Legen Sie eine Kontokennwortrichtlinie für IAM Benutzer fest - AWS Identitäts- und Zugriffsverwaltung
Einrichten einer PasswortrichtlinieZum Festlegen einer Passwortrichtlinie erforderliche BerechtigungenStandard-PasswortrichtlinieBenutzerdefinierte Optionen für PasswortrichtlinienUm eine Passwortrichtlinie festzulegen (Konsole)Um eine Passwortrichtlinie zu ändern (Konsole)So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)Einrichten einer Passwortrichtlinie (AWS CLI)Einrichten einer Passwortrichtlinie (AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Legen Sie eine Kontokennwortrichtlinie für IAM Benutzer fest

Sie können eine benutzerdefinierte Passwortrichtlinie für Sie einrichten AWS-Konto , um die Komplexitätsanforderungen und die obligatorischen Rotationsperioden für die Passwörter Ihrer IAM Benutzer festzulegen. Wenn Sie keine benutzerdefinierte Kennwortrichtlinie festlegen, müssen IAM Benutzerkennwörter der AWS Standard-Passwortrichtlinie entsprechen. Weitere Informationen finden Sie unter Benutzerdefinierte Optionen für Passwortrichtlinien.

Einrichten einer Passwortrichtlinie

Die IAM Passwortrichtlinie gilt nicht für das Root-Benutzer des AWS-Kontos Passwort oder die IAM Benutzerzugriffsschlüssel. Wenn ein Passwort abläuft, kann sich der IAM Benutzer nicht bei dem anmelden, AWS Management Console sondern seine Zugangsschlüssel weiterhin verwenden.

Wenn Sie eine Passwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen darin wirksam, sobald die Benutzer ihre Passwörter ändern. Einige Einstellungen werden jedoch sofort wirksam. Zum Beispiel:

  • Wenn sich die Anforderungen für die Mindestlänge oder Zeichenanforderungen ändern, werden diese Einstellungen bei der nächsten Änderung eines Passworts umgesetzt. Benutzer müssen ihre vorhandenen Passwörter nicht ändern, auch wenn diese nicht den Anforderungen der aktualisierten Passwortrichtlinie entsprechen.

  • Wenn Sie einen Ablaufzeitraum für Passwörter festlegen, wird dieser sofort umgesetzt. Beispiel: Sie legen einen Passwort-Ablaufzeitraum von 90 Tagen fest. In diesem Fall läuft das Passwort für alle IAM Benutzer ab, deren vorhandenes Passwort älter als 90 Tage ist. Diese Benutzer müssen ihr Passwort bei der nächsten Anmeldung ändern.

Sie können keine „Lockout-Richtlinie“ erstellen, um einen Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen aus dem Konto zu sperren. Um die Sicherheit zu erhöhen, empfehlen wir, eine sichere Passwortrichtlinie mit einer Multi-Faktor-Authentifizierung (MFA) zu kombinieren. Weitere Informationen zu finden Sie MFA unterAWS Multi-Faktor-Authentifizierung in IAM.

Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (Benutzer oder Rolle) ihre Kontokennwortrichtlinie einsehen oder bearbeiten kann. Sie können die folgenden Aktionen für Kennwortrichtlinien in eine IAM Richtlinie aufnehmen:

  • iam:GetAccountPasswordPolicy – Ermöglicht der Entität das Anzeigen der Passwortrichtlinie für ihr Konto

  • iam:DeleteAccountPasswordPolicy – Ermöglicht der Entität, die benutzerdefinierte Passwortrichtlinie für ihr Konto zu löschen und zur StandardPasswortrichtlinie zurückzukehren

  • iam:UpdateAccountPasswordPolicy – Ermöglicht der Entität das Erstellen oder Ändern der benutzerdefinierten Passwortrichtlinie für ihr Konto

Die folgende Richtlinie ermöglicht den vollständigen Zugriff zum Anzeigen und Bearbeiten der KontoPasswortrichtlinie. Informationen zum Erstellen einer IAM Richtlinie mithilfe dieses JSON Beispieldokuments finden Sie unterRichtlinien mit dem JSON Editor erstellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Informationen zu den Berechtigungen, die ein IAM Benutzer benötigt, um sein eigenes Passwort zu ändern, finden Sie unterIAMErlauben Sie Benutzern, ihre eigenen Passwörter zu ändern.

Standard-Passwortrichtlinie

Wenn ein Administrator keine benutzerdefinierte Kennwortrichtlinie festlegt, müssen IAM Benutzerkennwörter der AWS Standardkennwortrichtlinie entsprechen.

Die StandardPasswortrichtlinie setzt die folgenden Bedingungen durch:

  • Mindestpasswortlänge von 8 Zeichen und eine Maximallänge von 128 Zeichen

  • Mindestens drei der folgenden Zeichenarten: Großbuchstaben, Kleinbuchstaben, Zahlen und die Symbole ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • nicht identisch mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse sein

  • Passwort niemals ablaufen lassen

Benutzerdefinierte Optionen für Passwortrichtlinien

Wenn Sie eine benutzerdefinierte Passwortrichtlinie für Ihr Konto konfigurieren, können Sie die folgenden Bedingungen festlegen:

  • Passwort-Mindestlänge – Sie können mindestens 6 Zeichen und maximal 128 Zeichen angeben.

  • Passwortstärke — Sie können eines der folgenden Kontrollkästchen aktivieren, um die Stärke Ihrer IAM Benutzerkennwörter zu definieren:

    • Erfordern mindestens einen Großbuchstaben aus dem lateinischen Alphabet (A–Z)

    • Erfordern mindestens einen Kleinbuchstaben aus dem lateinischen Alphabet (a–z)

    • Mindestens eine Zahl

    • Erfordert mindestens ein nicht alphanumerisches Zeichen ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Ablauf des Kennworts aktivieren — Sie können festlegen, dass IAM Benutzerkennwörter mindestens 1 und maximal 1.095 Tage gültig sind, nachdem sie festgelegt wurden. Wenn Sie beispielsweise einen Ablaufzeitraum von 90 Tagen angeben, wirkt sich dies sofort auf alle Ihre Benutzer aus. Für Benutzer mit Passwörtern, die älter als 90 Tage sind, müssen sie, wenn sie sich nach der Änderung bei der Konsole anmelden, ein neues Passwort festlegen. Benutzer mit Passwörtern, die zwischen 75 und 89 Tage alt sind, erhalten eine AWS Management Console Warnung, dass ihr Passwort abläuft. IAMBenutzer können ihr Passwort jederzeit ändern, wenn sie dazu berechtigt sind. Der Ablaufzeitraum beginnt von vorn, sobald ein neues Passwort festgelegt wird. Ein IAM Benutzer kann jeweils nur über ein gültiges Passwort verfügen.

  • Für den Ablauf des Kennworts ist ein Zurücksetzen durch den Administrator erforderlich — Wählen Sie diese Option, AWS Management Console um zu verhindern, dass IAM Benutzer nach Ablauf des Kennworts ihre eigenen Passwörter aktualisieren. Bevor Sie diese Option auswählen, stellen Sie sicher, dass mehr als ein Benutzer über Administratorrechte zum Zurücksetzen von IAM Benutzerkennwörtern AWS-Konto verfügt. Administratoren mit entsprechender iam:UpdateLoginProfile Berechtigung können IAM Benutzerkennwörter zurücksetzen. IAMBenutzer mit entsprechenden iam:ChangePassword Berechtigungen und aktiven Zugriffsschlüsseln können ihr eigenes IAM Benutzerkonsolenpasswort programmgesteuert zurücksetzen. Wenn Sie dieses Kontrollkästchen deaktivieren, müssen IAM Benutzer mit abgelaufenen Kennwörtern trotzdem ein neues Kennwort festlegen, bevor sie auf das zugreifen können. AWS Management Console

  • Benutzern erlauben, ihr eigenes Passwort zu ändern — Sie können allen IAM Benutzern in Ihrem Konto erlauben, ihr eigenes Passwort zu ändern. Dadurch erhalten Benutzer Zugriff auf die iam:ChangePassword-Aktion nur für ihren Benutzer und auf die iam:GetAccountPasswordPolicy-Aktion. Mit dieser Option wird nicht jedem Benutzer eine Berechtigungsrichtlinie zugewiesen. IAMWendet stattdessen die Berechtigungen auf Kontoebene für alle Benutzer an. Sie können alternativ auch nur ausgewählten Benutzern die Berechtigung zum Verwalten ihrer eigenen Passwörter gewähren. Deaktivieren Sie dazu dieses Kontrollkästchen. Weitere Informationen dazu, wie Sie mithilfe von Richtlinien steuern, welche Benutzer Passwörter verwalten können, finden Sie unter IAMErlauben Sie Benutzern, ihre eigenen Passwörter zu ändern.

  • Wiederverwendung von Passwörtern verhindern — Sie können verhindern, dass IAM Benutzer eine bestimmte Anzahl früherer Passwörter wiederverwenden. Sie können eine Mindestanzahl von 1 und eine maximale Anzahl von 24 vorherigen Passwörtern angeben, die nicht wiederholt werden können.

Um eine Passwortrichtlinie festzulegen (Konsole)

Sie können die verwenden, AWS Management Console um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, zu ändern oder zu löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM Benutzer, die nach dieser Richtlinienänderung erstellt wurden, und für bestehende IAM Benutzer, wenn sie ihre Passwörter ändern.

IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Startseite der Konsole den IAM Dienst aus.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie Custom (Benutzerdefiniert), um eine benutzerdefinierte Passwortrichtlinie zu verwenden.

  6. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.

  7. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

In der Konsole wird eine Statusmeldung angezeigt, die Sie darüber informiert, dass die Kennwortanforderungen für IAM Benutzer aktualisiert wurden.

Um eine Passwortrichtlinie zu ändern (Konsole)

Sie können die verwenden, AWS Management Console um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, zu ändern oder zu löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM Benutzer, die nach dieser Richtlinienänderung erstellt wurden, und für bestehende IAM Benutzer, wenn sie ihre Passwörter ändern.

IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Startseite der Konsole den IAM Dienst aus.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.

  6. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

In der Konsole wird eine Statusmeldung angezeigt, die Sie darüber informiert, dass die Kennwortanforderungen für IAM Benutzer aktualisiert wurden.

So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)

Sie können die verwenden, AWS Management Console um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, zu ändern oder zu löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM Benutzer, die nach dieser Richtlinienänderung erstellt wurden, und für bestehende IAM Benutzer, wenn sie ihre Passwörter ändern.

IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Startseite der Konsole den IAM Dienst aus.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie IAMStandard, um die benutzerdefinierte Kennwortrichtlinie zu löschen, und wählen Sie Änderungen speichern.

  6. Bestätigen Sie, dass Sie die IAM Standard-Passwortrichtlinie festlegen möchten, indem Sie Als Standard festlegen wählen.

In der Konsole wird eine Statusmeldung angezeigt, die Sie darüber informiert, dass die Kennwortrichtlinie auf IAM Standard gesetzt ist.

Einrichten einer Passwortrichtlinie (AWS CLI)

Sie können den verwenden AWS Command Line Interface , um eine Kennwortrichtlinie festzulegen.

Um die Passwortrichtlinie für benutzerdefinierte Konten über das zu verwalten AWS CLI

Führen Sie die folgenden Befehle aus:

Einrichten einer Passwortrichtlinie (AWS API)

Sie können AWS API Operationen verwenden, um eine Passwortrichtlinie festzulegen.

Um die Passwortrichtlinie für benutzerdefinierte Konten über das zu verwalten AWS API

Rufen Sie die folgenden Operationen auf: