Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Root-Benutzer des AWS-Kontos
Wenn Sie zum ersten Mal ein Amazon Web Services (AWS) -Konto erstellen, beginnen Sie mit einer einzigen Anmeldeidentität, die vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Diese Identität wird als *Root-Benutzer* des AWS Kontos bezeichnet. Die E-Mail-Adresse und das Passwort, mit denen Sie Ihr Konto erstellt haben, AWS-Konto sind die Anmeldeinformationen, mit denen Sie sich als Root-Benutzer anmelden.
+ Verwenden Sie den Root-Benutzer nur zum Ausführen von Aufgaben, die Berechtigungen auf Root-Ebene erfordern. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](#root-user-tasks).
+ Befolgen Sie die [bewährten Methoden für den Root-Benutzer für Ihr AWS-Konto](root-user-best-practices.md).
+ Wenn bei der Anmeldung Probleme auftreten, lesen Sie den Abschnitt [Anmelden bei der Konsole AWS-Managementkonsole](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).
**Wichtig**
Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden und empfehlen, dass Sie die [bewährten Methoden für Root-Benutzer für Ihr AWS-Konto befolgen](root-user-best-practices.md). Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen. Verwenden Sie diese nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](#root-user-tasks).
Während MFA für Root-Benutzer standardmäßig aktiviert ist, müssen Kunden MFA bei der erstmaligen Kontoerstellung oder bei Aufforderung während der Anmeldung manuell hinzufügen. Weitere Informationen zur Verwendung von MFA zum Schutz des Root-Benutzers finden Sie unter [Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos](enable-mfa-for-root.md).
## Root-Zugriff für Mitgliedskonten zentral verwalten
Um Sie bei der umfassenden Verwaltung von Anmeldeinformationen zu unterstützen, können Sie den Zugriff auf Root-Benutzer-Anmeldeinformationen für Mitgliedskonten in AWS Organizations zentral sichern. Wenn Sie die Aktivierung aktivieren AWS Organizations, fassen Sie alle Ihre AWS Konten zu einer Organisation für die zentrale Verwaltung zusammen. Durch die Zentralisierung des Root-Zugriffs können Sie die Root-Benutzer-Anmeldeinformationen entfernen und die folgenden privilegierten Aufgaben für Mitgliedskonten ausführen.
**Root-Benutzer-Anmeldeinformationen für Mitgliedskonten entfernen**
Nachdem Sie den [Root-Zugriff für Mitgliedskonten zentralisieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), können Sie die Root-Benutzer-Anmeldeinformationen von Mitgliedskonten in Ihren Organizations löschen. Sie können das Root-Benutzer-Passwort, Zugriffsschlüssel und Signaturzertifikate entfernen sowie die Multi-Faktor-Authentifizierung (MFA) deaktivieren. Neue Konten, die Sie in Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen, es sei denn, die Kontowiederherstellung ist aktiviert.
**Privilegierte Aufgaben ausführen, die Anmeldeinformationen eines Root-Benutzers erfordern**
Einige Aufgaben können nur ausgeführt werden, wenn Sie sich als Root-Benutzer eines Kontos anmelden. Einige dieser [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](#root-user-tasks) können vom Verwaltungskonto oder einem delegierten Administrator für IAM ausgeführt werden. Weitere Informationen über privilegierte Aktionen für Mitgliedskonten finden Sie unter [Ausführen einer privilegierten Aufgabe](id_root-user-privileged-task.md).
**Kontowiederherstellung des Root-Benutzers aktivieren**
Wenn Sie die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherstellen müssen, kann das Organisationsverwaltungskonto oder der delegierte Administrator die privilegierte Aufgabe **Passwortwiederherstellung zulassen** ausführen. Die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers für das Mitgliedskonto kann das [Root-Benutzer-Passwort zurücksetzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html), um die Root-Benutzer-Anmeldeinformationen wiederherzustellen. Wir empfehlen, die Anmeldeinformationen des Root-Benutzers zu löschen, sobald Sie die Aufgabe abgeschlossen haben, für die der Zugriff auf den Root-Benutzer erforderlich ist.
# Root-Zugriff für Mitgliedskonten zentralisieren
Root-Benutzeranmeldedaten sind die anfänglichen Anmeldeinformationen AWS-Konto , die jedem Benutzer zugewiesen werden, der vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Wenn Sie die Aktivierung aktivieren AWS Organizations, fassen Sie alle Ihre AWS Konten zu einer Organisation für die zentrale Verwaltung zusammen. Jedes Mitgliedskonto hat seinen eigenen Root-Benutzer mit Standardberechtigungen zum Ausführen aller Aktionen im Mitgliedskonto. Wir empfehlen Ihnen, die Root-Benutzeranmeldedaten von AWS-Konten Managed Using zentral zu sichern AWS Organizations , um zu verhindern, dass Root-Benutzeranmeldedaten wiederhergestellt und in großem Umfang darauf zugegriffen werden kann.
Nachdem Sie den Root-Zugriff zentralisiert haben, können Sie die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten in Ihrer Organisation löschen. Sie können das Root-Benutzer-Passwort, Zugriffsschlüssel und Signaturzertifikate entfernen sowie die Multi-Faktor-Authentifizierung (MFA) deaktivieren. Neue Konten, die Sie in AWS Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.
**Anmerkung**
Während einige [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](id_root-user.md#root-user-tasks) vom Verwaltungskonto oder delegierten Administrator für IAM ausgeführt werden können, lassen sich andere Aufgaben nur ausführen, wenn Sie sich als Root-Benutzer eines Kontos anmelden.
Wenn Sie die Anmeldeinformationen des Root-Benutzers für ein Mitgliedskonto wiederherstellen müssen, um eine dieser Aufgaben auszuführen, befolgen Sie die Schritte unter [Ausführen einer privilegierten Aufgabe](id_root-user-privileged-task.md) und wählen Sie **Passwortwiederherstellung zulassen**. Die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers kann für das Mitgliedskonto das [Root-Benutzer-Passwort zurücksetzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) und sich beim Root-Benutzer des Mitgliedskontos anmelden.
Wir empfehlen, die Anmeldeinformationen des Root-Benutzers zu löschen, sobald Sie die Aufgabe abgeschlossen haben, für die der Zugriff auf den Root-Benutzer erforderlich ist.
## Voraussetzungen
Bevor Sie den Root-Zugriff zentralisieren, muss ein Konto mit den folgenden Einstellungen konfiguriert sein:
+ Sie benötigen die folgenden IAM-Berechtigungen:
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**Anmerkung**
Um den Status der Root-Benutzeranmeldeinformationen eines Mitgliedskontos zu überprüfen, können Sie die [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS verwaltete Richtlinie verwenden, um die Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, oder Sie können eine beliebige Richtlinie mit Zugriff auf verwenden. `iam:GetAccountSummary`
Zum Erstellen des Berichts mit den Anmeldeinformationen des Root-Benutzers benötigen andere Richtlinien lediglich die `iam:GetAccountSummary`-Aktion, um das gleiche Ergebnis zu erzielen. Sie können auch einzelne Informationen zu den Anmeldeinformationen von Root-Benutzern auflisten oder abrufen, darunter:
Ob ein Root-Benutzer-Kennwort vorhanden ist
Ob ein Root-Benutzer-Zugriffsschlüssel vorhanden ist und wann er zuletzt verwendet wurde
Ob dem Root-Benutzer Signaturzertifikate zugeordnet sind
Mit Root-Benutzern verknüpfte MFA-Geräte
Liste des konsolidierten Status der Root-Benutzer-Anmeldeinformationen
+ Sie müssen Ihre Eingaben AWS-Konten verwalten. [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)
+ Sie müssen über die folgenden Berechtigungen verfügen, um dieses Feature in Ihrer Organisation zu aktivieren:
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ Um eine optimale Konsolenfunktionalität zu gewährleisten, empfehlen wir, die folgenden zusätzlichen Berechtigungen zu aktivieren:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## Zentralisierten Root-Zugriff aktivieren (Konsole)
**Um diese Funktion für Mitgliedskonten in der zu aktivieren AWS-Managementkonsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der Konsole **Root-Zugriffsverwaltung** und dann **Aktivieren** aus.
**Anmerkung**
Wenn Sie sehen, dass die **Root-Zugriffsverwaltung deaktiviert ist**, aktivieren Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in AWS Organizations. Einzelheiten finden Sie unter [AWS -IAM und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html) im *AWS Organizations -Benutzerhandbuch*.
1. Wählen Sie im Abschnitt „Zu aktivierende Funktionen“ aus, welche Features aktiviert werden sollen.
+ Wählen Sie **Verwaltung der Root-Anmeldeinformationen** aus, um dem Verwaltungskonto und dem delegierten Administrator für IAM zu erlauben, Root-Benutzer-Anmeldeinformationen für Mitgliedskonten zu löschen. Sie müssen privilegierte Root-Aktionen in Mitgliedskonten aktivieren, um Mitgliedskonten die Wiederherstellung ihrer Root-Benutzer-Anmeldeinformationen nach deren Löschung zu ermöglichen.
+ Wählen Sie **Privilegierte Root-Aktionen in Mitgliedskonten** aus, um dem Verwaltungskonto und dem delegierten Administrator für IAM die Ausführung bestimmter Aufgaben zu ermöglichen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind.
1. (Optional) Geben Sie die Konto-ID des **delegierten Administrators** ein, der berechtigt ist, den Root-Benutzerzugriff zu verwalten und privilegierte Aktionen für Mitgliedskonten auszuführen. Wir empfehlen ein Konto, das für Sicherheits- oder Verwaltungszwecke vorgesehen ist.
1. Wählen Sie **Enable (Aktivieren)** aus.
## Zentralisierten Root-Zugriff aktivieren (AWS CLI)
**Um den zentralisierten Root-Zugriff über AWS Command Line Interface (AWS CLI) zu aktivieren**
1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html).
1. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: [aws iam enable-organizations-root-credentials -management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html).
1. [Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldedaten erforderlich sind: aws iam. enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)
1. [(Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren: aws organizations. register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)
Im folgenden Beispiel wird das Konto 111111111111 als delegierter Administrator für den IAM-Service zugewiesen.
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## Aktivierung des zentralen Root-Zugriffs (AWS API)
**Um den zentralisierten Root-Zugriff über die AWS API zu aktivieren**
1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: [AWSServiceZugriff aktivieren](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).
1. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html).
1. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldeinformationen erforderlich sind:. [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)
1. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren:. [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)
## Nächste Schritte
Nachdem Sie die privilegierten Anmeldeinformationen für die Mitgliedskonten in Ihrer Organisation zentral gesichert haben, finden Sie unter [Ausführen einer privilegierten Aufgabe](id_root-user-privileged-task.md) Informationen zum Ausführen privilegierter Aktionen für ein Mitgliedskonto.
# Führen Sie eine privilegierte Aufgabe auf einem AWS Organizations Mitgliedskonto aus
Das AWS Organizations Verwaltungskonto oder ein delegiertes Administratorkonto für IAM kann einige privilegierte Aufgaben für Mitgliedskonten ausführen, für die andernfalls Root-Benutzeranmeldedaten erforderlich wären. Bei zentralisiertem Root-Zugriff werden diese Aufgaben in kurzzeitigen privilegierten Sitzungen ausgeführt. Diese Sitzungen stellen temporäre Anmeldeinformationen bereit, die auf bestimmte privilegierte Aktionen beschränkt sind, ohne dass eine Anmeldung des Root-Benutzers für das Mitgliedskonto erforderlich ist.
Sobald Sie eine privilegierte Sitzung gestartet haben, können Sie eine falsch konfigurierte Amazon-S3-Bucket-Richtlinie löschen, eine falsch konfigurierte Amazon-SQS-Warteschlangenrichtlinie löschen, die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto löschen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto erneut aktivieren.
**Anmerkung**
Um den zentralen Root-Zugriff nutzen zu können, müssen Sie sich über ein Verwaltungskonto oder ein delegiertes Administratorkonto als IAM-Benutzer oder eine IAM-Rolle mit der ausdrücklich erteilten Berechtigung anmelden. `sts:AssumeRoot` Sie können keine Root-Benutzeranmeldedaten für Anrufe verwenden. `sts:AssumeRoot`
## Voraussetzungen
Bevor Sie eine privilegierte Sitzung starten können, müssen Sie über die folgenden Einstellungen verfügen:
+ Sie haben den zentralisierten Root-Zugriff in Ihrer Organisation aktiviert. Informationen zum Aktivieren dieses Features finden Sie unter [Root-Zugriff für Mitgliedskonten zentralisieren](id_root-enable-root-access.md).
+ Ihr Verwaltungskonto oder delegiertes Administratorkonto verfügt über die folgenden Berechtigungen: `sts:AssumeRoot`
## Privilegierte Aktion in einem Mitgliedskonto ausführen (Konsole)
**Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto zu starten AWS-Managementkonsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der Konsole **Root-Zugriffsverwaltung** aus.
1. Wählen Sie einen Namen aus der Liste der Mitgliedskonten aus und wählen Sie **Privilegierte Aktion ausführen** aus.
1. Wählen Sie die privilegierte Aktion aus, die Sie im Mitgliedskonto ausführen möchten.
+ Wählen Sie **Amazon-S3-Bucket-Richtlinie löschen** aus, um eine falsch konfigurierte Bucket-Richtlinie zu entfernen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.
1. Wählen Sie **S3 durchsuchen**, um einen Namen aus den Buckets auszuwählen, die dem Mitgliedskonto gehören, und wählen Sie **Auswählen**.
1. Wählen Sie **Bucket-Richtlinie löschen** aus.
1. Verwenden Sie die Amazon-S3-Konsole, um die Bucket-Richtlinie zu korrigieren, nachdem Sie die falsch konfigurierte Richtlinie gelöscht haben. Weitere Informationen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon-S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon-S3-Benutzerhandbuch*.
+ Wählen Sie **Amazon-SQS-Richtlinie löschen**, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
1. Geben Sie den Warteschlangennamen in das Feld **SQS-Warteschlangenname** ein und wählen Sie **SQS-Richtlinie löschen** aus.
1. Verwenden Sie die Amazon-SQS-Konsole, um die Warteschlangenrichtlinie nach dem Löschen der falsch konfigurierten Richtlinie zu korrigieren. Weitere Informationen finden Sie unter [Konfigurieren einer Zugriffsrichtlinie in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) im *Amazon-SQS-Entwicklerhandbuch*.
+ Wählen Sie **Root-Anmeldeinformationen löschen**, um den Root-Zugriff von einem Mitgliedskonto zu entfernen. Durch das Löschen der Root-Benutzer-Anmeldeinformationen werden das Root-Benutzerpasswort, die Zugriffsschlüssel sowie die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) für das Mitgliedskonto wird deaktiviert.
1. Wählen Sie **Root-Anmeldeinformationen löschen** aus.
+ Wählen Sie **Passwortwiederherstellung zulassen**, um die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
Diese Option ist nur verfügbar, wenn das Mitgliedskonto über keine Root-Benutzer-Anmeldeinformationen verfügt.
1. Wählen Sie **Passwortwiederherstellung zulassen** aus.
1. Nach dem Ausführen dieser privilegierten Aktion kann die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers für das Mitgliedskonto das [Root-Benutzer-Passwort zurücksetzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) und sich beim Root-Benutzer des Mitgliedskontos anmelden.
## Durchführung einer privilegierten Aktion in einem Mitgliedskonto (AWS CLI)
**Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto zu starten AWS Command Line Interface**
1. Verwenden Sie den folgenden Befehl, um eine Root-Benutzer-Sitzung anzunehmen: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**Anmerkung**
Der globale Endpunkt wird für `sts:AssumeRoot` nicht unterstützt. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter [Verwalte AWS STS in einem AWS-Region](id_credentials_temp_enable-regions.md).
Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie `task-policy-arn` definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden von AWS verwalteten Richtlinien verwenden, um privilegierte Sitzungsaktionen einzuschränken.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel [sts: TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) verwenden.
Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root die Root-Benutzeranmeldeinformationen für die Mitgliedskonto-ID löscht. *111122223333*
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. Verwenden Sie `AccessKeyId`, `SessionToken` und `SecretAccessKey` aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.
+ **Überprüfen Sie den Status der Root-Benutzer-Anmeldeinformationen.**. Verwenden Sie die folgenden Befehle, um den Status der Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto zu überprüfen.
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-verwendet](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **Löschen Sie die Anmeldeinformationen des Root-Benutzers**. Verwenden Sie die folgenden Befehle, um den Root-Zugriff zu löschen. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren, um jeglichen Zugriff auf und die Wiederherstellung des Root-Benutzers zu entfernen.
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Löschen Sie die Amazon-S3-Bucket-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine falsch konfigurierte Bucket-Richtlinie zu lesen, zu bearbeiten und zu löschen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Löschen Sie die Amazon-SQS-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service anzuzeigen und zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **Lassen Sie die Passwortwiederherstellung zu**. Verwenden Sie die folgenden Befehle, um den Benutzernamen anzuzeigen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## Ergreifen einer privilegierten Aktion auf einem Mitgliedskonto (AWS API)
**Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto über die AWS API zu starten**
1. Verwenden Sie den folgenden Befehl, um von einer Root-Benutzersitzung auszugehen: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**Anmerkung**
Der globale Endpunkt wird nicht unterstützt für AssumeRoot. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter [Verwalte AWS STS in einem AWS-Region](id_credentials_temp_enable-regions.md).
Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie `TaskPolicyArn` definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden AWS verwalteten Richtlinien verwenden, um den Umfang von Aktionen für privilegierte Sitzungen festzulegen.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel [sts: TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) verwenden.
Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root eine falsch konfigurierte ressourcenbasierte Richtlinie für einen Amazon S3 S3-Bucket für die Mitgliedskonto-ID liest, bearbeitet und löscht. *111122223333*
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. Verwenden Sie `AccessKeyId`, `SessionToken` und `SecretAccessKey` aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.
+ **Überprüfen Sie den Status der Root-Benutzer-Anmeldeinformationen.**. Verwenden Sie die folgenden Befehle, um den Status der Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto zu überprüfen.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListeMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **Löschen Sie die Anmeldeinformationen des Root-Benutzers**. Verwenden Sie die folgenden Befehle, um den Root-Zugriff zu löschen. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren, um jeglichen Zugriff auf und die Wiederherstellung des Root-Benutzers zu entfernen.
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Löschen Sie die Amazon-S3-Bucket-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine falsch konfigurierte Bucket-Richtlinie zu lesen, zu bearbeiten und zu löschen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Löschen Sie die Amazon-SQS-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service anzuzeigen und zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **Lassen Sie die Passwortwiederherstellung zu**. Verwenden Sie die folgenden Befehle, um den Benutzernamen anzuzeigen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
# Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos
**Wichtig**
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden AWS, da diese resistenter gegen Angriffe wie Phishing sind. Weitere Informationen finden Sie unter [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-root).
Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher und effektiver Mechanismus zur Verbesserung Ihrer Sicherheit. Der erste Faktor – Ihr Passwort – ist ein Geheimnis, das Sie sich merken, auch Wissensfaktor genannt. Andere Faktoren können Besitzfaktoren (etwas, das Sie besitzen, wie etwa ein Sicherheitsschlüssel) oder Inhärenzfaktoren (etwas, das Sie sind, wie etwa ein biometrischer Scan) sein. Um die Sicherheit zu erhöhen, empfehlen wir dringend, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen.
**Anmerkung**
Für alle AWS-Konto Typen (eigenständige Konten, Verwaltungs- und Mitgliedskonten) muss MFA für ihren Root-Benutzer konfiguriert sein. Benutzer müssen MFA innerhalb von 35 Tagen nach ihrem ersten Anmeldeversuch registrieren, um auf die zuzugreifen, AWS-Managementkonsole sofern MFA nicht bereits aktiviert ist.
Sie können MFA für die Root-Benutzer des AWS-Kontos und IAM-Benutzer aktivieren. Wenn Sie MFA für den Root-Benutzer aktivieren, wirkt sich dies nur auf die Anmeldeinformationen des Root-Benutzers aus. Weitere Informationen zum Aktivieren von MFA für Ihre IAM-Benutzer finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).
**Anmerkung**
AWS-Konten Managed Using bietet AWS Organizations möglicherweise die Option, den [Root-Zugriff für Mitgliedskonten zentral zu verwalten](id_root-user.md#id_root-user-access-management), um die Wiederherstellung von Anmeldeinformationen und den Zugriff in großem Umfang zu verhindern. Wenn diese Option aktiviert ist, können Sie die Anmeldeinformationen des Root-Benutzers aus den Mitgliedskonten löschen, einschließlich Passwörtern und MFA, wodurch die Anmeldung als Root-Benutzer, die Passwortwiederherstellung oder die Einrichtung von MFA effektiv verhindert wird. Wenn Sie lieber passwortbasierte Anmeldemethoden beibehalten möchten, können Sie Ihr Konto zusätzlich sichern, indem Sie MFA registrieren, um den Schutz Ihres Kontos zu verbessern.
Bevor Sie MFA für Ihren Root-Benutzer aktivieren, überprüfen und [aktualisieren Sie Ihre Kontoeinstellungen und Kontaktinformationen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html), um sicherzustellen, dass Sie Zugriff auf die E-Mail-Adresse und Telefonnummer haben. Wenn Ihr MFA-Gerät verloren geht, gestohlen wird oder nicht funktioniert, können Sie sich immer noch als Stammbenutzer anmelden, indem Sie Ihre Identität mit dieser E-Mail und Telefonnummer verifizieren. Weitere Informationen zum Anmelden mit alternativen Authentifizierungsmethoden finden Sie unter [Wiederherstellung einer MFA-geschützten Identität in IAM](id_credentials_mfa_lost-or-broken.md). Wenn Sie dieses Feature deaktivieren möchten, wenden Sie sich an [AWS Support](https://console.aws.amazon.com/support/home#/).
AWS unterstützt die folgenden MFA-Typen für Ihren Root-Benutzer:
+ [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-root)
+ [Anwendungen für virtuelle Authentifikatoren](#virtual-auth-apps-for-root)
+ [Hardware-TOTP-Token](#hardware-totp-token-for-root)
## Passkeys und Sicherheitsschlüssel
AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel für MFA. Basierend auf den FIDO-Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung zu gewährleisten, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.
+ **Sicherheitsschlüssel**: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einzelner Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM-Benutzer unterstützen.
+ **Synchronisierte Passkeys**: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.
Du kannst integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um deinen Anmeldeinformationsmanager zu entsperren und dich dort anzumelden. AWS Passkeys werden bei Ihrem ausgewählten Anbieter anhand Ihres Fingerabdrucks, Gesichts oder der Geräte-PIN erstellt. Sie können auch einen Passkey für die geräteübergreifende Authentifizierung (CDA) auf einem Gerät, z. B. einem Mobilgerät oder einem Hardware-Sicherheitsschlüssel, verwenden, um sich auf einem anderen Gerät, z. B. einem Laptop, anzumelden. Weitere Informationen finden Sie unter [Geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).
Du kannst Passkeys auf all deinen Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu verbessern. AWS Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md).
Die FIDO Alliance führt eine Liste aller [FIDO-zertifizierten Produkte](https://fidoalliance.org/certification/fido-certified-products/), die mit den FIDO-Spezifikationen kompatibel sind.
## Anwendungen für virtuelle Authentifikatoren
Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein [zeitgesteuertes Einmalpasswort (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss bei der Anmeldung einen gültigen Code vom Gerät eingeben, wenn er dazu aufgefordert wird. Jeder Token, der einem Benutzer zugeordnet wird, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Token eines anderen Benutzers eingeben.
Wir empfehlen die Verwendung eines virtuellen MFA-Geräts beim Warten auf die Genehmigung für den Hardware-Kauf oder während Sie warten, bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Anweisungen zum Einrichten eines virtuellen MFA-Geräts mit finden Sie AWS unter[Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md).
## Hardware-TOTP-Token
Ein Hardwaregerät generiert einen sechsstelligen numerischen Code basierend auf dem [zeitgesteuerten Einmalpasswort (TOTP)-Algorithmus](https://datatracker.ietf.org/doc/html/rfc6238). Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben. Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Weitere Informationen zu unterstützten Hardware-MFA-Geräten finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Anweisungen zum Einrichten eines Hardware-TOTP-Tokens mit AWS finden Sie unter [Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).
Wenn Sie ein physisches MFA-Gerät verwenden möchten, empfehlen wir Ihnen, FIDO-Sicherheitsschlüssel als Alternative zu Hardware-TOTP-Geräten zu verwenden. FIDO-Sicherheitsschlüssel bieten die Vorteile, dass sie keine Batterie benötigen, Phishing-resistent sind und zur Verbesserung der Sicherheit mehrere Root- und IAM-Benutzer auf einem einzigen Gerät unterstützen.
**Topics**
+ [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-root)
+ [Anwendungen für virtuelle Authentifikatoren](#virtual-auth-apps-for-root)
+ [Hardware-TOTP-Token](#hardware-totp-token-for-root)
+ [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md)
+ [Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md)
+ [Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md)
# Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)
Sie können einen Hauptschlüssel für Ihren Root-Benutzer AWS-Managementkonsole nur über die AWS API konfigurieren und aktivieren, nicht über die AWS CLI oder.
**So aktivieren Sie einen Passkey oder Sicherheitsschlüssel für Ihren Root-Benutzer (Konsole)**
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch* unter AWS-Managementkonsole Als Root-Benutzer anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html).AWS-Anmeldung
1. Wählen Sie rechts in der Navigationsleiste Ihren Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**.
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Wählen Sie auf der Seite **Meine Sicherheitsanmeldeinformationen** Ihres Root-Benutzers unter **Multi-Faktor-Authentifizierung (MFA)** die Option **MFA-Gerät zuweisen** aus.
1. Geben Sie auf der Seite **MFA-Gerätename** einen **Gerätenamen** ein, wählen Sie **Passkey oder Sicherheitsschlüssel** und klicken Sie dann auf **Weiter**.
1. Richten Sie unter **Gerät einrichten** Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.
1. Befolgen Sie die Anweisungen in Ihrem Browser, um einen Passkey-Anbieter auszuwählen oder den Ort anzugeben, an dem Sie Ihren Passkey für die Verwendung auf allen Ihren Geräten speichern möchten.
1. Klicken Sie auf **Weiter**.
Sie haben jetzt Ihren Hauptschlüssel für die Verwendung mit AWS registriert. Wenn Sie sich das nächste Mal mit Ihren Root-Benutzer-Anmeldeinformationen anmelden, müssen Sie sich mit Ihrem Passkey authentifizieren, um den Anmeldevorgang abzuschließen.
Hilfe zur Fehlerbehebung von Problemen mit Ihrem FIDO-Sicherheitsschlüssel finden Sie unter [Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md).
# Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)
Sie können das verwenden AWS-Managementkonsole , um ein virtuelles MFA-Gerät für Ihren Root-Benutzer zu konfigurieren und zu aktivieren. Um MFA-Geräte für zu aktivieren AWS-Konto, müssen Sie AWS mit Ihren Root-Benutzeranmeldedaten angemeldet sein.
**So konfigurieren und aktivieren Sie ein virtuelles MFA-Gerät zur Verwendung mit dem (Konsole)**
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch unter Melden Sie sich AWS-Managementkonsole als AWS-Anmeldung Root-Benutzer*](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) an.
1. Klicken Sie rechts auf der Navigationsleiste auf Ihren Kontonamen und wählen Sie **Security Credentials (Sicherheits-Anmeldeinformationen)** aus.
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.
1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Authenticator app (Authenticator-App)** und dann **Next (Weiter)**.
IAM generiert Konfigurationsinformationen für das virtuelle MFA-Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des geheimen Konfigurationsschlüssels, der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.
1. Öffnen Sie die virtuelle MFA-App auf dem Gerät.
Wenn die virtuelle MFA-App mehrere virtuelle MFA-Geräte oder -Konten unterstützt, wählen Sie die Option zum Erstellen eines neuen virtuellen MFA-Geräts oder -Kontos.
1. Die einfachste Methode zum Konfigurieren der App ist die Verwendung der App zum Scannen des QR-Codes. Wenn es nicht möglich ist, den Code zu scannen, können Sie die Konfiguration manuell eingeben. Der von IAM generierte QR-Code und der geheime Konfigurationsschlüssel sind an Ihr Konto gebunden AWS-Konto und können nicht mit einem anderen Konto verwendet werden. Sie können jedoch zum Konfigurieren eines neuen MFA-Geräts für Ihr Konto wiederverwendet werden, falls Sie den Zugriff auf das ursprüngliche MFA-Gerät verlieren.
+ Um den QR-Code zur Konfiguration des virtuellen MFA-Geräts zu verwenden, wählen Sie im Assistenten **Show QR code (QR-Code anzeigen)**. Folgen Sie dann den Anweisungen der App zum Scannen des Codes. Sie müssen beispielsweise das Kamerasymbol oder einen Tippbefehl wie z. B. **Scan account barcode (Barcode des Kontos scannen)** auswählen und dann mit der Kamera des Geräts den QR-Code scannen.
+ Wählen Sie im Assistenten **zum Einrichten des Geräts** die Option **Show secret key (Geheimen Schlüssel anzeigen)** aus und geben Sie dann den geheimen Schlüssel in Ihre MFA-App ein.
**Wichtig**
Erstellen Sie eine sichere Kopie des QR-Codes oder geheimen Zugriffsschlüssels oder stellen Sie sicher, dass Sie mehrere MFA-Geräte für Ihr Konto aktivieren. Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Ein virtuelles MFA-Gerät ist möglicherweise nicht mehr verfügbar, wenn Sie beispielsweise das Smartphone verlieren, auf dem das virtuelle MFA-Gerät gehostet wird. Wenn dies geschieht und Sie sich ohne zusätzliche MFA-Geräte, die an den Benutzer angeschlossen sind, oder sogar über [Wiederherstellen eines Stammbenutzer-MFA-Geräts](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) nicht bei Ihrem Konto anmelden können, können Sie sich nicht bei Ihrem Konto anmelden und müssen den [Kundendienst kontaktieren](https://support.aws.amazon.com/#/contacts/aws-mfa-support), um den MFA-Schutz für das Konto zu entfernen.
Das Gerät beginnt, sechsstellige Zahlen zu generieren.
1. Geben Sie im Assistenten im Feld **MFA Code 1** das aktuell am virtuellen MFA-Gerät angezeigte Einmalpasswort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite Einmalpasswort in das Feld **MFA Code 2** ein. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).
Das Gerät ist einsatzbereit für. AWS Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).
# Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)
Sie können ein physisches MFA-Gerät für Ihren Root-Benutzer AWS-Managementkonsole nur über die AWS API konfigurieren und aktivieren, nicht über die AWS CLI oder.
**Anmerkung**
Möglicherweise wird Ihnen unterschiedlicher Text angezeigt, z. B. **Sign in using MFA (Melden Sie sich mit MFA an)** und **Troubleshoot your authentication device (Fehlerbehebung bei Ihrem Authentifizierungsgerät)**. Es stehen jedoch die gleichen Features zur Verfügung. Wenn Sie die E-Mail-Adresse und Telefonnummer Ihres Kontos in beiden Fällen nicht mithilfe alternativer Authentifizierungsfaktoren verifizieren können, wenden Sie sich an [AWS Support](https://aws.amazon.com/forms/aws-mfa-support), um Ihre MFA-Einstellung löschen zu lassen.
**So aktivieren Sie ein Hardware-TOTP-Token für Ihren Root-Benutzer (Konsole)**
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch unter Melden Sie sich AWS-Managementkonsole als AWS-Anmeldung Root-Benutzer*](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) an.
1. Wählen Sie rechts in der Navigationsleiste Ihren Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**.
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Erweitern Sie den Bereich **Multi-Factor Authentication (MFA)**.
1. Wählen Sie **Assign MFA device (MFA-Gerät zuweisen)**.
1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.
1. Geben Sie im Feld **Serial number (Seriennummer)** die auf der Rückseite des MFA-Geräts aufgeführte Seriennummer ein.
1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)
1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
1. Wählen Sie **Add MFA (MFA hinzufügen)**. Das MFA-Gerät ist jetzt mit dem AWS-Konto verknüpft.
**Wichtig**
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).
Wenn Sie sich das nächste Mal mit Ihren Stammbenutzer-Anmeldeinformationen anmelden, müssen Sie einen am MFA-Gerät angezeigten Code eingeben.
# Ändern Sie das Passwort für Root-Benutzer des AWS-Kontos
Sie können die E-Mail-Adresse und das Passwort auf der Seite [Sicherheitsanmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) oder auf der Seite **Konto** ändern. Sie können auch **Passwort vergessen?** wählen auf der AWS Anmeldeseite, um Ihr Passwort zurückzusetzen.
Um das Passwort des Root-Benutzers zu ändern, müssen Sie sich als Root-Benutzer des AWS-Kontos und nicht als IAM-Benutzer anmelden. Wie Sie ein *vergessenes* Stammbenutzerpasswort zurücksetzen können, erfahren Sie unter [Verlorenes oder vergessenes Root-Benutzer-Passwort zurücksetzen](reset-root-password.md).
Um Ihr Passwort so gut wie möglich zu schützen, folgen Sie diesen bewährten Methoden:
+ Ändern Sie Ihr Passwort regelmäßig.
+ Halten Sie Ihr Passwort geheim, da jeder, der Ihr Passwort kennt, auf Ihr Konto zugreifen kann.
+ Verwenden Sie für ein anderes Passwort AWS als für andere Websites.
+ Vermeiden Sie Passwörter, die einfach zu erraten sind. Dazu gehören Passwörter wie `secret``password`, `amazon` oder `123456`. Vermeiden Sie außerdem Dinge wie Wörter aus dem Wörterbuch, Ihren Namen, Ihre E-Mail-Adresse oder andere persönliche Informationen, die jemand leicht erhalten kann.
**Wichtig**
AWS-Konten Bei verwalteter Nutzung ist AWS Organizations möglicherweise der [zentrale Root-Zugriff](id_root-user.md#id_root-user-access-management) für Mitgliedskonten aktiviert. Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Anmeldeinformationen eines Root-Benutzers erforderlich sind.
------
#### [ AWS-Managementkonsole ]
**So ändern Sie das Passwort für den Stammbenutzer**
**Mindestberechtigungen**
Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:
Sie müssen sich als AWS-Konto Root-Benutzer anmelden, wofür keine zusätzlichen AWS Identity and Access Management (IAM-) Berechtigungen erforderlich sind. Sie können diese Schritte nicht als IAM-Benutzer oder -Rolle ausführen.
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch* unter AWS-Managementkonsole Als Root-Benutzer anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html).AWS-Anmeldung
1. Wählen Sie oben rechts in der Konsole Ihren Kontonamen oder Ihre Kontonummer und dann **Sicherheitsanmeldeinformationen** aus.
1. Wählen Sie auf der Seite **Konto**, neben den **Kontoeinstellungen**, **Bearbeiten** aus. Aus Sicherheitsgründen werden Sie aufgefordert, sich erneut zu authentifizieren.
**Anmerkung**
Wenn die Option **Bearbeiten** nicht angezeigt wird, sind Sie wahrscheinlich nicht als Root-Benutzer für Ihr Konto angemeldet. Sie können die Kontoeinstellungen nicht ändern, wenn Sie als IAM-Benutzer oder als IAM-Rolle angemeldet sind.
1. Wählen Sie auf der Seite **Kontoeinstellungen aktualisieren** unter **Passwort** die Option **Bearbeiten** aus.
1. Füllen Sie auf der Seite **Passwort aktualisieren** die Felder für **Aktuelles Passwort**, **Neues Passwort** und **Neues Passwort bestätigen** aus.
**Wichtig**
Achten Sie darauf, ein sicheres Passwort zu wählen. Obwohl Sie eine Kontokennwortrichtlinie für IAM-Benutzer festlegen können, gilt diese Richtlinie nicht für den Root-Benutzer.
AWS setzt voraus, dass Ihr Passwort die folgenden Bedingungen erfüllt:
+ Es muss mindestens 8 Zeichen und maximal 128 Zeichen lang sein.
+ Es muss mindestens drei der folgenden Zeichentypen enthalten: Großbuchstaben, Kleinbuchstaben, Zahlen und \$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-= Symbole.
+ Es darf nicht mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse identisch sein.
1. Wählen Sie **Änderungen speichern ** aus.
------
#### [ AWS CLI or AWS SDK ]
Diese Aufgabe wird in der AWS CLI oder von einer API-Operation von einer der nicht unterstützt AWS SDKs. Sie können diese Aufgabe nur mit dem ausführen AWS-Managementkonsole.
------
# Verlorenes oder vergessenes Root-Benutzer-Passwort zurücksetzen
Als Sie Ihre zum ersten Mal erstellt haben AWS-Konto, haben Sie eine E-Mail-Adresse und ein Passwort angegeben. Dies sind Ihre Root-Benutzer des AWS-Kontos Anmeldeinformationen. Wenn Sie Ihr Stammbenutzer-Passwort vergessen, können Sie dieses über die AWS-Managementkonsole zurücksetzen.
AWS-Konten Bei Managed Using ist AWS Organizations möglicherweise der [zentrale Root-Zugriff](id_root-user.md#id_root-user-access-management) für Mitgliedskonten aktiviert. Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Anmeldeinformationen eines Root-Benutzers erforderlich sind.
**Wichtig**
**Haben Sie Probleme bei der Anmeldung AWS?** Stellen Sie sicher, dass Sie sich auf der richtigen [AWS -Anmeldeseite](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) für Ihren Benutzertyp befinden. Wenn Sie der Root-Benutzer des AWS-Kontos (Kontoinhaber) sind, können Sie sich AWS mit den Anmeldeinformationen anmelden, die Sie bei der Erstellung des eingerichtet haben AWS-Konto. Wenn Sie ein IAM-Benutzer sind, kann Ihr Kontoadministrator Ihnen die Anmeldeinformationen bereitstellen, mit denen Sie sich bei AWS anmelden können. Wenn Sie Support anfordern müssen, verwenden Sie nicht den Feedback-Link auf dieser Seite, da das Formular beim AWS Dokumentationsteam eingegangen ist, nicht Support. Wählen Sie stattdessen auf der Seite „[Kontaktieren Sie uns](https://aws.amazon.com/contact-us/)“ die Option **Immer noch nicht in Ihr AWS Konto einloggen** und wählen Sie dann eine der verfügbaren Support-Optionen aus.
**So setzen Sie ihr Root-Passwort zurück**
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch unter AWS-Managementkonsole Als AWS-Anmeldung Root-Benutzer* anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html).
**Anmerkung**
Wenn Sie bei der [AWS-Managementkonsole](https://console.aws.amazon.com/) mit Ihren *IAM-Benutzer*-Anmeldedaten angemeldet sind, müssen Sie sich abmelden, bevor Sie das Stammbenutzer-Passwort zurücksetzen können. Wenn Sie sich auf der Anmeldeseite von IAM befinden, wählen Sie neben der Schaltfläche unten auf der Seite **Mit Anmeldeinformationen des Stammkontos anmelden**. Geben Sie ggf. Ihre Konto-E-Mail-Adresse an und wählen Sie **Next (Weiter)**, um auf die Seite **Root user sign in (Stammbenutzeranmeldung)** zuzugreifen.
1. Wählen Sie **Forgot your password? (Passwort vergessen?)**.
**Anmerkung**
Wenn Sie ein IAM-Benutzer sind, steht diese Option nicht zur Verfügung. Die Option **Passwort vergessen?** steht nur für das Root-Benutzerkonto zur Verfügung. IAM-Benutzer müssen ihren Administrator bitten, ein vergessenes Passwort zurückzusetzen. Weitere Informationen finden Sie unter [Ich habe mein IAM-Benutzerkennwort für mein AWS Konto vergessen](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password). Wenn Sie sich über das AWS Zugangsportal anmelden, finden Sie weitere Informationen unter [Ihr IAM Identity Center-Benutzerkennwort zurücksetzen](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html).
1. Geben Sie die E-Mail-Adresse an, die dem Konto zugeordnet ist. Anschließend geben Sie den CAPTCHA-Text ein und klicken Sie auf **Continue (Weiter)**.
1. Suchen Sie in der E-Mail, die mit Ihrer verknüpft ist, AWS-Konto nach einer Nachricht von Amazon Web Services. Die E-Mail stammt von einer Adresse, die auf `@verify.signin.aws` endet. Befolgen Sie die Anweisungen in der E-Mail-Nachricht. Wenn Sie die E-Mail nicht in Ihrem Posteingang finden, überprüfen Sie Ihren Spam-Ordner. Wenn Sie keinen Zugriff mehr auf die E-Mail haben, finden Sie im *AWS-Anmeldung Benutzerhandbuch* weitere Informationen unter [Ich habe keinen Zugriff auf die E-Mail-Adresse für mein AWS Konto](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console).
# Erstellen von Zugriffsschlüsseln für den Root-Benutzer
**Warnung**
Wir empfehlen nachdrücklich, **keine** Zugriffsschlüsselpaare für Ihren Root-Benutzer zu erstellen. Da [nur für wenige Aufgaben der Root-Benutzer erforderlich](id_root-user.md#root-user-tasks) ist und Sie diese Aufgaben normalerweise selten ausführen, empfehlen wir, sich bei dem anzumelden, AWS-Managementkonsole um die Root-Benutzeraufgaben ausführen zu können. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die [Alternativen zu Langzeit-Zugriffsschlüsseln](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).
Dies wird zwar nicht empfohlen, Sie können jedoch Zugriffsschlüssel für Ihren Root-Benutzer erstellen, sodass Sie Befehle in AWS Command Line Interface (AWS CLI) ausführen oder API-Operationen von einem der AWS SDKs Root-Benutzeranmeldedaten aus ausführen können. Bei der Erstellung eines Zugriffsschlüssels erstellen Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel als Set. Während der Erstellung des Zugriffsschlüssels haben Sie die AWS Möglichkeit, den Teil des Zugriffsschlüssels mit dem geheimen Zugriffsschlüssel anzusehen und herunterzuladen. Wenn Sie ihn nicht herunterladen oder ihn verlieren, können Sie den Zugriffsschlüssel löschen und einen neuen erstellen. Sie können Root-Benutzerzugriffsschlüssel mit der Konsole oder der AWS API erstellen. AWS CLI
Ein neu erstellter Zugriffsschlüssel hat den Status *aktiv*, das heißt, Sie können den Zugriffsschlüssel für die CLI und API-Aufrufe verwenden. Sie können dem Root-Benutzer bis zu zwei Zugriffsschlüssel zuweisen.
Zugriffsschlüssel, die nicht verwendet werden, sollten deaktiviert werden. Sobald ein Zugriffsschlüssel inaktiv ist, können Sie ihn nicht für API-Aufrufe verwenden. Inaktive Schlüssel werden immer noch auf Ihr Limit angerechnet. Sie können einen Zugriffsschlüssel jederzeit erstellen oder löschen. Wenn Sie jedoch einen Zugriffsschlüssel löschen, wird er endgültig entfernt und kann nicht mehr abgerufen werden.
------
#### [ AWS-Managementkonsole ]
**Um einen Zugriffsschlüssel für das zu erstellen Root-Benutzer des AWS-Kontos**
**Mindestberechtigungen**
Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:
Sie müssen sich als AWS-Konto Root-Benutzer anmelden, wofür keine zusätzlichen AWS Identity and Access Management (IAM-) Berechtigungen erforderlich sind. Sie können diese Schritte nicht als IAM-Benutzer oder -Rolle ausführen.
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch unter Melden Sie sich AWS-Managementkonsole als AWS-Anmeldung Root-Benutzer*](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) an.
1. Wählen Sie oben rechts in der Konsole Ihren Kontonamen oder Ihre Kontonummer und dann **Sicherheitsanmeldeinformationen**.
1. Wählen Sie im Abschnitt **Zugriffsschlüssel** die Option **Zugriffsschlüssel erstellen** aus. Wenn diese Option nicht verfügbar ist, verfügen Sie bereits über die maximale Anzahl an Zugriffsschlüsseln. Sie müssen einen der vorhandenen Zugriffsschlüssel löschen, bevor Sie einen neuen Schlüssel erstellen können. Weitere Informationen finden Sie unter [IAM-Objekt-Kontingente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
1. Lesen Sie auf der Seite **Alternativen zu Root-Benutzer-Zugriffsschlüsseln** die Sicherheitsempfehlungen. Um fortzufahren, aktivieren Sie das Kontrollkästchen und wählen Sie dann **Zugriffsschlüssel erstellen** aus.
1. Auf der Seite **Zugriffsschlüssel abrufen** wird Ihre **Zugriffsschlüssel-ID** angezeigt.
1. Wählen Sie unter **Geheimer Zugriffsschlüssel** die Option **Anzeigen** aus, kopieren Sie dann die Zugriffsschlüssel-ID und den geheimen Schlüssel aus Ihrem Browserfenster und fügen Sie sie an einem sicheren Ort ein. Alternativ können Sie **CSV-Datei herunterladen** wählen, um eine Datei mit dem Namen `rootkey.csv` herunterzuladen, die die Zugriffsschlüssel-ID und den geheimen Schlüssel enthält. Speichern Sie die Datei an einem sicheren Ort.
1. Wählen Sie **Fertig** aus. Wenn Sie den Zugriffsschlüssel nicht mehr benötigen, [empfehlen wir Ihnen, ihn zu löschen](id_root-user_manage_delete-key.md) oder ihn zumindest zu deaktivieren, damit ihn niemand missbrauchen kann.
------
#### [ AWS CLI & SDKs ]
**So erstellen Sie einen Zugriffsschlüssel für den Root-Benutzer**
**Anmerkung**
Um den folgenden Befehl oder die folgende API-Operation als Root-Benutzer auszuführen, müssen Sie bereits über ein aktives Zugriffsschlüsselpaar verfügen. Wenn Sie über keine Zugriffsschlüssel verfügen, erstellen Sie den ersten Zugriffsschlüssel mithilfe der AWS-Managementkonsole. Anschließend können Sie die Anmeldeinformationen dieses ersten Zugriffsschlüssels zusammen mit dem verwenden, AWS CLI um den zweiten Zugriffsschlüssel zu erstellen oder einen Zugriffsschlüssel zu löschen.
+ AWS CLI: [Was ich bin create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
**Example**
```
$ aws iam create-access-key
{
"AccessKey": {
"UserName": "MyUserName",
"AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
"Status": "Active",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"CreateDate": "2021-04-08T19:30:16+00:00"
}
}
```
+ AWS API: [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)in der *IAM-API-Referenz*.
------
# Löschung der Zugriffsschlüssel für den Root-Benutzer
Sie können die AWS-Managementkonsole, die AWS CLI oder die AWS API verwenden, um die Root-Benutzerzugriffsschlüssel zu löschen.
------
#### [ AWS-Managementkonsole ]
**So löschen Sie einen Zugriffsschlüssel für den Root-Benutzer**
**Mindestberechtigungen**
Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:
Sie müssen sich als AWS-Konto Root-Benutzer anmelden, wofür keine zusätzlichen AWS Identity and Access Management (IAM-) Berechtigungen erforderlich sind. Sie können diese Schritte nicht als IAM-Benutzer oder -Rolle ausführen.
1. Öffnen Sie die [AWS -Managementkonsole](https://console.aws.amazon.com/) und melden Sie sich mit Ihren Anmeldeinformationen als Root-Benutzer an.
Anweisungen finden Sie [im *Benutzerhandbuch unter Melden Sie sich AWS-Managementkonsole als AWS-Anmeldung Root-Benutzer*](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) an.
1. Wählen Sie oben rechts in der Konsole Ihren Kontonamen oder Ihre Kontonummer und dann **Sicherheitsanmeldeinformationen**.
1. Wählen Sie im Abschnitt **Zugriffsschlüssel** den Zugriffsschlüssel aus, den Sie löschen möchten, und wählen Sie dann unter **Aktionen** die Option **Löschen** aus.
**Anmerkung**
Alternativ können Sie einen Zugriffsschlüssel **deaktivieren**, anstatt ihn dauerhaft zu löschen. Auf diese Weise können Sie ihn in Zukunft wieder verwenden, ohne die Schlüssel-ID oder den geheimen Schlüssel ändern zu müssen. Solange der Schlüssel inaktiv ist, schlagen alle Versuche, ihn in Anfragen an die AWS API zu verwenden, fehl und es wird die Fehlermeldung „Zugriff verweigert“ angezeigt.
1. Wählen Sie im Dialogfeld ** löschen** die Option **Deaktivieren** aus, geben Sie die Zugriffsschlüssel-ID ein, um zu bestätigen, dass Sie sie löschen möchten, und wählen Sie dann **Löschen**.
------
#### [ AWS CLI & SDKs ]
**So löschen Sie einen Zugriffsschlüssel für den Root-Benutzer**
**Mindestberechtigungen**
Für die folgenden Schritte sind mindestens folgende IAM-Berechtigungen erforderlich:
Sie müssen sich als AWS-Konto Root-Benutzer anmelden, wofür keine zusätzlichen AWS Identity and Access Management (IAM-) Berechtigungen erforderlich sind. Sie können diese Schritte nicht als IAM-Benutzer oder -Rolle ausführen.
+ AWS CLI: [war ich delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
**Example**
```
$ aws iam delete-access-key \
--access-key-id AKIAIOSFODNN7EXAMPLE
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
+ AWS API: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern
Wir empfehlen Ihnen, [einen Administratorbenutzer für die Ausführung täglicher Aufgaben und AWS IAM Identity Center den Zugriff auf AWS Ressourcen zu konfigurieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). Sie können die unten aufgeführten Aufgaben aber nur ausführen, wenn Sie als Stammbenutzer eines Kontos angemeldet sind.
Um die Verwaltung privilegierter Root-Benutzeranmeldeinformationen für alle Mitgliedskonten in zu vereinfachen AWS Organizations, können Sie den zentralen Root-Zugriff aktivieren, um den hochprivilegierten Zugriff auf Ihre Daten zentral zu sichern AWS-Konten. [Root-Zugriff für Mitgliedskonten zentral verwalten](#id_root-user-access-management)ermöglicht es Ihnen, die langfristige Wiederherstellung von Root-Benutzeranmeldeinformationen zentral zu entfernen und zu verhindern und so die Kontosicherheit in Ihrem Unternehmen zu verbessern. Nachdem Sie dieses Feature aktiviert haben, können Sie die folgenden privilegierten Aufgaben für Mitgliedskonten ausführen.
+ Entfernen Sie die Root-Benutzer-Anmeldeinformationen des Mitgliedskontos, um eine Wiederherstellung des Kontos des Root-Benutzers zu verhindern. Sie können auch die Passwortwiederherstellung zulassen, um die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
+ Entfernen Sie eine falsch konfigurierte Richtlinie für einen Bucket, die allen Prinzipalen den Zugriff auf einen Amazon-S3-Bucket verweigert.
+ Löschen Sie eine ressourcenbasierte Richtlinie von Amazon Simple Queue Service, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
**Aufgaben zur Kontoverwaltung**
+ [Ändern Sie Ihre AWS-Konto -Einstellungen.](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) Eigenständige AWS-Konten Geräte, die nicht Teil von sind, AWS Organizations erfordern Root-Anmeldeinformationen, um die E-Mail-Adresse, das Root-Benutzerkennwort und die Root-Benutzerzugriffsschlüssel zu aktualisieren. Für andere Kontoeinstellungen, wie Kontoname, Kontaktinformationen, alternative Kontakte, bevorzugte Zahlungswährung usw., sind keine Root-Benutzeranmeldedaten erforderlich. AWS-Regionen
**Anmerkung**
AWS Organizations kann mit allen aktivierten Funktionen verwendet werden, um die Einstellungen der Mitgliedskonten zentral über das Verwaltungskonto und delegierte Administratorkonten zu verwalten. Autorisierte IAM-Benutzer oder IAM-Rollen sowohl im Verwaltungskonto als auch im delegierten Administratorkonto können Mitgliedskonten schließen und die Root-E-Mail-Adressen, Kontonamen, Kontaktinformationen, alternative Kontakte und AWS-Regionen Mitgliedskonten aktualisieren.
+ [Schließe deine. AWS-Konto](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Für eigenständige AWS-Konten Geräte, die nicht Teil von sind, sind Root-Anmeldeinformationen AWS Organizations erforderlich, um das Konto zu schließen. Mit AWS Organizations können Sie die Mitgliedskonten zentral über das Verwaltungskonto und die delegierten Administratorkonten schließen.
+ [Stellen Sie IAM-Benutzerberechtigungen wieder her.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) Wenn der einzige IAM-Administrator versehentlich die eigenen Berechtigungen widerruft, können Sie sich als Stammbenutzer anmelden, um Richtlinien zu bearbeiten und diese Berechtigungen wiederherzustellen.
**Aufgaben zur Fakturierung**
+ [Aktivieren Sie IAM-Zugriff auf die Konsole für Fakturierung und Kostenmanagement](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate).
+ Einige Aufgabe im Bereich Fakturierung sind auf den Root-Benutzer beschränkt. Weitere Informationen finden Sie AWS-Konto im AWS Billing Benutzerhandbuch unter [Verwaltung eines](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html).
+ Anzeigen bestimmter Steuerrechnungen. Ein IAM-Benutzer mit der ViewBilling Berechtigung [aws-portal:](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) kann Mehrwertsteuerrechnungen aus AWS Europa einsehen und herunterladen, nicht jedoch Rechnungen von AWS Inc. oder Amazon Internet Services Private Limited (AISPL).
**AWS GovCloud (US) Aufgaben**
+ [Registrieren Sie sich für AWS GovCloud (US).](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)
+ Fordern Sie die Zugangsschlüssel für den Root-Benutzer für das AWS GovCloud (US) Konto an von AWS Support.
**Amazon-EC2-Aufgabe**
+ Sie haben sich im Reserved Instance Marketplace [als Verkäufer registriert](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html).
**AWS KMS Aufgabe**
+ Falls ein AWS Key Management Service Schlüssel nicht mehr verwaltet werden kann, kann er von einem Administrator wiederhergestellt werden, indem er sich an die primäre Telefonnummer Ihres Root-Benutzers Support wendet, um die Autorisierung einzuholen, indem er das Einmalpasswort des Tickets bestätigt. Support
**Aufgabe von Amazon Mechanical Turk**
+ [Verknüpfen Sie Ihr Konto mit Ihrem AWS-Konto MTurk Anfragerkonto](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking).
**Aufgaben von Amazon Simple Storage Service**
+ [Konfigurieren Sie einen Amazon-S3-Bucket, um MFA (Multi-Faktor-Authentifizierung) zu aktivieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html).
+ [Bearbeiten oder löschen Sie eine Amazon-S3-Bucket-Richtlinie, die alle Prinzipale ablehnt.](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/).
Sie können privilegierte Aktionen verwenden, um einen Amazon-S3-Bucket mit einer falsch konfigurierten Bucket-Richtlinie zu entsperren. Details hierzu finden Sie unter [Führen Sie eine privilegierte Aufgabe auf einem AWS Organizations Mitgliedskonto aus](id_root-user-privileged-task.md).
**Aufgabe von Amazon Simple Queue Service**
+ [Bearbeiten oder löschen Sie eine ressourcenbasierte Amazon-SQS-Richtlinie, die alle Prinzipale ablehnt](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy).
Sie können privilegierte Aktionen verwenden, um eine Amazon-SQS-Warteschlange mit einer falsch konfigurierten ressourcenbasierten Richtlinie zu entsperren. Details hierzu finden Sie unter [Führen Sie eine privilegierte Aufgabe auf einem AWS Organizations Mitgliedskonto aus](id_root-user-privileged-task.md).
## Weitere Ressourcen
Weitere Informationen zum AWS Root-Benutzer finden Sie in den folgenden Ressourcen:
+ Hilfe bei Problemen mit Root-Benutzern finden Sie unter [Behebung von Problemen mit dem Root-Benutzer](troubleshooting_root-user.md).
+ Informationen zur zentralen Verwaltung der E-Mail-Adressen von Root-Benutzern finden Sie unter [Aktualisieren der Root-Benutzer-E-Mail-Adresse für ein Mitgliedskonto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) im *AWS Organizations Benutzerhandbuch*. AWS Organizations
Die folgenden Artikel enthalten zusätzliche Informationen zum Arbeiten mit dem Root-Benutzer.
+ [Was sind einige bewährte Methoden für den Schutz meiner Ressourcen AWS-Konto und der Ressourcen?](https://repost.aws/knowledge-center/security-best-practices)
+ [Wie kann ich eine EventBridge Ereignisregel erstellen, die mich darüber informiert, dass mein Root-Benutzer verwendet wurde?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [Überwachen Sie Root-Benutzer des AWS-Kontos Aktivitäten und benachrichtigen Sie sie](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/)
+ [IAM-Root-Benutzeraktivitäten überwachen](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)