutzer erstellen** aus. 1. Wählen Sie unter **Console password (Konsolenpasswort)** **Autogenerated password (Automatisch generiertes Passwort)**. 1. Deaktivieren Sie das Kontrollkästchen neben **Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen)**. Da dieser IAM-Benutzer für den Notfallzugriff vorgesehen ist, behält ein vertrauenswürdiger Administrator das Passwort und gibt es nur bei Bedarf weiter. 1. Wählen Sie auf der Seite **Set permissions (Berechtigungen festlegen)** unter **Permissions options (Berechtigungsoptionen)** die Option **Add user to group (Benutzer zur Gruppe hinzufügen)** aus. Wählen Sie dann unter **User groups (Benutzergruppen)** die Option **Create group (Gruppe erstellen)** aus. 1. Geben Sie auf der Seite **Create user group (Benutzergruppe erstellen)** im Feld **User group name (Benutzergruppenname)** **EmergencyAccessGroup** ein. Wählen Sie dann unter **Berechtigungsrichtlinien die** Option aus **AdministratorAccess**. 1. Wählen Sie **Benutzergruppe erstellen** aus, um zur Seite **Berechtigungen festlegen** zurückzukehren. 1. Wählen Sie unter **User groups (Benutzergruppen)** den Namen der **EmergencyAccessGroup** aus, die Sie zuvor erstellt haben. 1. Wählen Sie **Weiter**, um mit der Seite **Überprüfen und erstellen** fortzufahren. 1. Überprüfen Sie auf der Seite **Review and create (Überprüfen und erstellen)** die Liste der Benutzergruppenmitgliedschaften, die dem neuen Benutzer hinzugefügt werden sollen. Wenn Sie bereit sind, fortzufahren, wählen Sie **Create user (Benutzer erstellen)** aus. 1. Wählen Sie auf der Seite **Passwort abrufen** die Option **CSV-Datei herunterladen** aus, um eine CSV-Datei mit den Benutzer-Anmeldeinformationen (Verbindungs-URL, Benutzername und Passwort) zu speichern. 1. Speichern Sie diese Datei für die Verwendung, wenn Sie sich bei IAM anmelden müssen und keinen Zugriff auf Ihren Identitätsanbieter haben. Der neue IAM-Benutzer wird in der Liste **Users (Benutzer)** angezeigt. Wählen Sie den Link **User name (Benutzername)**, um die Benutzerdetails anzuzeigen. ------ #### [ AWS CLI ] 1. Erstellen Sie einen Benutzer mit dem Namen **EmergencyAccess**. + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html) ``` aws iam create-user \ --user-name EmergencyAccess ``` 1. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS-Managementkonsole. Hierfür ist ein Passwort erforderlich. Um ein Passwort für einen IAM-Benutzer zu erstellen, können Sie den `--cli-input-json`-Parameter verwenden, um eine JSON-Datei zu übergeben, die das Passwort enthält. Sie müssen dem Benutzer außerdem die [URL der Anmeldeseite Ihres Kontos](id_users_sign-in.md) mitteilen. + [war ich create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html) ``` aws iam create-login-profile \ --generate-cli-skeleton > create-login-profile.json ``` + Öffnen Sie die `create-login-profile.json`-Datei in einem Texteditor und geben Sie ein Passwort ein, das Ihrer Passwortrichtlinie entspricht. Speichern Sie dann die Datei. Beispiel: ``` { "UserName": "EmergencyAccess", "Password": "Ex@3dRA0djs", "PasswordResetRequired": false } ``` + Verwenden Sie den `aws iam create-login-profile`-Befehl erneut und übergeben Sie den `--cli-input-json`-Parameter zur Angabe Ihrer JSON-Datei. ``` aws iam create-login-profile \ --cli-input-json file://create-login-profile.json ``` **Anmerkung** Wenn das Passwort, das Sie in der JSON-Datei angegeben haben, gegen die Passwortrichtlinie Ihres Kontos verstößt, erhalten Sie eine `PassworPolicyViolation`-Fehlermeldung. In diesem Fall überprüfen Sie die [Passwortrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) für Ihr Konto und aktualisieren Sie das Passwort in der JSON-Datei, um den Anforderungen zu entsprechen. 1. Erstellen Sie die**EmergencyAccessGroup**, fügen Sie die AWS verwaltete Richtlinie `AdministratorAccess` der Gruppe hinzu und fügen Sie den **EmergencyAccess** Benutzer der Gruppe hinzu. **Anmerkung** Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie verfügt über einen eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. `arn:aws:iam::aws:policy/IAMReadOnlyAccess`Ist beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unter[ICH BIN ARNs](reference_identifiers.md#identifiers-arns). Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html). + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) ``` aws iam create-group \ --group-name EmergencyAccessGroup ``` + [war ich attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html) ``` aws iam attach-group-policy \ --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \ --group-name >EmergencyAccessGroup ``` + [war ich add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) ``` aws iam add-user-to-group \ --user-name EmergencyAccess \ --group-name EmergencyAccessGroup ``` + Führen Sie den Befehl [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) aus, um die **EmergencyAccessGroup** und ihre Mitglieder aufzulisten. ``` aws iam get-group \ --group-name EmergencyAccessGroup ``` ------ # IAM-Benutzer für Workloads erstellen, die keine IAM-Rollen verwenden können **Wichtig** Als [bewährte Methode](best-practices.md#lock-away-credentials) empfehlen wir, dass Ihre menschlichen Benutzer beim Zugriff [AWS temporäre Anmeldeinformationen](id_credentials_temp.md) verwenden müssen. Alternativ können Sie Ihre Benutzeridentitäten, einschließlich Ihres Administratorbenutzers, mit [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) verwalten. Wir empfehlen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Wenn Sie einen externen Identitätsanbieter verwenden, können Sie die Zugriffsberechtigungen für Benutzeridentitäten auch im IAM Identity Center konfigurieren. Wenn Ihr Anwendungsfall IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen erfordert, empfehlen wir Ihnen, Verfahren zum Aktualisieren von Zugriffsschlüsseln bei Bedarf einzurichten. Weitere Informationen finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md). Um jedoch einige Konto- und Service-Verwaltungsaufgaben durchzuführen, müssen Sie sich mit den Anmeldeinformationen des Root-Benutzers anmelden. Informationen zum Anzeigen der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](id_root-user.md#root-user-tasks). ## So erstellen Sie einen IAM-Benutzer für Workloads, die keine IAM-Rollen verwenden können **Mindestberechtigungen** Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich: `iam:AddUserToGroup` `iam:AttachGroupPolicy` `iam:CreateAccessKey` `iam:CreateGroup` `iam:CreateServiceSpecificCredential` `iam:CreateUser` `iam:GetAccessKeyLastUsed` `iam:GetAccountPasswordPolicy` `iam:GetAccountSummary` `iam:GetGroup` `iam:GetLoginProfile` `iam:GetPolicy` `iam:GetRole` `iam:GetUser` `iam:ListAccessKeys` `iam:ListAttachedGroupPolicies` `iam:ListAttachedUserPolicies` `iam:ListGroupPolicies` `iam:ListGroups` `iam:ListGroupsForUser` `iam:ListInstanceProfilesForRole` `iam:ListMFADevices` `iam:ListPolicies` `iam:ListRoles` `iam:ListRoleTags` `iam:ListSSHPublicKeys` `iam:ListServiceSpecificCredentials` `iam:ListSigningCertificates` `iam:ListUserPolicies` `iam:ListUserTags` `iam:ListUsers` `iam:UploadSSHPublicKey` `iam:UploadSigningCertificate` ------ #### [ Console ] 1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben. 1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein. 1. Wählen Sie im Navigationsbereich **Benutzer** und dann **Benutzer erstellen** aus. 1. Gehen Sie auf der Seite **Benutzerdetails angeben** wie folgt vor: 1. Geben Sie ***WorkloadName*** als **Benutzername** ein. Ersetzen Sie ***WorkloadName*** durch den Namen des Workloads, der das Konto verwenden wird. 1. Wählen Sie **Weiter** aus. 1. (Optional) Gehen Sie auf der Seite **Berechtigungen festlegen** wie folgt vor: 1. Wählen Sie **Add user to group**. 1. Wählen Sie **Create group (Gruppe erstellen)**. 1. Geben Sie im Dialogfeld **Benutzergruppe erstellen** unter **Benutzergruppenname** einen Namen ein, der die Verwendung der Workloads in der Gruppe darstellt. Verwenden Sie für dieses Beispiel den Namen **Automation**. 1. Aktivieren Sie unter **Berechtigungsrichtlinien** das Kontrollkästchen für die **PowerUserAccess**verwaltete Richtlinie. **Tipp** Geben Sie *Power* in das Suchfeld für **Berechtigungsrichtlinien** ein, um die verwaltete Richtlinie schnell zu finden. 1. Wählen Sie **Create user group (Benutzergruppe erstellen)**. 1. Aktivieren Sie auf der Seite mit der Liste der IAM-Gruppen das Kontrollkästchen für Ihre neue Benutzergruppe. Wählen Sie **Aktualisieren**, wenn die neue Gruppe nicht in der Liste angezeigt wird. 1. Wählen Sie **Weiter** aus. 1. (Optional) Fügen Sie im Abschnitt **Tags** Metadaten zum Benutzer hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md). 1. Überprüfen Sie die Mitgliedschaften für Benutzergruppen für den neuen Benutzer. Wenn Sie bereit sind, fortzufahren, wählen Sie **Create user (Benutzer erstellen)** aus. 1. Eine Statusmeldung informiert Sie darüber, dass der Benutzer erfolgreich erstellt wurde. Wählen Sie **Benutzer anzeigen**, um zur Seite mit den Benutzerdetails zu gelangen 1. Wählen Sie die Registerkarte **Sicherheits-Anmeldeinformationen** aus. Erstellen Sie dann die für den Workload erforderlichen Anmeldeinformationen. + **Zugriffsschlüssel** – Wählen Sie **Zugriffsschlüssel erstellen** aus, um Zugriffsschlüssel für den Benutzer zu generieren und herunterzuladen. **Wichtig** Dies ist Ihre einzige Möglichkeit, die geheimen Zugriffsschlüssel einzusehen oder herunterzuladen. Sie müssen diese Informationen Ihren Benutzern zur Verfügung stellen, bevor sie die AWS API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. **Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.** + **Öffentliche SSH-Schlüssel für AWS CodeCommit** — Wählen Sie Öffentlichen **SSH-Schlüssel hochladen aus, um einen öffentlichen SSH-Schlüssel** hochzuladen, sodass der Benutzer über SSH mit CodeCommit Repositorys kommunizieren kann. + **HTTPS-Git-Anmeldeinformationen für AWS CodeCommit** — Wählen Sie **Anmeldeinformationen generieren** aus, um einen eindeutigen Satz von Benutzeranmeldeinformationen zur Verwendung mit Git-Repositorys zu generieren. Wählen Sie **Anmeldeinformationen herunterladen** aus, um den Benutzernamen und das Passwort in einer CSV-Datei zu speichern. Dies ist der einzige Zeitpunkt, zu dem Informationen verfügbar sind. Wenn Sie das Passwort vergessen oder verlieren, müssen Sie es zurücksetzen. + **Anmeldeinformationen für Amazon Keyspaces (für Apache Cassandra)** – Wählen Sie **Anmeldeinformationen generieren** aus, um servicespezifische Benutzer-Anmeldeinformationen zur Verwendung mit Amazon Keyspaces zu generieren. Wählen Sie **Anmeldeinformationen herunterladen** aus, um den Benutzernamen und das Passwort in einer CSV-Datei zu speichern. Dies ist der einzige Zeitpunkt, zu dem Informationen verfügbar sind. Wenn Sie das Passwort vergessen oder verlieren, müssen Sie es zurücksetzen. **Wichtig** Servicespezifische Anmeldeinformationen sind langfristige Anmeldeinformationen, die einem bestimmten IAM-Benutzer zugeordnet sind und nur für den Service verwendet werden können, für den sie erstellt wurden. Verwenden Sie die Authentifizierung mit dem AWS SigV4-Authentifizierungs-Plugin für Amazon Keyspaces, um IAM-Rollen oder föderierten Identitäten Berechtigungen für den Zugriff auf all Ihre AWS Ressourcen mit temporären Anmeldeinformationen zu erteilen. Weitere Informationen finden Sie unter [Verwendung temporärer Anmeldeinformationen zum Herstellen einer Verbindung mit Amazon Keyspaces (für Apache Cassandra) mithilfe einer IAM-Rolle und des SigV4-Plugins](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) im *Entwicklerhandbuch zu Amazon Keyspaces (für Apache Cassandra)*. + **X.509-Signaturzertifikate** — Wählen Sie **X.509-Zertifikat erstellen**, wenn Sie sichere SOAP-Protokollanfragen stellen müssen und sich in einer Region befinden, die von nicht unterstützt wird. AWS Certificate Manager Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Weitere Informationen zu ACM finden Sie im [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Sie haben einen Benutzer mit programmatischem Zugriff erstellt und ihn mit der Job-Funktion konfiguriert. **PowerUserAccess** Die Berechtigungsrichtlinie dieses Benutzers gewährt vollen Zugriff auf alle Dienste außer IAM und. AWS Organizations Sie können denselben Prozess verwenden, um zusätzlichen Workloads programmgesteuerten Zugriff auf Ihre AWS-Konto Ressourcen zu gewähren, falls die Workloads keine IAM-Rollen übernehmen können. Bei diesem Verfahren wurde die **PowerUserAccess**verwaltete Richtlinie verwendet, um Berechtigungen zuzuweisen. Um die bewährte Methode der geringsten Berechtigungen zu befolgen, sollten Sie die Verwendung einer restriktiveren Richtlinie in Betracht ziehen oder eine benutzerdefinierte Richtlinie erstellen, die den Zugriff nur auf die für das Programm erforderlichen Ressourcen beschränkt. Informationen zur Verwendung von Richtlinien, mit denen Benutzerberechtigungen auf bestimmte AWS Ressourcen beschränkt werden, finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md) und[Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md). Weitere Informationen zum Hinzufügen von zusätzlichen Benutzern zur Gruppe nach ihrer Erstellung finden Sie unter [Bearbeiten von Benutzern in IAM-Gruppen](id_groups_manage_add-remove-users.md). ------ #### [ AWS CLI ] 1. Erstellen Sie einen Benutzer mit dem Namen **Automation**. + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html) ``` aws iam create-user \ --user-name Automation ``` 1. Erstellen Sie eine IAM-Benutzergruppe mit dem Namen**AutomationGroup**, fügen Sie der Gruppe die AWS verwaltete Richtlinie `PowerUserAccess` hinzu, und fügen Sie dann den **Automation** Benutzer der Gruppe hinzu. **Anmerkung** Bei einer von *AWS verwalteten Richtlinie* handelt es sich um eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Jede Richtlinie verfügt über einen eigenen Amazon-Ressourcennamen (ARN), der den Richtliniennamen enthält. Dies `arn:aws:iam::aws:policy/IAMReadOnlyAccess` ist beispielsweise eine AWS verwaltete Richtlinie. Weitere Informationen zu finden ARNs Sie unter[ICH BIN ARNs](reference_identifiers.md#identifiers-arns). Eine Liste der AWS verwalteten Richtlinien für AWS-Services finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html). + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) ``` aws iam create-group \ --group-name AutomationGroup ``` + [war ich attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html) ``` aws iam attach-group-policy \ --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \ --group-name AutomationGroup ``` + [war ich add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) ``` aws iam add-user-to-group \ --user-name Automation \ --group-name AutomationGroup ``` + Führen Sie den Befehl [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) aus, um die **AutomationGroup** und ihre Mitglieder aufzulisten. ``` aws iam get-group \ --group-name AutomationGroup ``` 1. Erstellen Sie die für den Workload erforderlichen Sicherheits-Anmeldeinformationen. + **Zugangsschlüssel zum Testen erstellen** — [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html) iam create-access-key ``` aws iam create-access-key \ --user-name Automation ``` Die Ausgabe dieses Befehls zeigt den geheimen Zugriffsschlüssel und die Zugriffsschlüssel-ID an. Notieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Bei Verlust dieser Anmeldeinformationen, können sie nicht wiederhergestellt werden und Sie müssen einen neuen Zugriffsschlüssel erstellen. **Wichtig** Bei diesen IAM-Benutzer-Zugriffsschlüsseln handelt es sich um langfristige Anmeldeinformationen, die ein Sicherheitsrisiko für Ihr Konto darstellen. Nachdem Sie die Tests abgeschlossen haben, empfehlen wir Ihnen, diese Zugriffsschlüssel zu löschen. Wenn Sie Szenarien haben, in denen Sie Zugriffsschlüssel in Betracht ziehen, prüfen Sie, ob Sie MFA für Ihren Workload-IAM-Benutzer aktivieren und [aws sts](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) verwenden können, get-session-token um temporäre Anmeldeinformationen für die Sitzung abzurufen, anstatt IAM-Zugriffsschlüssel zu verwenden. + **Laden Sie öffentliche SSH-Schlüssel** [für — aws iam hoch AWS CodeCommit upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html) Das folgende Beispiel geht davon aus, dass Sie Ihre öffentlichen SSH-Schlüssel in der Datei `sshkey.pub` gespeichert haben. ``` aws upload-ssh-public-key \ --user-name Automation \ --ssh-public-key-body file://sshkey.pub ``` + **Laden Sie ein X.509-Signaturzertifikat** [hoch — aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html) Laden Sie ein X.509-Zertifikat hoch, wenn Sie sichere SOAP-Protokollanfragen stellen müssen und sich in einer Region befinden, die von nicht unterstützt wird. AWS Certificate Manager Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Weitere Informationen zu ACM finden Sie im [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Im folgenden Beispiel wird davon ausgegangen, dass Ihr X.509-Signaturzertifikat in der Datei `certificate.pem` gespeichert ist. ``` aws iam upload-signing-certificate \ --user-name Automation \ --certificate-body file://certificate.pem ``` Sie können denselben Prozess verwenden, um zusätzlichen Workloads programmatischen Zugriff auf Ihre AWS-Konto Ressourcen zu gewähren, falls die Workloads keine IAM-Rollen übernehmen können. Bei diesem Verfahren wurde die **PowerUserAccess**verwaltete Richtlinie verwendet, um Berechtigungen zuzuweisen. Um die bewährte Methode der geringsten Berechtigungen zu befolgen, sollten Sie die Verwendung einer restriktiveren Richtlinie in Betracht ziehen oder eine benutzerdefinierte Richtlinie erstellen, die den Zugriff nur auf die für das Programm erforderlichen Ressourcen beschränkt. Informationen zur Verwendung von Richtlinien, mit denen Benutzerberechtigungen auf bestimmte AWS Ressourcen beschränkt werden, finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md) und[Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md). Weitere Informationen zum Hinzufügen von zusätzlichen Benutzern zur Gruppe nach ihrer Erstellung finden Sie unter [Bearbeiten von Benutzern in IAM-Gruppen](id_groups_manage_add-remove-users.md). ------ # Verwenden von Multi-Faktor-Authentifizierung für Ihre Identitäten Die Verwendung der Multi-Faktor-Authentifizierung (MFA) für Ihre Identitäten ist eine weitere bewährte Methode für IAM. MFA ist eine zusätzliche Sicherheitsebene, die von Benutzern nach der Angabe ihres Benutzernamens und Passworts die Angabe zusätzlicher Authentifizierungsfaktoren erfordert, um ihre Identität zu bestätigen. Dadurch wird die Sicherheit erheblich verbessert, da es für Angreifer viel schwieriger wird, unbefugten Zugriff zu erlangen, selbst wenn das Passwort eines Benutzers kompromittiert ist. MFA ist weithin als bewährte Methode zur Sicherung des Zugriffs auf Online-Konten, Cloud-Dienste und andere sensible Ressourcen anerkannt. AWS unterstützt MFA für Root-Benutzer, IAM-Benutzer, Benutzer in IAM Identity Center, Builder ID und Verbundbenutzer. Zur Erhöhung der Sicherheit können Sie Richtlinien erstellen, die eine MFA-Konfiguration erfordern, bevor einem Benutzer der Zugriff auf Ressourcen oder die Ausführung bestimmter Aktionen gestattet wird, und diese Richtlinien Ihren IAM-Rollen zuordnen. IAM Identity Center ist standardmäßig mit aktivierter MFA vorkonfiguriert, sodass sich alle Benutzer in IAM Identity Center zusätzlich zu ihrem Benutzernamen und Passwort mit MFA anmelden müssen. **Anmerkung** Für alle AWS-Konto Typen (eigenständige Konten, Verwaltungs- und Mitgliederkonten) muss MFA für ihren Root-Benutzer konfiguriert sein. Benutzer müssen MFA innerhalb von 35 Tagen nach ihrem ersten Anmeldeversuch registrieren, um auf die zuzugreifen, AWS-Managementkonsole sofern MFA nicht bereits aktiviert ist. Weitere Informationen finden Sie unter [Konfigurieren von MFA in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html) und [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md). # Auf die geringsten Berechtigungen vorbereiten Die *Verwendung von geringsten Berechtigungen* ist eine bewährte IAM-Empfehlung. Das Konzept der geringsten Berechtigungen besteht darin, den Benutzern ausschließlich die Berechtigungen zu erteilen, die zum Ausführen einer Aufgabe erforderlich sind. Überlegen Sie sich bei der Einrichtung, wie Sie geringste Berechtigungen unterstützen werden. Der Root-Benutzer, der Administratorbenutzer und der IAM-Benutzer mit Notfallzugriff verfügen über umfassende Berechtigungen, die für tägliche Aufgaben nicht erforderlich sind. Während Sie sich mit verschiedenen Diensten AWS vertraut machen und diese testen, empfehlen wir Ihnen, mindestens einen zusätzlichen Benutzer in IAM Identity Center mit geringeren Berechtigungen zu erstellen, den Sie in verschiedenen Szenarien verwenden können. Sie können IAM-Richtlinien verwenden, um die Aktionen zu definieren, die unter bestimmten Bedingungen auf bestimmten Ressourcen ausgeführt werden können, und dann mit Ihrem Konto mit weniger Berechtigungen eine Verbindung mit diesen Ressourcen herzustellen. Wenn Sie IAM Identity Center verwenden, sollten Sie zunächst die Verwendung von IAM-Identity-Center-Berechtigungssätzen in Betracht ziehen. Weitere Informationen finden Sie unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *IAM-Identity-Center-Benutzerhandbuch*. Wenn Sie IAM Identity Center nicht verwenden, definieren Sie die Berechtigungen für verschiedene IAM-Entitäten mithilfe von IAM-Rollen. Weitere Informationen hierzu finden Sie unter [Erstellung einer IAM-Rolle](id_roles_create.md). Sowohl IAM-Rollen als auch IAM Identity Center-Berechtigungssätze können AWS verwaltete Richtlinien verwenden, die auf Aufgabenfunktionen basieren. Einzelheiten zu den durch diese Richtlinien gewährten Berechtigungen finden Sie unter [AWS verwaltete Richtlinien für Jobfunktionen](access_policies_job-functions.md). **Wichtig** Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie von allen Kunden verwendet werden können. AWS Wir empfehlen die geringsten Berechtigungen mit IAM Access Analyzer zu verwenden, um die geringsten Berechtigungen auf der Grundlage Ihrer in AWS CloudTrail protokollierten Zugriffsaktivitäten zu erstellen. Weitere Informationen zur Richtlinienerstellung finden Sie unter [IAM Access Analyzer Richtlinienerstellung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html). Zu Beginn empfehlen wir, AWS verwaltete Richtlinien zu verwenden, um Berechtigungen zu erteilen. Nach Ablauf eines vordefinierten Aktivitätszeitraums (z. B. 90 Tage) können Sie die Services überprüfen, auf die Personen und Workloads zugegriffen haben. Anschließend können Sie eine neue, vom Kunden verwaltete Richtlinie mit eingeschränkten Berechtigungen erstellen, um die AWS verwaltete Richtlinie zu ersetzen. Die neue Richtlinie sollte nur die Services enthalten, auf die während des Beispielzeitraums zugegriffen wurde. Aktualisieren Sie Ihre Berechtigungen, um die AWS verwaltete Richtlinie zu entfernen, und fügen Sie die neue vom Kunden verwaltete Richtlinie hinzu, die Sie erstellt haben. # Informationen, auf die Sie zuletzt zugegriffen haben, für Ihr AWS Konto überprüfen Sie können die Informationen zum letzten Zugriff auf den Dienst für IAM mithilfe der IAM-Konsole oder AWS API AWS CLI anzeigen. Für wichtige Informationen über die Daten, die erforderlichen Berechtigungen, Fehlerbehebungen und unterstützte Regionen finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md). Sie können Informationen für die folgenden Ressourcentypen in IAM anzeigen. In jedem Fall enthalten die Informationen die zulässigen Services für den jeweiligen Berichtszeitraum: + **IAM-Benutzer** – Zeigt den letzten Zugriffsversuch des Benutzers auf jeden zulässigen Service an. + **IAM-Gruppe** – Zeigt Informationen zum letzten Zugriffsversuch auf den Service durch ein Mitglied der IAM-Gruppe an. Dieser Bericht enthält auch die Gesamtzahl der Mitglieder, die versucht haben, auf den Service zuzugreifen. + **IAM-Rolle** – Zeigt den Zeitpunkt des letzten Zugriffsversuchs auf jeden zulässigen Service durch einen Benutzer mithilfe dieser Rolle an. + **Richtlinie** – Zeigt Informationen zum letzten Zugriffsversuch auf jeden zulässigen Service durch einen Benutzer oder eine Rolle an. Dieser Bericht enthält auch die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen. **Anmerkung** Bevor Sie die Zugriffsinformationen für eine Ressource in IAM anzeigen, stellen Sie sicher, dass Sie den Berichtszeitraum, die gemeldeten Entitäten und die ausgewerteten Richtlinientypen für Ihre Informationen verstehen. Weitere Details finden Sie unter [Wissenswertes über die Informationen zum letzten Zugriff](access_policies_last-accessed.md#access_policies_last-accessed-know). Weitere Informationen zu den Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md). ## Um die Informationen zu überprüfen, auf die zuletzt zugegriffen wurde, für einen AWS-Konto ------ #### [ Console ] 1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben. 1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein. 1. Wählen Sie im Navigationsbereich entweder **Groups (Gruppen)**, **Users (Benutzer)**, **Roles (Rollen)** oder **Policies (Richtlinien)**. 1. Wählen Sie einen beliebigen Benutzer, eine Benutzergruppe, eine Rolle oder einen Richtliniennamen aus, um die Seite **Übersicht** zu öffnen und die Registerkarte **Zuletzt aufgerufen** auszuwählen. Zeigen Sie die folgenden Informationen basierend auf der gewählten Ressource an: + **Group (Gruppe)** – Zeigt die Liste der Services an, auf die Gruppenmitglieder (Benutzer) zugreifen können. Sie können auch anzeigen, wann ein Mitglied zuletzt auf den Service zugegriffen hat, welche Gruppenrichtlinien es verwendet hat, und welches Gruppenmitglied die Anforderung gestellt hat. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Gruppenrichtlinie handelt. Wählen Sie den Namen des Gruppenmitglieds aus, um alle Mitglieder der Gruppe und deren letztes Service-Zugriffsdatum anzuzeigen. + **User (Benutzer**) – Zeigt die Liste der Services an, auf die der Benutzer zugreifen kann. Sie können auch anzeigen, wann der Benutzer zuletzt auf den Service zugegriffen hat und welche Richtlinien dem Benutzer aktuell zugeordnet sind. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie, eine Inline-Benutzerrichtlinie oder eine Inline-Richtlinie für die Gruppe handelt. + **Rolle** – Zeigen Sie die Liste der Services, auf die die Rolle zugreifen kann, das letzte Service-Zugriffsdatum der Rolle und die verwendeten Richtlinien an. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Rollenrichtlinie handelt. + **Policy (Richtlinie)** – Zeigt die Liste der Services mit zulässigen Aktionen in der Richtlinie an. Sie können auch anzeigen, wann die Richtlinie zuletzt für den Zugriff auf den Service verwendet wurde, und welche Entität (Benutzer oder Rolle) die Richtlinie verwendet hat. Das Datum des **letzten Zugriffs** umfasst auch den Zeitpunkt, zu dem der Zugriff auf diese Richtlinie über eine andere Richtlinie gewährt wurde. Wählen Sie den Namen der Entität aus, um zu erfahren, welchen Entitäten diese Richtlinie angefügt ist und wann diese zuletzt auf den Service zugegriffen haben. 1. Wählen Sie in der Spalte **Service** der Tabelle den Namen [eines der Services, der Informationen über die zuletzt aufgerufene Aktion enthält,](access_policies_last-accessed-action-last-accessed.md) um eine Liste der Verwaltungsaktionen anzuzeigen, auf die IAM-Entitäten versucht haben zuzugreifen. Sie können die AWS-Region und einen Zeitstempel anzeigen, der anzeigt, wann jemand zuletzt versucht hat, die Aktion auszuführen. 1. Die Spalte **Letzter Zugriff** wird für Services und Verwaltungsaktionen der Services angezeigt, [die Informationen zur Aktion enthalten, auf die zuletzt zugegriffen wurde](access_policies_last-accessed-action-last-accessed.md). Überprüfen Sie die folgenden möglichen Ergebnisse, die in dieser Spalte zurückgegeben werden. Diese Ergebnisse variieren je nachdem, ob ein Service oder eine Aktion zulässig ist, ob darauf zugegriffen wurde, und ob er oder sie von AWS für Informationen zum letzten Zugriff nachverfolgt wird. **vor Tagen** Die Anzahl der Tage, seitdem der Service oder die Aktion im Nachverfolgungszeitraum verwendet wurde. Der Nachverfolgungszeitraum für Services erstreckt sich über die letzten 400 Tage. Der Nachverfolgungszeitraum für Amazon S3 Aktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für die Verwaltungsmaßnahmen von Amazon EC2, IAM und Lambda begann am 7. April 2021. Der Erfassungszeitraum für alle anderen Services begann am 23. Mai 2023. Weitere Informationen zu den jeweiligen AWS-Region Startdaten der Sendungsverfolgung finden Sie unter[Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet](access_policies_last-accessed.md#last-accessed_tracking-period). **Kein Zugriff im Nachverfolgungszeitraum** Der nachverfolgte Service oder die Aktion wurde im Nachverfolgungszeitraum nicht von einer Entität verwendet. Es ist möglich, dass Sie Berechtigungen für eine Aktion haben, die nicht in der Liste angezeigt wird. Dies kann vorkommen, wenn die Nachverfolgungsinformationen für die Aktion derzeit nicht in AWS enthalten sind. Sie sollten keine Berechtigungsentscheidungen nur auf der Grundlage des Fehlens von Nachverfolgungsinformationen treffen. Stattdessen empfehlen wir, diese Informationen zu verwenden, um Ihre allgemeine Strategie für die Gewährung der geringsten Privilegien zu unterstützen. Überprüfen Sie Ihre Richtlinien, um zu bestätigen, dass die Zugriffsebene angemessen ist. ------ #### [ AWS CLI ] Sie können den verwenden AWS CLI , um Informationen darüber abzurufen, wann eine IAM-Ressource in Ihrem zuletzt verwendet AWS-Konto wurde, um auf AWS Services und Amazon S3-, Amazon EC2-, IAM- und Lambda-Aktionen zuzugreifen. Bei einer IAM-Ressource kann es sich um einen Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie handeln. + Generieren Sie einen Bericht für IAM-Ressourcen in einem AWS-Konto. Die Anforderung muss den ARN der IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) enthalten, für die Sie den Bericht erstellen möchten. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Zugriffsdetails nur für Services oder für Services und Aktionen anzuzeigen. Die Anforderung gibt eine `job-id` zurück, die Sie in den Operationen `get-service-last-accessed-details` und `get-service-last-accessed-details-with-entities` nutzen können, um den `job-status` bis zum Abschluss des Auftrags zu überwachen. + [aws-IAM-Einzelheiten generate-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html) 1. Rufen Sie Details zum Bericht mithilfe des Parameters `job-id` aus dem vorherigen Schritt ab. + [aws iam -details get-service-last-accessed](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html) Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation `generate-service-last-accessed-details` angefordert haben, die folgenden Informationen zurückgegeben: + **Benutzer** – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs des Benutzers sowie den ARN des Benutzers zurück. + **Benutzergruppe** – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden der ARN dieses Benutzers sowie die Gesamtzahl der Gruppenmitglieder, die versucht haben, auf den Service zuzugreifen, zurückgegeben. Verwenden Sie den [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)Vorgang, um eine Liste aller Mitglieder abzurufen. + **Rolle** – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs der Rolle sowie den ARN der Rolle zurück. + **Richtlinie** – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden der ARN der Entität sowie die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen, zurückgegeben. 1. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Diese Operation gibt eine Liste der Entitäten einschließlich ARN, ID, Name, Pfad, Typ (Benutzer oder Rolle) und letztem Service-Zugriffsdatum jeder Entität zurück. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben. + [war mein Ziel - get-service-last-accessed details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html) 1. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen zurückgegeben, wie z. B. ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations Richtlinien, IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien. Für weitere Informationen siehe [Richtlinientypen](access_policies.md#access_policy-types) oder [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md). + [AWS IAM -Access list-policies-granting-service](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html) ------ #### [ API ] Sie können die AWS API verwenden, um Informationen darüber abzurufen, wann eine IAM-Ressource zum letzten Mal verwendet wurde, um auf AWS Services und Amazon S3-, Amazon EC2-, IAM- und Lambda-Aktionen zuzugreifen. Bei einer IAM-Ressource kann es sich um einen Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie handeln. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Details nur für Services oder für Services und Aktionen anzuzeigen. 1. Erstellen Sie einen Bericht. Die Anforderung muss den ARN der IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) enthalten, für die Sie den Bericht erstellen möchten. Es wird eine `JobId` zurückgegeben, die Sie in den Operationen `GetServiceLastAccessedDetails` und `GetServiceLastAccessedDetailsWithEntities` nutzen können, um den `JobStatus` bis zum Abschluss des Auftrags zu überwachen. + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html) 1. Rufen Sie Details zum Bericht mithilfe des Parameters `JobId` aus dem vorherigen Schritt ab. + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html) Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation `GenerateServiceLastAccessedDetails` angefordert haben, die folgenden Informationen zurückgegeben: + **Benutzer** – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs des Benutzers sowie den ARN des Benutzers zurück. + **Benutzergruppe** – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden der ARN dieses Benutzers sowie die Gesamtzahl der Gruppenmitglieder, die versucht haben, auf den Service zuzugreifen, zurückgegeben. Verwenden Sie den [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)Vorgang, um eine Liste aller Mitglieder abzurufen. + **Rolle** – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs der Rolle sowie den ARN der Rolle zurück. + **Richtlinie** – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden der ARN der Entität sowie die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen, zurückgegeben. 1. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Diese Operation gibt eine Liste der Entitäten einschließlich ARN, ID, Name, Pfad, Typ (Benutzer oder Rolle) und letztem Service-Zugriffsdatum jeder Entität zurück. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben. + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) 1. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen zurückgegeben, wie z. B. ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations Richtlinien, IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien. Für weitere Informationen siehe [Richtlinientypen](access_policies.md#access_policy-types) oder [Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos](reference_policies_evaluation-logic_policy-eval-basics.md). + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html) ------ # Generierung einer Richtlinie basierend auf der Zugriffsaktivität Sie können die AWS CloudTrail für einen IAM-Benutzer oder eine IAM-Rolle aufgezeichnete Zugriffsaktivität verwenden, damit IAM Access Analyzer eine vom Kunden verwaltete Richtlinie generiert, die den Zugriff nur auf die Dienste ermöglicht, die bestimmte Benutzer und Rollen benötigen. Wenn IAM Access Analyzer eine IAM-Richtlinie generiert, werden Informationen zurückgegeben, die Ihnen helfen, die Richtlinie weiter anzupassen. Bei der Generierung einer Richtlinie können zwei Kategorien von Informationen zurückgegeben werden: + **Richtlinie mit Informationen auf Aktionsebene —** Für einige AWS Services, wie Amazon EC2, kann IAM Access Analyzer die in Ihren CloudTrail Ereignissen gefundenen Aktionen identifizieren und die Aktionen auflisten, die in der generierten Richtlinie verwendet werden. Eine Liste der unterstützten Services finden Sie unter [IAM Access Analyzer Services zur Richtliniengenerierung](access-analyzer-policy-generation-action-last-accessed-support.md). Bei einigen Services fordert IAM Access Analyzer Sie auf, der generierten Richtlinie Aktionen für die Services hinzuzufügen. + **Richtlinie mit Informationen auf Serviceebene –** IAM Access Analyzer verwendet Informationen, auf die [zuletzt zugegriffen wurde](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html), um eine Richtlinienvorlage mit allen kürzlich verwendeten Services zu erstellen. Wenn Sie die verwenden AWS-Managementkonsole, fordern wir Sie auf, die Services zu überprüfen und Aktionen hinzuzufügen, um die Richtlinie zu vervollständigen. ## So generieren Sie eine Richtlinie basierend auf der Zugriffsaktivität Im folgenden Verfahren reduzieren wir die einer Rolle zugewiesenen Berechtigungen, damit sie der Nutzung durch einen Benutzer entsprechen. Wählen Sie bei der Benutzerauswahl einen Benutzer aus, dessen Verwendung die Rolle veranschaulicht. Viele Kunden richten Testbenutzerkonten mit **PowerUser**Berechtigungen ein und lassen sie dann für einen kurzen Zeitraum bestimmte Aufgaben ausführen, um festzustellen, welcher Zugriff zur Ausführung dieser Aufgaben erforderlich ist. ------ #### [ Console ] 1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben. 1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein. 1. Wählen Sie im Navigationsbereich **Benutzer** und dann den Benutzernamen aus, um zur Seite mit den Benutzerdetails zu gelangen. 1. Wählen Sie auf der Registerkarte **Berechtigungen** unter Richtlinie basierend auf CloudTrail Ereignissen generieren die Option **Richtlinie generieren** aus. 1. Konfigurieren Sie auf der Seite **Richtlinie generieren** die folgenden Elemente: + Wählen Sie unter **Zeitraum auswählen** die Option **Letzte 7 Tage** aus. + Damit der **CloudTrail Trail analysiert werden kann**, wählen Sie die Region und den Trail aus, in dem die Aktivitäten dieses Benutzers aufgezeichnet wurden. + Wählen Sie **Neue Servicerolle erstellen und verwenden** aus. 1. Wählen Sie **Richtlinie generieren** aus und warten Sie, bis die Rolle erstellt ist. Aktualisieren Sie die Konsolenseite nicht und verlassen Sie sie nicht, bis die Benachrichtigung **Richtliniengenerierung in Bearbeitung** angezeigt wird. 1. Nachdem die Richtlinie erstellt wurde, müssen Sie sie überprüfen und nach Bedarf ARNs für das Konto IDs und die Ressourcen anpassen. Darüber hinaus enthält die automatisch generierte Richtlinie möglicherweise nicht die Informationen auf Aktionsebene, die zum Ausfüllen der Richtlinie erforderlich sind. Weitere Informationen finden Sie unter [Richtliniengenerierung für IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html). Sie können beispielsweise die erste Anweisung bearbeiten, die den `Allow`-Effekt und das `NotAction`-Element enthält, um nur Amazon-EC2- und Amazon-S3-Aktionen zuzulassen. Um dies zu tun, ersetzen Sie sie mit der Anweisung mit der `FullAccessToSomeServices`-ID. Ihre neue Richtlinie könnte wie die folgende Beispielrichtlinie aussehen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "FullAccessToSomeServices", "Effect": "Allow", "Action": [ "ec2:*", "s3:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole", "iam:ListRoles", "organizations:DescribeOrganization" ], "Resource": "*" } ] } ``` ------ 1. Überprüfen und korrigieren Sie alle Fehler, Warnungen oder Vorschläge, die während der [Richtlinienvalidierung](access_policies_policy-validator.md) zurückgegeben werden, um die bewährte Praxis der [Gewährung der geringsten Berechtigung](best-practices.md#grant-least-privilege) zu unterstützen. 1. Wenn Sie die Berechtigungen Ihrer Richtlinien für bestimmte Aktionen und Ressourcen weiter einschränken möchten, können Sie sich Ihre Ereignisse im CloudTrail **Eventverlauf** ansehen. Dort können Sie detaillierte Informationen zu den spezifischen Aktionen und Ressourcen einsehen, auf die Ihr Benutzer zugegriffen hat. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [ CloudTrail Ereignisse in der CloudTrail Konsole anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html). 1. Nachdem Sie Ihre Richtlinie überprüft und validiert haben, speichern Sie sie unter einem aussagekräftigen Namen. 1. Navigieren Sie zur Seite **Rollen** und wählen Sie die Rolle aus, die Personen übernehmen, wenn sie die von Ihrer neuen Richtlinie zugelassenen Aufgaben ausführen. 1. Wählen Sie die Registerkarte **Berechtigungen**, dann **Berechtigungen hinzufügen** und anschließend **Richtlinien anfügen** aus. 1. Wählen Sie auf der Seite **Berechtigungsrichtlinien anfügen** in der Liste **Weitere Berechtigungsrichtlinien** die von Ihnen erstellte Richtlinie aus, und wählen Sie dann **Richtlinien anfügen** aus. 1. Sie kehren zur Seite mit den **Rollendetails** zurück. Der Rolle sind zwei Richtlinien zugeordnet, Ihre zuvor AWS verwaltete Richtlinie, z. B. **PowerUserAccess**, und Ihre neue Richtlinie. Aktivieren Sie das Kontrollkästchen für die AWS verwaltete Richtlinie und wählen Sie dann **Entfernen** aus. Wenn Sie aufgefordert werden, das Entfernen zu bestätigen, wählen Sie **Entfernen** aus. IAM-Benutzer, SAML- und OICD-Verbundprinzipale und Workloads, die diese Rolle annehmen, verfügen jetzt gemäß der neuen Richtlinie, die Sie erstellt haben, über eingeschränkten Zugriff. ------ #### [ AWS CLI ] Sie können die folgenden Befehle verwenden, um eine Richtlinie mit AWS CLI zu generieren. **Erstellen einer Richtlinie** + [aws accessanalyzer start-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/start-policy-generation.html) **Anzeigen einer generierten Richtlinie** + [als Zugriffsanalysator get-generated-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/get-generated-policy.html) **Stornieren einer Anforderung zur Richtliniengenerierung** + [als Zugriffsanalysator cancel-policy-generation](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/cancel-policy-generation.html) **Anzeigen einer Liste von Anforderungen zur Richtliniengenerierung** + [als Zugriffsanalysator list-policy-generations](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/list-policy-generations.html) ------ #### [ API ] Sie können die folgenden Vorgänge verwenden, um eine Richtlinie mithilfe der AWS -API zu generieren. **Erstellen einer Richtlinie** + [StartPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartPolicyGeneration.html) **Anzeigen einer generierten Richtlinie** + [GetGeneratedPolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetGeneratedPolicy.html) **Stornieren einer Anforderung zur Richtliniengenerierung** + [CancelPolicyGeneration](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CancelPolicyGeneration.html) **Anzeigen einer Liste von Anforderungen zur Richtliniengenerierung** + [ListPolicyGenerations](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListPolicyGenerations.html) ------ # Verwendung der Suche zum Auffinden von IAM-Ressourcen Während Sie Ihre Zugriffsergebnisse bearbeiten, können Sie die Suchseite der IAM-Konsole als schnellere Option zum Auffinden von IAM-Ressourcen verwenden. Sie können mithilfe teilweiser Ressourcennamen oder nach Ressourcen suchen ARNs. ------ #### [ Console ] Mit der Suchfunktion der IAM-Konsole können Sie Folgendes suchen: + IAM-Entitätsnamen, die mit Ihren Suchbegriffen übereinstimmen (für Benutzer, Gruppen, Rollen, Identitätsanbieter und Richtlinien) + Aufgaben, die mit Ihren Suchbegriffen übereinstimmen Die IAM-Konsolen-Suchfunktion gibt keine Informationen über IAM Access Analyzer zurück. Jede Zeile im Suchergebnis ist ein aktiver Link. Beispielsweise können Sie den Benutzernamen im Suchergebnis auswählen, mit dem Sie zur Detailseite dieses Benutzers gelangen. Sie können auch einen Link für eine Aktion auswählen, z. B. den Link für **Benutzer erstellen**, oder die Seite **Create User (Benutzer erstellen)** öffnen. **Anmerkung** Für die Suche nach Zugriffsschlüsseln müssen Sie die vollständige Zugriffsschlüssel-ID im Suchfeld eingeben. Im Suchergebnis wird der mit diesem Schlüssel verknüpfte Benutzer angezeigt. Von dort aus können Sie direkt zu der Seite dieses Benutzers navigieren, auf der Sie seinen Zugriffsschlüssel verwalten können. Verwenden Sie die Seite **Search** in der IAM-Konsole, um die zu diesem Konto gehörenden Elemente zu suchen. **So suchen Sie nach Elementen in der IAM-Konsole** 1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben. 1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein. 1. Klicken Sie im Navigationsbereich auf **Suchen**. 1. Geben Sie im Feld **Search (Suchen)** Ihre Suchbegriffe ein. 1. Wählen Sie in der Liste der Suchergebnisse einen Link aus, um zum entsprechenden Teil der Konsole zu navigieren. Anhand der folgenden Symbole können Sie die Elementtypen identifizieren, die in einer Suche zurückgegeben werden: **** | Symbol | Description | | --- | --- | | ![\[a portrait outline on gray background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/search_user.png) | IAM-Benutzer | | ![\[multiple portrait outlines on a blue background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/search_group.png) | IAM-Gruppen | | ![\[a magic wand icon on a navy background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/search_role.png) | IAM-Rollen | | ![\[a document icon on an organe background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/search_policy.png) | IAM-Richtlinien | | ![\[a white start on an organe background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/search_action.png) | Aufgaben wie "Benutzer erstellen" oder "Richtlinie anfügen" | | ![\[a white X on a red background\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/search_delete.png) | Ergebnisse des Suchbegriffs delete | **Beispiele für Suchausdrücke** Sie können die folgenden Ausdrücke bei der IAM-Suche verwenden. Ersetzen Sie die Begriffe in Kursivschrift durch die Namen der tatsächlichen IAM-Benutzer, -Gruppen, -Rollen, -Zugriffsschlüssel, -Richtlinien bzw. -Identitätsanbieter, nach denen Sie suchen möchten. + ***user\$1name***, ***group\$1name* **, ***role\$1name***, ***policy\$1name*** oder ***identity\$1provider\$1name*** + ***access\$1key*** + **add user *user\$1name* to groups** oder **add users to group *group\$1name*** + **remove user *user\$1name* from groups** + **delete *user\$1name*** oder **delete *group\$1name*** oder **delete *role\$1name*** oder **delete *policy\$1name*** oder **delete *identity\$1provider\$1name*** + **manage access keys *user\$1name*** + **manage signing certificates *user\$1name*** + **users** + **manage MFA for *user\$1name*** + **manage password for *user\$1name*** + **create role** + **password policy** + **edit trust policy for role *role\$1name*** + **show policy document for role *role\$1name*** + **attach policy to *role\$1name*** + **create managed policy** + **create user** + **create group** + **attach policy to *group\$1name*** + **attach entities to *policy\$1name*** + **detach entities from *policy\$1name*** ------