IAM-Identitäten (Benutzer, Gruppen und Rollen) - AWS Identitäts- und Zugriffsverwaltung
AWS-Konto Root-BenutzerIAM-BenutzerIAM-BenutzergruppenIAM-RollenTemporäre Anmeldeinformationen in IAMWann sollten IAM-Identity-Center-Benutzer verwendet werden?Erstellen eines IAM-Benutzers (anstatt eine Rolle)Erstellen einer IAM-Rolle (anstatt eines Benutzers)Vergleich Root-Benutzer des AWS-Kontos und IAM-Benutzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Identitäten (Benutzer, Gruppen und Rollen)

Tipp

Haben Sie Probleme bei der Anmeldung? AWS Stellen Sie sicher, dass Sie sich auf der richtigen Anmeldeseite.

  • Um sich als Root-Benutzer des AWS-Kontos (Kontoinhaber) anzumelden, verwenden Sie die Anmeldeinformationen, die Sie bei der Erstellung des eingerichtet haben AWS-Konto.

  • Zum Anmelden als IAM-Benutzer verwenden Sie die Anmeldeinformationen, die Ihnen Ihr Kontoadministrator zur Anmeldung in AWS gegeben hat.

  • Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

    Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie im AWS-Anmeldung Benutzerhandbuch unter Anmeldung beim AWS Access-Portal.

Tutorials zur Anmeldung finden Sie unter So melden Sie sich in AWS an im AWS-Anmeldung -Benutzerhandbuch.

Anmerkung

Wenn Sie Support anfordern möchten, verwenden Sie nicht den Feedback-Link auf dieser Seite. Feedback, das Sie eingeben, geht an das AWS Dokumentationsteam, nicht an den AWS Support. Wählen Sie stattdessen oben auf dieser Seite den Link Kontakt aus. Dort finden Sie Links zu Ressourcen, mit denen Sie die Unterstützung erhalten, die Sie benötigen.

Der Root-Benutzer des AWS-Kontos oder ein Administratorbenutzer für das Konto kann IAM-Identitäten erstellen. Eine IAM-Identität ermöglicht den Zugriff auf ein AWS-Konto. Eine IAM-Benutzergruppe ist eine Sammlung von IAM-Benutzern, die als eine Einheit verwaltet werden. Eine IAM-Identität stellt einen menschlichen Benutzer oder einen programmgesteuerten Workload dar, der authentifiziert und anschließend zur Durchführung von Aktionen in AWS autorisiert werden kann. Jede IAM-Identität kann einer oder mehreren Richtlinien zugeordnet werden. Richtlinien legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Benutzergruppe auf welchen AWS Ressourcen und unter welchen Bedingungen ausführen kann.

AWS-Konto Root-Benutzer

Wenn Sie zum ersten Mal einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben.

Wichtig

Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.

IAM-Benutzer

Ein IAM-Benutzer ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wenn möglich, empfehlen die bewährten Methoden, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die Alternativen zu Langzeit-Zugriffsschlüsseln. Wenn Sie bestimmte Anwendungsfälle haben, die Zugriffsschlüssel erfordern, empfehlen wir Ihnen, die Zugriffsschlüssel bei Bedarf zu aktualisieren. Weitere Informationen finden Sie unter Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern. Informationen zum Hinzufügen von IAM-Benutzern zu Ihrem System finden Sie AWS-Konto unter. Erstellen eines IAM-Benutzers in Ihrem AWS-Konto

Anmerkung

Im Sinne bewährter Sicherheitsmethoden wird empfohlen, den Zugriff auf Ihre Ressourcen über einen Identitätsverbund zu ermöglichen, anstatt IAM-Benutzer zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.

IAM-Benutzergruppen

Eine IAM-Gruppe ist eine Identität, die eine Sammlung von IAM-Benutzern angibt. Sie können sich nicht mit einer Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie können beispielsweise eine Gruppe mit dem Namen IAMPublishers erstellen und dieser Gruppe die für Workloads üblichen Berechtigungen zuweisen.

IAM-Rollen

Eine IAM-Rolle ist eine Identität innerhalb Ihres Unternehmens, für AWS-Konto die bestimmte Berechtigungen gelten. Es ähnelt einem IAM-Benutzer, ist jedoch keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM-Rolle in der übernehmen, AWS Management Console indem Sie die Rollen wechseln. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI oder AWS API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen.

IAM-Rollen mit temporären Anmeldeinformationen werden in folgenden Situationen verwendet:

  • Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center -Benutzerhandbuch.

  • Temporäre IAM-Benutzerberechtigungen – Ein IAM-Benutzer oder eine -Rolle kann eine IAM-Rolle übernehmen, um vorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.

  • Kontoübergreifender Zugriff – Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigen Prinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. In einigen AWS-Services können Sie jedoch eine Richtlinie direkt an eine Ressource anfügen (anstatt eine Rolle als Proxy zu verwenden). Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für kontenübergreifenden Zugriff finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.

  • Serviceübergreifender Zugriff — Einige AWS-Services verwenden Funktionen in anderen AWS-Services. Wenn Sie beispielsweise einen Aufruf in einem Service tätigen, führt dieser Service häufig Anwendungen in Amazon-EC2 aus oder speichert Objekte in Amazon-S3. Ein Dienst kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.

    • Forward Access Sessions (FAS) — Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FAS verwendet die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. FAS-Anfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien für FAS-Anfragen finden Sie unter Zugriffssitzungen weiterleiten.

    • Servicerolle – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

    • Dienstbezogene Rolle — Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen erscheinen in Ihrem Dienst AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.

  • Anwendungen, die auf Amazon EC2 ausgeführt werden — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und API-Anfragen stellen AWS CLI . AWS Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Um einer EC2-Instance eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Temporäre Anmeldeinformationen in IAM

Als bewährte Methode sollten Sie temporäre Anmeldeinformationen sowohl für menschliche Benutzer als auch für Workloads verwenden. Temporäre Anmeldeinformationen werden hauptsächlich mit IAM-Rollen verwendet, es gibt aber auch andere Verwendungsmöglichkeiten. Sie können temporäre Anmeldeinformationen mit eingeschränkteren Berechtigungen als Ihr standardmäßiger IAM-Benutzer anfordern. Dadurch wird verhindert, dass Sie versehentlich Aufgaben ausführen, die den eingeschränkteren Berechtigungen zufolge nicht zulässig sind. Ein Vorteil der temporären Anmeldeinformationen besteht darin, dass sie automatisch nach einem bestimmten Zeitraum ablaufen. Sie kontrollieren die Gültigkeitsdauer der Anmeldeinformationen.

Wann sollten IAM-Identity-Center-Benutzer verwendet werden?

Wir empfehlen allen menschlichen Benutzern, IAM Identity Center für den Zugriff auf AWS Ressourcen zu verwenden. IAM Identity Center ermöglicht deutliche Verbesserungen gegenüber dem Zugriff auf AWS Ressourcen als IAM-Benutzer. IAM Identity Center bietet Folgendes:

  • Zentraler Satz von Identitäten und Zuweisungen

  • Zugriff auf Konten im gesamten Unternehmen AWS

  • Verbindung zu Ihrem bestehenden Identitätsanbieter

  • Temporäre Anmeldeinformationen

  • Multi-Faktor-Authentifizierung (MFA)

  • Self-Service-MFA-Konfiguration für Endbenutzer

  • Administrative Durchsetzung der Verwendung von MFA

  • Single Sign-On für alle Berechtigungen AWS-Konto

Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Erstellen eines IAM-Benutzers (anstatt eine Rolle)

Wir empfehlen, IAM-Benutzer nur für Anwendungsfälle zu verwenden, die von Verbundbenutzern nicht unterstützt werden. Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, die IAM-Rollen nicht verwenden können – Sie könnten einen Workload von einem Speicherort ausführen, der auf AWS zugreifen muss. In einigen Situationen können Sie IAM-Rollen nicht verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für Plugins. WordPress Verwenden Sie in diesen Situationen langfristige IAM-Benutzerzugriffsschlüssel für diesen Workload, um sich bei AWS zu authentifizieren.

  • AWS Drittanbieter-Clients — Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, z. B. AWS Drittanbieter-Clients oder Anbieter, die nicht auf gehostet werden AWS, verwenden Sie langfristige IAM-Benutzerzugriffsschlüssel.

  • AWS CodeCommit Zugriff — Wenn Sie Ihren Code CodeCommit zum Speichern verwenden, können Sie einen IAM-Benutzer mit SSH-Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, um sich bei Ihren Repositorys CodeCommit zu authentifizieren. Wir empfehlen Ihnen, dies zusätzlich zu einem Benutzer im IAM Identity Center für die normale Authentifizierung zu verwenden. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre oder Ihre AWS-Konten Cloud-Anwendungen benötigen. Um Benutzern Zugriff auf Ihre CodeCommit Repositorys zu gewähren, ohne IAM-Benutzer zu konfigurieren, können Sie das Hilfsprogramm konfigurieren. git-remote-codecommit Weitere Informationen zu IAM und CodeCommit finden Sie unter. Verwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüsseln und AWS Zugriffsschlüsseln Weitere Informationen zur Konfiguration des git-remote-codecommit Dienstprogramms finden Sie im AWS CodeCommit Benutzerhandbuch unter Herstellen einer Verbindung zu AWS CodeCommit Repositorys mit wechselnden Anmeldeinformationen.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) – In einer Situation, in der Sie Benutzer im IAM Identity Center nicht verwenden können, z. B. zu Testzwecken für die Cassandra-Kompatibilität, können Sie einen IAM-Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen benötigen. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen für die Verbindung zu Amazon Keyspaces mithilfe einer IAM-Rolle und des SigV4-Plugins im Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch.

  • Notfallzugriff – In einer Situation, in der Sie keinen Zugriff auf Ihren Identitätsanbieter haben und in Ihrem AWS-Konto Maßnahmen ergreifen müssen. Die Einrichtung von IAM-Benutzern für den Notfallzugriff kann Teil Ihres Resilienzplans sein. Wir empfehlen Ihnen, die Anmeldeinformationen für den Notfallbenutzer genau zu kontrollieren und sie mit Multi-Faktor-Authentifizierung (MFA) zu sichern.

Erstellen einer IAM-Rolle (anstatt eines Benutzers)

Erstellen Sie in folgenden Fällen eine IAM-Rolle:

Sie erstellen eine Anwendung, die auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance läuft und an AWS die diese Anwendung Anfragen sendet.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und die Benutzer-Anmeldeinformationen an die Anwendung zu übermitteln oder die Anmeldeinformationen in die Anwendung einzubetten. Erstellen Sie stattdessen eine IAM-Rolle, die Sie an die EC2-Instance anfügen, um den auf der Instance ausgeführten Anwendungen temporäre Sicherheitsanmeldeinformationen bereitzustellen. Wenn eine Anwendung diese Anmeldeinformationen verwendet AWS, kann sie alle Operationen ausführen, die gemäß den mit der Rolle verknüpften Richtlinien zulässig sind. Details hierzu finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

Sie erstellen eine Anwendung, die auf einem Mobiltelefon ausgeführt wird und Anforderungen an AWS sendet.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und den Zugriffsschlüssel des Benutzers mit der Anwendung zu verteilen. Verwenden Sie stattdessen einen Identitätsanbieter wie Login with Amazon, Amazon Cognito, Facebook oder Google, um Benutzer zu authentifizieren und die Benutzer einer IAM-Rolle zuzuordnen. Die Anwendung kann die Rolle verwenden, um temporäre Sicherheitsanmeldeinformationen zu erhalten, die über die Richtlinien verfügen, die den Berechtigungen entsprechend zur Rolle angefügt sind. Weitere Informationen finden Sie hier:

Die Benutzer in Ihrem Unternehmen sind in Ihrem Unternehmensnetzwerk authentifiziert und möchten die Nutzung nutzen können, AWS ohne sich erneut anmelden zu müssen. Das heißt, Sie möchten Benutzern die Möglichkeit geben, sich zu verbinden. AWS

Wir raten davon ab, IAM-Benutzer zu erstellen. Konfigurieren Sie eine Verbundbeziehung zwischen Ihrem Unternehmensidentitätssystem und. AWS Es gibt zwei Methoden dafür:

  • Wenn das Identitätssystem Ihres Unternehmens mit SAML 2.0 kompatibel ist, können Sie eine Vertrauensstellung zwischen dem Identitätssystem Ihres Unternehmens und AWS herstellen. Weitere Informationen finden Sie unter SAML 2.0-Verbund.

  • Erstellen und verwenden Sie einen benutzerdefinierten Proxyserver, der Benutzeridentitäten aus dem Unternehmen in IAM-Rollen übersetzt, die temporäre Sicherheitsanmeldedaten bereitstellen. AWS Weitere Informationen finden Sie unter Aktivieren des benutzerdefinierten Identity Broker-Zugriffs auf die AWS Konsole.

Vergleichen Sie Root-Benutzer des AWS-Kontos Anmeldeinformationen und IAM-Benutzeranmeldedaten

Der Root-Benutzer ist der Kontoinhaber und wird erstellt, wenn der erstellt AWS-Konto wird. Andere Benutzertypen, einschließlich IAM-Benutzer, und AWS IAM Identity Center Benutzer werden vom Root-Benutzer oder einem Administrator für das Konto erstellt. Alle AWS Benutzer verfügen über Sicherheitsanmeldedaten.

Anmeldeinformationen des Stammbenutzers

Diese Anmeldeinformationen des Kontoinhabers ermöglichen vollständigen Zugriff auf alle Ressourcen des Kontos. Sie können keine IAM-Richtlinien verwenden, um dem Root-Benutzer den Zugriff auf Ressourcen explizit zu verweigern. Sie können nur eine AWS Organizations Service Control Policy (SCP) verwenden, um die Berechtigungen des Root-Benutzers eines Mitgliedskontos einzuschränken. Aus diesem Grund empfehlen wir, in IAM Identity Center einen Administratorbenutzer zu erstellen, den Sie für alltägliche AWS Aufgaben verwenden können. Sichern Sie dann die Anmeldeinformationen des Root-Benutzers und verwenden Sie sie nur für die wenigen Aufgaben der Konto- und Service-Verwaltung, für die Sie sich als Root-Benutzer anmelden müssen. Eine Liste dieser Aufgaben finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern. Informationen zum Einrichten eines Administrators für den täglichen Gebrauch in IAM Identity Center finden Sie unter Erste Schritte im IAM-Identity-Center-Benutzerhandbuch.

IAM-Anmeldeinformationen

Ein IAM-Benutzer ist eine von Ihnen erstellte Entität AWS , die die Person oder den Dienst darstellt, der den IAM-Benutzer für die Interaktion mit Ressourcen verwendet. AWS Bei diesen Benutzern handelt es sich um Identitäten innerhalb von Ihnen AWS-Konto , die über spezifische benutzerdefinierte Berechtigungen verfügen. Sie können beispielsweise IAM-Benutzer erstellen und ihnen Berechtigungen zum Erstellen eines Verzeichnisses im IAM Identity Center gewähren. IAM-Benutzer verfügen über langfristige Anmeldeinformationen, mit denen sie über die oder programmgesteuert AWS über die AWS Management Console APIs oder zugreifen können. AWS CLI AWS step-by-step Anweisungen dazu, wie sich IAM-Benutzer bei der anmelden AWS Management Console, finden Sie unter AWS Management Console Als IAM-Benutzer anmelden im Anmelde-Benutzerhandbuch.AWS

Im Allgemeinen empfehlen wir, das Erstellen von IAM-Benutzern zu vermeiden, da diese über langfristige Anmeldeinformationen wie einen Benutzernamen und ein Kennwort verfügen. Erfordern Sie stattdessen, dass menschliche Benutzer beim Zugriff temporäre Anmeldeinformationen verwenden. AWS Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um Verbundzugriff zu gewähren, AWS-Konten indem Sie IAM-Rollen übernehmen, die temporäre Anmeldeinformationen bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Sie können Ihre Benutzeridentitäten mit IAM Identity Center verwalten oder Zugriffsberechtigungen für Benutzeridentitäten in IAM Identity Center von einem externen Identitätsanbieter verwalten. Weitere Informationen finden Sie unter Was ist IAM Identity Center? im IAM-Identity-Center-Benutzerhandbuch.