Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in der AWS Management Console - AWS Identitäts- und Zugriffsverwaltung
Erforderliche BerechtigungenAktivieren Sie einen Hauptschlüssel oder Sicherheitsschlüssel für Ihren eigenen Benutzer (Konsole) IAMAktivieren Sie einen Hauptschlüssel oder Sicherheitsschlüssel für einen anderen IAM Benutzer (Konsole)Ersetzen Sie einen Hauptschlüssel oder Sicherheitsschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in der AWS Management Console

Bei Passkeys handelt es sich um ein Gerät mit Multi-Faktor-Authentifizierung (MFA), mit dem Sie Ihre Ressourcen schützen können. AWS AWS unterstützt synchronisierte Hauptschlüssel und gerätegebundene Hauptschlüssel, auch Sicherheitsschlüssel genannt.

Mit synchronisierten Hauptschlüsseln können IAM Benutzer auf vielen ihrer Geräte, auch auf neuen, auf ihre FIDO Anmeldeinformationen zugreifen, ohne jedes Gerät für jedes Konto neu registrieren zu müssen. Zu den synchronisierten Passkeys gehören Anmeldeinformationsmanager von Erstanbietern wie Google, Apple und Microsoft sowie Anmeldeinformationsmanager von Drittanbietern wie 1Password, Dashlane und Bitwarden als zweiten Faktor. Sie können auch die auf dem Gerät integrierte Biometrie (z. B. TouchID, FaceID) verwenden, um den von Ihnen ausgewählten Anmeldeinformationsmanager für die Verwendung von Hauptschlüsseln zu entsperren.

Alternativ sind gerätegebundene Hauptschlüssel an einen FIDO Sicherheitsschlüssel gebunden, den Sie an einen USB Anschluss Ihres Computers anschließen und dann antippen, wenn Sie dazu aufgefordert werden, um den Anmeldevorgang sicher abzuschließen. Wenn Sie einen FIDO Sicherheitsschlüssel bereits mit anderen Diensten verwenden und dieser über eine AWS unterstützte Konfiguration verfügt (z. B. die Serie YubiKey 5 von Yubico), können Sie ihn auch zusammen verwenden. AWS Andernfalls müssen Sie einen FIDO Sicherheitsschlüssel erwerben, wenn Sie ihn verwenden WebAuthn möchten. MFA AWS Darüber hinaus können FIDO Sicherheitsschlüssel mehrere Benutzer IAM oder Root-Benutzer auf demselben Gerät unterstützen, wodurch ihr Nutzen für die Kontosicherheit verbessert wird. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter Multifaktor-Authentifizierung.

Sie können bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen bei Ihnen Root-Benutzer des AWS-Kontos und Ihren IAM Benutzern registrieren. Bei mehreren MFA Geräten benötigen Sie nur ein MFA Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS Management Console oder eine Sitzung über den zu erstellen. Wir empfehlen, mehrere MFA Geräte zu registrieren. Sie können beispielsweise einen integrierten Authentifikator registrieren und auch einen Sicherheitsschlüssel registrieren, den Sie an einem physisch sicheren Ort aufbewahren. Wenn Sie Ihren integrierten Authentifikator nicht verwenden können, können Sie Ihren registrierten Sicherheitsschlüssel verwenden. Für Authentifizierungsanwendungen empfehlen wir außerdem, die Cloud-Backup- oder Synchronisierungsfunktion in diesen Apps zu aktivieren. Dadurch vermeiden Sie, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät mit den Authentifizierungs-Apps verlieren oder beschädigen.

Anmerkung

Wir empfehlen, dass Sie menschliche Benutzer auffordern, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Ihre Benutzer können sich AWS mit einem Identitätsanbieter verbinden, wo sie sich mit ihren Unternehmensanmeldedaten und MFA Konfigurationen authentifizieren. Um den Zugriff auf AWS und Geschäftsanwendungen zu verwalten, empfehlen wir die Verwendung von IAM Identity Center. Weitere Informationen finden Sie im IAMIdentity Center-Benutzerhandbuch.

Themen

Erforderliche Berechtigungen

Um einen FIDO Hauptschlüssel für Ihren eigenen IAM Benutzer zu verwalten und gleichzeitig sensible MFA Aktionen zu schützen, benötigen Sie die Berechtigungen gemäß der folgenden Richtlinie:

Anmerkung

Die ARN Werte sind statische Werte und geben keinen Hinweis darauf, welches Protokoll zur Registrierung des Authenticators verwendet wurde. Wir haben U2F als veraltet eingestuft, daher verwenden alle neuen Implementierungen. WebAuthn

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Aktivieren Sie einen Hauptschlüssel oder Sicherheitsschlüssel für Ihren eigenen Benutzer (Konsole) IAM

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel für Ihren eigenen IAM Benutzer AWS Management Console nur über die Option oder aktivieren, nicht über die AWS CLI Option oder. AWS API Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie physischen Zugriff auf das Gerät haben.

Um einen Hauptschlüssel oder Sicherheitsschlüssel für Ihren eigenen IAM Benutzer (Konsole) zu aktivieren

  1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM Benutzernamen und Ihr Passwort, um sich an der IAMKonsole anzumelden.

    Anmerkung

    Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Melden Sie sich bei einem anderen Konto an Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM Benutzeranmeldeseite für Ihr Konto weitergeleitet zu werden.

    Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

  2. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann Security Credentials (Sicherheitsanmeldeinformationen) aus.

    AWS Management Console Link zu Sicherheitsanmeldedaten

  3. Wählen Sie auf der Seite des ausgewählten IAM Benutzers die Registerkarte Sicherheitsanmeldeinformationen aus.

  4. Wählen Sie unter Multi-Faktor-Authentifizierung (MFA) die Option MFAGerät zuweisen aus.

  5. Geben Sie auf der Seite mit dem MFAGerätenamen einen Gerätenamen ein, wählen Sie Hauptschlüssel oder Sicherheitsschlüssel und dann Weiter.

  6. Richten Sie unter Gerät einrichten Ihren Hauptschlüssel ein. Erstellen Sie einen Hauptschlüssel mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO Sicherheitsschlüssel in den USB Anschluss Ihres Computers stecken und darauf tippen.

  7. Folgen Sie den Anweisungen in Ihrem Browser und wählen Sie dann Weiter.

Sie haben jetzt Ihren Hauptschlüssel oder Sicherheitsschlüssel zur Verwendung mit AWS registriert. Informationen zur Verwendung MFA mit dem finden Sie AWS Management Console unterMFAAnmeldung aktiviert.

Aktivieren Sie einen Hauptschlüssel oder Sicherheitsschlüssel für einen anderen IAM Benutzer (Konsole)

Sie können einen Hauptschlüssel oder eine Sicherheitsnummer für einen anderen IAM Benutzer AWS Management Console nur über die Option oder aktivieren, nicht über die AWS CLI Option oder. AWS API

Um einen Hauptschlüssel oder eine Sicherheitsfunktion für einen anderen IAM Benutzer (Konsole) zu aktivieren

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie unter Benutzer den Namen des Benutzers aus, für den Sie die Aktivierung aktivieren möchtenMFA.

  4. Wählen Sie auf der Seite „Ausgewählte IAM Benutzer“ die Registerkarte Sicherheitsanmeldedaten aus.

  5. Wählen Sie unter Multi-Faktor-Authentifizierung (MFA) die Option MFAGerät zuweisen aus.

  6. Geben Sie auf der Seite mit dem MFAGerätenamen einen Gerätenamen ein, wählen Sie Hauptschlüssel oder Sicherheitsschlüssel und dann Weiter.

  7. Richten Sie unter Gerät einrichten Ihren Hauptschlüssel ein. Erstellen Sie einen Hauptschlüssel mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO Sicherheitsschlüssel in den USB Anschluss Ihres Computers stecken und darauf tippen.

  8. Folgen Sie den Anweisungen in Ihrem Browser und wählen Sie dann Weiter.

Sie haben jetzt einen Hauptschlüssel oder Sicherheitsschlüssel registriert, den ein anderer IAM Benutzer verwenden kann. AWS Informationen zur Verwendung MFA mit dem finden Sie AWS Management Console unterMFAAnmeldung aktiviert.

Ersetzen Sie einen Hauptschlüssel oder Sicherheitsschlüssel

Sie können einem Benutzer bis zu acht MFA Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA Typen gleichzeitig zuweisen, zusammen mit Ihren Root-Benutzer des AWS-Kontos IAM Benutzern. Wenn der Benutzer einen FIDO Authentifikator verliert oder ihn aus irgendeinem Grund ersetzen muss, müssen Sie zuerst den alten FIDO Authentifikator deaktivieren. Anschließend können Sie ein neues MFA Gerät für den Benutzer hinzufügen.

Wenn Sie keinen Zugriff auf einen neuen Hauptschlüssel oder Sicherheitsschlüssel haben, können Sie ein neues virtuelles MFA Gerät oder ein neues TOTP Hardware-Token aktivieren. Siehe eine der folgenden Anweisungen: