Nach ungenutzte AWS-Anmeldeinformationen suchen - AWS Identity and Access Management
Suchen von ungenutzten PasswörternSuchen von ungenutzten Zugriffsschlüsseln

Nach ungenutzte AWS-Anmeldeinformationen suchen

Entfernen Sie die nicht mehr benötigten Anmeldeinformationen von IAM-Benutzern (d. h. Passwörter und Zugriffsschlüssel), um die Sicherheit Ihres AWS-Konto zu erhöhen. Wenn beispielsweise Benutzer Ihr Unternehmen verlassen oder nicht mehr auf AWS zugreifen müssen, suchen Sie die entsprechenden Anmeldeinformationen und stellen Sie sicher, dass sie nicht mehr gültig sind. Im Idealfall löschen Sie die Anmeldeinformationen, wenn sie nicht mehr benötigt werden. Sie können sie immer zu einem späteren Zeitpunkt bei Bedarf neu erstellen. Zumindest sollten Sie das Passwort ändern oder den Zugriffsschlüssel deaktivieren, sodass der ehemalige Benutzer nicht mehr zugreifen kann.

Natürlich ist die Bedeutung von ungenutzt unterschiedlich. Normalerweise ist damit eine Nichtverwendung von Anmeldeinformationen innerhalb eines bestimmten Zeitraums gemeint.

Suchen von ungenutzten Passwörtern

Verwenden Sie die AWS Management Console, um Informationen zur Nutzung der Passwörter Ihrer Benutzer zu ermitteln. Wenn Sie über eine große Anzahl von Benutzern verfügen, können Sie über die Konsole einen Bericht mit den Anmeldeinformation herunterladen, in dem für jeden Benutzer die Information zur letztmaligen Benutzung des entsprechenden Passworts enthalten ist. Sie können auf die Daten auch über die AWS CLI oder die IAM-API zugreifen.

So suchen Sie ungenutzte Passwörter (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Fügen Sie, falls erforderlich, die Spalte Console last sign-in (Letzte Anmeldung an der Konsole) zur Benutzertabelle hinzu:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( Settings icon ).

    2. Wählen Sie unter Select visible columns (Sichtbare Spalten auswählen) die Option Console last sign-in (Letzte Anmeldung der Konsole) aus.

    3. Klicken Sie auf Confirm (Bestätigen), um zur Liste der Benutzer zurückzukehren.

  4. Die Spalte Letzte Anmeldung bei der Konsole zeigt das Datum der letzten Anmeldung bei AWS über die Konsole an. Anhand dieser Informationen können Sie Passwörter suchen, die innerhalb eines bestimmten Zeitraums nicht verwendet worden sind. In der Spalte wird für Benutzer mit Passwörtern, die sich zu keiner Zeit angemeldet haben, Never (Nie) angegeben. None (Keine) gibt Benutzer ohne Passwörter an. Passwörter, die in der letzten Zeit nicht verwendet wurden, können möglicherweise entfernt werden.

    Wichtig

    Aufgrund eines Serviceproblems werden zwischen dem 3. Mai 2018, 22:50 Uhr PDT, und dem 23. Mai 2018, 14:08 Uhr PDT, verwendete Passwörter nicht als zuletzt verwendetes Passwort gemeldet. Dies betrifft die in der IAM-Konsole angezeigten last sign-in-Termine und die letzten Verwendungstermine von Passwörtern im IAM-Bericht mit Anmeldeinformationen, die von der API-Operation GetUser zurückgegeben werden. Wenn Benutzer sich in dieser Zeit angemeldet haben, wird als letztes Verwendungsdatum des Passworts das Datum angegeben, an dem der Benutzer sich das letzte Mal vor dem 3. Mai 2018 angemeldet hat. Für Benutzer, die sich nach dem 23. Mai 2018, 14:08 Uhr PDT, angemeldet haben, wird das richtige letzte Passwortverwendungsdatum zurückgegeben.

    Wenn Sie die Information über das zuletzt verwendete Passwort verwenden, um ungenutzte Anmeldedaten für die Löschung zu identifizieren, z. B. um Benutzer zu löschen, die sich in den letzten 90 Tagen nicht bei AWS angemeldet haben, empfehlen wir Ihnen, Ihr Auswertungsfenster so anzupassen, dass es Daten nach dem 23. Mai 2018 umfasst. Wenn Ihre Benutzer Zugriffsschlüssel verwenden, um programmatisch auf AWS zuzugreifen, können Sie alternativ auf die Informationen zum zuletzt verwendeten Zugriffsschlüssel verweisen, da diese für alle Daten genau sind.

So finden Sie ungenutzte Passwörter, indem Sie den Bericht mit den Anmeldeinformationen (Konsole) herunterladen

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Credential report (Anmeldeinformationsbericht).

  3. Wählen Sie Download Report (Bericht herunterladen) aus, um eine CSV-Datei (Datei mit durch Kommas getrennten Werten) mit dem Namen status_reports_<date>T<time>.csv herunterzuladen. Die fünfte Spalte enthält die Spalte password_last_used mit den nachstehenden Daten:

    • N/A – Benutzer ohne zugewiesenes Passwort.

    • no_information – Benutzer, die Ihr Passwort seit dem 20. Oktober 2014, als IAM begonnen hat, das Alter des Passworts zu registrieren, nicht benutzt haben.

So ermitteln Sie ungenutzte Passwörter (AWS CLI)

Führen Sie den folgenden Befehl aus, um ungenutzte Passwörter zu ermitteln:

  • aws iam list-users gibt eine Liste von Benutzern jeweils mit einem PasswordLastUsed-Wert zurück. Wenn der Wert fehlt, hat der Benutzer entweder kein Passwort oder das Passwort ist seit dem 20. Oktober 2014, als IAM begonnen hat, das Alter des Passworts zu registrieren, nicht verwendet worden.

So ermitteln Sie ungenutzte Passwörter (AWS-API)

Rufen Sie die folgende Operation auf, um ungenutzte Passwörter zu ermitteln:

  • ListUsers gibt eine Sammlung von Benutzern zurück, die jeweils einen <PasswordLastUsed>-Wert haben. Wenn der Wert fehlt, hat der Benutzer entweder kein Passwort oder das Passwort ist seit dem 20. Oktober 2014, als IAM begonnen hat, das Alter des Passworts zu registrieren, nicht verwendet worden.

Weitere Informationen über die Befehle zum Herunterladen des Berichts mit den Anmeldeinformationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen (AWS CLI).

Suchen von ungenutzten Zugriffsschlüsseln

Verwenden Sie die AWS Management Console, um Informationen zur Nutzung der Zugriffsschlüssel Ihrer Benutzer zu ermitteln. Wenn Sie über eine große Anzahl von Benutzern verfügen, können Sie über die Konsole einen Bericht mit den Anmeldeinformation herunterladen, in dem für jeden Benutzer die Information zur letztmaligen Benutzung des entsprechenden Zugriffsschlüssels enthalten ist. Sie können auf die Daten auch über die AWS CLI oder die IAM-API zugreifen.

So finden Sie ungenutzte Zugriffsschlüssel (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Fügen Sie, falls erforderlich, die Spalte Access key last used (Zuletzt verwendeter Zugriffsschlüssel) der Benutzertabelle hinzu:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( Settings icon ).

    2. Wählen Sie unter Select visible columns (Sichtbare Spalten auswählen) die Option Access key last used (Zugriffsschlüssel zuletzt verwendet) aus.

    3. Klicken Sie auf Confirm (Bestätigen), um zur Liste der Benutzer zurückzukehren.

  4. Die Spalte Access key last used (Zuletzt verwendeter Zugriffsschlüssel) zeigt die Anzahl der Tage seit dem letzten programmgesteuerten Zugriff auf AWS des Benutzers an. Anhand dieser Informationen können Sie Zugriffsschlüssel suchen, die innerhalb eines bestimmten Zeitraums nicht verwendet worden sind. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte angezeigt. Zugriffsschlüssel, die in der letzten Zeit nicht verwendet wurden, können entfernt werden.

So finden Sie ungenutzte Zugriffsschlüssel, indem Sie den Bericht mit den Anmeldeinformationen (Konsole) herunterladen

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Credential Report (Anmeldeinformationsbericht).

  3. Wählen Sie Download Report (Bericht herunterladen) aus, um eine CSV-Datei (Datei mit durch Kommas getrennten Werten) mit dem Namen status_reports_<date>T<time>.csv herunterzuladen. Die Spalten 11 bis 13 enthalten das letzte Nutzungsdatum, die Region und die Serviceinformationen für den Zugriffsschlüssel 1. Die Spalten 16 bis 18 enthalten die gleichen Informationen für den Zugriffsschlüssel 2. Der Wert lautet N/A, wenn der Benutzer nicht über einen Zugriffsschlüssel verfügt oder der Zugriffsschlüssel seit dem 22. April 2015, als IAM begonnen hat, das Alter des Zugriffsschlüssels zu registrieren, nicht verwendet worden ist.

So ermitteln Sie ungenutzte Zugriffsschlüssel (AWS CLI)

Führen Sie die folgenden Befehle aus, um ungenutzte Zugriffsschlüssel zu ermitteln:

  • aws iam list-access-keys gibt Informationen zu den Zugriffsschlüssel eines Benutzers einschließlich AccessKeyID zurück.

  • aws iam get-access-key-last-used nimmt eine Zugriffsschlüssel-ID und gibt eine Ausgabe zurück, die das LastUsedDate, die Region, in der der Zugriffsschlüssel zuletzt verwendet wurde, und den ServiceName des letzten angeforderten Services enthält. Wenn LastUsedDate fehlt, ist der Zugriffsschlüssel seit dem 22. April 2015 – der Termin, ab dem IAM das Alter von Zugriffsschlüsseln registriert – nicht verwendet worden.

So ermitteln Sie ungenutzte Zugriffsschlüssel (AWS-API)

Rufen Sie die folgenden Operationen auf, um ungenutzte Zugriffsschlüssel zu ermitteln:

  • ListAccessKeys gibt eine Liste der AccessKeyID-Werte für die Zugriffsschlüssel zurück, die dem angegebenen Benutzer zugeordnet sind.

  • GetAccessKeyLastUsed nimmt eine Zugriffsschlüssel-ID und gibt eine Zusammenstellung von Werten zurück. Darin sind das LastUsedDate, die Region, in der der Zugriffsschlüssel zuletzt verwendet wurde, und der ServiceName des zuletzt angeforderten Services enthalten. Wenn der Wert fehlt, hat entweder der Benutzer keinen Zugriffsschlüssel oder der Zugriffsschlüssel ist seit dem 22. April 2015 – der Termin, ab dem IAM das Alter von Zugriffsschlüsseln registriert – nicht verwendet worden.

Weitere Informationen über die Befehle zum Herunterladen des Berichts mit den Anmeldeinformationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen (AWS CLI).