Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Multi-Faktor-Authentifizierung in IAM
<a name="id_credentials_mfa"></a>

Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Sie können MFA für alle AWS-Konten, einschließlich eigenständiger Konten, Verwaltungskonten und Mitgliedskonten, sowie für Ihre IAM-Benutzer aktivieren. Root-Benutzer des AWS-Kontos Wir empfehlen, nach Möglichkeit Phishing-resistente MFA wie Hauptschlüssel und Sicherheitsschlüssel zu verwenden. Diese FIDO-basierten Authentifikatoren verwenden Kryptografie mit öffentlichen Schlüsseln und sind resistent gegen Phishing- und Replay-Angriffe. Sie bieten ein höheres Maß an man-in-the-middle Sicherheit als TOTP-basierte Optionen.

MFA wird für alle Kontotypen ihrer Root-Benutzer durchgesetzt. Weitere Informationen finden Sie unter [Sichern Sie die Root-Benutzeranmeldedaten Ihres AWS Organizations Kontos](root-user-best-practices.md#ru-bp-organizations). 

Wenn Sie MFA für den Stammbenutzer aktivieren, wirkt sich das nur auf die Anmeldeinformationen des Stammbenutzers. IAM-Benutzer im Konto sind unabhängige Identitäten mit eigenen Anmeldeinformationen und einer jeweils individuellen MFA-Konfiguration. Weitere Informationen zur Verwendung von MFA zum Schutz des Root-Benutzers finden Sie unter [Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos](enable-mfa-for-root.md).

Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu acht MFA-Geräte beliebigen Typs registrieren. Durch die Registrierung mehrerer MFA-Geräte können Sie flexibler vorgehen und das Risiko einer Zugriffsunterbrechung bei Verlust oder Defekt eines Geräts verringern. Sie benötigen nur ein MFA-Gerät, um sich bei der AWS-Managementkonsole anzumelden oder über die AWS CLI eine Sitzung zu erstellen.

**Anmerkung**  
Wir empfehlen, dass Sie von Ihren menschlichen Benutzern verlangen, dass sie beim Zugriff temporäre Anmeldeinformationen verwenden. AWS Haben Sie darüber nachgedacht, es zu verwenden AWS IAM Identity Center? Sie können IAM Identity Center verwenden, um den Zugriff auf mehrere Konten zentral zu verwalten AWS-Konten und Benutzern von einem zentralen Ort aus MFA-geschützten Single Sign-On-Zugriff auf alle ihnen zugewiesenen Konten zu gewähren. Mit IAM Identity Center können Sie Benutzeridentitäten in IAM Identity Center erstellen und verwalten oder einfach eine Verbindung zu Ihrem vorhandenen SAML-2.0-kompatiblen Identitätsanbieter herstellen. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

MFA bietet zusätzliche Sicherheit, da Benutzer beim Zugriff auf AWS Websites oder Dienste zusätzlich zu ihren Anmeldeinformationen eine eindeutige Authentifizierung über einen AWS unterstützten MFA-Mechanismus angeben müssen.

## MFA-Typen
<a name="id_credentials_mfa-types"></a>

AWS unterstützt die folgenden MFA-Typen:

**Contents**
+ [

### Passkeys und Sicherheitsschlüssel
](#passkeys-security-keys-for-iam-users)
+ [

### Anwendungen für virtuelle Authentifikatoren
](#virtual-auth-apps-for-iam-users)
+ [

### Hardware-TOTP-Token
](#hardware-totp-token-for-iam-users)

### Passkeys und Sicherheitsschlüssel
<a name="passkeys-security-keys-for-iam-users"></a>

AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel für MFA. Basierend auf den FIDO-Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung zu gewährleisten, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.
+ **Sicherheitsschlüssel**: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einzelner Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM-Benutzer unterstützen.
+ **Synchronisierte Passkeys**: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Du kannst integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um deinen Anmeldeinformationsmanager zu entsperren und dich dort anzumelden. AWS Passkeys werden bei Ihrem ausgewählten Anbieter anhand Ihres Fingerabdrucks, Gesichts oder der Geräte-PIN erstellt. Sie können auch einen Passkey für die geräteübergreifende Authentifizierung (CDA) auf einem Gerät, z. B. einem Mobilgerät oder einem Hardware-Sicherheitsschlüssel, verwenden, um sich auf einem anderen Gerät, z. B. einem Laptop, anzumelden. Weitere Informationen finden Sie unter [Geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Du kannst Passkeys auf all deinen Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu verbessern. AWS Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md).

Die FIDO Alliance führt eine Liste aller [FIDO-zertifizierten Produkte](https://fidoalliance.org/certification/fido-certified-products/), die mit den FIDO-Spezifikationen kompatibel sind.

### Anwendungen für virtuelle Authentifikatoren
<a name="virtual-auth-apps-for-iam-users"></a>

Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein [zeitgesteuertes Einmalpasswort (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss bei der Anmeldung einen gültigen Code vom Gerät eingeben, wenn er dazu aufgefordert wird. Jeder Token, der einem Benutzer zugeordnet wird, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Token eines anderen Benutzers eingeben.

Wir empfehlen Ihnen, Phishing-resistente MFA wie [Hauptschlüssel oder Sicherheitsschlüssel zu verwenden, um](#passkeys-security-keys-for-iam-users) den bestmöglichen Schutz zu gewährleisten. Wenn Sie noch keine Hauptschlüssel oder Sicherheitsschlüssel verwenden können, empfehlen wir Ihnen, ein virtuelles MFA-Gerät als Zwischenmaßnahme zu verwenden, während Sie auf die Genehmigung des Hardwarekaufs warten oder bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).

Anweisungen zum Einrichten eines virtuellen MFA-Geräts für einen IAM-Benutzer finden Sie unter [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md).

**Anmerkung**  
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über den AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.  
Um nicht zugewiesene virtuelle MFA-Geräte in Ihrem Konto anzuzeigen, können Sie entweder den [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) verwenden.
Um ein virtuelles MFA-Gerät zu deaktivieren, können Sie entweder den [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) verwenden. Die Zuweisung des Geräts wird aufgehoben.
[Um Ihrem AWS-Konto Root-Benutzer oder Ihren IAM-Benutzern ein nicht zugewiesenes virtuelles MFA-Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI Befehl oder dem API-Aufruf.](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)

### Hardware-TOTP-Token
<a name="hardware-totp-token-for-iam-users"></a>

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code basierend auf dem [zeitgesteuerten Einmalpasswort (TOTP)-Algorithmus](https://datatracker.ietf.org/doc/html/rfc6238). Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben.

Diese Token werden ausschließlich mit verwendet. AWS-Konten Sie können nur Token verwenden, deren eindeutige Token-Seeds auf sichere Weise gemeinsam genutzt werden AWS. Token-Seeds sind geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Aus anderen Quellen erworbene Token funktionieren nicht mit IAM. Um die Kompatibilität sicherzustellen, müssen Sie Ihr Hardware-MFA-Gerät über einen der folgenden Links kaufen: [OTP-Token](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8) oder [OTP-Anzeigekarte](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4).
+ Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Weitere Informationen zu unterstützten Hardware-MFA-Geräten finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
+ Wenn Sie ein physisches MFA-Gerät verwenden möchten, empfehlen wir Ihnen, als Alternative zu Hardware-TOTP-Geräten Sicherheitsschlüssel zu verwenden. Sicherheitsschlüssel erfordern keine Batterien, sind Phishing-resistent und unterstützen mehrere Benutzer auf einem einzigen Gerät.

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel AWS-Managementkonsole nur über die AWS API aktivieren, nicht über die AWS CLI oder. Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

Anweisungen zum Einrichten eines Hardware-TOTP-Tokens für einen IAM-Benutzer finden Sie unter [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md).

**Anmerkung**  
**MFA auf SMS-Textnachricht** — die Unterstützung für die Aktivierung der SMS-Multifaktor-Authentifizierung (MFA) AWS wurde eingestellt. Wir empfehlen Kunden, deren IAM-Benutzer SMS-basierte MFA verwenden, auf eine der folgenden alternativen Methoden umzusteigen: [Passkey oder Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md), [virtuelles (softwarebasiertes) MFA-Gerät](id_credentials_mfa_enable_virtual.md) oder [Hardware-MFA-Gerät](id_credentials_mfa_enable_physical.md). Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen SMS-MFA-Gerät identifizieren. Wählen Sie in der IAM-Konsole **Users (Benutzer)** im Navigationsbereich und suchen Sie nach Benutzern mit **SMS** in der Spalte **MFA** der Tabelle.

## MFA-Empfehlungen
<a name="id_credentials_mfa-recommendations"></a>

Folgen Sie diesen Empfehlungen für die MFA-Authentifizierung, um Ihre AWS Identitäten zu schützen. 
+ Wir empfehlen Ihnen, Phishing-resistente MFA wie [Hauptschlüssel und Sicherheitsschlüssel als](#passkeys-security-keys-for-iam-users) MFA-Gerät zu verwenden. Diese FIDO-basierten Authentifikatoren bieten den stärksten Schutz vor Angriffen wie Phishing.
+ Wir empfehlen, dass Sie mehrere MFA-Geräte für die Root-Benutzer des AWS-Kontos und IAM-Benutzer in Ihrem aktivieren. AWS-Konten Auf diese Weise können Sie die Sicherheitslatte in Ihrem System höher legen AWS-Konten und die Verwaltung des Zugriffs für Benutzer mit hohen Rechten vereinfachen, wie z. B. Root-Benutzer des AWS-Kontos
+ Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen. Ein IAM-Benutzer muss sich mit einem vorhandenen MFA-Gerät authentifizieren, um ein zusätzliches MFA-Gerät zu aktivieren oder zu deaktivieren.
+ Im Falle eines verlorenen, gestohlenen oder unzugänglichen MFA-Geräts können Sie eines der verbleibenden MFA-Geräte verwenden, um darauf zuzugreifen, AWS-Konto ohne das Wiederherstellungsverfahren durchführen zu müssen. AWS-Konto Wenn ein MFA-Gerät verloren geht oder gestohlen wird, muss es vom IAM-Prinzipal getrennt werden, mit dem es verknüpft ist.
+ Durch die Verwendung mehrerer Optionen MFAs können Ihre Mitarbeiter an geografisch verteilten Standorten oder von zu Hause aus auf hardwarebasiertes MFA zugreifen, AWS ohne den physischen Austausch eines einzelnen Hardwaregeräts zwischen den Mitarbeitern koordinieren zu müssen.
+ Durch die Verwendung zusätzlicher MFA-Geräte für IAM-Principals können Sie eines oder mehrere MFAs für den täglichen Gebrauch verwenden und gleichzeitig physische MFA-Geräte an einem sicheren physischen Ort wie einem Tresor oder einem Safe für Backup und Redundanz aufbewahren.

**Hinweise**  
Sie können die MFA-Informationen für einen Sicherheitsschlüssel oder Hauptschlüssel nicht an AWS STS API-Operationen weitergeben, um temporäre Anmeldeinformationen anzufordern. Sie können Anmeldeinformationen für die Verwendung mit AWS CLI und AWS SDKs bei Verwendung eines Sicherheitsschlüssels oder Hauptschlüssels abrufen, indem Sie den Befehl ausführen. `aws login`
Sie können keine AWS CLI Befehle oder AWS API-Operationen verwenden, um [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) zu aktivieren.
Sie können denselben Namen nicht für mehr als einen Root-Benutzer oder ein IAM-MFA-Gerät verwenden.

## Weitere Ressourcen
<a name="id_credentials_mfa-resources"></a>

Mithilfe der folgenden Ressourcen können Sie mehr über MFA erfahren.
+ Weitere Hinweise zur Verwendung von MFA für den Zugriff finden Sie AWS unter[Anmeldung mit MFA](console_sign-in-mfa.md).
+  Sie können IAM Identity Center nutzen, um sicheren MFA-Zugriff auf Ihr AWS Zugriffsportal, die integrierten IAM Identity Center-Apps und das zu ermöglichen. AWS CLI Weitere Informationen finden Sie unter [Aktivieren von MFA im IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html).

# Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole
<a name="id_credentials_mfa_enable_fido"></a>

Passkeys sind eine Art [Multi-Faktor-Authentifizierungsgerät (MFA)](id_credentials_mfa.md), mit dem Sie Ihre Ressourcen schützen können. AWS AWS unterstützt synchronisierte Hauptschlüssel und gerätegebundene Hauptschlüssel, auch Sicherheitsschlüssel genannt. 

Mithilfe synchronisierter Passkeys können IAM-Benutzer auf vielen ihrer Geräte (auch auf neuen) auf ihre FIDO-Anmeldeinformationen zugreifen, ohne jedes Gerät bei jedem Konto erneut registrieren zu müssen. Zu den synchronisierten Passkeys gehören Anmeldeinformations-Manager von Erstanbietern wie Google, Apple und Microsoft sowie Anmeldeinformationsmanager von Drittanbietern wie 1Password, Dashlane und Bitwarden als zweiter Faktor. Sie können auch biometrische Daten auf dem Gerät (z. B. TouchID, FaceID) verwenden, um den von Ihnen gewählten Anmeldeinformations-Manager für die Verwendung von Passkeys zu entsperren. 

Alternativ sind gerätegebundene Passkeys an einen FIDO-Sicherheitsschlüssel gebunden, den Sie an einen USB-Anschluss Ihres Computers anschließen und dann bei der entsprechenden Aufforderung antippen, um den Anmeldevorgang sicher abzuschließen. Wenn Sie einen FIDO-Sicherheitsschlüssel bereits mit anderen Diensten verwenden und dieser über eine [AWS unterstützte Konfiguration](id_credentials_mfa_fido_supported_configurations.md) verfügt (z. B. die Serie YubiKey 5 von Yubico), können Sie ihn auch mit verwenden. AWS Andernfalls müssen Sie einen FIDO-Sicherheitsschlüssel erwerben, wenn Sie ihn WebAuthn für MFA in verwenden möchten. AWS Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, was ihren Nutzen für die Kontosicherheit erhöht. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter [Multifaktor-Authentifizierung](https://aws.amazon.com/iam/details/mfa/).

Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen. Wir empfehlen, mehrere MFA-Geräte zu registrieren. Sie können beispielsweise einen integrierten Authentifikator registrieren und auch einen Sicherheitsschlüssel registrieren, den Sie an einem physisch sicheren Ort aufbewahren. Wenn Sie Ihren integrierten Authentifikator nicht verwenden können, können Sie Ihren registrierten Sicherheitsschlüssel verwenden. Für Authentifizierungsanwendungen empfehlen wir außerdem, die Cloud-Backup- oder Synchronisierungsfunktion in diesen Apps zu aktivieren. Dadurch vermeiden Sie, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät mit den Authentifizierungs-Apps verlieren oder beschädigen.

**Anmerkung**  
Wir empfehlen, dass Sie menschliche Benutzer auffordern, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Ihre Benutzer können sich AWS mit einem Identitätsanbieter verbinden, wo sie sich mit ihren Unternehmensanmeldedaten und MFA-Konfigurationen authentifizieren. Um den Zugriff auf AWS und Geschäftsanwendungen zu verwalten, empfehlen wir die Verwendung von IAM Identity Center. Weitere Informationen finden Sie im [Benutzerhandbuch zu IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). 

**Topics**
+ [

## Erforderliche Berechtigungen
](#enable-fido-mfa-for-iam-user-permissions-required)
+ [

## Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren
](#enable-fido-mfa-for-own-iam-user)
+ [

## Passkey oder Sicherheitsschlüssels für einen anderen IAM-Benutzer (Konsole) aktivieren
](#enable-fido-mfa-for-iam-user)
+ [

## Ersetzen eines Passkeys oder Sicherheitsschlüssels
](#replace-fido-mfa)
+ [

# Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln
](id_credentials_mfa_fido_supported_configurations.md)

## Erforderliche Berechtigungen
<a name="enable-fido-mfa-for-iam-user-permissions-required"></a>

Um einen FIDO-Passkey für Ihren eigenen IAM-Benutzer zu verwalten und gleichzeitig vertrauliche MFA-bezogene Aktionen zu schützen, müssen Sie über die Berechtigungen der folgenden Richtlinie verfügen:

**Anmerkung**  
Die ARN-Werte sind statische Werte und kein Indikator dafür, welches Protokoll zur Registrierung des Authentifikators verwendet wurde. Wir haben U2F als veraltet eingestuft, daher verwenden alle neuen Implementierungen. WebAuthn

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren
<a name="enable-fido-mfa-for-own-iam-user"></a>

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer AWS-Managementkonsole nur über die API aktivieren, nicht über die oder. AWS CLI AWS Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

**So aktivieren Sie einen Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole)**

1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS-Managementkonsole Link zu Sicherheitsanmeldedaten\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Seite des ausgewählten IAM-Benutzers die Registerkarte **Sicherheits-Anmeldeinformationen** aus.

1. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie auf der Seite **MFA-Gerätename** einen **Gerätenamen** ein, wählen Sie **Passkey oder Sicherheitsschlüssel** und klicken Sie dann auf **Weiter**.

1. Richten Sie unter **Gerät einrichten** Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

1. Folgen Sie den Anweisungen Ihres Browsers und wählen Sie dann **Fortfahren** aus.

Sie haben jetzt Ihren Hauptschlüssel oder Sicherheitsschlüssel zur Verwendung mit AWS registriert. Hinweise zur Verwendung von MFA mit dem finden Sie AWS-Managementkonsole unter[Anmeldung mit MFA](console_sign-in-mfa.md). 

## Passkey oder Sicherheitsschlüssels für einen anderen IAM-Benutzer (Konsole) aktivieren
<a name="enable-fido-mfa-for-iam-user"></a>

Sie können einen Hauptschlüssel oder eine Sicherheitsfunktion für einen anderen IAM-Benutzer AWS-Managementkonsole nur über die API aktivieren, nicht über die AWS CLI API oder. AWS 

**So aktivieren Sie einen Passkey oder die Sicherheit für einen anderen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie unter **Benutzer** den Namen des Benutzers aus, für den Sie MFA aktivieren möchten.

1. Wählen Sie auf der ausgewählten IAM-Benutzerseite die Registerkarte **Sicherheits-Anmeldeinformationen** aus. 

1. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie auf der Seite **MFA-Gerätename** einen **Gerätenamen** ein, wählen Sie **Passkey oder Sicherheitsschlüssel** und klicken Sie dann auf **Weiter**.

1. Richten Sie unter **Gerät einrichten** Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

1. Folgen Sie den Anweisungen Ihres Browsers und wählen Sie dann **Fortfahren** aus.

Sie haben jetzt einen Passkey oder Sicherheitsschlüssel für einen anderen IAM-Benutzer zur Verwendung mit AWS registriert. Hinweise zur Verwendung von MFA mit dem finden Sie AWS-Managementkonsole unter[Anmeldung mit MFA](console_sign-in-mfa.md).

## Ersetzen eines Passkeys oder Sicherheitsschlüssels
<a name="replace-fido-mfa"></a>

Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht [MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) gleichzeitig Root-Benutzer des AWS-Kontos zuweisen. Wenn der Benutzer einen FIDO-Authenticator verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst den alten FIDO-Authenticator deaktivieren. Anschließend können Sie ein neues MFA-Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem anderen IAM-Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Informationen darüber, wie Sie einen neuen FIDO-Sicherheitsschlüssel für einen IAM-Benutzer hinzuzufügen, finden Sie unter [Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren](#enable-fido-mfa-for-own-iam-user).

Wenn Sie keinen Zugriff auf einen neuen Passkey oder Sicherheitsschlüssel haben, können Sie ein neues virtuelles MFA-Gerät oder ein neues Hardware-TOTP-Token aktivieren. Siehe eine der folgenden Anweisungen:
+ [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md) 
+ [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md) 

# Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln
<a name="id_credentials_mfa_fido_supported_configurations"></a>

Sie können FIDO2 gerätegebundene Hauptschlüssel, auch Sicherheitsschlüssel genannt, als Multi-Faktor-Authentifizierungsmethode (MFA) mit IAM verwenden, indem Sie die derzeit unterstützten Konfigurationen verwenden. Dazu gehören FIDO2 Geräte, die von IAM unterstützt werden, und Browser, die dies unterstützen. FIDO2 Bevor Sie Ihr FIDO2 Gerät registrieren, überprüfen Sie, ob Sie die neueste Browser- und Betriebssystemversion (OS) verwenden. Die Funktionen können sich in verschiedenen Browsern, Authentifikatoren und Betriebssystem-Clients unterschiedlich verhalten. Wenn die Registrierung Ihres Geräts in einem Browser fehlschlägt, können Sie versuchen, die Registrierung in einem anderen Browser durchzuführen. 

FIDO2 ist ein offener Authentifizierungsstandard und eine Erweiterung von FIDO U2F, der dasselbe hohe Sicherheitsniveau bietet, das auf Kryptografie mit öffentlichen Schlüsseln basiert. FIDO2 besteht aus der W3C Web Authentication Specification (WebAuthn API) und dem FIDO Alliance Client-to-Authenticator Protocol (CTAP), einem Protokoll auf Anwendungsebene. CTAP ermöglicht die Kommunikation zwischen Client oder Plattform, wie einem Browser oder Betriebssystem, mit einem externen Authenticator. Wenn Sie einen FIDO-zertifizierten Authentifikator aktivieren AWS, erstellt der Sicherheitsschlüssel ein neues key pair, das nur mit verwendet werden kann. AWS Geben Sie zuerst Ihre Anmeldeinformationen ein. Wenn Sie dazu aufgefordert werden, tippen Sie auf den Sicherheitsschlüssel, der auf die von AWS ausgegebene Authentifizierungsaufforderung reagiert. [Weitere Informationen zum FIDO2 Standard finden Sie im FIDO2 Projekt.](https://en.wikipedia.org/wiki/FIDO2_Project)

## FIDO2 Geräte, die unterstützt werden von AWS
<a name="id_credentials_mfa_fido_supported_devices"></a>

IAM unterstützt FIDO2 Sicherheitsgeräte, die über USB oder NFC eine Verbindung zu Ihren Geräten herstellen. Bluetooth IAM unterstützt auch Plattformauthentifikatoren wie TouchID oder FaceID. IAM unterstützt keine lokale Passkey-Registrierung für Windows Hello. Zum Erstellen und Verwenden von Passkeys sollten Windows-Benutzer die [geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) nutzen, bei der Sie einen Passkey von einem Gerät (z. B. einem Mobilgerät) oder einen Hardware-Sicherheitsschlüssel verwenden, um sich auf einem anderen Gerät (z. B. einem Laptop) anzumelden.

**Anmerkung**  
AWS benötigt Zugriff auf den physischen USB-Anschluss Ihres Computers, um Ihr FIDO2 Gerät zu verifizieren. Sicherheitsschlüssel funktionieren nicht mit einer virtuellen Maschine, einer Remote-Verbindung oder dem Inkognito-Modus eines Browsers.

Die FIDO Alliance führt eine Liste aller [FIDO2Produkte](https://fidoalliance.org/certification/fido-certified-products/), die mit den FIDO-Spezifikationen kompatibel sind.

## Browser, die unterstützen FIDO2
<a name="id_credentials_mfa_fido_browsers"></a>

Die Verfügbarkeit von FIDO2 Sicherheitsgeräten, die in einem Webbrowser ausgeführt werden, hängt von der Kombination aus Browser und Betriebssystem ab. Die folgenden Browser unterstützen derzeit die Verwendung von Sicherheitsschlüsseln:


****  

| Webbrowser | macOS 10.15\$1 | Windows 10 | Linux | iOS 14.5\$1 | Android 7\$1 | 
| --- | --- | --- | --- | --- | --- | 
| Chrome | Ja | Ja | Ja | Ja | Nein | 
| Safari | Ja | Nein | Nein | Ja | Nein | 
| Edge | Ja | Ja | Nein | Ja | Nein | 
| Firefox | Ja | Ja | Nein | Ja | Nein | 

**Anmerkung**  
Die meisten Firefox-Versionen, die derzeit Unterstützung bieten, aktivieren die Unterstützung standardmäßig FIDO2 nicht. Anweisungen zur Aktivierung der FIDO2 Unterstützung in Firefox finden Sie unter[Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md).  
Firefox unter macOS unterstützt geräteübergreifende Authentifizierungs-Workflows für Passkeys möglicherweise nicht vollständig. Möglicherweise werden Sie dazu aufgefordert, einen Sicherheitsschlüssel zu drücken, anstatt mit der geräteübergreifenden Authentifizierung fortzufahren. Wir empfehlen, für die Anmeldung mit Passkeys unter macOS einen anderen Browser wie Chrome oder Safari zu verwenden.

Weitere Informationen zur Browserunterstützung für ein FIDO2 -zertifiziertes Gerät wie YubiKey finden Sie unter [Betriebssystem- und Webbrowser-Unterstützung für FIDO2 und U2F](https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F).

### Browser-Plugins
<a name="id_credentials_mfa_fido_plugins"></a>

AWS unterstützt nur Browser, die diese Funktion nativ unterstützen. FIDO2 AWS unterstützt nicht die Verwendung von Plugins zum Hinzufügen von FIDO2 Browserunterstützung. Einige Browser-Plugins sind nicht mit dem FIDO2 Standard kompatibel und können bei FIDO2 Sicherheitsschlüsseln zu unerwarteten Ergebnissen führen. 

Weitere Informationen zum Deaktivieren von Browser-Plugins und andere Tipps zur Fehlerbehebung finden Sie unter [Ich kann meinen FIDO-Sicherheitsschlüssel nicht aktivieren](troubleshoot_mfa-fido.md#troubleshoot_mfa-fido-cant-enable). 

## Gerätezertifizierungen
<a name="id_credentials_mfa_fido_certifications"></a>

Gerätebezogene Zertifizierungen, wie etwa die FIPS-Validierung und die FIDO-Zertifizierungsstufe, erfassen und vergeben wir ausschließlich bei der Registrierung eines Sicherheitsschlüssels. Ihre Gerätezertifizierung wird vom [FIDO Alliance Metadata Service (MDS](https://fidoalliance.org/metadata/)) abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres Sicherheitsschlüssels ändert, wird dies nicht automatisch in den Geräte-Tags widergespiegelt. Um die Zertifizierungsinformationen eines Geräts zu aktualisieren, registrieren Sie das Gerät erneut, um die aktualisierten Zertifizierungsinformationen abzurufen. 

AWS stellt bei der Geräteregistrierung die folgenden Zertifizierungstypen als Bedingungsschlüssel bereit, die aus dem FIDO MDS abgerufen werden: FIPS-140-2, FIPS-140-3 und FIDO-Zertifizierungsstufen. Sie haben die Möglichkeit, die Registrierung bestimmter Authentifikatoren in ihren IAM-Richtlinien festzulegen, basierend auf Ihrem bevorzugten Zertifizierungstyp und Ihrer bevorzugten Zertifizierungsstufe. Weitere Informationen finden Sie unten unter „Richtlinien“.

### Beispielrichtlinien für Gerätezertifizierungen
<a name="id_credentials_mfa_fido_certifications_policies"></a>

Die folgenden Anwendungsfälle zeigen Beispielrichtlinien, mit denen Sie MFA-Geräte mit FIPS-Zertifizierungen registrieren können.

**Topics**
+ [

#### Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen
](#id_credentials_mfa_fido_certifications_policies_use_case_1)
+ [

#### Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen
](#id_credentials_mfa_fido_certifications_policies_use_case_2)
+ [

#### Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen
](#id_credentials_mfa_fido_certifications_policies_use_case_3)
+ [

#### Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen
](#id_credentials_mfa_fido_certifications_policies_use_case_4)

#### Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_1"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_2"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}
```

------

#### Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_3"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_4"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Create"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Activate",
          "iam:FIDO-FIPS-140-2-certification": "L2"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "Null": {
          "iam:RegisterSecurityKey": "true"
        }
      }
    }
  ]
}
```

------

## AWS CLI und AWS API
<a name="id_credentials_mfa_fido_cliapi"></a>

AWS unterstützt die Verwendung von Hauptschlüsseln und Sicherheitsschlüsseln nur in der AWS-Managementkonsole. Die Verwendung von Passkeys und Sicherheitsschlüsseln für MFA wird in der [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/) und [AWS API](https://aws.amazon.com/tools/) oder für den Zugriff auf [MFA-geschützte API-Operationen](id_credentials_mfa_configure-api-require.md) nicht unterstützt.

## Weitere Ressourcen
<a name="id_credentials_mfa_fido_additional_resources"></a>
+ Weitere Informationen zur Verwendung von Hauptschlüsseln und Sicherheitsschlüsseln in finden Sie AWS unter. [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md)
+ Hilfe zur Problembehebung von Hauptschlüsseln und Sicherheitsschlüsseln in finden Sie AWS unter. [Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md)
+ Allgemeine Brancheninformationen zum FIDO2 Support finden Sie unter [FIDO2 Project](https://en.wikipedia.org/wiki/FIDO2_Project). 

# Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole
<a name="id_credentials_mfa_enable_virtual"></a>

**Wichtig**  
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden. AWS Weitere Informationen finden Sie unter [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md).

Sie können ein Telefon oder ein anderes Gerät als virtuelles Multi-Factor-Authentication-(MFA)Gerät verwenden. Installieren Sie dazu eine mobile App mit [RFC 6238, einem standardbasierten TOTP-(Time-based One-time Password)Algorithmus](https://datatracker.ietf.org/doc/html/rfc6238). Diese Apps generieren einen sechsstelligen Authentifizierungscode. Da Authentifikatoren auf ungesicherten Mobilgeräten ausgeführt werden können und die Codes möglicherweise an Unbefugte weitergegeben werden könnten, bietet TOTP-basierte MFA nicht das gleiche Sicherheitsniveau wie Phishing-resistente Optionen wie Sicherheitsschlüssel und Hauptschlüssel. [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2) Wir empfehlen die Verwendung von Hauptschlüsseln oder Sicherheitsschlüsseln für MFA, um den bestmöglichen Schutz vor Angriffen wie Phishing zu gewährleisten.

Wenn Sie noch nicht in der Lage sind, Hauptschlüssel oder Sicherheitsschlüssel zu verwenden, empfehlen wir Ihnen, als Zwischenmaßnahme ein virtuelles MFA-Gerät zu verwenden, während Sie auf etwaige Genehmigungen für den Kauf von Hardware oder auf das Eintreffen Ihrer Hardware warten.

Die meisten virtuellen MFA-Apps unterstützen die Erstellung mehrerer virtueller Geräte, sodass Sie dieselbe App für mehrere AWS-Konten oder mehrere Benutzer verwenden können. Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination von [MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Sie benötigen nur ein MFA-Gerät, um sich bei dem anzumelden AWS-Managementkonsole oder eine Sitzung über zu erstellen. AWS CLI Wir empfehlen, mehrere MFA-Geräte zu registrieren. Für Authentifizierungsanwendungen empfehlen wir außerdem, das Cloud-Backup oder das Synchronisierungs-Feature zu aktivieren, um zu verhindern, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät verlieren oder kaputt gehen.

AWS erfordert eine virtuelle MFA-App, die ein sechsstelliges OTP erzeugt. Eine Liste der verwendbaren virtuellen MFA-Apps finden Sie unter [Multi-Factor Authentication](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). 

**Topics**
+ [

## Erforderliche Berechtigungen
](#mfa_enable_virtual_permissions-required)
+ [

## Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)
](#enable-virt-mfa-for-iam-user)
+ [

## Ersetzen eines virtuellen MFA-Geräts
](#replace-virt-mfa)

## Erforderliche Berechtigungen
<a name="mfa_enable_virtual_permissions-required"></a>

Um virtuelle MFA-Geräte für Ihren IAM-Benutzer zu verwalten, benötigen Sie die Berechtigungen von der folgenden Richtlinie: [AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).

## Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)
<a name="enable-virt-mfa-for-iam-user"></a>

Sie können IAM in verwenden, AWS-Managementkonsole um ein virtuelles MFA-Gerät für einen IAM-Benutzer in Ihrem Konto zu aktivieren und zu verwalten. Sie können Ihren IAM-Ressourcen, einschließlich virtueller MFA-Geräte, Tags hinzufügen, um den Zugriff auf diese zu identifizieren, zu organisieren und zu kontrollieren. Sie können virtuelle MFA-Geräte nur kennzeichnen, wenn Sie die AWS API AWS CLI oder verwenden. Informationen zum Aktivieren und Verwalten eines MFA-Geräts mithilfe der AWS API AWS CLI oder finden Sie unter[MFA-Geräte in der AWS CLI oder AWS API zuweisen](id_credentials_mfa_enable_cliapi.md). Weitere Informationen über das Markieren von IAM-Ressourcen mit Tags finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md). 

**Anmerkung**  
Sie müssen über physischen Zugriff auf die Hardware verfügen, die als Host für das virtuelle MFA-Gerät des Benutzers dient, um MFA konfigurieren zu können. Beispielsweise können Sie MFA für einen Benutzer konfigurieren, der ein virtuelles MFA-Gerät verwendet, das auf einem Smartphone ausgeführt wird. In diesem Fall müssen Sie das Smartphone zur Verfügung haben, um den Assistenten zu beenden. Aus diesem Grund kann es sinnvoll sein, die Konfiguration und Verwaltung der virtuellen MFA-Geräte von den Benutzern selbst vornehmen zu lassen. In diesem Fall müssen Sie den Benutzern die Berechtigungen zur Ausführung der erforderlichen IAM-Aktionen erteilen. Weitere Informationen und ein Beispiel für eine IAM-Richtlinie, die diese Berechtigungen gewährt, finden Sie unter [IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können](tutorial_users-self-manage-mfa-and-creds.md) und Beispielrichtlinie [AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md). 

**Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der **Users list** (Liste der Benutzer) den Namen des IAM-Benutzer aus.

1. Wechseln Sie zur Registerkarte **Security Credentials**. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Authenticator app (Authenticator-App)** und dann **Next (Weiter)**.

   IAM generiert Konfigurationsinformationen für das virtuelle MFA-Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des "geheimen Konfigurationsschlüssels", der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

1. Öffnen Sie Ihre virtuelle MFA-App. Eine Liste der Anwendungen, die Sie zum Hosten von virtuellen MFA-Geräten verwenden können, finden Sie unter [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/). 

   Wenn die virtuelle MFA-App mehrere virtuelle MFA-Geräte oder -Konten unterstützt, wählen Sie die Option zum Erstellen eines neuen virtuellen MFA-Geräts oder -Kontos.

1. Stellen Sie fest, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:
   + Wählen Sie im Assistenten **Show QR code (QR-Code anzeigen)** und verwenden Sie dann die App, um den QR-Code zu scannen. Dies kann ein Kamerasymbol oder die Option **Code scannen** sein, bei der der Code mit der Kamera des Geräts gescannt wird.
   + Wählen Sie im Assistenten die Option **Show secret key (Geheimen Schlüssel anzeigen)** aus und geben Sie dann den geheimen Schlüssel in Ihre MFA-App ein.

   Wenn Sie fertig sind, beginnt das virtuelle MFA-Gerät, einmalige Passwörter zu generieren. 

1. Geben Sie auf der Seite **Set up device (Gerät einrichten)** im Feld **MFA code 1 (MFA-Code 1)** das aktuell auf dem virtuellen MFA-Gerät angezeigte Einmalpasswort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite Einmalpasswort in das Feld **MFA Code 2** ein. Wählen Sie **Add MFA (MFA hinzufügen)**. 
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das virtuelle MFA-Gerät ist jetzt für die Verwendung mit AWS bereit. Hinweise zur Verwendung von MFA mit dem finden Sie AWS-Managementkonsole unter[Anmeldung mit MFA](console_sign-in-mfa.md).

**Anmerkung**  
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über den AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.  
Um nicht zugewiesene virtuelle MFA-Geräte in Ihrem Konto anzuzeigen, können Sie entweder den [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) verwenden.
Um ein virtuelles MFA-Gerät zu deaktivieren, können Sie entweder den [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) verwenden. Die Zuweisung des Geräts wird aufgehoben.
[Um Ihrem AWS-Konto Root-Benutzer oder Ihren IAM-Benutzern ein nicht zugewiesenes virtuelles MFA-Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI Befehl oder dem API-Aufruf.](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)

## Ersetzen eines virtuellen MFA-Geräts
<a name="replace-virt-mfa"></a>

Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination von MFA-Typen registrieren. Wenn der Benutzer ein Gerät verliert oder es aus irgendeinem Grund ersetzen muss, deaktivieren Sie das alte Gerät. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem anderen IAM-Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Um ein virtuelles MFA-Ersatzgerät für einen anderen IAM-Benutzer hinzuzufügen, befolgen Sie die Anleitung [Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)](#enable-virt-mfa-for-iam-user) oben.
+ Gehen Sie wie im Verfahren [Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md) beschrieben vor Root-Benutzer des AWS-Kontos, um ein virtuelles MFA-Ersatzgerät für das hinzuzufügen.

# Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole
<a name="id_credentials_mfa_enable_physical"></a>

**Wichtig**  
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden. AWS Weitere Informationen finden Sie unter [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md).

Ein Hardware-TOTP-Token generiert auf der Grundlage des Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) einen sechsstelligen numerischen Code. Der Benutzer muss einen gültigen Code vom Gerät eingeben, wenn er während des Anmeldevorgangs dazu aufgefordert wird. Ein MFA-Gerät muss einem Benutzer eindeutig zugewiesen werden. Ein Benutzer kann sich nicht mit dem Code eines anderen Geräts authentifizieren. MFA-Geräte können nicht über Konten oder Benutzer hinweg freigegeben werden.

Hardware-TOTP-Token und [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) sind physische Geräte, die Sie kaufen können. Hardware-MFA-Geräte generieren TOTP-Codes für die Authentifizierung, wenn Sie sich anmelden. AWS Sie sind auf Batterien angewiesen, die im Laufe der Zeit möglicherweise ausgetauscht und neu synchronisiert werden müssen. AWS FIDO-Sicherheitsschlüssel, die Kryptografie mit öffentlichen Schlüsseln verwenden, benötigen keine Batterien und bieten einen nahtlosen Authentifizierungsprozess. Wir empfehlen die Verwendung von FIDO-Sicherheitsschlüsseln aufgrund ihrer Phishing-Resistenz, die eine sicherere Alternative zu TOTP-Geräten darstellen. Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, was ihren Nutzen für die Kontosicherheit erhöht. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter [Multifaktor-Authentifizierung](https://aws.amazon.com/iam/details/mfa/).



Sie können ein Hardware-TOTP-Token für einen IAM-Benutzer über die AWS-Managementkonsole Befehlszeile oder die IAM-API aktivieren. Informationen zum Aktivieren eines MFA-Geräts für Sie finden Sie Root-Benutzer des AWS-Kontos unter[Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).

Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen.

**Wichtig**  
Wir empfehlen Ihnen, mehrere MFA-Geräte für Ihre Benutzer zu aktivieren, damit Sie im Falle eines verlorenen oder unzugänglichen MFA-Geräts weiterhin auf Ihr Konto zugreifen können.

**Anmerkung**  
Wenn Sie das Gerät über die Befehlszeile aktivieren möchten, verwenden Sie [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html). Um das MFA-Gerät mit der IAM-API zu aktivieren, verwenden Sie die Operation [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html). 

**Topics**
+ [

## Erforderliche Berechtigungen
](#enable-hw-mfa-for-iam-user-permissions-required)
+ [

## Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)
](#enable-hw-mfa-for-own-iam-user)
+ [

## Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)
](#enable-hw-mfa-for-iam-user)
+ [

## Ersetzen eines physischen MFA-Geräts
](#replace-phys-mfa)

## Erforderliche Berechtigungen
<a name="enable-hw-mfa-for-iam-user-permissions-required"></a>

Um ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer zu verwalten und dabei gleichzeitig sensible MFA-bezogene Aktionen zu schützen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)
<a name="enable-hw-mfa-for-own-iam-user"></a>

 Sie können Ihr eigenes physisches TOTP-Token über die AWS-Managementkonsole aktivieren.

**Anmerkung**  
Bevor Sie ein physisches TOTP-Token aktivieren können, benötigen Sie physischen Zugriff auf das Gerät.

**So aktivieren Sie ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer (Konsole)**

1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS-Managementkonsole Link zu Sicherheitsanmeldedaten\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Registerkarte **AWS -IAM-Anmeldeinformationen** im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** die Option **MFA-Gerät zuweisen**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.

1. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.

1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.  
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)

1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

1. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).

## Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)
<a name="enable-hw-mfa-for-iam-user"></a>

 Sie können ein physisches TOTP-Token über die AWS-Managementkonsole für einen anderen IAM-Benutzer aktivieren.

**So aktivieren Sie ein physisches TOTP-Token für einen anderen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Namen des Benutzers, für den Sie MFA aktivieren möchten.

1. Wechseln Sie zur Registerkarte **Security Credentials**. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.

1. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.

1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.  
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)

1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

1. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).

## Ersetzen eines physischen MFA-Geräts
<a name="replace-phys-mfa"></a>

Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht [MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) gleichzeitig Root-Benutzer des AWS-Kontos zuweisen. Wenn der Benutzer ein Gerät verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst das alte Gerät deaktivieren. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Um ein physisches TOTP-Ersatztoken für einen IAM-Benutzer hinzuzufügen, führen Sie die in der Anleitung [Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-iam-user) weiter oben in diesem Thema beschriebenen Schritte.
+ Gehen Sie wie im Verfahren weiter oben in diesem Thema beschrieben vor Root-Benutzer des AWS-Kontos, um ein Ersatz-Hardware-TOTP-Token für das hinzuzufügen[Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).

# MFA-Geräte in der AWS CLI oder AWS API zuweisen
<a name="id_credentials_mfa_enable_cliapi"></a>

Sie können AWS CLI Befehle oder AWS API-Operationen verwenden, um ein virtuelles MFA-Gerät für einen IAM-Benutzer zu aktivieren. Sie können ein MFA-Gerät nicht Root-Benutzer des AWS-Kontos mit der AWS API AWS CLI, Tools für Windows PowerShell oder einem anderen Befehlszeilentool für aktivieren. Sie können jedoch das verwenden, AWS-Managementkonsole um ein MFA-Gerät für den Root-Benutzer zu aktivieren. 

Wenn Sie ein MFA-Gerät von der aus aktivieren AWS-Managementkonsole, führt die Konsole mehrere Schritte für Sie aus. Wenn Sie stattdessen ein virtuelles Gerät mithilfe von Tools für Windows PowerShell oder AWS API erstellen, müssen Sie die Schritte manuell und in der richtigen Reihenfolge ausführen. AWS CLI Um beispielsweise ein virtuelles MFA-Gerät zu erstellen, müssen Sie das IAM-Objekt erstellen und den Code entweder als Zeichenfolge oder QR-Code extrahieren. Anschließend müssen Sie das Gerät synchronisieren und einem IAM-Benutzer zuordnen. Weitere Informationen finden Sie im Abschnitt **Beispiele** von [New- IAMVirtual MFADevice](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=New-IAMVirtualMFADevice.html&tocid=New-IAMVirtualMFADevice). Bei physischen Geräten können Sie den Erstellungsschritt überspringen und das Gerät direkt synchronisieren und dem Benutzer zuordnen. 

Sie können Ihren IAM-Ressourcen, einschließlich virtueller MFA-Geräte, Tags hinzufügen, um den Zugriff auf diese zu identifizieren, zu organisieren und zu kontrollieren. Sie können virtuelle MFA-Geräte nur kennzeichnen, wenn Sie die AWS API AWS CLI oder verwenden.

Ein IAM-Benutzer, der das SDK oder die CLI verwendet, kann ein zusätzliches MFA-Gerät aktivieren, indem er [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) aufruft oder ein vorhandenes MFA-Gerät durch den Aufruf von [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) deaktivieren. Um dies erfolgreich durchzuführen, müssen sie zuerst [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) aufrufen und MFA-Codes mit einem vorhandenen MFA-Gerät senden. Dieser Aufruf gibt temporäre Anmeldeinformationen zurück, die dann zum Signieren von API-Vorgängen verwendet werden können, die eine MFA-Authentifizierung erfordern. Ein Beispiel für Anforderung und Antwort finden Sie unter [`GetSessionToken` – Temporäre Anmeldeinformationen für Benutzer in nicht vertrauenswürdigen Umgebungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken). 

**So erstellen Sie die virtuelle Geräteeinheit in IAM, um ein virtuelles MFA-Gerät zu repräsentieren**  
Mithilfe dieser Befehl wird ein ARN für das Gerät bereitgestellt, der in vielen der folgenden Befehle anstelle einer Seriennummer verwendet wird.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html) 

**So aktivieren Sie ein MFA-Gerät für die Verwendung mit AWS**  
Mit diesen Befehlen wird das Gerät mit einem Benutzer synchronisiert AWS und diesem zugeordnet. Wenn es sich dabei um ein virtuelles Gerät handelt, verwenden Sie den ARN des virtuellen Geräts als Seriennummer.

**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. Führen Sie in diesem Fall mithilfe der unten beschriebenen Befehle eine erneute Synchronisierung durch.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 

**So deaktivieren Sie ein Gerät**  
Mit diesen Befehlen heben Sie die Zuordnung des Geräts zu einem Benutzer auf und deaktivieren es. Wenn es sich dabei um ein virtuelles Gerät handelt, verwenden Sie den ARN des virtuellen Geräts als Seriennummer. Außerdem müssen Sie die virtuelle Geräteeinheit separat löschen. 
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

**So listen Sie virtuelle MFA-Geräteeinheiten auf**  
Verwenden Sie diese Befehle, um virtuelle MFA-Geräte-Entitys aufzulisten.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) 

**Markieren eines virtuellen MFA-Geräts**  
Verwenden Sie diese Befehle, um ein virtuelles MFA-Gerät zu markieren.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html) 

**Auflisten der Tags für ein virtuelles MFA-Gerät**  
Verwenden Sie diese Befehle, um die an ein virtuelles MFA-Gerät angehängten Tags aufzulisten.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html) 

**Entfernen einer Markierung eines virtuellen MFA-Geräts**  
Verwenden Sie diese Befehle, um Tags zu entfernen, die an ein virtuelles MFA-Gerät angehängt sind.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html) 

**So führen Sie eine erneute Synchronisierung eines MFA-Geräts durch**  
Verwenden Sie diese Befehle, wenn das Gerät Codes generiert, die von nicht akzeptiert werden AWS. Wenn es sich dabei um ein virtuelles Gerät handelt, verwenden Sie den ARN des virtuellen Geräts als Seriennummer.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html) 

**So löschen Sie eine virtuelle MFA-Geräteeinheit in IAM**  
Nachdem Sie die Gerätezuordnung zu einem Benutzer aufgehoben haben, können Sie die Geräteeinheit löschen.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html) 

**So stellen Sie ein verlorenes oder nicht mehr funktionierendes virtuelles MFA-Gerät wieder her**  
Manchmal geht ein mobiles Gerät eines Benutzers, auf dem die virtuelle MFA-Anwendung gehostet wird, verloren, wird ausgetauscht oder es funktioniert nicht mehr. Wenn dies der Fall ist, kann der Benutzer es nicht selbst wiederherstellen. Der Benutzer muss sich zur Deaktivierung des Geräts an einen Administrator wenden. Weitere Informationen finden Sie unter [Wiederherstellung einer MFA-geschützten Identität in IAM](id_credentials_mfa_lost-or-broken.md).

# MFA-Status überprüfen
<a name="id_credentials_mfa_checking-status"></a>

Verwenden Sie die IAM-Konsole, um zu überprüfen, ob ein Root-Benutzer des AWS-Kontos oder IAM-Benutzer ein gültiges MFA-Gerät aktiviert hat.

**So überprüfen Sie den MFA-Status eines Stammbenutzers**

1. Melden Sie sich AWS-Managementkonsole mit Ihren Root-Benutzeranmeldedaten bei an und öffnen Sie dann die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.

1. Überprüfen Sie unter **Multi-Factor Authentication (MFA)**, ob MFA aktiviert oder deaktiviert ist. Wenn MFA nicht aktiviert ist, wird ein Warnsymbol (![\[Alert icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png)) angezeigt. 

Wenn Sie MFA für das Konto aktivieren möchten, finden Sie Informationen unter:
+ [Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md)
+ [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md)
+ [Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md)

**So überprüfen Sie den MFA-Status des IAM-Benutzers**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole. 

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Falls erforderlich, fügen Sie die Spalte **MFA** zur Tabelle "Benutzer" hinzu, indem Sie die folgenden Schritte ausführen:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol (![\[Settings icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. In **Manage Columns (Spalten verwalten)** wählen Sie **MFA**.

   1. (Optional) Deaktivieren Sie die Kontrollkästchen für alle Spaltenüberschriften, die nicht in der Benutzertabelle angezeigt werden sollen.

   1. Klicken Sie auf **Close (Schließen)**, um zur Liste der Benutzer zurückzukehren.

1. In der Spalte **MFA** erhalten Sie Informationen über das aktivierte MFA-Gerät. Wenn kein MFA-Gerät für den Benutzer aktiv ist, zeigt die Konsole **None (Keine)** an. Wenn der Benutzer ein aktiviertes MFA-Gerät hat, zeigt die Spalte **MFA** den Typ des Geräts, das mit einem Wert von **Virtual**, **Sicherheitsschlüssel**, **Hardware** oder **SMS** aktiviert ist.
**Anmerkung**  
AWS Die Unterstützung für die Aktivierung der SMS-Multifaktor-Authentifizierung (MFA) wurde eingestellt. Wir empfehlen Kunden mit IAM-Benutzern, die SMS-textnachrichtenbasierte MFA verwenden, zu einer der folgenden alternativen Methoden zu wechseln: [virtuelles (softwarebasiertes) MFA-Gerät](id_credentials_mfa_enable_virtual.md), [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md), oder [Hardware-MFA-Gerät](id_credentials_mfa_enable_physical.md). Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen SMS-MFA-Gerät identifizieren. Navigieren Sie zu diesem Zweck zur IAM-Konsole, wählen Sie im Navigationsbereich **Users (Benutzer)** und suchen Sie nach Benutzern mit **SMS** in der Tabellenspalte **MFA**.

1. Um zusätzliche Informationen über das MFA-Gerät für einen Benutzer anzuzeigen, wählen Sie den Namen des Benutzers, dessen MFA-Status Sie überprüfen möchten. Klicken Sie dann auf die Registerkarte **Security credentials (Sicherheits-Anmeldeinformationen)**. 

1. Wenn kein MFA-Gerät für den Benutzer aktiv ist, zeigt die Konsole **No MFA devices (Keine MFA-Geräte) an. Weisen Sie im Abschnitt **Multi-Factor Authentication (MFA) ein MFA-Gerät** zu, um die Sicherheit Ihrer AWS Umgebung zu verbessern**. Wenn der Benutzer MFA-Geräte aktiviert hat, werden im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** Details zu den Geräten angezeigt:
   + Der Gerätename
   + Der Gerätetyp
   + Die Kennung für das Gerät, z. B. eine Seriennummer für ein physisches Gerät oder der ARN AWS für ein virtuelles Gerät
   + Wann das Gerät erstellt wurde

Um ein Gerät zu entfernen oder erneut zu synchronisieren, wählen Sie das Optionsfeld neben dem Gerät und wählen Sie **Remove (Entfernen)** oder **Resync (Erneut synchronisieren)**.

Weitere Informationen zur Aktivierung von MFA finden Sie unter: 
+ [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md)
+ [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md)
+ [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md)

# Resynchronisierung von virtuellen und Hardware-MFA-Geräten
<a name="id_credentials_mfa_sync"></a>

Sie können AWS es verwenden, um Ihre virtuellen und Hardware-Geräte mit Multi-Faktor-Authentifizierung (MFA) neu zu synchronisieren. Wenn das Gerät nicht synchronisiert ist, wenn Sie versuchen, es zu verwenden, schlägt der Anmeldeversuch fehl, und IAM fordert Sie auf, das Gerät erneut zu synchronisieren.

**Anmerkung**  
FIDO-Sicherheitsschlüssel verlieren ihre Synchronisation nicht. Wenn ein FIDO-Sicherheitsschlüssel verloren geht oder beschädigt ist, können Sie ihn deaktivieren. Weitere Anweisungen zum Deaktivieren von MFA-Geräten finden Sie unter [So deaktivieren Sie ein MFA-Gerät für einen anderen IAM-Benutzer (Konsole)](id_credentials_mfa_disable.md#deactivate-mfa-for-user).

Als AWS Administrator können Sie die virtuellen und Hardware-MFA-Geräte Ihrer IAM-Benutzer erneut synchronisieren, wenn sie nicht mehr synchronisiert sind.

Wenn Ihr Root-Benutzer des AWS-Kontos MFA-Gerät nicht funktioniert, können Sie Ihr Gerät mithilfe der IAM-Konsole mit oder ohne Abschluss des Anmeldevorgangs neu synchronisieren. Wenn Sie Ihr Gerät nicht erfolgreich resynchronisieren können, müssen Sie es möglicherweise trennen und erneut verknüpfen. Weitere Information dazu finden Sie unter [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md) und [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

**Topics**
+ [

## Erforderliche Berechtigungen
](#id_credentials_mfa_sync_console-permissions-required)
+ [

## Erneutes Synchronisieren virtueller und physischer MFA-Geräte (IAM-Konsole)
](#id_credentials_mfa_sync_console)
+ [

## Resynchronisieren von virtuellen und physischen MFA-Geräten (AWS CLI)
](#id_credentials_mfa_sync_cli)
+ [

## Resynchronisierung von virtuellen und Hardware-MFA-Geräten (API)AWS
](#id_credentials_mfa_sync_api)

## Erforderliche Berechtigungen
<a name="id_credentials_mfa_sync_console-permissions-required"></a>

Um virtuelle oder Hardware-MFA-Geräte für Ihren IAM-Benutzer erneut zu synchronisieren, benötigen Sie die Berechtigungen von der folgenden Richtlinie. Diese Richtlinie erlaubt es Ihnen nicht, ein Gerät zu erstellen oder zu deaktivieren.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Erneutes Synchronisieren virtueller und physischer MFA-Geräte (IAM-Konsole)
<a name="id_credentials_mfa_sync_console"></a>

Sie können die IAM Konsole verwenden, um eine Neusynchronisierung bei physischen und virtuellen MFA-Geräten durchzuführen.

**So synchronisieren Sie ein virtuelles oder physisches MFA-Gerät für Ihren eigenen IAM-Benutzer (Konsole) neu**

1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Registerkarte **AWS -IAM-Anmeldeinformationen** im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** das Optionsfeld neben dem MFA-Gerät und dann **Erneut synchronisieren**.

1. Geben Sie unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** die nächsten zwei sequenziell generierten Codes des Geräts ein. Wählen Sie dann **Resync (Erneut synchronisieren)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, scheint die Anforderung zu funktionieren, aber das Gerät ist weiterhin nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden.

**So synchronisieren Sie ein virtuelles oder physisches MFA-Gerät für einen anderen IAM-Benutzer (Konsole) neu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Users (Benutzer)** den Namen des Benutzers aus, dessen MFA-Gerät erneut synchronisiert werden muss.

1. Wechseln Sie zur Registerkarte **Sicherheitsanmeldeinformationen**. Wählen Sie im Abschnitt **Multi-factor authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** das Optionsfeld neben dem MFA-Gerät und dann **Resync (Erneut synchronisieren)**.

1. Geben Sie unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** die nächsten zwei sequenziell generierten Codes des Geräts ein. Wählen Sie dann **Resync (Erneut synchronisieren)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, scheint die Anforderung zu funktionieren, aber das Gerät ist weiterhin nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden.

**So synchronisieren Sie Ihr Stammbenutzer-MFA vor der Anmeldung erneut (Konsole)**

1. Wählen Sie auf der Seite **Amazon Web Services Sign In With Authentication Device (Amazon Web Services Anmeldung mit Authentifizierungsgerät)** die Option **Having problems with your authentication device? (Haben Sie Probleme mit Ihrem Authentifizierungsgerät?) Click here.**
**Anmerkung**  
Möglicherweise wird Ihnen unterschiedlicher Text angezeigt, z. B. **Sign in using MFA (Melden Sie sich mit MFA an)** und **Troubleshoot your authentication device (Fehlerbehebung bei Ihrem Authentifizierungsgerät)**. Es stehen jedoch die gleichen Features zur Verfügung.

1. Geben Sie im Abschnitt **Re-Sync With Our Servers (Re-Synchronisation mit unseren Servern)** unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** die beiden nächsten in der Folge generierten Codes von dem Gerät ein. Wählen Sie dann **Re-sync authentication device (Authentifizierungsgerät neu synchronisieren)**.

1. Geben Sie, falls erforderlich, das Passwort erneut ein, und wählen Sie **Sign in (Anmelden)**. Schließen Sie dann mit Ihrem MFA-Gerät den Anmeldevorgang ab.

**So synchronisieren Sie Ihr Stammbenutzer-MFA-Gerät nach der Anmeldung erneut (Konsole)**

1. Melden Sie sich als Kontoinhaber bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
**Anmerkung**  
Als Root-Benutzer können Sie sich nicht auf der Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** anmelden. Wenn Ihnen die Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** angezeigt wird, wählen Sie die Option **Sign in using root user email (Mit Root-Benutzer-E-Mail anmelden)** unten auf der Seite. Hilfe bei der Anmeldung als Root-Benutzer finden [Sie im *Benutzerhandbuch unter AWS-Managementkonsole Als AWS-Anmeldung Root-Benutzer* anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html).

1. Klicken Sie rechts in der Navigationsleiste auf den Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**. Sofern erforderlich, wählen Sie **Continue to Security Credentials (Weiter zu Sicherheitsanmeldeinformationen)**.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Erweitern Sie den Bereich **Multi-Factor Authentication (MFA)** auf der Seite.

1. Aktivieren Sie das Optionsfeld neben dem Gerät und wählen Sie **Resync (Erneut synchronisieren)**.

1. Geben Sie im Dialogfeld **Resync MFA device (MFA-Gerät erneut synchronisieren)** die beiden nächsten in der Folge generierten Codes vom Gerät unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** ein. Wählen Sie dann **Resync (Erneut synchronisieren)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verbunden, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden.

## Resynchronisieren von virtuellen und physischen MFA-Geräten (AWS CLI)
<a name="id_credentials_mfa_sync_cli"></a>

Sie können die AWS CLI verwenden, um eine Neusynchronisierung bei physischen und virtuellen MFA-Geräten durchzuführen.

**So synchronisieren Sie ein virtuelles oder Hardware-MFA-Gerät für einen IAM-Benutzer neu (AWS CLI)**  
Geben Sie an der Befehlszeile den Befehl [aws iam resync-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) ein:
+ Virtuelles MFA-Gerät: Geben Sie den Amazon Resource Name (ARN) des Geräts als Seriennummer ein.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  ```
+ Physisches MFA-Gerät: Geben Sie die Seriennummer des physischen Geräts als Seriennummer an. Das Format ist herstellerspezifisch. Sie können beispielsweise ein Gemalto-Token von Amazon erwerben. Die Seriennummer besteht in der Regel aus vier Buchstaben, gefolgt von vier Ziffern.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
  ```

**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit dem Senden der Anforderung warten, schlägt die Anforderung fehl, weil die Gültigkeit der Codes nach kurzer Zeit verfällt.

## Resynchronisierung von virtuellen und Hardware-MFA-Geräten (API)AWS
<a name="id_credentials_mfa_sync_api"></a>

IAM bietet einen API-Aufruf zur Durchführung der Synchronisierung. In diesem Fall empfehlen wir, dass Sie Ihren Benutzern für virtuelle und Hardware-MFA-Geräte die Berechtigung erteilen, auf diesen API-Aufruf zuzugreifen. Erstellen Sie dann ein Tool basierend auf diesem API-Aufruf, damit Ihre Benutzer ihre Geräte jederzeit neu synchronisieren können.

**So synchronisieren Sie ein virtuelles oder Hardware-MFA-Gerät für einen IAM-Benutzer (API) neu AWS**
+ [Senden Sie die Resync-Anfrage. MFADevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html)

# Deaktivieren eines MFA-Geräts
<a name="id_credentials_mfa_disable"></a>

Wenn Sie Schwierigkeiten haben, sich mit einem Multi-Faktor-Authentifizierung (MFA)-Gerät als IAM-Benutzer anzumelden, wenden Sie sich an Ihren Administrator, um Unterstützung zu erhalten.

Als Administrator können Sie das Gerät für einen anderen IAM-Benutzer deaktivieren. Dadurch kann der Benutzer sich ohne MFA anmelden. Dies kann eine vorübergehende Lösung darstellen, während die MFA-Gerät ersetzt wird oder wenn das Gerät vorübergehend nicht verfügbar ist. Wir empfehlen jedoch, dass Sie so bald wie möglich ein neues Gerät für den Benutzer aktivieren. Weitere Informationen zum Aktivieren eines neuen MFA-Geräts finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

**Anmerkung**  
Wenn Sie die API verwenden oder einen Benutzer aus Ihrem löschen AWS CLI möchten AWS-Konto, müssen Sie das MFA-Gerät des Benutzers deaktivieren oder löschen. Diese Änderung nehmen Sie im Rahmen der Entfernung des Benutzers vor. Weitere Informationen zum Entfernen von Benutzern finden Sie unter [Entfernen oder Deaktivieren eines IAM-Benutzers](id_users_remove.md).

**Topics**
+ [

## Deaktivieren von MFA-Geräten (Konsole)
](#deactive-mfa-console)
+ [

## Deaktivieren von MFA-Geräten (AWS CLI)
](#deactivate-mfa-cli)
+ [

## Deaktivierung von MFA-Geräten (API)AWS
](#deactivate-mfa-api)

## Deaktivieren von MFA-Geräten (Konsole)
<a name="deactive-mfa-console"></a><a name="deactivate-mfa-for-user"></a>

**So deaktivieren Sie ein MFA-Gerät für einen anderen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Zum Deaktivieren des MFA-Geräts für einen Benutzer wählen Sie den Namen des Benutzer aus, dessen MFA Sie entfernen möchten.

1. Wechseln Sie zur Registerkarte **Sicherheitsanmeldeinformationen**.

1. Wählen Sie unter **Multi-factor authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Optionsschaltfläche neben dem MFA-Gerät, dann **Remove (Entfernen)**) und dann **Remove (Entfernen)**.

   Das Gerät wurde entfernt von AWS. Es kann erst zur Anmeldung oder Authentifizierung von Anfragen verwendet werden, wenn es erneut aktiviert und einem AWS Benutzer zugeordnet wurde oder. Root-Benutzer des AWS-Kontos<a name="deactivate-mfa-for-root"></a>

**Um das MFA-Gerät für Ihre Root-Benutzer des AWS-Kontos (Konsole) zu deaktivieren**

1. Melden Sie sich als Kontoinhaber bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
**Anmerkung**  
Als Root-Benutzer können Sie sich nicht auf der Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** anmelden. Wenn Ihnen die Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** angezeigt wird, wählen Sie die Option **Sign in using root user email (Mit Root-Benutzer-E-Mail anmelden)** unten auf der Seite. Hilfe bei der Anmeldung als Root-Benutzer finden [Sie im *Benutzerhandbuch unter AWS-Managementkonsole Als AWS-Anmeldung Root-Benutzer* anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html).

1. Klicken Sie rechts in der Navigationsleiste auf den Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**. Sofern erforderlich, wählen Sie **Continue to Security Credentials (Weiter zu Sicherheitsanmeldeinformationen)**.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Wählen Sie im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** das Optionsfeld neben dem MFA-Gerät, das Sie deaktivieren möchten, und wählen Sie **Remove (Entfernen)**.

1. Wählen Sie **Remove (Entfernen)** aus.

   Das MFA-Gerät wird für das AWS-Konto deaktiviert. Suchen Sie in der E-Mail, die mit Ihrer verknüpft ist, AWS-Konto nach einer Bestätigungsnachricht von Amazon Web Services. In der E-Mail-Nachricht werden Sie darüber informiert, dass Ihre Amazon Web Services Multi-Factor Authentication (MFA) deaktiviert wurde. Die Nachricht stammt von `@amazon.com` oder `@aws.amazon.com`.

**Anmerkung**  
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über den AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.

## Deaktivieren von MFA-Geräten (AWS CLI)
<a name="deactivate-mfa-cli"></a>

**So deaktivieren Sie ein MFA-Gerät für einen IAM-Benutzer (AWS CLI)**
+ Führen Sie diesen Befehl aus: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)

## Deaktivierung von MFA-Geräten (API)AWS
<a name="deactivate-mfa-api"></a>

**So deaktivieren Sie ein MFA-Gerät für einen IAM-Benutzer (API)AWS**
+ Rufen Sie diese Operation auf: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

# Wiederherstellung einer MFA-geschützten Identität in IAM
<a name="id_credentials_mfa_lost-or-broken"></a>

Wenn Ihr [virtuelles MFA-Gerät](id_credentials_mfa_enable_virtual.md) oder Ihr [Hardware-TOTP-Token](id_credentials_mfa_enable_physical.md) ordnungsgemäß zu funktionieren scheint, Sie es aber nicht für den Zugriff auf Ihre AWS Ressourcen verwenden können, ist es möglicherweise nicht mehr synchronisiert mit. AWS Weitere Informationen zum Synchronisieren eines virtuellen MFA-Geräts oder Hardware-MFA-Geräts finden Sie unter [Resynchronisierung von virtuellen und Hardware-MFA-Geräten](id_credentials_mfa_sync.md). [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) verlieren ihre Synchronisation nicht.

Wenn das [MFA-Gerät](id_credentials_mfa.md) für a verloren geht, beschädigt Root-Benutzer des AWS-Kontos ist oder nicht funktioniert, können Sie den Zugriff auf Ihr Konto wiederherstellen. IAM-Benutzer müssen sich zur Deaktivierung des Geräts an einen Administrator wenden.

**Wichtig**  
Wir empfehlen, mehrere MFA-Geräte zu aktivieren. Durch die Registrierung mehrerer MFA-Geräte wird der fortgesetzte Zugriff sichergestellt, wenn ein Gerät verloren geht oder kaputt geht. Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu acht MFA-Geräte beliebigen Typs registrieren.

## Voraussetzung – Verwendung eines anderen MFA-Geräts
<a name="mfa-lost-or-broken-prerequisites"></a>

Wenn Ihr [Gerät für die Multi-Faktor-Authentifizierung (MFA)](id_credentials_mfa.md) verloren geht, beschädigt ist oder nicht funktioniert, können Sie sich mit einem anderen MFA-Gerät anmelden, das für denselben Root-Benutzer oder IAM-Benutzer registriert ist.

**So melden Sie sich mit einem anderen MFA-Gerät**

1. Melden Sie sich mit Ihrer AWS-Konto -ID oder Ihrem Kontoalias und Ihrem Passwort bei der [AWS-Managementkonsole](url-comsole-domain;iam) an.

1. Wählen Sie auf der Seite **Zusätzliche Überprüfung erforderlich** oder **Multi-Faktor-Authentifizierung** die Option **Andere MFA-Methode ausprobieren** aus.

1. Authentifizieren Sie sich mit dem von Ihnen ausgewählten MFA-Gerätetyp.

1. Der nächste Schritt variiert je nachdem, ob Sie sich erfolgreich mit einem alternativen MFA-Gerät angemeldet haben.
   + Wenn Sie sich erfolgreich angemeldet haben, können Sie [Resynchronisierung von virtuellen und Hardware-MFA-Geräten](id_credentials_mfa_sync.md), wodurch das Problem möglicherweise behoben wird. Wenn Ihr MFA-Gerät verloren geht oder beschädigt ist, können Sie es deaktivieren. Weitere Anweisungen zum Deaktivieren von MFA-Geräten finden Sie unter [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
   + Wenn Sie sich nicht mit MFA anmelden können, verwenden Sie die Schritte unter [Wiederherstellen eines Stammbenutzer-MFA-Geräts](#root-mfa-lost-or-broken) oder [Wiederherstellen eines IAM-Benutzer-MFA-Geräts](#iam-user-mfa-lost-or-broken), um Ihre durch MFA geschützte Identität wiederherzustellen.



## Wiederherstellen eines Stammbenutzer-MFA-Geräts
<a name="root-mfa-lost-or-broken"></a>

Wenn Sie sich nicht mit MFA anmelden können, können Sie alternative Authentifizierungsmethoden zur Anmeldung verwenden, indem Sie Ihre Identität anhand der E-Mail-Adresse und der primären Kontakttelefonnummer bestätigen, die bei Ihrem Konto registriert sind.

Bestätigen Sie, dass Sie auf die E-Mail-Adresse und die primäre Kontakttelefonnummer zugreifen können, die mit Ihrem Konto verknüpft sind, bevor Sie alternative Authentifizierungsfaktoren verwenden, um sich als Root-Benutzer anzumelden. Wenn Sie die Telefonnummer des primären Kontakts aktualisieren müssen, melden Sie sich als IAM-Benutzer mit *Administrator*-Zugriff statt als Root-Benutzer an. Weitere Anweisungen zur Aktualisierung der Kontokontaktinformationen finden Sie im *AWS Billing -Benutzerhandbuch* unter [Kontaktinformationen bearbeiten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html). Wenn Sie keinen Zugriff auf eine E-Mail und eine primäre Kontakttelefonnummer haben, müssen Sie sich an den [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support) wenden.

**Wichtig**  
Wir empfehlen Ihnen, die mit Ihrem Root-Benutzer verknüpfte E-Mail-Adresse und Kontakttelefonnummer auf dem neuesten Stand zu halten, damit Ihr Konto erfolgreich wiederhergestellt werden kann. Weitere Informationen finden Sie im *AWS -Kontenverwaltung Referenzhandbuch* unter [Aktualisieren Sie den Hauptkontakt für Ihr AWS-Konto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html).

**Um sich mit alternativen Authentifizierungsfaktoren anzumelden als Root-Benutzer des AWS-Kontos**

1.  Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

1. Wählen Sie auf der Seite **Zusätzliche Verifizierung erforderlich** eine MFA-Methode für die Authentifizierung aus und klicken Sie auf **Weiter**. 
**Anmerkung**  
Möglicherweise sehen Sie alternativen Text wie **Sign in using MFA** (Mit MFA anmelden), **Troubleshoot your authentication device** (Fehlerbehebung für Ihr Authentifizierungsgerät), oder **Troubleshoot MFA** (Fehlerbehebung für MFA), aber die Funktionalität ist dieselbe. Wenn Sie zur Verifizierung der E-Mail-Adresse Ihres Kontos und der primären Kontakttelefonnummer keine alternativen Authentifizierungsfaktoren verwenden können, wenden Sie sich an [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support), um Ihr MFA-Gerät zu deaktivieren.

1. Je nachdem, welche Art von MFA Sie verwenden, wird eine andere Seite angezeigt, aber die Option **Fehlerbehebung bei MFA** funktioniert genauso. Wählen Sie auf der Seite **Zusätzliche Überprüfung erforderlich** oder **Multifaktor-Authentifizierung** die Option **Fehlerbehebung bei MFA** aus.

1. Geben Sie, falls erforderlich, das Passwort erneut ein, und wählen Sie **Sign in (Anmelden)**.

1. Wählen Sie auf der Seite **Fehlerbehebung bei Ihrem Authentifizierungsgerät** im Abschnitt **Anmelden mit alternativen Faktoren der Authentifizierung** die Option **Anmelden mit alternativen Faktoren**.

1. Authentifizieren Sie Ihr Konto auf der Seite **Anmeldung mit alternativen Faktoren**, indem Sie die E-Mail-Adresse verifizieren, und wählen Sie **Verifizierungs-E-Mail senden** aus. 

1. Suchen Sie in der E-Mail, die mit Ihrer verknüpft ist, AWS-Konto nach einer Nachricht von Amazon Web Services (recover-mfa-no-reply@verify .signin.aws). Befolgen Sie die Anweisungen in der E-Mail-Nachricht.

   Wenn in Ihrem Konto keine E-Mail-Nachricht angezeigt wird, überprüfen Sie Ihren Spam-Ordner oder wählen Sie in Ihrem Browser **Resend the email (E-Mail erneut versenden)**.

1. Nachdem Ihre E-Mail-Adresse verifiziert wurde, können Sie mit der Authentifizierung Ihres Kontos fortfahren. Zum Überprüfen Ihrer Haupttelefonnummer wählen Sie **Call me now** (Mich jetzt anrufen).

1. Nehmen Sie den Anruf von entgegen AWS und geben Sie, wenn Sie dazu aufgefordert werden, die sechsstellige Nummer von der AWS Website auf der Telefontastatur ein. 

   Wenn Sie keinen Anruf von erhalten AWS, wählen Sie **Anmelden, um sich erneut an** der Konsole anzumelden und von vorne zu beginnen. Oder sehen Sie unter [Verlorenes oder unbrauchbares Multi-Faktor-Authentifizierung (MFA)-Gerät](https://support.aws.amazon.com/#/contacts/aws-mfa-support) nach, um den Support für Hilfe zu kontaktieren.

1. Nach dem Verifizieren Ihrer Telefonnummer können Sie sich bei Ihrem Konto anmelden, indem Sie **Sign in to the console (Anmelden an der Konsole)** auswählen.

1. Der nächste Schritt variiert je nach Art der MFA, die Sie verwenden:
   + Für ein virtuelles MFA-Gerät, entfernen Sie das Konto von Ihrem Gerät. Löschen Sie dann auf der Seite [AWS -Sicherheitsanmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) die Entität für das alte virtuelle MFA-Gerät, bevor Sie eine neue erstellen.
   + Für einen FIDO-Sicherheitsschlüssel gehen Sie auf die Seite [AWS -Sicherheitsanmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) und deaktivieren Sie den alten FIDO-Sicherheitsschlüssel, bevor Sie einen neuen aktivieren.
   + Wenn Sie ein Hardware-TOTP-Token benötigen, wenden Sie sich an den Drittanbieter, um Hilfe bei der Reparatur oder dem Austausch des Geräts zu erhalten. Sie können sich weiter mit der alternativen Authentifizierung anmelden, bis Sie Ihr neues Gerät erhalten. Nachdem Sie das neue Hardware-MFA-Gerät erhalten haben, gehen Sie zur Seite [AWS -Sicherheits-Anmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) und löschen Sie das alte MFA-Gerät.
**Anmerkung**  
Sie müssen ein verlorenes oder gestohlenes MFA-Gerät nicht durch ein gleichartiges Gerät ersetzen. Wenn Sie beispielsweise Ihren FIDO-Sicherheitsschlüssel verlieren und einen neuen bestellen, können Sie bis zum Eintreffen des neuen FIDO-Schlüssels die virtuelle MFA oder einen Hardware-TOTP-Token verwenden.

**Wichtig**  
Wenn Ihr MFA-Gerät verloren geht oder gestohlen wurde, ändern Sie Ihr Root-Benutzerpasswort, nachdem Sie sich angemeldet und Ihr Ersatz-MFA-Gerät eingerichtet haben. Ein Angreifer könnte das Authentifizierungsgerät gestohlen haben und verfügt möglicherweise auch über Ihr aktuelles Passwort. Weitere Informationen finden Sie unter [Ändern Sie das Passwort für Root-Benutzer des AWS-Kontos](root-user-password.md).

## Wiederherstellen eines IAM-Benutzer-MFA-Geräts
<a name="iam-user-mfa-lost-or-broken"></a>

Wenn Sie ein IAM-Benutzer sind, der sich nicht mit MFA anmelden kann, können Sie ein MFA-Gerät nicht selbst wiederherstellen. Sie müssen sich zur Deaktivierung des Geräts an einen Administrator wenden. Anschließend können Sie ein neues Gerät aktivieren.

**So erhalten Sie als IAM-Benutzer Hilfe für ein MFA-Gerät**

1. Wenden Sie sich an den AWS Administrator oder eine andere Person, die Ihnen den Benutzernamen und das Passwort für den IAM-Benutzer gegeben hat. Der Administrator muss das MFA-Gerät deaktivieren, wie in [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md) beschrieben, damit Sie sich anmelden können.

1. Der nächste Schritt variiert je nach Art der MFA, die Sie verwenden:
   + Für ein virtuelles MFA-Gerät, entfernen Sie das Konto von Ihrem Gerät. Aktivieren Sie dann das virtuelle Gerät wie in [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md) beschrieben.
   + Wenn Sie einen FIDO-Sicherheitsschlüssel benötigen, wenden Sie sich an den Drittanbieter, der Ihnen beim Austausch des Geräts hilft. Wenn Sie den neuen FIDO-Sicherheitsschlüssel erhalten, aktivieren Sie ihn wie in [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md) beschrieben.
   + Wenn Sie ein Hardware-TOTP-Token benötigen, wenden Sie sich an den Drittanbieter, um Hilfe bei der Reparatur oder dem Austausch des Geräts zu erhalten. Nachdem Sie das neue physische MFA-Gerät erhalten haben, aktivieren Sie das Gerät wie in [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md) beschrieben.
**Anmerkung**  
Sie müssen ein verlorenes oder gestohlenes MFA-Gerät nicht durch ein gleichartiges Gerät ersetzen. Sie können bis zu acht MFA-Geräte beliebiger Kombination verwenden. Wenn Sie beispielsweise Ihren FIDO-Sicherheitsschlüssel verlieren und einen neuen bestellen, können Sie bis zum Eintreffen des neuen FIDO-Schlüssels die virtuelle MFA oder einen Hardware-TOTP-Token verwenden.

1. Wenn Ihr MFA-Gerät verloren gegangen ist oder gestohlen wurde, ändern Sie auch Ihr Passwort, falls ein Angreifer das Authentifizierungsgerät gestohlen hat und möglicherweise auch Ihr aktuelles Passwort kennt. Weitere Informationen finden Sie unter [Verwalten von Passwörtern für IAM-Benutzer](id_credentials_passwords_admin-change-user.md).

# Sicherer API-Zugriff mit MFA
<a name="id_credentials_mfa_configure-api-require"></a>

Mit IAM-Richtlinien können Sie angeben, welche API-Operationen ein Benutzer aufrufen darf. Sie können für zusätzliche Sicherheit sorgen, indem Sie von Benutzern eine Authentifizierung mit Multi-Faktor-Authentifizierung (MFA) verlangen, bevor Sie ihnen erlauben, besonders vertrauliche Aktionen auszuführen.

Sie verfügen beispielsweise über eine Richtlinie, die dem Benutzer gestattet, die Amazon EC2 Aktionen `RunInstances`, `DescribeInstances` und `StopInstances` auszuführen. Möglicherweise möchten Sie jedoch eine destruktive Aktion einschränken `TerminateInstances` und sicherstellen, dass Benutzer diese Aktion nur ausführen können, wenn sie sich mit einem AWS MFA-Gerät authentifizieren.

**Topics**
+ [

## -Übersicht
](#MFAProtectedAPI-overview)
+ [

## Szenario: MFA-Schutz für kontoübergreifende Delegierung
](#MFAProtectedAPI-cross-account-delegation)
+ [

## Szenario: MFA-Schutz für Zugriff auf API-Operationen im aktuellen Konto
](#MFAProtectedAPI-user-mfa)
+ [

## Szenario: MFA-Schutz für Ressourcen mit ressourcenbasierten Richtlinien
](#MFAProtectedAPI-resource-policies)

## -Übersicht
<a name="MFAProtectedAPI-overview"></a>

Um den MFA-Schutz zu API-Operationen hinzuzufügen, sind folgende Schritte auszuführen:

1. Der Administrator konfiguriert ein AWS MFA-Gerät für jeden Benutzer, der API-Anfragen stellen muss, für die eine MFA-Authentifizierung erforderlich ist. Weitere Informationen finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md). 

1. Der Administrator erstellt Richtlinien für die Benutzer, die ein `Condition` Element enthalten, das überprüft, ob sich der Benutzer mit einem AWS MFA-Gerät authentifiziert hat.

1. Der Benutzer ruft eine der AWS STS API-Operationen auf, die die MFA-Parameter unterstützen: [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html). Als Teil des Aufrufs schließt der Benutzer die mit dem Benutzer verknüpfte Gerät-ID für das Gerät ein. Der Benutzer schließt außerdem das zeitbasierte Einmalpasswort (Time-based One-Time Password, TOTP) ein. In beiden Fällen erhält der Benutzer temporäre Sicherheitsanmeldeinformationen zurück, die der Benutzer für zusätzliche Anfragen an AWS benutzen kann.
**Anmerkung**  
MFA-Schutz für die API-Operationen eines Service ist nur dann verfügbar, wenn der Service temporäre Sicherheitsanmeldeinformationen unterstützt. Eine Liste dieser Services finden Sie unter [Verwendung temporärer Sicherheitscodes für den Zugriff auf AWS](https://docs.aws.amazon.com/STS/latest/UsingSTS/UsingTokens.html).

Schlägt die Autorisierung fehl, wird eine Fehlermeldung „Zugriff verweigert“ AWS zurückgegeben (wie bei jedem nicht autorisierten Zugriff). Wenn MFA-geschützte API-Richtlinien vorhanden sind, wird der Zugriff auf die in den Richtlinien angegebenen AWS API-Operationen verweigert, wenn der Benutzer versucht, eine API-Operation ohne gültige MFA-Authentifizierung aufzurufen. Die Operation wird auch verweigert, wenn der Zeitstempel der Anforderung für die API-Operation sich außerhalb des in der Richtlinie festgelegten zulässigen Bereichs befindet. Der Benutzer muss sich erneut mit MFA authentifizieren, indem neue temporäre Sicherheitsanmeldeinformationen mit einem MFA-Code und einer Geräte-Seriennummer angefordert werden.

### IAM-Richtlinien mit MFA-Bedingungen
<a name="MFAProtectedAPI-policies"></a>

Richtlinien mit MFA-Bedingungen können folgenden Elementen angefügt werden:
+ Einem IAM-Benutzer oder einer IAM-Gruppe
+ Einer Ressource, wie zum Beispiel ein Amazon S3-Bucket, eine Amazon SQS-Warteschlange oder ein Amazon SNS-Thema
+ Die Vertrauensrichtlinie einer IAM-Rolle, die von einem Benutzer übernommen werden kann

Sie können eine MFA-Bedingung in einer Richtlinie zum Überprüfen der folgenden Eigenschaften verwenden:
+ Vorhanden – Um mit MFA lediglich zu überprüfen, ob sich der Benutzer mit MFA authentifiziert hat, prüfen Sie, dass der `aws:MultiFactorAuthPresent`-Schlüssel auf `True` gesetzt ist, und zwar einer `Bool`-Bedingung. Der Schlüssel ist nur vorhanden, wenn sich der Benutzer mit kurzfristigen Anmeldeinformationen authentifiziert. Langfristige Anmeldeinformationen wie Zugriffsschlüssel enthalten diesen Schlüssel nicht.
+ Dauer – Wenn Sie den Zugriff nur innerhalb einer bestimmten Zeit nach der MFA-Authentifizierung gewähren möchten, verwenden Sie einen numerischen Bedingungstyp, um das Alter des `aws:MultiFactorAuthAge`-Schlüssels mit einem Wert (wie 3.600 Sekunden) zu vergleichen. Beachten Sie, dass der `aws:MultiFactorAuthAge`-Schlüssel nicht vorhanden ist, wenn keine MFA verwendet wurde.

Das folgende Beispiel zeigt die Vertrauensrichtlinie einer IAM-Rolle, die eine MFA-Bedingung enthält, um die Existenz der MFA-Authentifizierung festzustellen. Mit dieser Richtlinie können Benutzer der im `Principal` Element AWS-Konto angegebenen Rolle (durch eine gültige AWS-Konto ID `ACCOUNT-B-ID` ersetzen) die Rolle übernehmen, der diese Richtlinie zugewiesen ist. Solche Benutzer können die Rolle jedoch nur annehmen, wenn sie sich mit MFA authentifizieren.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS": "ACCOUNT-B-ID"},
    "Action": "sts:AssumeRole",
    "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
  }
}
```

------

Weitere Informationen über die Bedingungstypen für MFA finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md), [Numerische Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_Numeric) und [Bedingungsoperator zur Prüfung der Existenz von Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_Null). 

### Sie haben die Wahl zwischen GetSessionToken und AssumeRole
<a name="scenarios"></a>

AWS STS bietet zwei API-Operationen, mit denen Benutzer MFA-Informationen weitergeben können: `GetSessionToken` und`AssumeRole`. Die vom Benutzer zur Erlangung temporärer Sicherheitsanmeldeinformationen aufgerufene API-Operation wird durch eines der folgenden Szenarien bestimmt. 

**Verwenden Sie `GetSessionToken` für die folgenden Szenarien:**
+ Rufen Sie API-Operationen auf, die auf Ressourcen zugreifen, genauso AWS-Konto wie der IAM-Benutzer, der die Anfrage stellt. Beachten Sie, dass temporäre Anmeldeinformationen aus einer `GetSessionToken` Anfrage *nur dann* auf IAM- und AWS STS API-Operationen zugreifen können, wenn Sie MFA-Informationen in die Anforderung von Anmeldeinformationen aufnehmen. Da von `GetSessionToken` zurückgegebene temporäre Anmeldeinformationen MFA-Informationen enthalten, können Sie mit den Anmeldeinformationen ausgeführte einzelne API-Operationen auf MFA prüfen. 
+ Zugriff auf Ressourcen, die über ressourcenbasierte Richtlinien geschützt sind, die eine MFA-Bedingung enthalten.

Der Zweck der Operation `GetSessionToken` besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Richtlinien können nicht dazu verwendet werden, Authentifizierungsoperationen zu steuern.

**Verwenden Sie `AssumeRole` für die folgenden Szenarien:**
+ Aufrufe von API-Operationen, die auf die Ressourcen in demselben oder einem anderen AWS-Konto zugreifen. Die API-Aufrufe können jedes IAM oder jede API beinhalten. AWS STS Beachten Sie, dass MFA zu dem Zeitpunkt, zu dem der Benutzer die Rolle übernimmt, aktiviert ist. Die von `AssumeRole` zurückgegebenen temporären Anmeldeinformationen enthalten keine MFA-Informationen im Kontext, sodass einzelne API-Operationen nicht auf MFA geprüft werden können. Daher müssen Sie `GetSessionToken` verwenden, um den Zugriff auf die von ressourcenbasierten Richtlinien geschützten Ressourcen einzuschränken.

**Anmerkung**  
AWS CloudTrail Protokolle enthalten MFA-Informationen, wenn sich der IAM-Benutzer mit MFA anmeldet. Wenn der IAM-Benutzer eine IAM-Rolle annimmt, CloudTrail werden auch die `sessionContext` Attribute für Aktionen protokolliert`mfaAuthenticated: true`, die mit der angenommenen Rolle ausgeführt wurden. Die CloudTrail Protokollierung erfolgt jedoch unabhängig von den Anforderungen von IAM, wenn API-Aufrufe mit den Anmeldeinformationen der angenommenen Rolle getätigt werden. Weitere Informationen finden Sie unter [CloudTrail-Element userIdentity](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

Weitere Informationen zur Implementierung dieser Szenarien finden Sie weiter unten in diesem Dokument.

### Wichtige Punkte für den MFA-geschützten API-Zugriff
<a name="MFAProtectedAPI-important-points"></a>

Beachten Sie die folgenden Aspekte in Bezug auf den MFA-Schutz für API-Operationen:
+ MFA-Schutz steht nur mit temporären Sicherheitsanmeldeinformationen zur Verfügung, die mit `AssumeRole` oder `GetSessionToken` eingeholt werden müssen. 
+ Sie können den MFA-geschützten API-Zugriff nicht mit Root-Benutzer des AWS-Kontos Anmeldeinformationen verwenden.
+ Sie können den MFA-geschützten API-Zugriff nicht mit U2F-Sicherheitsschlüsseln verwenden.
+ Verbundbenutzern kann kein MFA-Gerät zur Verwendung mit AWS Diensten zugewiesen werden, sodass sie nicht auf AWS Ressourcen zugreifen können, die von MFA gesteuert werden. (Siehe nächster Punkt.) 
+ Andere AWS STS API-Operationen, die temporäre Anmeldeinformationen zurückgeben, unterstützen MFA nicht. Für `AssumeRoleWithWebIdentity` und `AssumeRoleWithSAML` wird der Benutzer von einem externen Anbieter authentifiziert und AWS kann nicht feststellen, ob dieser Anbieter MFA benötigt. Für `GetFederationToken` wird MFA nicht notwendigerweise mit einem spezifischen Benutzer verknüpft. 
+ Langfristige Anmeldeinformationen (IAM-Benutzer-Zugriffsschlüssel und Stammbenutzer-Zugriffsschlüssel) können für den MFA-geschützten API-Zugriff ebenfalls nicht verwendet werden, da sie zeitlich unbegrenzt sind.
+ `AssumeRole` und `GetSessionToken` können auch ohne MFA-Informationen aufgerufen werden. In diesem Fall erhält der Aufrufer temporäre Sicherheitsanmeldeinformationen, aber die Sitzungsinformationen dieser Anmeldeinformationen enthalten keine Angaben darüber, ob der Benutzer sich mit MFA authentifiziert hat.
+ Um MFA-Schutz für API-Operationen einzurichten, fügen Sie den Richtlinien MFA-Bedingungen hinzu. In einer Richtlinie muss der `aws:MultiFactorAuthPresent`-Bedingungsschlüssel enthalten sein, damit die Verwendung von MFA durchgesetzt wird. Bei der kontoübergreifenden Delegierung muss die Vertrauensrichtlinie der Rolle den Bedingungsschlüssel enthalten.
+ Wenn Sie einer anderen Person AWS-Konto den Zugriff auf Ressourcen in Ihrem Konto gestatten, hängt die Sicherheit Ihrer Ressourcen von der Konfiguration des vertrauenswürdigen Kontos ab (das andere Konto, nicht Ihres). Dies gilt auch, wenn Sie eine Multi-Factor Authentication verlangen. Jede Identität im vertrauenswürdigen Konto mit Berechtigung zum Erstellen von virtuellen MFA-Geräten kann einen MFA-Anspruch erstellen, um den entsprechenden Teil der Vertrauensrichtlinie Ihrer Rolle zu erfüllen. Bevor Sie Mitgliedern eines anderen Kontos Zugriff auf Ihre AWS Ressourcen gewähren, für die eine Multi-Faktor-Authentifizierung erforderlich ist, sollten Sie sicherstellen, dass der Besitzer des vertrauenswürdigen Kontos die bewährten Sicherheitsmethoden befolgt. Beispiel: Das vertrauenswürdige Konto sollte den Zugriff auf sensible API-Operationen, z. B. API-Operationen zur MFA-Geräteverwaltung, auf spezifische, vertrauenswürdige Identitäten beschränken.
+ Wenn eine Richtlinie eine MFA-Bedingung enthält, wird eine Anfrage abgelehnt, falls die Benutzer nicht mit MFA authentifiziert worden sind oder die MFA-Geräte-ID oder das zeitlich begrenzte, einmalige Passwort ungültig ist.

## Szenario: MFA-Schutz für kontoübergreifende Delegierung
<a name="MFAProtectedAPI-cross-account-delegation"></a>

In diesem Szenario möchten Sie den Zugriff an IAM-Benutzer in einem anderen Konto delegieren, aber nur, wenn die Benutzer mit einem AWS MFA-Gerät authentifiziert sind. Weitere Informationen über die kontoübergreifende Delegierung finden Sie unter [Rollenbegriffe und -konzepte](id_roles.md#id_roles_terms-and-concepts). 

Angenommen, Sie haben ein Konto A (das vertrauende Konto, das die zu gewünschten Ressourcen enthält) mit der IAM-Benutzerin Anaya, die über Administratorberechtigungen verfügt. Sie möchten dem Benutzer Richard im Konto B (dem vertrauenswürdigen Konto) Zugriff gewähren, dabei aber sicherstellen, dass sich Richard mit MFA authentifiziert, bevor er die Rolle übernimmt. 

1. Im vertrauenswürdigen Konto A erstellt Anaya eine IAM-Rolle mit dem Namen `CrossAccountRole` und legt den Principal in der Vertrauensrichtlinie der Rolle auf die Konto-ID von Konto B fest. Die Vertrauensrichtlinie erteilt die Genehmigung für die Aktion. AWS STS `AssumeRole` Darüber hinaus fügt Anaya der Vertrauensrichtlinie eine MFA-Bedingung hinzu, wie im folgenden Beispiel dargestellt. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Allow",
       "Principal": {"AWS": "ACCOUNT-B-ID"},
       "Action": "sts:AssumeRole",
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }
   }
   ```

------

1. Anaya fügt der Rolle eine Berechtigungsrichtlinie hinzu, die die Ausführungsberechtigungen enthält. Die Berechtigungsrichtlinie für eine Rolle mit MFA-Schutz unterscheidet sich nicht von anderen Berechtigungsrichtlinien für Rollen. Das folgende Beispiel zeigt die Richtlinie, die Anaya zur Rolle hinzufügt. Sie gestattet einem Benutzer, der diese Richtlinie übernimmt, beliebige Amazon-DynamoDB-Aktionen in der Tabelle `Books` in Konto A durchzuführen. Diese Richtlinie gestattet auch die `dynamodb:ListTables`-Aktion, die zum Ausführen der Aktionen in der Konsole erforderlich ist. 
**Anmerkung**  
Die Berechtigungsrichtlinie enthält keine MFA-Bedingung. Beachten Sie dabei, dass die MFA-Authentifizierung nur verwendet wird, um zu ermitteln, ob ein Benutzer die Rolle übernehmen kann. Sobald der Benutzer die Rolle übernommen hat, werden keine weiteren MFA-Kontrollen durchgeführt. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "TableActions",
               "Effect": "Allow",
               "Action": "dynamodb:*",
               "Resource": "arn:aws:dynamodb:*:111122223333:table/Books"
           },
           {
               "Sid": "ListTables",
               "Effect": "Allow",
               "Action": "dynamodb:ListTables",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Im vertrauenswürdigen Konto B stellt der Administrator sicher, dass der IAM-Benutzer Richard mit einem AWS MFA-Gerät konfiguriert ist und dass er die ID des Geräts kennt. Die Gerät-ID ist bei einem physischen MFA-Gerät die Seriennummer oder bei einem virtuellen MFA-Gerät der Geräte-ARN.

1. In Konto B fügt der Administrator die folgenden Richtlinien dem Benutzer Richard an (oder einer Gruppe, deren Mitglied Bob ist), die ihm das Aufrufen der Aktion `AssumeRole` gestatten. Die Ressource ist auf den ARN der von Anaya in Schritt 1 erstellten Rolle festgelegt. Beachten Sie, dass diese Richtlinie keine MFA-Bedingung enthält.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/CrossAccountRole"
               ]
           }
       ]
   }
   ```

------

1. Richard (oder eine von Richard ausgeführte Anwendung) ruft im Konto B `AssumeRole` auf. Der API-Aufruf enthält den ARN der zu übernehmenden Rolle (`arn:aws:iam::ACCOUNT-A-ID:role/CrossAccountRole`), die MFA-Geräte-ID und das aktuelle TOTP, das Richard von seinem Gerät erhält. 

   Wenn Richard anruft`AssumeRole`, AWS stellt er fest, ob er über gültige Anmeldeinformationen verfügt, einschließlich der Anforderungen für MFA. Wenn dies der Fall ist, übernimmt Richard die Rolle und kann beliebige DynamoDB-Aktionen in der Tabelle mit dem Namen `Books` im Konto A ausführen, sofern er die temporären Anmeldeinformationen der Rolle verwendet. 

   Ein Beispiel für ein Programm, das `AssumeRole` aufruft, finden Sie unter [Telefonieren AssumeRole mit MFA-Authentifizierung](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-assumerole).

## Szenario: MFA-Schutz für Zugriff auf API-Operationen im aktuellen Konto
<a name="MFAProtectedAPI-user-mfa"></a>

In diesem Szenario sollten Sie sicherstellen, dass ein Benutzer in Ihrem Konto nur dann auf sensible API-Operationen zugreifen AWS-Konto kann, wenn der Benutzer mit einem AWS MFA-Gerät authentifiziert ist.

Angenommen, Sie haben ein Konto A mit einer Gruppe von Entwicklern, die mit EC2-Instances arbeiten müssen. Normale Entwickler können mit den Instances arbeiten, aber sie haben keine Berechtigungen für die Aktion `ec2:StopInstances` oder `ec2:TerminateInstances`. Sie möchten diese besonderen, "destruktiven" Aktionen auf nur einige wenige vertrauenswürdige Benutzer beschränken. Daher fügen Sie einen MFA-Schutz der Richtlinie hinzu, der diese sensiblen Amazon EC2-Aktionen zulässt. 

In diesem Szenario ist Sofía einer dieser vertrauenswürdigen Benutzer. Die Benutzerin Anaya ist eine Administratorin in Konto A. 

1. Anaya stellt sicher, dass Sofía mit einem AWS MFA-Gerät konfiguriert ist und dass Sofía die ID des Geräts kennt. Die Gerät-ID ist bei einem physischen MFA-Gerät die Seriennummer oder bei einem virtuellen MFA-Gerät der Geräte-ARN. 

1. Anaya erstellt eine Gruppe mit dem Namen `EC2-Admins` und fügt Sofía dieser Gruppe hinzu.

1. Anaya fügt die folgende Richtlinie an die Gruppe `EC2-Admins` an. Diese Richtlinie gewährt Benutzern die Berechtigung zum Aufrufen der Amazon EC2-Aktionen `StopInstances` und `TerminateInstances` nur dann, wenn sich der Benutzer mit MFA authentifiziert hat. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Action": [
         "ec2:StopInstances",
         "ec2:TerminateInstances"
       ],
       "Resource": ["*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------

1. 
**Anmerkung**  
Damit diese Richtlinie wirksam wird, müssen sich Benutzer zuerst abmelden und dann wieder anmelden.

   Wenn Benutzer Sofía eine Amazon EC2-Instance anhalten oder beenden muss, ruft sie (oder eine von ihr ausgeführte Anwendung) `GetSessionToken` auf. Diese API-Operation übergibt die ID des MFA-Geräts und das aktuelle TOTP, das Sofía von ihrem Gerät erhält.

1. Die Benutzerin Sofía (oder eine von Sofía verwendete Anwendung) verwendet die von `GetSessionToken` bereitgestellten Anmeldeinformationen, um die Amazon EC2-Aktion `StopInstances` oder `TerminateInstances` aufzurufen. 

   Ein Beispiel für ein Programm, das `GetSessionToken` aufruft, finden Sie unter [Telefonieren GetSessionToken mit MFA-Authentifizierung](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) weiter unten in diesem Dokument.

## Szenario: MFA-Schutz für Ressourcen mit ressourcenbasierten Richtlinien
<a name="MFAProtectedAPI-resource-policies"></a>

In diesem Szenario sind Sie der Besitzer eines S3-Buckets, einer SQS-Warteschlange oder eines SNS-Themas. Sie möchten sicherstellen, dass jeder Benutzer, der auf AWS-Konto die Ressource zugreift, von einem AWS MFA-Gerät authentifiziert wird. 

Dieses Szenario zeigt eine Möglichkeit, den kontoübergreifenden MFA-Schutz herzustellen, ohne dass die Benutzer eine Rolle übernehmen müssen. In diesem Fall kann der Benutzer auf die Ressource zugreifen, wenn drei Bedingungen erfüllt sind: Der Benutzer muss sich mithilfe von MFA authentifizieren, muss in der Lage sein, temporäre Sicherheitsanmeldeinformationen über `GetSessionToken` abzurufen, und muss über ein Konto verfügen, das von der Ressourcenrichtlinie als vertrauenswürdig eingestuft wird. 

Angenommen, Sie befinden sich im Konto A und erstellen einen S3-Bucket. Sie möchten Benutzern, die sich in mehreren verschiedenen Ländern befinden, Zugriff auf diesen Bucket gewähren AWS-Konten, aber nur, wenn diese Benutzer mit MFA authentifiziert sind.

In diesem Szenario ist Anaya eine Administratorin im Konto A und Benutzer Nikhil ist ein IAM-Benutzer im Konto C.

1. Anaya erstellt im Konto A einen Bucket mit dem Namen `Account-A-bucket`.

1. Anaya fügt die Bucket-Richtlinie dem Bucket hinzu. Die Richtlinie gestattet jedem Benutzer in Konto A, Konto B und Konto C, die Amazon S3-Aktionen `PutObject` und `DeleteObject` im S3-Bucket auszuführen. Die Richtlinie enthält eine MFA-Bedingung. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Principal": {"AWS": [
         "ACCOUNT-A-ID",
         "ACCOUNT-B-ID",
         "ACCOUNT-C-ID"
       ]},
       "Action": [
         "s3:PutObject",
         "s3:DeleteObject"
       ],
       "Resource": ["arn:aws:s3:::ACCOUNT-A-BUCKET-NAME/*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------
**Anmerkung**  
Amazon S3; bietet eine MFA Delete-Funktion (nur) für den *Stamm*-Kontozugriff. Sie können Amazon S3 MFA Delete aktivieren, wenn Sie den Versionierungsstatus des Buckets festlegen. Amazon S3 MFA Delete kann nicht auf einen IAM-Benutzer angewendet werden und wird unabhängig von MFA-geschützten API-Zugriffen verwaltet. Ein IAM-Benutzer mit Berechtigungen zum Löschen eines Buckets kann keinen Bucket löschen, für den Amazon S3 MFA Delete aktiviert ist. Weitere Informationen zu Amazon S3 MFA Delete finden Sie unter [MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html).

1. Im Konto C stellt ein Administrator sicher, dass für den Benutzer Nikhil ein AWS -MFA-Gerät konfiguriert ist und er die Geräte-ID kennt. Die Gerät-ID ist bei einem physischen MFA-Gerät die Seriennummer oder bei einem virtuellen MFA-Gerät der Geräte-ARN. 

1. Nikhil (oder eine von Nikhil ausgeführte Anwendung) ruft im Konto C `GetSessionToken` auf. Der Aufruf enthält die ID oder den ARN des MFA-Geräts und das aktuelle TOTP, das Nikhil von seinem Gerät erhält. 

1. Nikhil (oder eine von Nikhil verwendete Anwendung) benutzt die von `GetSessionToken` bereitgestellten Anmeldeinformationen, um die Amazon S3–`PutObject`Aktion zum Hochladen einer Datei nach `Account-A-bucket` aufzurufen. 

   Ein Beispiel für ein Programm, das `GetSessionToken` aufruft, finden Sie unter [Telefonieren GetSessionToken mit MFA-Authentifizierung](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) weiter unten in diesem Dokument.
**Anmerkung**  
Die von `AssumeRole` zurückgegebenen temporären Anmeldeinformationen funktionieren in diesem Fall nicht. Obwohl der Benutzer MFA-Informationen bereitstellen kann, um eine Rolle zu übernehmen, enthalten die von `AssumeRole` zurückgegebenen temporären Anmeldeinformationen nicht die MFA-Informationen. Diese Informationen sind zur Erfüllung der MFA-Bedingung in der Richtlinie erforderlich. 

# Beispielcode: Anfordern von Anmeldeinformationen mit Multi-Factor Authentication
<a name="id_credentials_mfa_sample-code"></a>

Die folgenden Beispiele veranschaulichen, wie die Operationen `GetSessionToken` und `AssumeRole` aufgerufen und MFA-Authentifizierungsparameter übergeben werden. Es werden keine Berechtigungen zum Aufrufen von `GetSessionToken` benötigt, Sie müssen jedoch über eine Richtlinie verfügen, die Ihnen gestattet, `AssumeRole` aufzurufen. Die zurückgegebenen Anmeldeinformationen werden dann verwendet, um alle S3-Buckets im Konto aufzulisten.

## Telefonieren GetSessionToken mit MFA-Authentifizierung
<a name="MFAProtectedAPI-example-getsessiontoken"></a>

Das folgende Beispiel zeigt, wie Sie `GetSessionToken` aufrufen und MFA-Authentifizierungsdaten übergeben. Die von der Operation `GetSessionToken` zurückgegebenen temporären Sicherheitsanmeldeinformationen werden dann verwendet, um alle S3-Buckets im Konto aufzulisten.

Die Richtlinie, die dem den Code ausführenden Benutzer (oder einer Gruppe, der er angehört) zugeordnet ist, stellt die Berechtigungen für die zurückgegeben temporären Anmeldeinformationen bereit. Für diesen Beispielcode muss die Richtlinie dem Benutzer die Erlaubnis erteilen, den Vorgang Amazon S3 `ListBuckets` anzufordern. 

Die folgenden Code-Beispiele zeigen, wie `GetSessionToken` verwendet wird.

------
#### [ CLI ]

**AWS CLI**  
**So erhalten Sie einen Satz kurzfristiger Anmeldeinformationen für eine IAM-Identität**  
Der folgende `get-session-token`-Befehl ruft einen Satz kurzfristiger Anmeldeinformationen für die IAM-Identität ab, die den Aufruf ausführt. Die resultierenden Anmeldeinformationen können für Anfragen verwendet werden, bei denen die Richtlinie eine Multi-Faktor-Authentifizierung (MFA) erfordert. Die Anmeldeinformationen verfallen 15 Minuten nach ihrer Generierung.  

```
aws sts get-session-token \
    --duration-seconds 900 \
    --serial-number "YourMFADeviceSerialNumber" \
    --token-code 123456
```
Ausgabe:  

```
{
    "Credentials": {
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    }
}
```
Weitere Informationen finden Sie unter [Anfordern von temporären Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) im *AWS -IAM-Benutzerhandbuch*.  
+  Einzelheiten zur API finden Sie [GetSessionToken](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-session-token.html)in der *AWS CLI Befehlsreferenz.* 

------
#### [ PowerShell ]

**Tools für PowerShell V4**  
**Beispiel 1: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die für einen festgelegten Zeitraum gültig sind. Die Anmeldeinformationen, die zum Anfordern temporärer Anmeldeinformationen verwendet werden, werden aus den aktuellen Shell-Standardwerten abgeleitet. Um andere Anmeldeinformationen anzugeben, verwenden Sie die SecretKey Parameter - ProfileName oder - AccessKey /-.**  

```
Get-STSSessionToken
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 2: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Die zum Stellen der Anfrage verwendeten Anmeldeinformationen werden aus dem angegebenen Profil abgerufen.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 3: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Dabei wird die Identifikationsnummer des MFA-Geräts verwendet, das dem Konto zugeordnet ist, dessen Anmeldeinformationen im Profil „myprofilename“ angegeben sind, und der vom Gerät bereitgestellte Wert.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Einzelheiten zur API finden Sie unter [GetSessionToken AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet-Referenz (*V4). 

**Tools für V5 PowerShell **  
**Beispiel 1: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die für einen festgelegten Zeitraum gültig sind. Die Anmeldeinformationen, die zum Anfordern temporärer Anmeldeinformationen verwendet werden, werden aus den aktuellen Shell-Standardwerten abgeleitet. Um andere Anmeldeinformationen anzugeben, verwenden Sie die Parameter - ProfileName oder - AccessKey /-SecretKey .**  

```
Get-STSSessionToken
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 2: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Die zum Stellen der Anfrage verwendeten Anmeldeinformationen werden aus dem angegebenen Profil abgerufen.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 3: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Dabei wird die Identifikationsnummer des MFA-Geräts verwendet, das dem Konto zugeordnet ist, dessen Anmeldeinformationen im Profil „myprofilename“ angegeben sind, und der vom Gerät bereitgestellte Wert.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Einzelheiten zur API finden Sie unter [GetSessionToken AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v5/reference)*Cmdlet-Referenz (*V5). 

------
#### [ Python ]

**SDK für Python (Boto3)**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples) einrichten und ausführen. 
Rufen Sie ein Sitzungs-Token ab, indem Sie ein MFA-Token übergeben, und verwenden Sie es, um Amazon-S3-Buckets für das Konto aufzulisten.  

```
def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
    """
    Gets a session token with MFA credentials and uses the temporary session
    credentials to list Amazon S3 buckets.

    Requires an MFA device serial number and token.

    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an Amazon Resource Name (ARN).
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    if mfa_serial_number is not None:
        response = sts_client.get_session_token(
            SerialNumber=mfa_serial_number, TokenCode=mfa_totp
        )
    else:
        response = sts_client.get_session_token()
    temp_credentials = response["Credentials"]

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Buckets for the account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Einzelheiten zur API finden Sie [GetSessionToken](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/GetSessionToken)in *AWS SDK for Python (Boto3) API* Reference. 

------

## Telefonieren AssumeRole mit MFA-Authentifizierung
<a name="MFAProtectedAPI-example-assumerole"></a>

Die folgenden Beispiele zeigen, wie Sie `AssumeRole` aufrufen und MFA-Authentifizierungsdaten übergeben. Die von `AssumeRole` zurückgegebenen temporären Sicherheitsanmeldeinformationen werden dann verwendet, um alle Amazon S3-Buckets im Konto aufzulisten.

Weitere Informationen zu diesem Szenario finden Sie unter [Szenario: MFA-Schutz für kontoübergreifende Delegierung](id_credentials_mfa_configure-api-require.md#MFAProtectedAPI-cross-account-delegation). 

Die folgenden Code-Beispiele zeigen, wie `AssumeRole` verwendet wird.

------
#### [ .NET ]

**SDK für .NET**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/STS#code-examples) einrichten und ausführen. 

```
using System;
using System.Threading.Tasks;
using Amazon;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;

namespace AssumeRoleExample
{
    class AssumeRole
    {
        /// <summary>
        /// This example shows how to use the AWS Security Token
        /// Service (AWS STS) to assume an IAM role.
        ///
        /// NOTE: It is important that the role that will be assumed has a
        /// trust relationship with the account that will assume the role.
        ///
        /// Before you run the example, you need to create the role you want to
        /// assume and have it trust the IAM account that will assume that role.
        ///
        /// See https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html
        /// for help in working with roles.
        /// </summary>

        // A region property may be used if the profile or credentials loaded do not specify a region,
        // or to use a specific region.
        private static readonly RegionEndpoint REGION = RegionEndpoint.USWest2;

        static async Task Main()
        {
            // Create the SecurityToken client and then display the identity of the
            // default user.
            var roleArnToAssume = "arn:aws:iam::123456789012:role/testAssumeRole";

            var client = new Amazon.SecurityToken.AmazonSecurityTokenServiceClient(REGION);

            // Get and display the information about the identity of the default user.
            var callerIdRequest = new GetCallerIdentityRequest();
            var caller = await client.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"Original Caller: {caller.Arn}");

            // Create the request to use with the AssumeRoleAsync call.
            var assumeRoleReq = new AssumeRoleRequest()
            {
                DurationSeconds = 1600,
                RoleSessionName = "Session1",
                RoleArn = roleArnToAssume
            };

            var assumeRoleRes = await client.AssumeRoleAsync(assumeRoleReq);

            // Now create a new client based on the credentials of the caller assuming the role.
            var client2 = new AmazonSecurityTokenServiceClient(credentials: assumeRoleRes.Credentials, REGION);

            // Get and display information about the caller that has assumed the defined role.
            var caller2 = await client2.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"AssumedRole Caller: {caller2.Arn}");
        }
    }
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/DotNetSDKV3/sts-2011-06-15/AssumeRole)in der *AWS SDK für .NET API-Referenz*. 

------
#### [ Bash ]

**AWS CLI mit Bash-Skript**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/aws-cli/bash-linux/iam#code-examples) einrichten und ausführen. 

```
###############################################################################
# function iecho
#
# This function enables the script to display the specified text only if
# the global variable $VERBOSE is set to true.
###############################################################################
function iecho() {
  if [[ $VERBOSE == true ]]; then
    echo "$@"
  fi
}

###############################################################################
# function errecho
#
# This function outputs everything sent to it to STDERR (standard error output).
###############################################################################
function errecho() {
  printf "%s\n" "$*" 1>&2
}

###############################################################################
# function sts_assume_role
#
# This function assumes a role in the AWS account and returns the temporary
#  credentials.
#
# Parameters:
#       -n role_session_name -- The name of the session.
#       -r role_arn -- The ARN of the role to assume.
#
# Returns:
#       [access_key_id, secret_access_key, session_token]
#     And:
#       0 - If successful.
#       1 - If an error occurred.
###############################################################################
function sts_assume_role() {
  local role_session_name role_arn response
  local option OPTARG # Required to use getopts command in a function.

  # bashsupport disable=BP5008
  function usage() {
    echo "function sts_assume_role"
    echo "Assumes a role in the AWS account and returns the temporary credentials:"
    echo "  -n role_session_name -- The name of the session."
    echo "  -r role_arn -- The ARN of the role to assume."
    echo ""
  }

  while getopts n:r:h option; do
    case "${option}" in
      n) role_session_name=${OPTARG} ;;
      r) role_arn=${OPTARG} ;;
      h)
        usage
        return 0
        ;;
      \?)
        echo "Invalid parameter"
        usage
        return 1
        ;;
    esac
  done

  response=$(aws sts assume-role \
    --role-session-name "$role_session_name" \
    --role-arn "$role_arn" \
    --output text \
    --query "Credentials.[AccessKeyId, SecretAccessKey, SessionToken]")

  local error_code=${?}

  if [[ $error_code -ne 0 ]]; then
    aws_cli_error_log $error_code
    errecho "ERROR: AWS reports create-role operation failed.\n$response"
    return 1
  fi

  echo "$response"

  return 0
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/aws-cli/sts-2011-06-15/AssumeRole)in der *AWS CLI Befehlsreferenz*. 

------
#### [ C\$1\$1 ]

**SDK für C\$1\$1**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp/example_code/sts#code-examples) einrichten und ausführen. 

```
bool AwsDoc::STS::assumeRole(const Aws::String &roleArn,
                             const Aws::String &roleSessionName,
                             const Aws::String &externalId,
                             Aws::Auth::AWSCredentials &credentials,
                             const Aws::Client::ClientConfiguration &clientConfig) {
    Aws::STS::STSClient sts(clientConfig);
    Aws::STS::Model::AssumeRoleRequest sts_req;

    sts_req.SetRoleArn(roleArn);
    sts_req.SetRoleSessionName(roleSessionName);
    sts_req.SetExternalId(externalId);

    const Aws::STS::Model::AssumeRoleOutcome outcome = sts.AssumeRole(sts_req);

    if (!outcome.IsSuccess()) {
        std::cerr << "Error assuming IAM role. " <<
                  outcome.GetError().GetMessage() << std::endl;
    }
    else {
        std::cout << "Credentials successfully retrieved." << std::endl;
        const Aws::STS::Model::AssumeRoleResult result = outcome.GetResult();
        const Aws::STS::Model::Credentials &temp_credentials = result.GetCredentials();

        // Store temporary credentials in return argument.
        // Note: The credentials object returned by assumeRole differs
        // from the AWSCredentials object used in most situations.
        credentials.SetAWSAccessKeyId(temp_credentials.GetAccessKeyId());
        credentials.SetAWSSecretKey(temp_credentials.GetSecretAccessKey());
        credentials.SetSessionToken(temp_credentials.GetSessionToken());
    }

    return outcome.IsSuccess();
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/SdkForCpp/sts-2011-06-15/AssumeRole)in der *AWS SDK für C\$1\$1 API-Referenz*. 

------
#### [ CLI ]

**AWS CLI**  
**So übernehmen Sie eine Rolle**  
Der folgende `assume-role`-Befehl ruft eine Reihe von kurzfristigen Anmeldeinformationen für die IAM-Rolle `s3-access-example` ab.  

```
aws sts assume-role \
    --role-arn arn:aws:iam::123456789012:role/xaccounts3access \
    --role-session-name s3-access-example
```
Ausgabe:  

```
{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA3XFRBF535PLBIFPI4:s3-access-example",
        "Arn": "arn:aws:sts::123456789012:assumed-role/xaccounts3access/s3-access-example"
    },
    "Credentials": {
        "SecretAccessKey": "9drTJvcXLB89EXAMPLELB8923FB892xMFI",
        "SessionToken": "AQoXdzELDDY//////////wEaoAK1wvxJY12r2IrDFT2IvAzTCn3zHoZ7YNtpiQLF0MqZye/qwjzP2iEXAMPLEbw/m3hsj8VBTkPORGvr9jM5sgP+w9IZWZnU+LWhmg+a5fDi2oTGUYcdg9uexQ4mtCHIHfi4citgqZTgco40Yqr4lIlo4V2b2Dyauk0eYFNebHtYlFVgAUj+7Indz3LU0aTWk1WKIjHmmMCIoTkyYp/k7kUG7moeEYKSitwQIi6Gjn+nyzM+PtoA3685ixzv0R7i5rjQi0YE0lf1oeie3bDiNHncmzosRM6SFiPzSvp6h/32xQuZsjcypmwsPSDtTPYcs0+YN/8BRi2/IcrxSpnWEXAMPLEXSDFTAQAM6Dl9zR0tXoybnlrZIwMLlMi1Kcgo5OytwU=",
        "Expiration": "2016-03-15T00:05:07Z",
        "AccessKeyId": "ASIAJEXAMPLEXEG2JICEA"
    }
}
```
Die Ausgabe des Befehls enthält einen Zugriffsschlüssel, einen geheimen Schlüssel und ein Sitzungs-Token, die Sie zur Authentifizierung bei AWS verwenden können.  
Für die AWS CLI können Sie ein benanntes Profil einrichten, das einer Rolle zugeordnet ist. Wenn Sie das Profil verwenden, ruft die AWS CLI assume-role auf und verwaltet die Anmeldeinformationen für Sie. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle in der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) im *AWS CLI-Benutzerhandbuch*.  
+  Einzelheiten zur API finden Sie unter [AssumeRole AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)*Befehlsreferenz.* 

------
#### [ Java ]

**SDK für Java 2.x**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2/example_code/sts#code-examples) einrichten und ausführen. 

```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.sts.StsClient;
import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;
import software.amazon.awssdk.services.sts.model.StsException;
import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;
import software.amazon.awssdk.services.sts.model.Credentials;
import java.time.Instant;
import java.time.ZoneId;
import java.time.format.DateTimeFormatter;
import java.time.format.FormatStyle;
import java.util.Locale;

/**
 * To make this code example work, create a Role that you want to assume.
 * Then define a Trust Relationship in the AWS Console. You can use this as an
 * example:
 *
 * {
 * "Version":"2012-10-17",		 	 	 
 * "Statement": [
 * {
 * "Effect": "Allow",
 * "Principal": {
 * "AWS": "<Specify the ARN of your IAM user you are using in this code example>"
 * },
 * "Action": "sts:AssumeRole"
 * }
 * ]
 * }
 *
 * For more information, see "Editing the Trust Relationship for an Existing
 * Role" in the AWS Directory Service guide.
 *
 * Also, set up your development environment, including your credentials.
 *
 * For information, see this documentation topic:
 *
 * https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html
 */
public class AssumeRole {
    public static void main(String[] args) {
        final String usage = """

                Usage:
                    <roleArn> <roleSessionName>\s

                Where:
                    roleArn - The Amazon Resource Name (ARN) of the role to assume (for example, arn:aws:iam::000008047983:role/s3role).\s
                    roleSessionName - An identifier for the assumed role session (for example, mysession).\s
                """;

        if (args.length != 2) {
            System.out.println(usage);
            System.exit(1);
        }

        String roleArn = args[0];
        String roleSessionName = args[1];
        Region region = Region.US_EAST_1;
        StsClient stsClient = StsClient.builder()
                .region(region)
                .build();

        assumeGivenRole(stsClient, roleArn, roleSessionName);
        stsClient.close();
    }

    public static void assumeGivenRole(StsClient stsClient, String roleArn, String roleSessionName) {
        try {
            AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()
                    .roleArn(roleArn)
                    .roleSessionName(roleSessionName)
                    .build();

            AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);
            Credentials myCreds = roleResponse.credentials();

            // Display the time when the temp creds expire.
            Instant exTime = myCreds.expiration();
            String tokenInfo = myCreds.sessionToken();

            // Convert the Instant to readable date.
            DateTimeFormatter formatter = DateTimeFormatter.ofLocalizedDateTime(FormatStyle.SHORT)
                    .withLocale(Locale.US)
                    .withZone(ZoneId.systemDefault());

            formatter.format(exTime);
            System.out.println("The token " + tokenInfo + "  expires on " + exTime);

        } catch (StsException e) {
            System.err.println(e.getMessage());
            System.exit(1);
        }
    }
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/SdkForJavaV2/sts-2011-06-15/AssumeRole)in der *AWS SDK for Java 2.x API-Referenz*. 

------
#### [ JavaScript ]

**SDK für JavaScript (v3)**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/sts#code-examples) einrichten und ausführen. 
Erstellen Sie den Client.  

```
import { STSClient } from "@aws-sdk/client-sts";
// Set the AWS Region.
const REGION = "us-east-1";
// Create an AWS STS service client object.
export const client = new STSClient({ region: REGION });
```
Übernehmen Sie die IAM-Rolle.  

```
import { AssumeRoleCommand } from "@aws-sdk/client-sts";

import { client } from "../libs/client.js";

export const main = async () => {
  try {
    // Returns a set of temporary security credentials that you can use to
    // access Amazon Web Services resources that you might not normally
    // have access to.
    const command = new AssumeRoleCommand({
      // The Amazon Resource Name (ARN) of the role to assume.
      RoleArn: "ROLE_ARN",
      // An identifier for the assumed role session.
      RoleSessionName: "session1",
      // The duration, in seconds, of the role session. The value specified
      // can range from 900 seconds (15 minutes) up to the maximum session
      // duration set for the role.
      DurationSeconds: 900,
    });
    const response = await client.send(command);
    console.log(response);
  } catch (err) {
    console.error(err);
  }
};
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/sts/command/AssumeRoleCommand)in der *AWS SDK für JavaScript API-Referenz*. 

**SDK für JavaScript (v2)**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascript/example_code/sts#code-examples) einrichten und ausführen. 

```
// Load the AWS SDK for Node.js
const AWS = require("aws-sdk");
// Set the region
AWS.config.update({ region: "REGION" });

var roleToAssume = {
  RoleArn: "arn:aws:iam::123456789012:role/RoleName",
  RoleSessionName: "session1",
  DurationSeconds: 900,
};
var roleCreds;

// Create the STS service object
var sts = new AWS.STS({ apiVersion: "2011-06-15" });

//Assume Role
sts.assumeRole(roleToAssume, function (err, data) {
  if (err) console.log(err, err.stack);
  else {
    roleCreds = {
      accessKeyId: data.Credentials.AccessKeyId,
      secretAccessKey: data.Credentials.SecretAccessKey,
      sessionToken: data.Credentials.SessionToken,
    };
    stsGetCallerIdentity(roleCreds);
  }
});

//Get Arn of current identity
function stsGetCallerIdentity(creds) {
  var stsParams = { credentials: creds };
  // Create STS service object
  var sts = new AWS.STS(stsParams);

  sts.getCallerIdentity({}, function (err, data) {
    if (err) {
      console.log(err, err.stack);
    } else {
      console.log(data.Arn);
    }
  });
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/sts-2011-06-15/AssumeRole)in der *AWS SDK für JavaScript API-Referenz*. 

------
#### [ PowerShell ]

**Tools für PowerShell V4**  
**Beispiel 1: Gibt einen Satz temporärer Anmeldeinformationen (Zugriffsschlüssel, geheimer Schlüssel und Sitzungstoken) zurück, die eine Stunde lang für den Zugriff auf AWS Ressourcen verwendet werden können, auf die der anfragende Benutzer normalerweise keinen Zugriff hat. Die zurückgegebenen Anmeldeinformationen verfügen über die Berechtigungen, die von der Zugriffsrichtlinie der übernommenen Rolle und der bereitgestellten Richtlinie zugelassen sind (Sie können die bereitgestellte Richtlinie nicht verwenden, um Berechtigungen zu gewähren, die über die in der Zugriffsrichtlinie der übernommenen Rolle definierten Berechtigungen hinausgehen).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Beispiel 2: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine Stunde gültig sind und über dieselben Berechtigungen verfügen, die in der Zugriffsrichtlinie der übernommenen Rolle definiert sind.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Beispiel 3: Gibt einen Satz temporärer Anmeldeinformationen zurück, die die Seriennummer und das generierte Token von einem MFA bereitstellen, das den Anmeldeinformationen des Benutzers zugeordnet ist, die zur Ausführung des Cmdlet verwendet werden.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Beispiel 4: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine in einem Kundenkonto definierte Rolle übernommen haben. Für jede Rolle, die der Drittanbieter übernehmen kann, muss das Kundenkonto eine Rolle mithilfe einer Kennung erstellen, die bei jeder Übernahme der Rolle im ExternalId Parameter - übergeben werden muss.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Einzelheiten zur API finden Sie unter [AssumeRole AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet-Referenz (V4).* 

**Tools für V5 PowerShell **  
**Beispiel 1: Gibt einen Satz temporärer Anmeldeinformationen (Zugriffsschlüssel, geheimer Schlüssel und Sitzungstoken) zurück, die eine Stunde lang für den Zugriff auf AWS Ressourcen verwendet werden können, auf die der anfragende Benutzer normalerweise keinen Zugriff hat. Die zurückgegebenen Anmeldeinformationen verfügen über die Berechtigungen, die von der Zugriffsrichtlinie der übernommenen Rolle und der bereitgestellten Richtlinie zugelassen sind (Sie können die bereitgestellte Richtlinie nicht verwenden, um Berechtigungen zu gewähren, die über die in der Zugriffsrichtlinie der übernommenen Rolle definierten Berechtigungen hinausgehen).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Beispiel 2: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine Stunde gültig sind und über dieselben Berechtigungen verfügen, die in der Zugriffsrichtlinie der übernommenen Rolle definiert sind.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Beispiel 3: Gibt einen Satz temporärer Anmeldeinformationen zurück, die die Seriennummer und das generierte Token von einem MFA bereitstellen, das den Anmeldeinformationen des Benutzers zugeordnet ist, die zur Ausführung des Cmdlet verwendet werden.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Beispiel 4: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine in einem Kundenkonto definierte Rolle übernommen haben. Für jede Rolle, die der Drittanbieter übernehmen kann, muss das Kundenkonto eine Rolle mithilfe einer Kennung erstellen, die bei jeder Übernahme der Rolle im ExternalId Parameter - übergeben werden muss.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Einzelheiten zur API finden Sie unter [AssumeRole AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v5/reference)*Cmdlet-Referenz (V5*). 

------
#### [ Python ]

**SDK für Python (Boto3)**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples) einrichten und ausführen. 
Übernehmen Sie eine IAM-Rolle, die ein MFA-Token erfordert, und verwenden Sie temporäre Anmeldeinformationen, um Amazon-S3-Buckets für das Konto aufzulisten.  

```
def list_buckets_from_assumed_role_with_mfa(
    assume_role_arn, session_name, mfa_serial_number, mfa_totp, sts_client
):
    """
    Assumes a role from another account and uses the temporary credentials from
    that role to list the Amazon S3 buckets that are owned by the other account.
    Requires an MFA device serial number and token.

    The assumed role must grant permission to list the buckets in the other account.

    :param assume_role_arn: The Amazon Resource Name (ARN) of the role that
                            grants access to list the other account's buckets.
    :param session_name: The name of the STS session.
    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an ARN.
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    response = sts_client.assume_role(
        RoleArn=assume_role_arn,
        RoleSessionName=session_name,
        SerialNumber=mfa_serial_number,
        TokenCode=mfa_totp,
    )
    temp_credentials = response["Credentials"]
    print(f"Assumed role {assume_role_arn} and got temporary credentials.")

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Listing buckets for the assumed role's account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/AssumeRole)in *AWS SDK for Python (Boto3) API* Reference. 

------
#### [ Ruby ]

**SDK für Ruby**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby/example_code/iam#code-examples) einrichten und ausführen. 

```
  # Creates an AWS Security Token Service (AWS STS) client with specified credentials.
  # This is separated into a factory function so that it can be mocked for unit testing.
  #
  # @param key_id [String] The ID of the access key used by the STS client.
  # @param key_secret [String] The secret part of the access key used by the STS client.
  def create_sts_client(key_id, key_secret)
    Aws::STS::Client.new(access_key_id: key_id, secret_access_key: key_secret)
  end

  # Gets temporary credentials that can be used to assume a role.
  #
  # @param role_arn [String] The ARN of the role that is assumed when these credentials
  #                          are used.
  # @param sts_client [AWS::STS::Client] An AWS STS client.
  # @return [Aws::AssumeRoleCredentials] The credentials that can be used to assume the role.
  def assume_role(role_arn, sts_client)
    credentials = Aws::AssumeRoleCredentials.new(
      client: sts_client,
      role_arn: role_arn,
      role_session_name: 'create-use-assume-role-scenario'
    )
    @logger.info("Assumed role '#{role_arn}', got temporary credentials.")
    credentials
  end
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/SdkForRubyV3/sts-2011-06-15/AssumeRole)in der *AWS SDK für Ruby API-Referenz*. 

------
#### [ Rust ]

**SDK für Rust**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1/examples/sts/#code-examples) einrichten und ausführen. 

```
async fn assume_role(config: &SdkConfig, role_name: String, session_name: Option<String>) {
    let provider = aws_config::sts::AssumeRoleProvider::builder(role_name)
        .session_name(session_name.unwrap_or("rust_sdk_example_session".into()))
        .configure(config)
        .build()
        .await;

    let local_config = aws_config::from_env()
        .credentials_provider(provider)
        .load()
        .await;
    let client = Client::new(&local_config);
    let req = client.get_caller_identity();
    let resp = req.send().await;
    match resp {
        Ok(e) => {
            println!("UserID :               {}", e.user_id().unwrap_or_default());
            println!("Account:               {}", e.account().unwrap_or_default());
            println!("Arn    :               {}", e.arn().unwrap_or_default());
        }
        Err(e) => println!("{:?}", e),
    }
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.rs/aws-sdk-sts/latest/aws_sdk_sts/client/struct.Client.html#method.assume_role)in der *API-Referenz zum AWS SDK für Rust*. 

------
#### [ Swift ]

**SDK für Swift**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift/example_code/iam#code-examples) einrichten und ausführen. 

```
import AWSSTS

    public func assumeRole(role: IAMClientTypes.Role, sessionName: String)
        async throws -> STSClientTypes.Credentials
    {
        let input = AssumeRoleInput(
            roleArn: role.arn,
            roleSessionName: sessionName
        )
        do {
            let output = try await stsClient.assumeRole(input: input)

            guard let credentials = output.credentials else {
                throw ServiceHandlerError.authError
            }

            return credentials
        } catch {
            print("Error assuming role: ", dump(error))
            throw error
        }
    }
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://sdk.amazonaws.com/swift/api/awssts/latest/documentation/awssts/stsclient/assumerole(input:))in der *API-Referenz zum AWS SDK für Swift*. 

------