Passkeys oder Sicherheitsschlüssels in der AWS Management Console zuweisen - AWS Identitäts- und Zugriffsverwaltung
Erforderliche BerechtigungenPasskey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivierenPasskey oder Sicherheitsschlüssels für einen anderen IAM-Benutzer (Konsole) aktivierenErsetzen eines Passkeys oder Sicherheitsschlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Passkeys oder Sicherheitsschlüssels in der AWS Management Console zuweisen

Passkeys sind eine Art Gerät zur Multi-Faktor-Authentifizierung (MFA), mit dem Sie Ihre AWS-Ressourcen schützen können. AWS unterstützt synchronisierte Passkeys und gerätegebundene Passkeys, auch Sicherheitsschlüssel genannt.

Mithilfe synchronisierter Passkeys können IAM-Benutzer auf vielen ihrer Geräte (auch auf neuen) auf ihre FIDO-Anmeldeinformationen zugreifen, ohne jedes Gerät bei jedem Konto erneut registrieren zu müssen. Zu den synchronisierten Passkeys gehören Anmeldeinformations-Manager von Erstanbietern wie Google, Apple und Microsoft sowie Anmeldeinformationsmanager von Drittanbietern wie 1Password, Dashlane und Bitwarden als zweiter Faktor. Sie können auch biometrische Daten auf dem Gerät (z. B. TouchID, FaceID) verwenden, um den von Ihnen gewählten Anmeldeinformations-Manager für die Verwendung von Passkeys zu entsperren.

Alternativ sind gerätegebundene Passkeys an einen FIDO-Sicherheitsschlüssel gebunden, den Sie an einen USB-Anschluss Ihres Computers anschließen und dann bei der entsprechenden Aufforderung antippen, um den Anmeldevorgang sicher abzuschließen. Wenn Sie einen FIDO-Sicherheitsschlüssel bereits mit anderen Services verwenden und er eine von AWS-unterstützte Konfiguration hat (z. B. die YubiKey 5 Series von Yubico), können Sie ihn auch mit AWS verwenden. Andernfalls müssen Sie einen FIDO-Sicherheitsschlüssel erwerben, wenn Sie WebAuthn für MFA in AWS verwenden möchten. Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, was ihren Nutzen für die Kontosicherheit erhöht. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter Multifaktor-Authentifizierung.

Sie können bis zu acht MFA-Geräte einer beliebigen Kombination der derzeit unterstützten MFA-Typen für Ihren Root-Benutzer des AWS-Kontos und Ihre IAM-Benutzer registrieren. Bei mehreren MFA-Geräten ist nur ein MFA-Gerät erforderlich, um sich bei der AWS Management Console anzumelden oder eine Sitzung mit der AWS CLI als diesen Benutzer zu erstellen. Wir empfehlen, mehrere MFA-Geräte zu registrieren. Sie können beispielsweise einen integrierten Authentifikator registrieren und auch einen Sicherheitsschlüssel registrieren, den Sie an einem physisch sicheren Ort aufbewahren. Wenn Sie Ihren integrierten Authentifikator nicht verwenden können, können Sie Ihren registrierten Sicherheitsschlüssel verwenden. Für Authentifizierungsanwendungen empfehlen wir außerdem, die Cloud-Backup- oder Synchronisierungsfunktion in diesen Apps zu aktivieren. Dadurch vermeiden Sie, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät mit den Authentifizierungs-Apps verlieren oder beschädigen.

Anmerkung

Wir empfehlen, dass Sie menschliche Benutzer auffordern, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Ihre Benutzer können sich mit einem AWS-Identitätsanbieter verbinden, bei dem sie sich mit ihren Unternehmensanmeldeinformationen und MFA-Konfigurationen authentifizieren. Für die Verwaltung des Zugriffs auf AWS und Geschäftsanwendungen empfehlen wir Ihnen die Verwendung von IAM Identity Center. Weitere Informationen finden Sie im Benutzerhandbuch zu IAM Identity Center.

Themen

Erforderliche Berechtigungen

Um einen FIDO-Passkey für Ihren eigenen IAM-Benutzer zu verwalten und gleichzeitig vertrauliche MFA-bezogene Aktionen zu schützen, müssen Sie über die Berechtigungen der folgenden Richtlinie verfügen:

Anmerkung

Die ARN-Werte sind statische Werte und kein Indikator dafür, welches Protokoll zur Registrierung des Authentifikators verwendet wurde. Wir haben U2F als veraltet markiert, daher verwenden alle neuen Implementierungen WebAuthn.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren

Sie können einen Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer nur von der AWS Management Console aus aktivieren, nicht über die AWS CLI oder die AWS-API. Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

So aktivieren Sie einen Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole)

  1. Verwenden Sie Ihre AWS-Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.

    Anmerkung

    Um Ihnen die Arbeit zu erleichtern, ist die AWS-Anmeldeseite verwendet ein Browser-Cookie, um Ihren IAM-Benutzernamen und Kontoinformationen zu speichern. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Melden Sie sich bei einem anderen Konto an Um zur Hauptanmeldeseite zurückzukehren. Dort können Sie die AWS-Konto-ID oder Kontoalias, der auf die IAM-Benutzeranmeldeseite für Ihr Konto umgeleitet werden soll.

    Zum Abrufen Ihrer AWS-Konto-ID wenden Sie sich an Ihren Administrator.

  2. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann Security Credentials (Sicherheitsanmeldeinformationen) aus.

    Link zu den AWS Management Console-Sicherheitsanmeldeinformationen

  3. Wählen Sie auf der Seite des ausgewählten IAM-Benutzers die Registerkarte Sicherheits-Anmeldeinformationen aus.

  4. Wählen Sie im Abschnitt Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)) die Option Assign MFA device (MFA-Gerät zuweisen).

  5. Geben Sie auf der Seite MFA-Gerätename einen Gerätenamen ein, wählen Sie Passkey oder Sicherheitsschlüssel und klicken Sie dann auf Weiter.

  6. Richten Sie unter Gerät einrichten Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

  7. Folgen Sie den Anweisungen Ihres Browsers und wählen Sie dann Fortfahren aus.

Sie haben nun Ihren Passkey oder Sicherheitsschlüssel für die Verwendung mit AWS registriert. Weitere Informationen zur Verwendung von MFA mit der AWS Management Console finden Sie unter Anmeldung mit MFA.

Passkey oder Sicherheitsschlüssels für einen anderen IAM-Benutzer (Konsole) aktivieren

Sie können einen Passkey oder eine Sicherheit für einen anderen IAM-Benutzer nur von der AWS Management Console aus aktivieren, nicht über die AWS CLI oder die AWS-API.

So aktivieren Sie einen Passkey oder die Sicherheit für einen anderen IAM-Benutzer (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie unter Benutzer den Namen des Benutzers aus, für den Sie MFA aktivieren möchten.

  4. Wählen Sie auf der ausgewählten IAM-Benutzerseite die Registerkarte Sicherheits-Anmeldeinformationen aus.

  5. Wählen Sie im Abschnitt Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA)) die Option Assign MFA device (MFA-Gerät zuweisen).

  6. Geben Sie auf der Seite MFA-Gerätename einen Gerätenamen ein, wählen Sie Passkey oder Sicherheitsschlüssel und klicken Sie dann auf Weiter.

  7. Richten Sie unter Gerät einrichten Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

  8. Folgen Sie den Anweisungen Ihres Browsers und wählen Sie dann Fortfahren aus.

Sie haben jetzt einen Passkey oder Sicherheitsschlüssel für einen anderen IAM-Benutzer zur Verwendung mit AWS registriert. Weitere Informationen zur Verwendung von MFA mit der AWS Management Console finden Sie unter Anmeldung mit MFA.

Ersetzen eines Passkeys oder Sicherheitsschlüssels

Sie können einem Benutzer bis zu acht MFA-Geräte einer beliebigen Kombination der derzeit unterstützten MFA-Typen für Ihren Root-Benutzer des AWS-Kontos und Ihre und IAM-Benutzer zuweisen. Wenn der Benutzer einen FIDO-Authenticator verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst den alten FIDO-Authenticator deaktivieren. Anschließend können Sie ein neues MFA-Gerät für den Benutzer hinzufügen.

Wenn Sie keinen Zugriff auf einen neuen Passkey oder Sicherheitsschlüssel haben, können Sie ein neues virtuelles MFA-Gerät oder ein neues Hardware-TOTP-Token aktivieren. Siehe eine der folgenden Anweisungen: