Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM-Benutzer
<a name="id_users"></a>

**Wichtig**  
 [Bewährte Methoden](best-practices.md) für IAM empfehlen, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um mit temporären Anmeldeinformationen zuzugreifen AWS , anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu verwenden. Wir empfehlen, IAM-Benutzer nur für [bestimmte Anwendungsfälle](gs-identities-iam-users.md) zu verwenden, die nicht von Verbundbenutzern unterstützt werden.

Ein *IAM-Benutzer* ist eine Entität, die Sie in Ihrem AWS-Konto erstellen. Der IAM-Benutzer stellt den menschlichen Benutzer oder die Workload dar, der den IAM-Benutzer zur Interaktion mit AWS -Ressourcen verwendet. Ein IAM-Benutzer besteht aus einem Namen und Anmeldeinformationen.

Ein IAM-Benutzer mit Administratorberechtigungen ist nicht dasselbe wie der Root-Benutzer des AWS-Kontos. Weitere Informationen zum Stammbenutzer finden Sie unter [Root-Benutzer des AWS-Kontos](id_root-user.md).

## Wie AWS identifiziert man einen IAM-Benutzer
<a name="id_users_create_aws-identifiers"></a>

Bei der Erstellung eines IAM-Benutzers erstellt IAM die folgenden Elemente zum Identifizieren dieses Benutzers:
+ Einen „Anzeigename“ für den IAM-Benutzer. Dies ist der Name, den Sie beim Erstellen des IAM-Benutzers angegeben haben, z. B. `Richard` oder `Anaya`. Diese Namen werden in der AWS-Managementkonsole angezeigt. Da IAM-Benutzernamen in Amazon Resource Names (ARNs) vorkommen, empfehlen wir nicht, personenbezogene Daten in den IAM-Namen aufzunehmen. Die Anforderungen und Einschränkungen für IAM-Namen finden Sie unter [Anforderungen für den IAM-Namen](reference_iam-quotas.md#reference_iam-quotas-names).
+ Ein Amazon-Ressourcenname (ARN) für den IAM-Benutzer. Sie verwenden den ARN, wenn Sie den IAM-Benutzer in allen Bereichen eindeutig identifizieren müssen. AWS Sie können z. B. einen ARN verwenden, um den IAM-Benutzer als `Principal` in einer IAM-Richtlinie für einen Amazon-S3-Bucket festzulegen. Ein ARN für einen IAM-Benutzer könnte folgendes Format aufweisen: 

  `arn:aws:iam::account-ID-without-hyphens:user/Richard`
+ Eine eindeutige ID für den IAM-Benutzer. Diese ID wird nur zurückgegeben, wenn Sie die API oder Tools für Windows PowerShell verwenden oder AWS CLI um den IAM-Benutzer zu erstellen. Sie sehen diese ID nicht in der Konsole.

Weitere Informationen zu diesen IDs finden Sie unter [IAM-IDs](reference_identifiers.md).

## IAM-Benutzer und Anmeldeinformationen
<a name="id_users_creds"></a>

Sie können je nach AWS den IAM-Benutzeranmeldedaten auf unterschiedliche Weise darauf zugreifen:
+ [**Konsolenpasswort**](id_credentials_passwords.md): Ein Passwort, das der IAM-Benutzer eingeben kann, um sich bei interaktiven Sitzungen wie der AWS-Managementkonsole anzumelden. Wenn Sie das Passwort (Konsolenzugriff) für einen IAM-Benutzer deaktivieren, kann er sich nicht AWS-Managementkonsole mit seinen Anmeldeinformationen anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen. IAM-Benutzer mit aktiviertem Konsolenzugriff können dieselben Anmeldeinformationen auch für die Authentifizierung AWS CLI und den SDK-Zugriff mithilfe des Befehls verwenden. `aws login` AWS CLI Diese Benutzer benötigen Berechtigungen [SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html). Weitere Informationen finden Sie [AWS CLI im *AWS Command Line Interface Benutzerhandbuch* unter Authentifizierungs- und Zugangsdaten](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) für. 
+ [**Zugriffsschlüssel**](id_credentials_access-keys.md): Werden verwendet, um programmatische Aufrufe an AWS zu tätigen. Es gibt jedoch sicherere Alternativen, die Sie in Betracht ziehen sollten, bevor Sie Zugriffsschlüssel für IAM-Benutzer erstellen. Weitere Informationen finden Sie unter [Überlegungen und Alternativen für Schlüssel für den langfristigen Zugriff](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) in der *Allgemeine AWS-Referenz*. Wenn der IAM-Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Tools für Windows PowerShell, die AWS API oder die AWS Console Mobile Application.
+ [**SSH-Schlüssel für die Verwendung mit CodeCommit**](id_credentials_ssh-keys.md): Ein öffentlicher SSH-Schlüssel im OpenSSH-Format, der für die Authentifizierung mit CodeCommit verwendet werden kann.
+ [**Serverzertifikate**](id_credentials_server-certs.md): SSL/TLS Zertifikate, mit denen Sie sich bei einigen AWS Diensten authentifizieren können. Wir empfehlen, dass Sie AWS Certificate Manager (ACM) für die Bereitstellung, Verwaltung und Bereitstellung Ihrer Serverzertifikate verwenden. Verwenden Sie IAM nur für die Unterstützung von HTTPS-Verbindungen in einer Region, die nicht von ACM unterstützt wird. Informationen darüber, welche Regionen ACM unterstützen, finden Sie unter [AWS Certificate Manager -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/acm.html) in der *Allgemeine AWS-Referenz*.

Sie können die richtigen Anmeldeinformationen für Ihren IAM-Benutzer wählen. Wenn Sie die AWS-Managementkonsole verwenden, um einen IAM-Benutzer zu erstellen, müssen Sie mindestens ein Konsolenpasswort oder Zugriffsschlüssel eingeben. Standardmäßig hat ein brandneuer IAM-Benutzer, der mit der AWS CLI oder AWS API erstellt wurde, keinerlei Anmeldeinformationen. Sie müssen die Art der Anmeldeinformationen für einen IAM-Benutzer je nach dem Anwendungsfall erstellen. 

Sie haben die folgenden Optionen zum Verwalten von Passwörtern, Zugriffsschlüsseln und Multi-Faktor-Authentifizierung (MFA)-Geräten:
+ **[Verwalten von Passwörtern für Ihre IAM-Benutzer](id_credentials_passwords.md).** Erstellen und ändern Sie die Passwörter, die Zugriff auf die AWS-Managementkonsole ermöglichen. Legen Sie eine Passwortrichtlinie fest, um eine Mindest-Passwortkomplexität zu erzwingen. Erlauben Sie IAM-Benutzern, ihre eigenen Passwörter zu ändern. 
+ **[Verwalten der Zugriffsschlüssel für Ihre IAM-Benutzer](id_credentials_access-keys.md).** Erstellen und aktualisieren Sie Zugriffsschlüssel für den programmgesteuerten Zugriff auf die Ressourcen in Ihrem Konto. 
+ **[Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den IAM-Benutzer](id_credentials_mfa.md).** Als [bewährte Methode ](best-practices.md)empfehlen wir, dass Sie Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer in Ihrem Konto benötigen. Bei MFA müssen IAM-Benutzer zwei Arten der Identifizierung bereitstellen: Erstens müssen sie die Anmeldeinformationen bereitstellen, die Teil ihrer Benutzeridentität sind (ein Passwort oder einen Zugriffsschlüssel). Darüber hinaus bieten sie einen temporären Zahlencode, der auf einem Hardwaregerät oder durch eine Anwendung auf einem Smartphone oder Tablet generiert wird.
+ **[Suchen von ungenutzten Passwörtern und Zugriffsschlüsseln](id_credentials_finding-unused.md).** Jeder, der ein Passwort oder Zugangsschlüssel für Ihr Konto oder einen IAM-Benutzer in Ihrem Konto hat, hat Zugriff auf Ihre AWS Ressourcen. Die [bewährte Methode](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) für die Sicherheit besteht darin, Passwörter und Zugriffsschlüssel zu entfernen, wenn IAM-Benutzer sie nicht mehr benötigen.
+ **[Herunterladen eines Berichts zu Anmeldeinformationen für Ihr Konto](id_credentials_getting-report.md).** Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle IAM-Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Für Passwörter und Zugriffsschlüssel zeigt der Bericht an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde.

## IAM-Benutzer und Berechtigungen
<a name="id_users_perms"></a>

Standardmäßig besitzt ein neuer IAM-Benutzer überhaupt keine [Berechtigungen](access.md). Sie sind nicht berechtigt, AWS Operationen durchzuführen oder auf AWS Ressourcen zuzugreifen. Ein Vorteil, über einzelne IAM-Benutzer zu verfügen, besteht darin, dass Sie jedem Benutzer individuell Berechtigungen zuweisen können. Möglicherweise weisen Sie einigen Benutzern Administratorberechtigungen zu, die dann Ihre AWS Ressourcen verwalten und sogar andere IAM-Benutzer erstellen und verwalten können. In den meisten Fällen möchten Sie die Berechtigungen eines Benutzers jedoch auf die Aufgaben (AWS Aktionen oder Operationen) und Ressourcen beschränken, die für den Job benötigt werden. 

Angenommen, wir haben einen Benutzer namens Diego. Wenn Sie den IAM-Benutzer erstellen`Diego`, erstellen Sie ein Passwort für ihn und fügen ihm Berechtigungen hinzu, mit denen er eine bestimmte EC2 Amazon-Instance starten und Informationen aus einer Tabelle in einer Amazon RDS-Datenbank lesen (`GET`) kann. Verfahren zum Erstellen von IAM-Benutzern und zum Gewähren anfänglicher Anmeldeinformationen und Berechtigungen finden Sie unter [Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto](id_users_create.md). Anweisungen zum Ändern der Berechtigungen für vorhandene Benutzer finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](id_users_change-permissions.md). Anweisungen zum Ändern des Passworts oder der Zugriffsschlüssel des Benutzers finden Sie unter [Benutzerpasswörter in AWS](id_credentials_passwords.md) und [Verwalten von Zugriffsschlüsseln für IAM-Benutzer](id_credentials_access-keys.md).

Sie können Ihren IAM-Benutzern auch eine Berechtigungsgrenze hinzufügen. Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie mithilfe AWS verwalteter Richtlinien die maximalen Berechtigungen einschränken können, die eine identitätsbasierte Richtlinie einem IAM-Benutzer oder einer IAM-Rolle gewähren kann. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

## IAM-Benutzer und Konten
<a name="id_users_accounts"></a>

Jeder IAM-Benutzer kann nur einem einzigen AWS-Konto zugeordnet sein. Da IAM-Benutzer in Ihrem System definiert sind AWS-Konto, müssen Sie für sie keine Zahlungsmethode hinterlegt haben. AWS Jede AWS Aktivität, die von IAM-Benutzern in Ihrem Konto ausgeführt wird, wird Ihrem Konto in Rechnung gestellt.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md).

## IAM-Benutzer als Servicekonten
<a name="id_users_service_accounts"></a>

Ein IAM-Benutzer ist eine Ressource in IAM, der Anmeldeinformationen und Berechtigungen zugeordnet sind. Ein IAM-Benutzer kann eine Person oder eine Anwendung darstellen, die ihre Anmeldeinformationen für AWS -Anforderungen verwendet. Dies wird in der Regel als *Servicekonto* bezeichnet. Falls Sie die langfristigen Anmeldeinformationen eines IAM-Benutzers in Ihrer Anwendung verwenden möchten, **betten Sie keine Zugriffsschlüssel direkt in den Anwendungscode ein.** Die AWS SDKs und die AWS Command Line Interface ermöglichen es Ihnen, Zugriffsschlüssel an bekannten Orten zu platzieren, sodass Sie sie nicht im Code speichern müssen. Weitere Informationen finden Sie unter [Manage IAM User Access Keys Properly](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#iam-user-access-keys) (Ordnungsgemäßes Verwalten von IAM-Benutzerzugriffsschlüsseln) in der *Allgemeine AWS-Referenz*. Alternativ und als bewährte Methode können Sie [temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle langfristiger Zugriffsschlüssel verwenden](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#use-roles).

# So melden sich IAM-Benutzer an AWS
<a name="id_users_sign-in"></a>

Um sich AWS-Managementkonsole als IAM-Benutzer anzumelden, müssen Sie zusätzlich zu Ihrem Benutzernamen und Passwort Ihre Konto-ID oder Ihren Kontoalias angeben. Wenn Ihr Administrator Ihren IAM-Benutzer in der Konsole erstellt, sollten sie Ihnen Ihre Anmeldeinformationen gesendet haben, einschließlich Ihres Benutzernamens und der URL zu Ihrer Kontoanmeldeseite, die Ihre Konto-ID oder Ihren Kontoalias enthält. 

```
https://My_AWS_Account_ID.signin.aws.amazon.com/console/
```

**Tipp**  
Um ein Lesezeichen für die Anmeldeseite Ihres Kontos in Ihrem Webbrowser zu erstellen, sollten Sie die Anmelde-URL für Ihr Konto manuell im Lesezeicheneintrag eingeben. Verwenden Sie keinen Webbrowser zum Anlegen von Lesezeichen, weil Weiterleitungen die Anmelde-URL verschleiern können. 

Sie können sich auch auf dem folgenden Endpunkt für die allgemeine Anmeldung anmelden und Ihre Konto-ID oder den Kontopalias manuell eingeben:

```
[https://console.aws.amazon.com/](https://console.aws.amazon.com/)
```

Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich den IAM-Benutzernamen und die Kontoinformationen zu merken. Wenn der Benutzer das nächste Mal eine Seite in der aufruft AWS-Managementkonsole, verwendet die Konsole das Cookie, um den Benutzer auf die Anmeldeseite für das Konto weiterzuleiten.

Sie haben nur Zugriff auf die AWS Ressourcen, die Ihr Administrator in der Richtlinie festlegt, die mit Ihrer IAM-Benutzeridentität verknüpft ist. Um in der Konsole arbeiten zu können, müssen Sie über die Berechtigungen verfügen, um die von der Konsole ausgeführten Aktionen auszuführen, z. B. AWS Ressourcen aufzulisten und zu erstellen. Weitere Informationen erhalten Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md) und [Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md).

**Anmerkung**  
Wenn Ihr Unternehmen über ein Identitätssystem verfügt, können Sie auch eine Single Sign-On (SSO)-Option erstellen. SSO ermöglicht Benutzern den AWS-Managementkonsole Zugriff auf Ihr Konto, ohne dass sie über eine IAM-Benutzeridentität verfügen müssen. SSO macht es außerdem überflüssig, dass sich Benutzer auf der Website Ihrer Organisation anmelden und sich AWS separat anmelden müssen. Weitere Informationen finden Sie unter [Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren](id_roles_providers_enable-console-custom-url.md). 

**Loggen der Anmeldedaten ein CloudTrail**  
Wenn Sie CloudTrail die Protokollierung von Anmeldeereignissen in Ihren Protokollen aktivieren, müssen Sie sich darüber im Klaren sein, wer CloudTrail auswählt, wo die Ereignisse protokolliert werden.
+ Wenn sich Ihre Benutzer direkt bei einer Konsole anmelden, werden sie entweder zu einem globalen oder regionalen Anmeldeendpunkt umgeleitet, je nachdem, ob die ausgewählte Servicekonsole Regionen unterstützt. Die Startseite der Hauptkonsole beispielsweise unterstützt Regionen. Wenn Sie sich also bei der nachfolgenden URL anmelden,

  ```
  https://alias.signin.aws.amazon.com/console
  ```

  Sie werden zu einem regionalen Anmeldeendpunkt weitergeleitet`https://us-east-2.signin.aws.amazon.com`, z. B. was zu einem regionalen CloudTrail Protokolleintrag im Protokoll der Benutzerregion führt:

  Andererseits unterstützt die Amazon S3-Konsole keine Regionen. Wenn Sie sich also bei der folgenden URL anmelden,

  ```
  https://alias.signin.aws.amazon.com/console/s3
  ```

  AWS leitet Sie zum globalen Anmeldeendpunkt unter weiter`https://signin.aws.amazon.com`, was zu einem globalen CloudTrail Protokolleintrag führt.
+ Sie können manuell einen bestimmten regionalen Anmeldeendpunkt anfordern, indem Sie sich über eine URL-Syntax wie die folgende bei der Hauptkonsolen-Startseite mit Regionen anmelden:

  ```
  https://alias.signin.aws.amazon.com/console?region=ap-southeast-1
  ```

  AWS leitet Sie zum `ap-southeast-1` regionalen Anmeldeendpunkt weiter und führt zu einem regionalen CloudTrail Protokollereignis.

Weitere Informationen zu CloudTrail und IAM finden Sie unter [Protokollieren von IAM-Ereignissen](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) mit. CloudTrail

Wenn Benutzer programmgesteuerten Zugriff benötigen, um mit Ihrem Konto zu arbeiten, können Sie für jeden ein Zugriffsschlüsselpaar (eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel) erstellen. Es gibt jedoch sicherere Alternativen, die Sie in Betracht ziehen sollten, bevor Sie Zugriffsschlüssel für Benutzer erstellen. Weitere Informationen finden Sie unter [Überlegungen und Alternativen für Schlüssel für den langfristigen Zugriff](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) in der *Allgemeine AWS-Referenz*.

## Weitere Ressourcen
<a name="id_users_sign-in-additional-resources"></a>

Die folgenden Ressourcen können Ihnen helfen, mehr über AWS die Anmeldung zu erfahren.
+ Das [Handbuch zur AWS -Anmeldung](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) hilft Ihnen dabei, die verschiedenen Möglichkeiten der Anmeldung bei Amazon Web Services (AWS) zu verstehen, je nachdem, um welche Art von Benutzer es sich handelt.
+ Sie können sich mit bis zu fünf verschiedenen Identitäten gleichzeitig in einem einzigen Webbrowser in der AWS-Managementkonsole anmelden. Details finden Sie im *Handbuch zu den ersten Schritten mit der AWS-Managementkonsole * unter [Anmeldung bei mehreren Konten](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html).

# Anmeldung mit MFA
<a name="console_sign-in-mfa"></a>

IAM-Benutzer, die für die [Multi-Faktor-Authentifizierung (MFA)-Geräte](id_credentials_mfa.md) konfiguriert worden sind, müssen ihre MFA-Geräte zum Anmelden bei der AWS-Managementkonsole verwenden. Nachdem der Benutzer seine Anmeldeinformationen eingegeben hat, AWS überprüft er das Konto des Benutzers, um festzustellen, ob MFA für diesen Benutzer erforderlich ist. 

**Wichtig**  
Wenn Sie Zugangsschlüssel und geheime Schlüsselanmeldedaten für den direkten AWS-Managementkonsole Zugriff mit dem AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API-Aufruf verwenden, ist MFA NICHT erforderlich. Weitere Informationen finden Sie unter [Verwenden von Zugriffsschlüsseln und geheimen Schlüsselanmeldeinformationen für den Konsolenzugriff](securing_access-keys.md#console-access-security-keys).

Die folgenden Themen enthalten Informationen dazu, wie Benutzer die Anmeldung abschließen, wenn MFA erforderlich ist. 

**Topics**
+ [Mehrere MFA-Geräte aktiviert](#console_sign-in-multiple-mfa)
+ [FIDO-Sicherheitsschlüssel](#console_sign-in-mfa-fido)
+ [Virtuelles MFA-Gerät](#console_sign-in-mfa-virtual)
+ [Hardware-TOTP-Token](#console_sign-in-mfa-hardware)

## Mehrere MFA-Geräte aktiviert
<a name="console_sign-in-multiple-mfa"></a>

Wenn sich ein Benutzer AWS-Managementkonsole als AWS-Konto Root-Benutzer oder IAM-Benutzer anmeldet und mehrere MFA-Geräte für dieses Konto aktiviert sind, muss er sich nur mit einem MFA-Gerät anmelden. Nachdem sich der Benutzer mit dem Passwort des Benutzers authentifiziert hat, wählt er aus, welchen MFA-Gerätetyp er verwenden möchte, um die Authentifizierung abzuschließen. Anschließend wird der Benutzer aufgefordert, sich mit dem ausgewählten Gerätetyp zu authentifizieren. 

## FIDO-Sicherheitsschlüssel
<a name="console_sign-in-mfa-fido"></a>

Wenn MFA für den Benutzer verlangt ist, wird eine zweite Anmeldeseite angezeigt. Der Benutzer muss auf den FIDO-Sicherheitsschlüssel tippen.

**Anmerkung**  
Google-Chrome-Nutzer sollten keine der verfügbaren Optionen im Popup auswählen, in dem Sie zu Folgendem aufgefordert werden: **Verifiy your identity with amazon.com** (Verifizieren Sie Ihre Identität mit amazon.com). Sie müssen nur auf den Sicherheitsschlüssel tippen.

Im Gegensatz zu anderen MFA-Geräten können FIDO-Sicherheitsschlüssel ihre Synchronisation nicht verlieren. Administratoren können einen FIDO-Sicherheitsschlüssel deaktivieren, wenn er verloren geht oder beschädigt ist. Weitere Informationen finden Sie unter [Deaktivieren von MFA-Geräten (Konsole)](id_credentials_mfa_disable.md#deactive-mfa-console).

Informationen zu Browsern, die dies unterstützen, WebAuthn und zu FIDO-kompatiblen Geräten, die dies unterstützen, finden Sie unter. AWS [Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln](id_credentials_mfa_fido_supported_configurations.md)

## Virtuelles MFA-Gerät
<a name="console_sign-in-mfa-virtual"></a>

Wenn MFA für den Benutzer verlangt ist, wird eine zweite Anmeldeseite angezeigt. Im Feld **MFA code (MFA-Code)** muss der Benutzer den von der MFA-Anwendung bereitgestellten Zahlencode eingeben.

Wenn der MFA-Code richtig ist, hat der Benutzer Zugriff auf die AWS-Managementkonsole. Wenn der Code falsch ist, kann der Benutzer es mit einem anderen Code erneut versuchen. 

Ein virtuelles MFA-Gerät kann die Synchronisierung verlieren. Wenn sich ein Benutzer AWS-Managementkonsole nach mehreren Versuchen nicht bei der anmelden kann, wird er aufgefordert, das virtuelle MFA-Gerät zu synchronisieren. Die Benutzer können die Anweisungen auf dem Bildschirm befolgen, um das virtuelle MFA-Gerät zu synchronisieren. Informationen darüber, wie Sie ein Gerät im Namen eines Benutzers in Ihrem synchronisieren können AWS-Konto, finden Sie unter[Resynchronisierung von virtuellen und Hardware-MFA-Geräten](id_credentials_mfa_sync.md). 

## Hardware-TOTP-Token
<a name="console_sign-in-mfa-hardware"></a>

Wenn MFA für den Benutzer verlangt ist, wird eine zweite Anmeldeseite angezeigt. Im Feld **MFA code (MFA-Code)** muss der Benutzer den vom Hardware-TOTP-Token bereitgestellten Zahlencode eingeben. 

Wenn der MFA-Code richtig ist, hat der Benutzer Zugriff auf die AWS-Managementkonsole. Wenn der Code falsch ist, kann der Benutzer es mit einem anderen Code erneut versuchen. 

Hardware-TOTP-Token können ihre Synchronisation verlieren. Wenn sich ein Benutzer AWS-Managementkonsole nach mehreren Versuchen nicht bei der anmelden kann, wird er aufgefordert, das MFA-Token-Gerät zu synchronisieren. Die Benutzer können die Anweisungen auf dem Bildschirm befolgen, um das MFA-Token-Gerät zu synchronisieren. Informationen darüber, wie Sie ein Gerät im Namen eines Benutzers in Ihrem synchronisieren können AWS-Konto, finden Sie unter[Resynchronisierung von virtuellen und Hardware-MFA-Geräten](id_credentials_mfa_sync.md). 

# Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto
<a name="id_users_create"></a>

**Wichtig**  
 [Bewährte IAM-Methoden](best-practices.md) empfehlen, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen, anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu verwenden. Wir empfehlen, IAM-Benutzer nur für [bestimmte Anwendungsfälle](gs-identities-iam-users.md) zu verwenden, die nicht von Verbundbenutzern unterstützt werden.

Der Prozess zum Erstellen eines IAM-Benutzers und zum Aktivieren dieses Benutzers zum Ausführen von Aufgaben umfasst die folgenden Schritte:

1. Erstellen Sie den [Benutzer in den AWS-ManagementkonsoleAWS CLI](getting-started-workloads.md) Tools für Windows PowerShell oder mithilfe einer AWS API-Operation. Wenn Sie den Benutzer in der erstellen AWS-Managementkonsole, werden die Schritte 1—4 automatisch ausgeführt, je nachdem, was Sie ausgewählt haben. Wenn Sie die IAM-Benutzer programmgesteuert erstellen, müssen Sie jeden dieser Schritte einzeln ausführen.

1. Erstellen Sie Anmeldeinformationen für den Benutzer, je nach Art des für den Benutzer erforderlichen Zugriffs:
   + **Konsolenzugriff aktivieren — *optional***: Wenn der Benutzer auf die zugreifen muss AWS-Managementkonsole, [erstellen Sie ein Passwort für den Benutzer](id_credentials_passwords_admin-change-user.md). Die Deaktivierung des Konsolenzugriffs für einen Benutzer verhindert, dass er sich mit seinem Benutzernamen und Passwort bei der AWS-Managementkonsole anmeldet. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen.
**Tipp**  
Erstellen Sie nur die Anmeldeinformationen, die der Benutzer braucht. Erstellen Sie beispielsweise für einen Benutzer, der Zugriff nur über die benötigt AWS-Managementkonsole, keine Zugriffsschlüssel.

1. Gewähren Sie dem Benutzer Berechtigungen zum Ausführen der erforderlichen Aufgaben. Wir empfehlen Ihnen, Ihre IAM-Benutzer in Gruppen einzuteilen und Berechtigungen über Richtlinien zu verwalten, die diesen Gruppen zugeordnet sind. Sie können Berechtigungen jedoch auch gewähren, indem Sie Berechtigungsrichtlinien direkt an den Benutzer anfügen. Wenn Sie die Konsole zum Hinzufügen des Benutzers verwenden, können Sie die Berechtigungen eines vorhandenen Benutzers auf den neuen Benutzer kopieren.

   Sie können auch eine [Berechtigungsgrenze](access_policies_boundaries.md) hinzufügen, um die Berechtigungen des Benutzers einzuschränken, indem Sie eine Richtlinie angeben, die die maximalen Berechtigungen definiert, die der Benutzer haben kann. Durch Berechtigungsgrenzen werden keine Berechtigungen gewährt.

   Anweisungen zum Erstellen einer benutzerdefinierten Berechtigungsrichtlinie, mit der Sie entweder Berechtigungen gewähren oder eine Berechtigungsgrenze festlegen können, finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).

1. (Optional) Fügen Sie dem Benutzer Metadaten durch Anfügen von Tags hinzu. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).

1. Teilen Sie dem Benutzer die erforderlichen Anmeldeinformationen mit. Dies umfasst das Passwort und die Konsolen-URL für die Anmelde-Website des Kontos, auf der der Benutzer diese Anmeldeinformationen eingeben muss. Weitere Informationen finden Sie unter [So melden sich IAM-Benutzer an AWS](id_users_sign-in.md).

1. (Optional) Konfigurieren Sie die [Multifaktor-Authentifizierung (MFA)](id_credentials_mfa.md) für den Benutzer. Bei MFA muss der Benutzer bei jeder Anmeldung einen one-time-use Code angeben. AWS-Managementkonsole

1. (Optional) Gewähren Sie IAM-Benutzern die Berechtigung, ihre eigenen Sicherheits-Anmeldeinformationen zu verwalten. (IAM-Benutzer sind standardmäßig nicht berechtigt, ihre eigenen Anmeldeinformationen zu verwalten.) Weitere Informationen finden Sie unter [IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern](id_credentials_passwords_enable-user-change.md).
**Anmerkung**  
Wenn Sie die Konsole zum Erstellen des Benutzers verwenden und die Option **Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen)** auswählen, verfügt der Benutzer über die erforderlichen Berechtigungen.

Weitere Informationen zu den Berechtigungen, die Sie zum Erstellen eines Benutzers benötigen, finden Sie unter [Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen](access_permissions-required.md).

Anweisungen zum Erstellen von IAM-Benutzern für bestimmte Anwendungsfälle finden Sie in den folgenden Themen:
+ [IAM-Benutzer für den Notfallzugriff erstellen](getting-started-emergency-iam-user.md)
+ [IAM-Benutzer für Workloads erstellen, die keine IAM-Rollen verwenden können](getting-started-workloads.md)

# Anzeigen von IAM-Benutzern
<a name="id_users_list"></a>

Sie können die IAM-Benutzer in Ihrer AWS-Konto oder in einer bestimmten IAM-Gruppe sowie alle IAM-Gruppen auflisten, denen ein Benutzer angehört. Weitere Informationen zu den Berechtigungen, die Sie zum Auflisten von Benutzern benötigen, finden Sie unter [Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen](access_permissions-required.md). 

## So listen Sie alle IAM-Benutzer in Ihrem Konto auf
<a name="id_users_manage_list-users"></a>

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**. 

In der Konsole werden die IAM-Benutzer in Ihrem angezeigt. AWS-Konto

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)`

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ `[ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)` 

------

## So listen Sie die IAM-Benutzer in einer IAM-Gruppe auf
<a name="id_users_manage_list-users-group"></a>

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Groups oder Users**.

1. Wählen Sie den Namen der Benutzergruppe aus. 

Die IAM-Benutzer, die Mitglieder der Gruppe sind, werden auf der Registerkarte **Benutzer** aufgelistet.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ `[aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)`

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ `[GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)` 

------

## So listen Sie alle IAM-Gruppen auf, denen ein Benutzer angehört
<a name="id_users_manage_list-groups-users"></a>

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der **Users list** (Liste der Benutzer) den Namen des IAM-Benutzer aus. 

1. Wählen Sie die Registerkarte **Gruppen** aus, um die Liste der Gruppen anzuzeigen, zu denen der aktuelle Benutzer gehört.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ `[ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)` 

------

## Nächste Schritte
<a name="id_users_list-next-steps"></a>

Sobald Sie über eine Liste Ihrer IAM-Benutzer verfügen, können Sie mit den folgenden Verfahren einen IAM-Benutzer umbenennen, löschen oder deaktivieren.
+ [Umbenennen eines IAM-Benutzers](id_users_rename.md)
+ [Entfernen oder Deaktivieren eines IAM-Benutzers](id_users_remove.md)

# Umbenennen eines IAM-Benutzers
<a name="id_users_rename"></a>

**Anmerkung**  
Als [bewährte Methode](best-practices.md) empfehlen wir, dass menschliche Benutzer für den Zugriff mit temporären Anmeldeinformationen einen Verbund mit einem Identitätsanbieter AWS verwenden müssen. Wenn Sie die bewährten Methoden befolgen, verwalten Sie keine IAM-Benutzer und -Gruppen. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS Ressourcen verwaltet AWS und können als *föderierte Identität* darauf zugreifen. Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, einem Web-Identitätsanbieter, dem AWS Directory Service, dem Identity Center-Verzeichnis oder einem beliebigen Benutzer, der mithilfe von Anmeldeinformationen, die über eine Identitätsquelle bereitgestellt wurden, auf AWS Dienste zugreift. Verbundidentitäten verwenden die von ihrem Identitätsanbieter definierten Gruppen. Wenn Sie dies verwenden AWS IAM Identity Center, finden Sie unter [Identitäten in IAM Identity Center verwalten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) im *AWS IAM Identity Center Benutzerhandbuch* Informationen zum Erstellen von Benutzern und Gruppen in IAM Identity Center.

Amazon Web Services bietet mehrere Tools zum Verwalten von IAM-Benutzern in Ihrem AWS-Konto. Sie können die IAM-Benutzer in Ihrem Konto oder in einer Benutzergruppe auflisten oder alle IAM-Gruppen auflisten, deren Mitglied ein Benutzer ist. Sie können den Pfad eines IAM-Benutzers umbenennen oder ändern. Wenn Sie dazu übergehen, Verbundidentitäten anstelle von IAM-Benutzern zu verwenden, können Sie einen IAM-Benutzer aus Ihrem AWS -Konto löschen oder den Benutzer deaktivieren.

Weitere Informationen zum Hinzufügen, Ändern oder Entfernen von verwalteten Richtlinien für einen IAM-Benutzer finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](id_users_change-permissions.md). Weitere Informationen zum Verwalten von Inline-Richtlinien für IAM-Benutzer finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md), [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md) und [IAM-Richtlinien löschen](access_policies_manage-delete.md). Es hat sich bewährt, verwaltete Richtlinien anstelle von eingebundenen Richtlinien zu verwenden. Die *AWS -verwalteten Richtlinien* stellen Berechtigungen für viele häufige Anwendungsfälle bereit. Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle Kunden verfügbar sind. AWS Daher empfehlen wir Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die spezifisch auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien](access_policies_managed-vs-inline.md#aws-managed-policies). Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgabenbereiche konzipiert sind, finden Sie unter. [AWS verwaltete Richtlinien für Jobfunktionen](access_policies_job-functions.md)

Weitere Informationen zum Validieren von IAM-Richtlinien finden Sie unter [IAM-Richtlinien-Validierung](access_policies_policy-validator.md).

**Tipp**  
[IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) kann die Services und Aktionen analysieren, die Ihre IAM-Rollen verwenden, und generiert dann eine fein abgestimmte Richtlinie, die Sie verwenden können. Nachdem Sie jede generierte Richtlinie getestet haben, können Sie die Richtlinie in Ihrer Produktionsumgebung bereitstellen. Dadurch wird sichergestellt, dass Sie nur die erforderlichen Berechtigungen für Ihre Workloads gewähren. Weitere Informationen zur Richtlinienerstellung finden Sie unter [IAM Access Analyzer Richtlinienerstellung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

Informationen zum Verwalten von IAM-Benutzerpasswörtern finden Sie unter [Verwalten von Passwörtern für IAM-Benutzer](id_credentials_passwords_admin-change-user.md).

## Umbenennen eines IAM-Benutzers
<a name="id_users_renaming"></a>

Um den Namen oder Pfad eines Benutzers zu ändern, müssen Sie die AWS CLI Tools für Windows PowerShell oder die AWS API verwenden. In der Konsole gibt es keine Möglichkeit zum Umbenennen eines Benutzers. Weitere Informationen zu den Berechtigungen, die Sie zum Umbenennen eines Benutzers benötigen, finden Sie unter [Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen](access_permissions-required.md). 

Wenn Sie den Namen oder den Pfad eines Benutzers ändern, geschieht Folgendes: 
+ Alle Richtlinien, die dem Benutzer zugewiesen sind, verbleiben bei ihm unter dem neuen Namen.
+ Der Benutzer verbleibt unter dem neuen Namen in denselben IAM-Gruppen.
+ Die eindeutige ID des Benutzers bleibt unverändert. Weitere Informationen zu Unique IDs finden Sie unter[Eindeutige Bezeichner](reference_identifiers.md#identifiers-unique-ids).
+ Die Ressourcen- oder Rollenrichtlinien, die auf den Benutzer *als Auftraggeber* verweisen (dem Benutzer wird Zugriff gewährt), werden automatisch mit dem neuen Namen oder Pfad aktualisiert. Beispiel: Die warteschlangenbasierten Richtlinien in Amazon SQS oder die ressourcenbasierten Richtlinien in Amazon S3 werden automatisch mit dem neuen Namen und Pfad aktualisiert. 

In IAM werden die Richtlinien, die auf den Benutzer *als Ressource* verweisen, nicht automatisch mit dem neuen Namen oder Pfad aktualisiert. Dies müssen Sie manuell vornehmen. Beispiel: Dem Benutzer `Richard` ist eine Richtlinie zugewiesen, mit der er seine Sicherheitsanmeldeinformationen verwalten kann. Wenn ein Administrator `Richard` in `Rich` umbenennt, muss er auch die Richtlinie aktualisieren, um die Ressource von dieser Zeichenfolge:

```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard
```

in diese zu ändern:

```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich
```

Dies gilt auch, wenn ein Administrator den Pfad ändert. Der Administrator muss die Richtlinie aktualisieren, damit der neue Pfad für den Benutzer wiedergegeben wird. 

### So benennen Sie einen Benutzer um
<a name="id_users_manage_list-users-rename"></a>
+ AWS CLI: [aws iam update-user](https://docs.aws.amazon.com/cli/latest/reference/iam/update-user.html)
+ AWS API: [UpdateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html) 

# Entfernen oder Deaktivieren eines IAM-Benutzers
<a name="id_users_remove"></a>

[Bewährte Methoden](best-practices.md#remove-credentials) empfehlen, dass Sie ungenutzte IAM-Benutzer aus Ihrem AWS-Konto entfernen. Wenn Sie die Anmeldeinformationen des IAM-Benutzers für die zukünftige Verwendung behalten möchten, können Sie den Benutzerzugriff deaktivieren, anstatt diese aus dem Konto zu löschen. Weitere Informationen finden Sie unter [Deaktivieren eines IAM-Benutzers](#id_users_deactivating).

**Warnung**  
Sobald ein IAM-Benutzer und seine Zugriffsschlüssel gelöscht wurden, können sie nicht wiederhergestellt oder wiederbeschafft werden.

## Voraussetzung – Anzeigen des IAM-Benutzerzugriffs
<a name="users-manage_prerequisites"></a>

Bevor Sie einen Benutzer entfernen, überprüfen Sie seine letzte Service-Level-Aktivität. Dadurch wird verhindert, dass einem Prinzipal (Person oder Anwendung), der den Zugriff verwendet, der Zugriff entzogen wird. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Entfernen eines IAM-Benutzers (Konsole)
<a name="id_users_deleting_console"></a>

Wenn Sie den verwenden AWS-Managementkonsole , um einen IAM-Benutzer zu entfernen, löscht IAM automatisch die folgenden zugehörigen Informationen: 
+ Die IAM-Benutzerkennung
+ Alle Gruppenmitgliedschaften, d. h. der IAM-Benutzer wird aus allen Gruppen entfernt, in denen der IAM-Benutzer Mitglied war
+ Jedes mit dem IAM-Benutzer verknüpfte Passwort 
+ Alle im IAM-Benutzer eingebundenen Inline-Richtlinien (Richtlinien, die mithilfe von Berechtigungen für Gruppen von Benutzern auf den IAM-Benutzer angewendet wurden, sind nicht betroffen) 
**Anmerkung**  
Wenn Sie den Benutzer löschen, entfernt IAM alle verwalteten Richtlinien, die dem IAM-Benutzer zugeordnet sind, löscht jedoch keine verwalteten Richtlinien. 
+ Alle zugehörigen MFA-Geräte

### So entfernen Sie einen IAM-Benutzer (Konsole)
<a name="id_users_remove-section-1"></a>

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Wählen Sie im Navigationsbereich die Option **Benutzer** aus und aktivieren Sie dann das Kontrollkästchen neben dem IAM-Benutzernamen, den Sie löschen möchten. 

1. Wählen Sie oben auf der Seite **Delete** (Löschen) aus.
**Anmerkung**  
Wenn einer der Benutzer über aktive Zugriffsschlüssel verfügt, müssen Sie diese vor dem Löschen der Benutzer deaktivieren. Weitere Informationen finden Sie unter [So deaktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer](access-keys-admin-managed.md#admin-deactivate-access-key).

1. Geben Sie im Bestätigungsdialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie **Löschen** aus. 

Die Konsole zeigt eine Statusbenachrichtigung an, dass der IAM-Benutzer gelöscht wurde.

------

## Löschen eines IAM-Benutzers (AWS CLI)
<a name="id_users_deleting_cli"></a>

Im AWS-Managementkonsole Gegensatz zu müssen Sie beim Löschen eines IAM-Benutzers mit dem die dem AWS CLI IAM-Benutzer zugewiesenen Elemente manuell löschen. Dieser Vorgang veranschaulicht den Prozess. 

**Um einen IAM-Benutzer aus Ihrem () zu löschen AWS-Konto AWS CLI**

1. Löschen Sie das Passwort des Benutzers, sofern vorhanden.

   `[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`

1. Löschen Sie die Zugriffsschlüssel des Benutzers, wenn der Benutzer über solche verfügt.

   `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (zum Auflisten der Zugriffsschlüssel des Benutzers) und `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`

1. Löschen Sie das Signaturzertifikat des Benutzers. Beachten Sie, dass einmal gelöschte Sicherheitsanmeldeinformationen nicht wiederhergestellt werden können. Dieser Vorgang ist endgültig.

   `[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (zum Auflisten der Signaturzertifikate des Benutzers) und `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`

1. Löschen Sie den öffentlichen SSH-Schlüssel des Benutzers, wenn der Benutzer über diesen verfügt.

   `[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (zum Auflisten der öffentlichen SSH-Schlüssel des Benutzers) und `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`

1. Löschen Sie die Git-Anmeldeinformationen des Benutzers.

   `[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (zum Auflisten der Git-Anmeldeinformationen des Benutzers) und `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`

1. Deaktivieren Sie die Multi-Factor Authentication (MFA), wenn für den Benutzer eine solche verwendet wird.

   `[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (zum Auflisten der MFA-Geräte des Benutzers `[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (zum Deaktivieren des Geräts) und `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (zum dauerhaften Löschen eines virtuellen MFA-Geräts) 

1. Löschen Sie die eingebundenen Richtlinien des Benutzers. 

   `[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (zum Auflisten der eingebundenen Richtlinien des Benutzers) und [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (zum Löschen der Richtlinie) 

1. Heben Sie die Verknüpfung aller verwalteten Richtlinien mit dem Benutzer auf. 

   `[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (zum Auflisten der verwalteten Richtlinien, die dem Benutzer zugeordnet sind) und [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (zum Aufheben der Verknüpfung der Richtlinien) 

1. Entfernen Sie den Benutzer aus allen IAM-Gruppen. 

   `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)` (zum Auflisten der IAM-Gruppen, denen der Benutzer angehört) und `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)` 

1. Löschen Sie den Benutzer.

   `[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)` 

## Deaktivieren eines IAM-Benutzers
<a name="id_users_deactivating"></a>

Möglicherweise müssen Sie IAM-Benutzer deaktivieren, während sie sich vorübergehend nicht in Ihrem Unternehmen befinden. Sie können ihre IAM-Benutzeranmeldeinformationen beibehalten und trotzdem ihre AWS -Zugriffe sperren.

Um einen Benutzer zu deaktivieren, erstellen Sie eine Richtlinie und fügen Sie sie hinzu, um dem Benutzer den Zugriff auf AWS zu verweigern. Sie können den Zugriff des Benutzers später wiederherstellen.

Im Folgenden finden Sie zwei Beispiele für Verweigerungsrichtlinien, die Sie einem Benutzer zuordnen können, um ihm den Zugriff zu verweigern.

Die folgende Richtlinie beinhaltet keine zeitliche Begrenzung. Sie müssen die Richtlinie entfernen, um den Zugriff des Benutzers wiederherzustellen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}
```

------

Die folgende Richtlinie beinhaltet eine Bedingung, die die Richtlinie am 24. Dezember 2024 um 23:59 Uhr (UTC) startet und am 28. Februar 2025 um 23:59 Uhr (UTC) beendet.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}
```

------

# Steuern Sie den IAM-Benutzerzugriff auf die AWS-Managementkonsole
<a name="console_controlling-access"></a>

IAM-Benutzer mit entsprechender Genehmigung, die sich AWS-Konto über bei Ihnen anmelden, AWS-Managementkonsole können auf Ihre AWS Ressourcen zugreifen. Die folgende Liste zeigt, wie Sie IAM-Benutzern über die Zugriff auf Ihre AWS-Konto Ressourcen gewähren können. AWS-Managementkonsole Außerdem wird gezeigt, wie IAM-Benutzer über die Website auf andere AWS Kontofunktionen zugreifen können. AWS 

**Anmerkung**  
Die Nutzung von IAM ist kostenlos.

**Das AWS-Managementkonsole**  
Sie erstellen für jeden IAM-Benutzer, der Zugriff auf die AWS-Managementkonsole benötigt, ein Passwort. Benutzer greifen über Ihre IAM-fähige AWS-Konto Anmeldeseite auf die Konsole zu. Weitere Informationen zum Zugriff auf die Anmeldeseite finden Sie unter [Anmelden bei AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS-Anmeldung -Benutzerhandbuch*. Weitere Informationen zum Erstellen von Passwörtern finden Sie unter [Benutzerpasswörter in AWS](id_credentials_passwords.md).  
Sie können verhindern, dass ein IAM-Benutzer auf die zugreift, AWS-Managementkonsole indem Sie sein Passwort entfernen. Dadurch wird verhindert, dass sie sich AWS-Managementkonsole mit ihren Anmeldeinformationen bei der anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Tools für Windows PowerShell, die AWS API oder die AWS Console Mobile Application.

**Ihre AWS Ressourcen, wie Amazon EC2 EC2-Instances, Amazon S3 S3-Buckets usw.**  
Selbst wenn Ihre IAM-Benutzer Passwörter haben, benötigen Sie dennoch die Berechtigung für den Zugriff auf Ihre AWS -Ressourcen. Ein neu erstellter IAM-Benutzer hat standardmäßig zunächst keine Berechtigungen. Um einem IAM-Benutzer die benötigten Berechtigungen zu gewähren, weisen Sie ihm Richtlinien zu. Wenn Sie viele IAM-Benutzer haben, die dieselben Aufgaben mit denselben Ressourcen ausführen, können Sie diese IAM-Benutzer einer Gruppe zuweisen. Weisen Sie dieser Gruppe dann die Berechtigungen zu. Weitere Informationen zum Erstellen von IAM-Benutzer und Gruppen finden Sie unter [IAM-Identitäten](id.md). Weitere Informationen zum Verwenden von Richtlinien, um Berechtigungen festzulegen, finden Sie unter [Zugriffsmanagement für AWS Ressourcen](access.md).

**AWS Diskussionsforen**  
Die Beiträge in den [AWS -Diskussionsforen](https://forums.aws.amazon.com/) können von jedem gelesen werden. Benutzer, die Fragen oder Kommentare im AWS Diskussionsforum posten möchten, können dies mit ihrem Benutzernamen tun. Wenn ein Benutzer zum ersten Mal Beiträge im AWS Diskussionsforum veröffentlicht, wird er aufgefordert, einen Spitznamen und eine E-Mail-Adresse einzugeben. Nur dieser Benutzer kann diesen Spitznamen in den AWS Diskussionsforen verwenden. 

**Ihre AWS-Konto Rechnungs- und Nutzungsinformationen**  
Sie können Benutzern Zugriff auf Ihre AWS-Konto Rechnungs- und Nutzungsinformationen gewähren. Weitere Informationen finden Sie im *AWS Billing -Benutzerhandbuch* unter [Zugriff auf Ihre Rechnungsdaten](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html) kontrollieren. 

**Ihre AWS-Konto Profilinformationen**  
Benutzer können nicht auf Ihre AWS-Konto Profilinformationen zugreifen.

**Ihre AWS-Konto Sicherheitsanmeldedaten**  
Benutzer können nicht auf Ihre AWS-Konto Sicherheitsanmeldedaten zugreifen.

**Anmerkung**  
IAM-Richtlinien steuern den Zugriff unabhängig von der Schnittstelle. Beispielsweise können Sie einem Benutzer ein Passwort für den Zugriff auf bereitstellen AWS-Managementkonsole. Die Richtlinien für diesen Benutzer (oder alle Gruppen, zu denen der Benutzer gehört) würden steuern, welche Aktionen der Benutzer in der AWS-Managementkonsole ausführen kann. Oder Sie könnten dem Benutzer AWS Zugriffsschlüssel für API-Aufrufe zur Verfügung stellen AWS. Die Richtlinien würden steuern, welche Aktionen der Benutzer über eine Bibliothek oder einen Client aufrufen kann, die bzw. der diese Zugriffsschlüssel für die Authentifizierung verwendet.

# Ändern von Berechtigungen für einen IAM-Benutzer
<a name="id_users_change-permissions"></a>

[Sie können die Berechtigungen für einen IAM-Benutzer in Ihrem ändern, AWS-Konto indem Sie dessen Gruppenmitgliedschaften ändern, die Berechtigungen eines vorhandenen Benutzers kopieren, Richtlinien direkt an einen Benutzer anhängen oder indem Sie eine Berechtigungsgrenze festlegen.](access_policies_boundaries.md) Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein Benutzer haben kann. Bei Berechtigungsgrenzen handelt es sich um eine erweiterte Funktion. AWS 

Weitere Informationen über die erforderlichen Berechtigungen, um die Berechtigungen eines Benutzers zu bearbeiten, finden Sie unter [Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen](access_permissions-required.md).

**Topics**
+ [Anzeigen des Benutzerzugriffs](#users-modify_prerequisites)
+ [Generieren einer Richtlinie basierend auf der Zugriffsaktivität eines Benutzers](#users_change_permissions-gen-policy)
+ [Hinzufügen von Berechtigungen für einem Benutzer (Konsole)](#users_change_permissions-add-console)
+ [Ändern von Berechtigungen für einen Benutzer (Konsole)](#users_change_permissions-change-console)
+ [So entfernen Sie eine Berechtigungsrichtlinie von einem Benutzer (Konsole)](#users_change_permissions-remove-policy-console)
+ [So entfernen Sie die Berechtigungsgrenze eines Benutzers (Konsole)](#users_change_permissions-remove-boundary-console)
+ [Berechtigungen (AWS CLI oder AWS API) eines Benutzers hinzufügen und entfernen](#users_change_permissions-add-programmatic)

## Anzeigen des Benutzerzugriffs
<a name="users-modify_prerequisites"></a>

Bevor Sie die Berechtigungen für einen Benutzer ändern, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter [Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen](access_policies_last-accessed.md).

## Generieren einer Richtlinie basierend auf der Zugriffsaktivität eines Benutzers
<a name="users_change_permissions-gen-policy"></a>

Manchmal können Sie einer IAM-Entität (Benutzer oder Rolle) Berechtigungen erteilen, die über das hinausgehen, was diese benötigen. Um Ihnen beim Verfeinern der Berechtigungen zu helfen, können Sie eine IAM-Richtlinie generieren, die auf der Zugriffsaktivität für eine Entity basiert. IAM Access Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Entität in dem von Ihnen angegebenen Zeitraum verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit definierten Berechtigungen zu erstellen und sie dann an die IAM-Rolle anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die der Benutzer oder die Rolle benötigt, um mit AWS Ressourcen für Ihren speziellen Anwendungsfall zu interagieren. Weitere Informationen finden Sie unter [Richtliniengenerierung für IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).

## Hinzufügen von Berechtigungen für einem Benutzer (Konsole)
<a name="users_change_permissions-add-console"></a>

IAM bietet drei Möglichkeiten zum Hinzufügen von Berechtigungsrichtlinien zu einem Benutzer:
+ **Hinzufügen des IAM-Benutzers zu einer IAM-Gruppe** – Machen Sie den Benutzer zum Mitglied einer Gruppe. Die Richtlinien der Gruppe werden dem Benutzer zugeordnet.
+ **Kopieren von Berechtigungen von vorhandenen IAM-Benutzern** – Kopieren Sie alle Gruppenmitgliedschaften, angefügte verwaltete Richtlinien, eingebundene Richtlinien sowie vorhandene Berechtigungsgrenzen des Quellbenutzers.
+ **Anfügen von Richtlinien direkt zu IAM-Benutzern** – Fügen Sie eine verwaltete Richtlinie direkt an den Benutzer an. Um die Verwaltung von Berechtigungen zu vereinfachen, ordnen Sie Ihre Richtlinien einer Gruppe zu und machen die IAM-Benutzer zu Mitgliedern der entsprechenden Gruppen.

**Wichtig**  
Wenn der Benutzer über eine Berechtigungsgrenze verfügt, können Sie dem Benutzer nicht mehr Berechtigungen zuweisen, als durch die Berechtigungsgrenze zugelassen sind.

### So fügen Sie Berechtigungen durch Hinzufügen des IAM-Benutzers zu einer Gruppe hinzu
<a name="users_change_permissions-add-group-console"></a>

Wenn Sie einen IAM-Benutzer zu einer IAM-Gruppe hinzufügen, werden die Berechtigungen des Benutzers sofort mit den für die Gruppe definierten Berechtigungen aktualisiert.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der **Users list** (Liste der Benutzer) den Namen des IAM-Benutzer aus. 

1. Wählen Sie die Registerkarte **Gruppen** aus, um die Liste der Gruppen anzuzeigen, zu denen der aktuelle Benutzer gehört.

1. Wählen Sie **Benutzer zu Gruppen hinzufügen** aus. 

1. Aktivieren Sie das Kontrollkästchen für jede Gruppe, der der Benutzer beitreten soll. Die Liste enthält die Gruppennamen und Richtlinien, die dem Benutzer zugewiesen werden, wenn er Mitglied der Gruppe wird.

1. (Optional) Sie können **Gruppe erstellen** auswählen, um eine neue Gruppe zu definieren. Dies ist nützlich, wenn Sie den Benutzer zu einer Gruppe hinzufügen möchten, der andere Richtlinien als den vorhandenen Gruppen zugeordnet sind:

   1. Geben Sie auf der neuen Registerkarte für **User group Name (Benutzergruppenname)** den Namen für Ihre neue Gruppe ein.
**Anmerkung**  
Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter [IAM und Kontingente AWS STS](reference_iam-quotas.md). Gruppennamen können eine Kombination aus bis zu 128 Buchstaben, Ziffern und die folgenden Zeichen enthalten: (\$1), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Sie werden nicht nach Groß- und Kleinschreibung unterschieden. Sie können beispielsweise nicht zwei Gruppen mit dem Namen *TESTGRUPPE* und *testgruppe* erstellen.

   1. Aktivieren Sie ein oder mehrere Kontrollkästchen für die verwalteten Richtlinien, die Sie der Gruppe anfügen möchten. Sie können auch anhand von **Create policy (Richtlinie erstellen)** eine neue verwaltete Richtlinie erstellen. Wenn Sie auf diese Weise vorgehen möchten, kehren Sie zu dieser Browser-Registerkarte oder zu diesem Fenster zurück. Wenn die neue Richtlinie erstellt wurde, wählen Sie erst **Refresh (Aktualisieren)** und dann die neue Richtlinie aus, die Sie Ihrer Gruppe anfügen möchten. Weitere Informationen finden Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md).

   1. Wählen Sie **Create user group (Benutzergruppe erstellen)**.

   1. Kehren Sie zur ursprünglichen Registerkarte zurück und aktualisieren Sie die Liste der Gruppen. Aktivieren Sie dann das Kontrollkästchen für Ihre neue Gruppe.

1. Wählen Sie **Benutzer zu Gruppe(n) hinzufügen** aus.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Benutzer zu den von Ihnen angegebenen Gruppen hinzugefügt wurde.

------

### So fügen Sie Berechtigungen durch Kopieren von einem anderen IAM-Benutzer hinzu
<a name="users_change_permissions-add-copy-console"></a>

Wenn Sie einem IAM-Benutzer Berechtigungen durch Kopieren von Berechtigungen hinzufügen, kopiert IAM alle Gruppenmitgliedschaften, angefügten verwalteten Richtlinien, Inline-Richtlinien und alle vorhandenen Berechtigungsgrenzen des angegebenen Benutzers und wendet sie sofort auf den aktuell ausgewählten Benutzer an.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der **Users list** (Liste der Benutzer) den Namen des IAM-Benutzer aus. 

1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** aus.

1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** die Option **Berechtigungen kopieren** aus. In der Liste werden verfügbare IAM-Benutzer zusammen mit ihren Gruppenmitgliedschaften und den angefügten Richtlinien angezeigt. 

1. Aktivieren Sie das Ankreuzfeld neben dem Benutzer, dessen Berechtigungen Sie kopieren möchten. 

1. Wählen Sie **Next (Weiter)** aus, um eine Liste der Änderungen für den Benutzer anzuzeigen. Wählen Sie dann **Add permissions (Berechtigungen hinzufügen)**.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungen vom von Ihnen angegebenen IAM-Benutzer kopiert wurden.

------

### So fügen Sie Berechtigungen hinzu, indem Sie Richtlinien direkt an den IAM-Benutzer anfügen
<a name="users_change_permissions-add-directly-console"></a>

Sie können eine verwaltete Richtlinie direkt an einen IAM-Benutzer anfügen. Die aktualisierten Berechtigungen werden sofort übernommen.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der **Users list** (Liste der Benutzer) den Namen des IAM-Benutzer aus. 

1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** aus.

1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** die Option **Richtlinien direkt anfügen** aus. In der Liste **Berechtigungsrichtlinien** werden die verfügbaren Richtlinien zusammen mit ihren Richtlinientypen und den angefügten Entitäten angezeigt. 

1. Wählen Sie das Optionsfeld neben dem **Richtliniennamen** aus, den Sie anfügen möchten. 

1. Wählen Sie **Next (Weiter)** aus, um eine Liste der Änderungen für den Benutzer anzuzeigen. Wählen Sie dann **Add permissions (Berechtigungen hinzufügen)**.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Richtlinie dem von Ihnen angegebenen IAM-Benutzer hinzugefügt wurde.

------

### So legen Sie die Berechtigungsgrenze für einen IAM-Benutzer fest
<a name="users_change_permissions-set-boundary-console"></a>

Eine Berechtigungsgrenze ist eine erweiterte Funktion zur Verwaltung von Berechtigungen AWS , mit der die maximalen Berechtigungen festgelegt werden, die ein IAM-Benutzer haben kann. Durch das Festlegen einer Berechtigungsgrenze werden die Berechtigungen des IAM-Benutzers sofort auf diese Grenze beschränkt, unabhängig von den anderen gewährten Berechtigungen.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Liste **Benutzer** den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenzen Sie ändern möchten. 

1. Wählen Sie die Registerkarte **Berechtigungen**. Falls erforderlich, öffnen Sie den Abschnitt **Permissions boundary (Berechtigungsgrenze)** und wählen Sie **Set permissions boundary (Berechtigungsgrenze festlegen)**.

1. Wählen Sie auf der Seite **Berechtigungsgrenze festlegen** unter **Berechtigungsrichtlinien** die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

1. Wählen Sie **Set boundary (Grenze festlegen)**.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungsgrenze hinzugefügt wurde.

------

## Ändern von Berechtigungen für einen Benutzer (Konsole)
<a name="users_change_permissions-change-console"></a>

IAM ermöglicht Ihnen, die Berechtigungen, die einem Benutzer zugeordnet sind, auf folgende Weise zu ändern:
+ **Bearbeiten einer Berechtigungsrichtlinie** – Bearbeiten einer Inline-Richtlinie des Benutzers, der eingebundenen Richtlinie der Gruppe des Benutzers, oder bearbeiten einer verwalteten Richtlinie, die dem Benutzer direkt oder aus einer Gruppe angefügt wird. Wenn der Benutzer eine Berechtigungsgrenze hat, können Sie nicht mehr Berechtigungen bereitstellen, als von der Richtlinie, die als Berechtigungsgrenze des Benutzers verwendet wurde, erlaubt ist.
+ **Ändern der Berechtigungsgrenze** – Ändern Sie die Richtlinie, die als Berechtigungsgrenze für den Benutzer verwendet wird. Dadurch können die maximalen Berechtigungen, die ein Benutzer haben kann, erweitert oder eingeschränkt werden. 

### Bearbeiten einer Berechtigungsrichtlinie, die einem Benutzer hinzugefügt wurde
<a name="users_change_permissions-edit-policy-console"></a>

Durch das Ändern der Berechtigungen wird der Zugriff des Benutzers sofort aktualisiert.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Liste **Benutzer** den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenzen Sie ändern möchten. 

1. Wählen Sie die Registerkarte **Berechtigungen**. Öffnen Sie bei Bedarf den Abschnitt **Berechtigungsgrenze**.

1. Wählen Sie den Namen der Richtlinie, die Sie bearbeiten möchten, um Details zur Richtlinie anzuzeigen. Wählen Sie die Registerkarte **Angefügte Entitäten** aus, um andere Entitäten (IAM-Benutzer, -Gruppen und -Rollen) anzuzeigen, die möglicherweise betroffen sind, wenn Sie die Richtlinie bearbeiten. 

1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** und überprüfen Sie die Berechtigungen, die durch die Richtlinie erteilt werden. Um Änderungen an den Berechtigungen vorzunehmen, wählen Sie **Bearbeiten** aus. 

1. Bearbeiten Sie die Richtlinie und lösen Sie alle Empfehlungen zur [policy validation (Richtlinienvalidierung)](access_policies_policy-validator.md). Weitere Informationen finden Sie unter [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).

1. Wählen Sie **Weiter**, überprüfen Sie die Richtlinienzusammenfassung und wählen Sie dann **Änderungen speichern** aus.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Richtlinie aktualisiert wurde.

------

### So ändern Sie die Berechtigungsgrenze für einen Benutzer
<a name="users_change_permissions-change-boundary-console"></a>

Durch das Ändern einer Berechtigungsgrenze wird der Zugriff des Benutzers sofort aktualisiert.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Liste **Benutzer** den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenzen Sie ändern möchten. 

1. Wählen Sie die Registerkarte **Berechtigungen**. Falls erforderlich, öffnen Sie den Abschnitt **Permissions boundary (Berechtigungsgrenze)** und wählen **Change boundary (Grenze ändern)**.

1. Wählen Sie die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

1. Wählen Sie **Set boundary (Grenze festlegen)**.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungsgrenze geändert wurde.

------

## So entfernen Sie eine Berechtigungsrichtlinie von einem Benutzer (Konsole)
<a name="users_change_permissions-remove-policy-console"></a>

Durch das Entfernen einer Berechtigungsrichtlinie wird der Zugriff des Benutzers sofort aktualisiert.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Namen des Benutzers, dessen Berechtigungsrichtlinien Sie entfernen möchten. 

1. Wählen Sie die Registerkarte **Berechtigungen**. 

1. Wenn Sie Berechtigungen entfernen möchten, indem Sie eine vorhandene Richtlinie entfernen, sehen Sie sich die Spalte **Angefügt über** an, um zu verstehen, wie der Benutzer diese Richtlinie erhält, bevor Sie **Entfernen** auswählen, um die Richtlinie zu entfernen:
   + Erfolgt die Anwendung der Richtlinie wegen einer Gruppenmitgliedschaft, wird mit **Remove (Entfernen)** der Benutzer aus der Gruppe entfernt. Denken Sie daran, dass einer Gruppe möglicherweise mehrere Richtlinien angefügt wurden. Wenn Sie einen Benutzer aus einer Gruppe entfernen, verliert er den Zugriff auf *alle* Richtlinien, die ihm über die Gruppenmitgliedschaft zugewiesen wurden.
   + Wenn die Richtlinie eine direkt zum Benutzer angefügte verwaltete Richtlinie ist, wird durch die Auswahl von **Remove (Entfernen)** die Richtlinie vom Benutzer getrennt. Dies hat keine Auswirkungen auf die Richtlinie selbst oder eine andere Entität, zu der die Richtlinie angefügt ist.
   + Wenn es sich bei der Richtlinie um eine eingebettete Inline-Richtlinie handelt, wird die Richtlinie durch die Auswahl von **Entfernen** aus IAM entfernt. Inlinerichtlinien, die direkt einem Benutzer angefügt werden, sind nur für diesen Benutzer vorhanden.

Wenn die Richtlinie dem Benutzer über eine Gruppenmitgliedschaft gewährt wurde, zeigt die Konsole eine Statusmeldung an, die Sie darüber informiert, dass der IAM-Benutzer aus der IAM-Gruppe entfernt wurde. Wenn die Richtlinie direkt angefügt oder eingebunden ist, informiert Sie die Statusmeldung darüber, dass die Richtlinie entfernt wurde.

------

## So entfernen Sie die Berechtigungsgrenze eines Benutzers (Konsole)
<a name="users_change_permissions-remove-boundary-console"></a>

Durch das Entfernen der Berechtigungsgrenze wird der Zugriff des Benutzers sofort aktualisiert.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der Liste **Benutzer** den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenze Sie entfernen möchten. 

1. Wählen Sie die Registerkarte **Berechtigungen**. Öffnen Sie bei Bedarf den Abschnitt **Berechtigungsgrenze**.

1.  Wählen Sie **Change boundary (Grenze ändern)**. Um zu bestätigen, dass Sie die Berechtigungsgrenze entfernen möchten, wählen Sie im Bestätigungsdialogfeld **Grenze entfernen** aus.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungsgrenze entfernt wurde.

------

## Berechtigungen (AWS CLI oder AWS API) eines Benutzers hinzufügen und entfernen
<a name="users_change_permissions-add-programmatic"></a>

Um Berechtigungen programmgesteuert hinzuzufügen oder zu entfernen, müssen Sie die Gruppenmitgliedschaften hinzufügen oder entfernen, die verwaltete Richtlinien zuordnen bzw. diese Zuordnung aufheben oder die Inlinerichtlinien hinzufügen oder löschen. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Bearbeiten von Benutzern in IAM-Gruppen](id_groups_manage_add-remove-users.md)
+ [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md)

# Benutzerpasswörter in AWS
<a name="id_credentials_passwords"></a>

Sie können Passwörter für IAM-Benutzer in Ihrem Konto verwalten. IAM-Benutzer benötigen Passwörter, um auf die AWS-Managementkonsole zugreifen zu können. Benutzer benötigen keine Passwörter, um programmgesteuert mit den Tools für Windows PowerShell oder AWS CLI oder auf AWS Ressourcen zuzugreifen. AWS SDKs APIs Für diese Umgebungen haben Sie die Möglichkeit, IAM-Benutzern [Zugriffsschlüssel](id_credentials_access-keys.md) zuzuweisen. Es gibt jedoch andere sicherere Alternativen als Zugangsschlüssel, die Sie zunächst in Betracht ziehen sollten. Weitere Informationen finden Sie unter [AWS Sicherheitsnachweise](security-creds.md).

**Anmerkung**  
Wenn einer Ihrer IAM-Benutzer sein Passwort verliert oder vergisst, können Sie es *nicht* von IAM abrufen. Abhängig von Ihren Einstellungen muss entweder der Benutzer oder der Administrator ein neues Passwort erstellen.

**Topics**
+ [Konto-Passwortrichtlinie für IAM-Benutzer festlegen](id_credentials_passwords_account-policy.md)
+ [Verwalten von Passwörtern für IAM-Benutzer](id_credentials_passwords_admin-change-user.md)
+ [IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern](id_credentials_passwords_enable-user-change.md)
+ [Wie ein IAM-Benutzer sein eigenes Passwort ändert](id_credentials_passwords_user-change-own.md)

# Konto-Passwortrichtlinie für IAM-Benutzer festlegen
<a name="id_credentials_passwords_account-policy"></a>

Sie können eine benutzerdefinierte Passwortrichtlinie für Sie einrichten AWS-Konto , um Komplexitätsanforderungen und obligatorische Rotationsperioden für die Passwörter Ihrer IAM-Benutzer festzulegen. Wenn Sie keine benutzerdefinierte Kennwortrichtlinie festlegen, müssen IAM-Benutzerkennwörter der AWS Standard-Passwortrichtlinie entsprechen. Weitere Informationen finden Sie unter [Benutzerdefinierte Optionen für Passwortrichtlinien](#password-policy-details).

**Topics**
+ [Einrichten einer Passwortrichtlinie](#password-policy-rules)
+ [Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen](#default-policy-permissions-required)
+ [Standard-Passwortrichtlinie](#default-policy-details)
+ [Benutzerdefinierte Optionen für Passwortrichtlinien](#password-policy-details)
+ [So legen Sie eine Passwortrichtlinie fest (Konsole)](#IAMPasswordPolicy)
+ [So ändern Sie eine Passwortrichtlinie (Konsole)](#id_credentials_passwords_account-policy-section-1)
+ [So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)](#id_credentials_passwords_account-policy-section-2)
+ [Einrichten einer Passwortrichtlinie (AWS CLI)](#PasswordPolicy_CLI)
+ [Einrichtung einer Passwortrichtlinie (AWS API)](#PasswordPolicy_API)

## Einrichten einer Passwortrichtlinie
<a name="password-policy-rules"></a>

Die IAM-Passwortrichtlinie gilt nicht für das Root-Benutzer des AWS-Kontos Passwort oder die IAM-Benutzerzugriffsschlüssel. Wenn ein Passwort abläuft, kann sich der IAM-Benutzer nicht bei dem anmelden, AWS-Managementkonsole sondern seine Zugangsschlüssel weiterhin verwenden.

Wenn Sie eine Passwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen darin wirksam, sobald die Benutzer ihre Passwörter ändern. Einige Einstellungen werden jedoch sofort wirksam. Zum Beispiel: 
+ Wenn sich die Anforderungen für die Mindestlänge oder Zeichenanforderungen ändern, werden diese Einstellungen bei der nächsten Änderung eines Passworts umgesetzt. Benutzer müssen ihre vorhandenen Passwörter nicht ändern, auch wenn diese nicht den Anforderungen der aktualisierten Passwortrichtlinie entsprechen.
+ Wenn Sie einen Ablaufzeitraum für Passwörter festlegen, wird dieser sofort umgesetzt. Beispiel: Sie legen einen Passwort-Ablaufzeitraum von 90 Tagen fest. In diesem Fall läuft das Passwort für alle IAM-Benutzer ab, deren bestehendes Passwort älter als 90 Tage ist. Diese Benutzer müssen ihr Passwort bei der nächsten Anmeldung ändern.

Sie können keine „Lockout-Richtlinie“ erstellen, um einen Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen aus dem Konto zu sperren. Zur Erhöhung der Sicherheit empfehlen wir Ihnen, eine starke Passwortrichtlinie mit Multi-Factor-Authentication (MFA) zu kombinieren. Weitere Informationen zu MFA finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

## Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen
<a name="default-policy-permissions-required"></a>

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (Benutzer oder Rolle) ihre KontoPasswortrichtlinie anzeigen oder bearbeiten kann. Sie können die folgenden Passwortrichtlinienaktionen in eine IAM-Richtlinie aufnehmen: 
+ `iam:GetAccountPasswordPolicy` – Ermöglicht der Entität das Anzeigen der Passwortrichtlinie für ihr Konto
+ `iam:DeleteAccountPasswordPolicy` – Ermöglicht der Entität, die benutzerdefinierte Passwortrichtlinie für ihr Konto zu löschen und zur StandardPasswortrichtlinie zurückzukehren
+ `iam:UpdateAccountPasswordPolicy` – Ermöglicht der Entität das Erstellen oder Ändern der benutzerdefinierten Passwortrichtlinie für ihr Konto

Die folgende Richtlinie ermöglicht den vollständigen Zugriff zum Anzeigen und Bearbeiten der KontoPasswortrichtlinie. Informationen zum Erstellen einer IAM-Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Informationen zu den Berechtigungen, die ein IAM-Benutzer zum Ändern seines eigenen Passworts benötigt, finden Sie unter [IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern](id_credentials_passwords_enable-user-change.md).

## Standard-Passwortrichtlinie
<a name="default-policy-details"></a>

Wenn ein Administrator keine benutzerdefinierte Kennwortrichtlinie festlegt, müssen die IAM-Benutzerkennwörter der AWS Standard-Passwortrichtlinie entsprechen.

Die StandardPasswortrichtlinie setzt die folgenden Bedingungen durch:
+ Mindestpasswortlänge von 8 Zeichen und eine Maximallänge von 128 Zeichen
+ Mindestens drei der folgenden Zeichenarten: Großbuchstaben, Kleinbuchstaben, Zahlen und die Symbole `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`
+ nicht identisch mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse sein
+ Passwort niemals ablaufen lassen

## Benutzerdefinierte Optionen für Passwortrichtlinien
<a name="password-policy-details"></a>

Wenn Sie eine benutzerdefinierte Passwortrichtlinie für Ihr Konto konfigurieren, können Sie die folgenden Bedingungen festlegen:
+ **Passwort-Mindestlänge** – Sie können mindestens 6 Zeichen und maximal 128 Zeichen angeben.
+ **Passwortstärke** – Sie können jedes der folgenden Kontrollkästchen aktivieren, um die Stärke Ihrer IAM-Benutzerpasswörter festzulegen:
  + Erfordern mindestens einen Großbuchstaben aus dem lateinischen Alphabet (A–Z)
  + Erfordern mindestens einen Kleinbuchstaben aus dem lateinischen Alphabet (a–z)
  + Mindestens eine Zahl
  + Erfordert mindestens ein nicht alphanumerisches Zeichen `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '` 
+ **Passwortablauf aktivieren** – Sie können für die Gültigkeitsdauer von IAM-Benutzerpasswörtern mindestens 1 und maximal 1 095 Tage auswählen, die Passwörter nach ihrer Erstellung gültig sein sollen. Wenn Sie beispielsweise einen Ablaufzeitraum von 90 Tagen angeben, wirkt sich dies sofort auf alle Ihre Benutzer aus. Für Benutzer mit Passwörtern, die älter als 90 Tage sind, müssen sie, wenn sie sich nach der Änderung bei der Konsole anmelden, ein neues Passwort festlegen. Benutzer mit Passwörtern, die zwischen 75 und 89 Tage alt sind, erhalten eine AWS-Managementkonsole Warnung, dass ihr Passwort abläuft. IAM-Benutzer können ihr Passwort jederzeit ändern, wenn sie über eine entsprechende Berechtigung verfügen. Der Ablaufzeitraum beginnt von vorn, sobald ein neues Passwort festgelegt wird. Ein IAM-Benutzer kann immer nur ein gültiges Passwort gleichzeitig haben.
+ Für den **Ablauf des Kennworts ist ein Zurücksetzen durch den Administrator erforderlich** — Wählen Sie diese Option, um AWS-Managementkonsole zu verhindern, dass IAM-Benutzer nach Ablauf des Kennworts ihre eigenen Passwörter aktualisieren. Stellen Sie vor dem Aktivieren dieser Option sicher, dass für das AWS-Konto mehr als ein Benutzer mit Administratorberechtigungen (also mit der Berechtigung zum Zurücksetzen von IAM-Benutzerpasswörtern) existiert. Administratoren mit `iam:UpdateLoginProfile`-Berechtigung können IAM-Benutzer-Passwörter zurücksetzen. IAM-Benutzer mit `iam:ChangePassword`-Berechtigung und aktive Zugriffsschlüssel können ihr eigenes IAM-Benutzer-Konsolenpasswort programmgesteuert zurücksetzen. Wenn Sie dieses Kontrollkästchen deaktivieren, müssen IAM-Benutzer mit abgelaufenen Passwörtern trotzdem ein neues Passwort festlegen, bevor sie auf die AWS-Managementkonsole zugreifen können.
+ **Benutzern erlauben, ihr eigenes Passwort zu ändern** – Sie können allen IAM-Benutzern in Ihrem Konto die Berechtigung gewähren ihr eigenes Passwort zu ändern. Dadurch erhalten Benutzer Zugriff auf die `iam:ChangePassword`-Aktion nur für ihren Benutzer und auf die `iam:GetAccountPasswordPolicy`-Aktion. Mit dieser Option wird nicht jedem Benutzer eine Berechtigungsrichtlinie zugewiesen. Stattdessen wendet IAM die Berechtigungen auf Kontoebene für alle Benutzer an. Sie können alternativ auch nur ausgewählten Benutzern die Berechtigung zum Verwalten ihrer eigenen Passwörter gewähren. Deaktivieren Sie hierzu dieses Kontrollkästchen. Weitere Informationen dazu, wie Sie mithilfe von Richtlinien steuern, welche Benutzer Passwörter verwalten können, finden Sie unter [IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern](id_credentials_passwords_enable-user-change.md).
+ **Wiederverwendung von Passwörtern verhindern** – Sie können verhindern, dass IAM-Benutzer eine bestimmte Anzahl an zuvor verwendeten Passwörtern wiederverwenden. Sie können eine Mindestanzahl von 1 und eine maximale Anzahl von 24 vorherigen Passwörtern angeben, die nicht wiederholt werden können. 

## So legen Sie eine Passwortrichtlinie fest (Konsole)
<a name="IAMPasswordPolicy"></a>

Sie können die verwenden, AWS-Managementkonsole um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, zu ändern oder zu löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM-Benutzer, die nach dieser Richtlinienänderung erstellt werden, und für vorhandene IAM-Benutzer, wenn diese ihre Passwörter ändern.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Wählen Sie im Navigationsbereich **Account Settings (Kontoeinstellungen)**.

1. Wählen Sie im Abschnitt **Password policy (Passwortrichtlinie)** die Option **Edit (Bearbeiten)** aus. 

1. Wählen Sie **Custom (Benutzerdefiniert)**, um eine benutzerdefinierte Passwortrichtlinie zu verwenden.

1. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie **Änderungen speichern**. 

1. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie **Set custom (Benutzerdefiniert festlegen)** wählen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Passwortanforderungen für IAM-Benutzer aktualisiert wurden.

------

## So ändern Sie eine Passwortrichtlinie (Konsole)
<a name="id_credentials_passwords_account-policy-section-1"></a>

Sie können die verwenden, AWS-Managementkonsole um eine benutzerdefinierte Passwortrichtlinie zu erstellen, zu ändern oder zu löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM-Benutzer, die nach dieser Richtlinienänderung erstellt werden, und für vorhandene IAM-Benutzer, wenn diese ihre Passwörter ändern.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Wählen Sie im Navigationsbereich **Account Settings (Kontoeinstellungen)**.

1. Wählen Sie im Abschnitt **Password policy (Passwortrichtlinie)** die Option **Edit (Bearbeiten)** aus. 

1. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie **Änderungen speichern**. 

1. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie **Set custom (Benutzerdefiniert festlegen)** wählen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Passwortanforderungen für IAM-Benutzer aktualisiert wurden.

------

## So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)
<a name="id_credentials_passwords_account-policy-section-2"></a>

Sie können die verwenden, AWS-Managementkonsole um eine benutzerdefinierte Passwortrichtlinie zu erstellen, zu ändern oder zu löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM-Benutzer, die nach dieser Richtlinienänderung erstellt werden, und für vorhandene IAM-Benutzer, wenn diese ihre Passwörter ändern.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Wählen Sie im Navigationsbereich **Account Settings (Kontoeinstellungen)**.

1. Wählen Sie im Abschnitt **Password policy (Passwortrichtlinie)** die Option **Edit (Bearbeiten)** aus. 

1. Wählen Sie **IAM default (IAM-Standard)**, um die benutzerdefinierte Passwortrichtlinie zu löschen, und wählen Sie **Save changes (Änderungen speichern)**.

1. Bestätigen Sie, dass Sie die IAM-Standardrichtlinie für Passwörter festlegen möchten, indem Sie **Set default (Benutzerdefiniert festlegen)** wählen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Passwortrichtlinie auf den IAM-Standard eingestellt ist.

------

## Einrichten einer Passwortrichtlinie (AWS CLI)
<a name="PasswordPolicy_CLI"></a>

Sie können den verwenden AWS Command Line Interface , um eine Passwortrichtlinie festzulegen.

**Um die Passwortrichtlinie für benutzerdefinierte Konten über das zu verwalten AWS CLI**  
Führen Sie die folgenden Befehle aus:
+ So erstellen oder ändern Sie die Richtlinie für benutzerdefinierte Passwörter: [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ So zeigen Sie die Passwortrichtlinie an: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html) 
+ So löschen Sie die Richtlinie für benutzerdefinierte Passwörter: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html) 

## Einrichtung einer Passwortrichtlinie (AWS API)
<a name="PasswordPolicy_API"></a>

Sie können AWS API-Operationen verwenden, um eine Passwortrichtlinie festzulegen.

**Um die Passwortrichtlinie für benutzerdefinierte Konten über die AWS API zu verwalten**  
Rufen Sie die folgenden Operationen auf:
+ So erstellen oder ändern Sie die Richtlinie für benutzerdefinierte Passwörter: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ So zeigen Sie die Passwortrichtlinie an: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 
+ So löschen Sie die Richtlinie für benutzerdefinierte Passwörter: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html) 

# Verwalten von Passwörtern für IAM-Benutzer
<a name="id_credentials_passwords_admin-change-user"></a>

IAM-Benutzer, die den AWS-Managementkonsole für die Arbeit mit AWS Ressourcen verwenden, benötigen ein Passwort, um sich anmelden zu können. Sie können ein Passwort für einen IAM-Benutzer in Ihrem AWS -Konto erstellen, ändern oder löschen. 

Nachdem Sie einem Benutzer ein Passwort zugewiesen haben, kann sich der Benutzer AWS-Managementkonsole mit der Anmelde-URL für Ihr Konto anmelden, die wie folgt aussieht: 

```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```

Weitere Informationen darüber, wie sich IAM-Benutzer bei der anmelden AWS-Managementkonsole, finden Sie unter [So melden Sie sich an AWS im AWS-Anmeldung](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Benutzerhandbuch*. 

Auch wenn Ihre Benutzer ihre eigenen Passwörter haben, benötigen Sie dennoch Berechtigungen für den Zugriff auf Ihre AWS -Ressourcen. Standardmäßig hat ein Benutzer keine Berechtigungen. Um Ihren Benutzern die erforderlichen Berechtigungen zu gewähren, weisen Sie ihnen oder den Gruppen, zu denen sie gehören, Richtlinien zu. Weitere Informationen zum Erstellen von Benutzern und Gruppen finden Sie unter [IAM-Identitäten](id.md). Weitere Informationen zum Verwenden von Richtlinien, um Berechtigungen festzulegen, finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](id_users_change-permissions.md). 

Sie können Benutzern die Berechtigung zuweisen, ihre eigenen Passwörter zu ändern. Weitere Informationen finden Sie unter [IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern](id_credentials_passwords_enable-user-change.md). Weitere Informationen zum Zugriff auf die Anmeldeseite durch Benutzer finden Sie unter [Anmelden bei AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS-Anmeldung -Benutzerhandbuch*. 

**Topics**
+ [Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole)](#id_credentials_passwords_admin-change-user_console)

## Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole)
<a name="id_credentials_passwords_admin-change-user_console"></a>

Sie können den verwenden AWS-Managementkonsole , um Passwörter für Ihre IAM-Benutzer zu verwalten.

Die Zugriffsanforderungen Ihrer Benutzer können sich im Laufe der Zeit ändern. Möglicherweise müssen Sie einem Benutzer, der für den CLI-Zugriff vorgesehen ist, Zugriff auf die Konsole gewähren, das Passwort eines Benutzers ändern, weil er die E-Mail mit seinen Anmeldeinformationen erhält, oder einen Benutzer löschen, wenn er Ihre Organisation verlässt oder keinen AWS Zugriff mehr benötigt. 

### So erstellen Sie ein IAM-Benutzerpasswort (Konsole)
<a name="id_credentials_passwords_admin-change-user-section-1"></a>

Gehen Sie wie folgt vor, um einem Benutzer Konsolenzugriff zu gewähren, indem Sie ein Passwort erstellen, das dem Benutzernamen zugeordnet ist.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie erstellen möchten. 

1. Wählen Sie die Registerkarte **Security credentials (Sicherheitsanmeldeinformationen)** und wählen Sie dann unter **Console sign-in (Konsolenanmeldung)** die Option **Enable console access (Konsolenzugriff aktivieren)** aus.

1. Wählen Sie im Dialogfeld **Konsolenzugriff aktivieren** die Option **Passwort zurücksetzen** aus und legen Sie dann fest, ob IAM ein Passwort generieren oder ein benutzerdefiniertes Passwort erstellen soll: 
   + Wenn IAM ein Passwort generieren soll, wählen Sie **Automatisch generiertes Passwort**.
   + Wenn ein benutzerdefiniertes Passwort erstellt werden soll, wählen Sie **Custom password (Benutzerdefiniertes Passwort)** aus und geben Sie das Passwort ein. 
**Anmerkung**  
Das von Ihnen erstellte Passwort muss den [Passwortrichtlinie](id_credentials_passwords_account-policy.md) des Kontos entsprechen.

1. Um vom Benutzer zu verlangen, bei der Anmeldung ein neues Passwort zu erstellen, wählen Sie **Passwort-Änderung bei der nächsten Anmeldung anfordern** aus. 

1. Um den Benutzer zur sofortigen Verwendung des neuen Passworts aufzufordern, wählen Sie **Aktive Konsolensitzungen widerrufen** aus. Dadurch wird dem IAM-Benutzer eine Inline-Richtlinie zugewiesen, die dem Benutzer den Zugriff auf Ressourcen verweigert, wenn seine Anmeldeinformationen älter sind als die in der Richtlinie angegebene Zeit.

1. Wählen Sie **Passwort zurücksetzen**

1. Das Dialogfeld **Konsolenpasswort** informiert Sie darüber, dass Sie das neue Passwort des Benutzers aktiviert haben. Um das Passwort anzuzeigen, damit Sie es dem Benutzer mitteilen können, wählen Sie **Anzeigen** im Dialogfeld **Konsolenpasswort**. Wählen Sie **CSV-Datei herunterladen** aus, um eine Datei mit den Anmeldeinformationen des Benutzers herunterzuladen.
**Wichtig**  
Aus Sicherheitsgründen können Sie nach Ausführen dieses Schritts nicht auf das Passwort zugreifen, Sie können jedoch jederzeit ein neues Passwort erstellen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Konsolenzugriff aktiviert wurde.

------

### So ändern Sie das Passwort für einen IAM-Benutzer (Konsole)
<a name="id_credentials_passwords_admin-change-user-section-2"></a>

Gehen Sie wie folgt vor, um ein dem Benutzernamen zugeordnetes Passwort zu aktualisieren.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie ändern möchten. 

1. Wählen Sie die Registerkarte **Security credentials (Sicherheitsanmeldeinformationen)** und wählen Sie dann unter **Console sign-in (Konsolenanmeldung)** die Option **Manage console access (Konsolenzugriff verwalten)** aus.

1. Wählen Sie im Dialogfeld **Konsolenzugriff verwalten** die Option **Passwort zurücksetzen** aus und legen Sie dann fest, ob IAM ein Passwort generieren oder ein benutzerdefiniertes Passwort erstellen soll: 
   + Wenn IAM ein Passwort generieren soll, wählen Sie **Automatisch generiertes Passwort**.
   + Wenn ein benutzerdefiniertes Passwort erstellt werden soll, wählen Sie **Custom password (Benutzerdefiniertes Passwort)** aus und geben Sie das Passwort ein. 
**Anmerkung**  
Das von Ihnen erstellte Passwort muss den [Passwortrichtlinie](id_credentials_passwords_account-policy.md) des Kontos entsprechen.

1. Um vom Benutzer zu verlangen, bei der Anmeldung ein neues Passwort zu erstellen, wählen Sie **Passwort-Änderung bei der nächsten Anmeldung anfordern** aus. 

1. Um den Benutzer zur sofortigen Verwendung des neuen Passworts aufzufordern, wählen Sie **Aktive Konsolensitzungen widerrufen** aus. Dadurch wird dem IAM-Benutzer eine Inline-Richtlinie zugewiesen, die dem Benutzer den Zugriff auf Ressourcen verweigert, wenn seine Anmeldeinformationen älter sind als die in der Richtlinie angegebene Zeit.

1. Wählen Sie **Passwort zurücksetzen**

1. Das Dialogfeld **Konsolenpasswort** informiert Sie darüber, dass Sie das neue Passwort des Benutzers aktiviert haben. Um das Passwort anzuzeigen, damit Sie es dem Benutzer mitteilen können, wählen Sie **Anzeigen** im Dialogfeld **Konsolenpasswort**. Wählen Sie **CSV-Datei herunterladen** aus, um eine Datei mit den Anmeldeinformationen des Benutzers herunterzuladen.
**Wichtig**  
Aus Sicherheitsgründen können Sie nach Ausführen dieses Schritts nicht auf das Passwort zugreifen, Sie können jedoch jederzeit ein neues Passwort erstellen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Konsolenzugriff aktualisiert wurde.

------

### So löschen (deaktivieren) Sie das Passwort eines IAM-Benutzers (Konsole)
<a name="id_credentials_passwords_admin-change-user-section-3"></a>

Gehen Sie wie folgt vor, um ein dem Benutzernamen zugeordnetes Passwort zu löschen und dem Benutzer den Konsolenzugriff zu entziehen.

**Wichtig**  
Sie können verhindern, dass ein IAM-Benutzer auf die zugreift, AWS-Managementkonsole indem Sie sein Passwort entfernen. Dadurch wird verhindert, dass sie sich AWS-Managementkonsole mit ihren Anmeldeinformationen bei der anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Tools für Windows PowerShell, die AWS API oder die AWS Console Mobile Application.

------
#### [ Console ]

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt [So melden Sie sich bei AWS an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS -Anmelde-Benutzerhandbuch* beschrieben.

1. Geben Sie auf der **Startseite der IAM-Konsole** im linken Navigationsbereich Ihre Abfrage in das Textfeld **IAM suchen** ein.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie löschen möchten. 

1. Wählen Sie die Registerkarte **Security credentials (Sicherheitsanmeldeinformationen)** und wählen Sie dann unter **Console sign-in (Konsolenanmeldung)** die Option **Manage console access (Konsolenzugriff verwalten)** aus.

1. Um den Benutzer aufzufordern, die Verwendung der Konsole sofort zu beenden, wählen Sie **Aktive Konsolensitzungen widerrufen** aus. Dadurch wird dem IAM-Benutzer eine Inline-Richtlinie zugewiesen, die dem Benutzer den Zugriff auf Ressourcen verweigert, wenn seine Anmeldeinformationen älter sind als die in der Richtlinie angegebene Zeit.

1. Wählen Sie **Zugriff deaktivieren**

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Konsolenzugriff deaktiviert wurde.

------

### Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (AWS CLI)
<a name="Using_ManagingPasswordsCLIAPI"></a>

Sie können die AWS CLI API verwenden, um Passwörter für Ihre IAM-Benutzer zu verwalten.

**So erstellen Sie ein Passwort (AWS CLI)**

1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) iam get-login-profile

1. Führen Sie diesen Befehl aus, um ein Passwort zu erstellen: [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html) iam create-login-profile

**So ändern Sie das Passwort eines Benutzers (AWS CLI)**

1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) iam get-login-profile

1. Um ein Passwort zu ändern, führen Sie diesen Befehl aus: [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html) iam update-login-profile

**So löschen (deaktivieren) Sie das Passwort eines Benutzers (AWS CLI)**

1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html) iam get-login-profile

1. (Optional) Um zu ermitteln, wann ein Passwort zuletzt verwendet wurde, führen Sie diesen Befehl aus: [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)

1. Um ein Passwort zu löschen, führen Sie diesen Befehl aus: [aws](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html) iam delete-login-profile

**Wichtig**  
Wenn Sie das Passwort eines Benutzers löschen, kann sich dieser nicht mehr bei der AWS-Managementkonsole anmelden. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Funktionsaufrufen Tools für Windows PowerShell oder AWS API. Wenn Sie die AWS CLI Tools für Windows oder die AWS API verwenden PowerShell, um einen Benutzer aus Ihrem zu löschen AWS-Konto, müssen Sie zuerst das Passwort mithilfe dieses Vorgangs löschen. Weitere Informationen finden Sie unter [Löschen eines IAM-Benutzers (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**So widerrufen Sie die aktiven Konsolensitzungen eines Benutzers vor einer bestimmten Zeit (AWS CLI)**

1. [Um eine Inline-Richtlinie einzubetten, die die aktiven Konsolensitzungen eines IAM-Benutzers vor einem bestimmten Zeitpunkt widerruft, verwenden Sie die folgende Inline-Richtlinie und führen Sie diesen Befehl aus: aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

   Diese Inline-Richtlinie verweigert sämtliche Berechtigungen und schließt den Bedingungsschlüssel `aws:TokenIssueTime` ein. Es widerruft die aktiven Konsolensitzungen des Benutzers vor der im `Condition`-Element der Inline-Richtlinie angegebenen Zeit. Ersetzen Sie den Bedingungsschlüsselwert `aws:TokenIssueTime` durch Ihren eigenen Wert.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. [(Optional) Um die Namen der im IAM-Benutzer eingebetteten Inline-Richtlinien aufzulisten, führen Sie diesen Befehl aus: aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)

1. [(Optional) Um die benannte Inline-Richtlinie anzuzeigen, die in den IAM-Benutzer eingebettet ist, führen Sie diesen Befehl aus: aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)

### Ein IAM-Benutzerkennwort (API) erstellen, ändern oder löschen AWS
<a name="Using_ManagingPasswordsAPI"></a>

Sie können die AWS API verwenden, um Passwörter für Ihre IAM-Benutzer zu verwalten.

**Um ein Passwort (AWS API) zu erstellen**

1. (Optional) Rufen Sie diesen Vorgang auf, um festzustellen, ob ein Benutzer ein Passwort hat: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Rufen Sie diesen Vorgang auf, um ein Passwort zu erstellen: [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

**Um das Passwort eines Benutzers zu ändern (AWS API)**

1. (Optional) Rufen Sie diesen Vorgang auf, um festzustellen, ob ein Benutzer ein Passwort hat: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. Rufen Sie diesen Vorgang auf, um ein Passwort zu ändern: [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)

**Um das Passwort (AWS API) eines Benutzers zu löschen (zu deaktivieren)**

1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)

1. (Optional) Um festzustellen, wann ein Passwort zuletzt verwendet wurde, führen Sie diesen Befehl aus: [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)

1. Führen Sie diesen Befehl aus, um ein Passwort zu löschen: [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)

**Wichtig**  
Wenn Sie das Passwort eines Benutzers löschen, kann sich dieser nicht mehr bei der AWS-Managementkonsole anmelden. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Funktionsaufrufen Tools für Windows PowerShell oder AWS API. Wenn Sie die AWS CLI Tools für Windows oder die AWS API verwenden PowerShell, um einen Benutzer aus Ihrem zu löschen AWS-Konto, müssen Sie zuerst das Passwort mithilfe dieses Vorgangs löschen. Weitere Informationen finden Sie unter [Löschen eines IAM-Benutzers (AWS CLI)](id_users_remove.md#id_users_deleting_cli). 

**Um die aktiven Konsolensitzungen eines Benutzers vor einem bestimmten Zeitpunkt zu widerrufen (AWS API)**

1. Um eine Inline-Richtlinie einzubetten, die die aktiven Konsolensitzungen eines IAM-Benutzers vor einem bestimmten Zeitpunkt widerruft, verwenden Sie die folgende Inline-Richtlinie und führen Sie diesen Befehl aus: [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

   Diese Inline-Richtlinie verweigert sämtliche Berechtigungen und schließt den Bedingungsschlüssel `aws:TokenIssueTime` ein. Es widerruft die aktiven Konsolensitzungen des Benutzers vor der im `Condition`-Element der Inline-Richtlinie angegebenen Zeit. Ersetzen Sie den Bedingungsschlüsselwert `aws:TokenIssueTime` durch Ihren eigenen Wert.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Deny",
       "Action": "*",
       "Resource": "*",
       "Condition": {
         "DateLessThan": {
           "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
         }
       }
     }
   }
   ```

------

1. (Optional) Führen Sie diesen Befehl aus, um die Namen der im IAM-Benutzer eingebetteten Inline-Richtlinien aufzulisten: [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)

1. (Optional) Führen Sie den folgenden Befehl aus, um die benannte Inline-Richtlinie anzuzeigen, die in den IAM-Benutzer eingebettet ist: [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)

# IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern
<a name="id_credentials_passwords_enable-user-change"></a>

**Anmerkung**  
Benutzer mit Verbundidentitäten verwenden den von ihrem Identitätsanbieter definierten Prozess, um ihre Passwörter zu ändern. Als [bewährte Methode sollten](best-practices.md) menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden.

Sie können IAM-Benutzern die Berechtigung gewähren, ihr eigenes Passwort für die Anmeldung bei der AWS-Managementkonsole zu ändern. Dafür stehen Ihnen zwei Optionen zur Verfügung:
+ [Gewähren Sie allen IAM-Benutzern im Konto die Berechtigung, ihr eigenes Passwort zu ändern](#proc_letalluserschangepassword). 
+ [Gewähren Sie nur ausgewählten IAM-Benutzern, ihr eigenes Passwort zu ändern](#proc_letselectuserschangepassword). In diesem Szenario deaktivieren Sie die Option für alle Benutzer, ihre eigenen Passwörter zu ändern, und Sie verwenden eine IAM-Richtlinie, um nur einigen Benutzern Berechtigungen zu gewähren. Dieser Ansatz ermöglicht es diesen Benutzern, ihre eigenen Passwörter und optional andere Anmeldeinformationen wie ihre eigenen Zugriffsschlüssel zu ändern. 

**Wichtig**  
Wir empfehlen, dass Sie eine [benutzerdefinierte Passwortrichtlinie](id_credentials_passwords_account-policy.md) festlegen, nach der IAM-Benutzer sichere Passwörter erstellen müssen.

## So ermöglichen Sie allen IAM-Benutzern, ihr eigenes Passwort zu ändern
<a name="proc_letalluserschangepassword"></a>

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Kontoeinstellungen**.

1. Wählen Sie im Abschnitt **Password policy (Passwortrichtlinie)** die Option **Edit (Bearbeiten)** aus.

1. Wählen Sie **Custom (Benutzerdefiniert)**, um eine benutzerdefinierte Passwortrichtlinie zu verwenden.

1. Wählen Sie **Allow users to change their own password** (Benutzern erlauben, ihr eigenes Passwort zu ändern), und dann **Save changes** (Änderungen speichern). Dadurch haben alle Benutzer im Konto Zugriff auf die `iam:ChangePassword`-Aktion nur für ihren Benutzer und auf die `iam:GetAccountPasswordPolicy`-Aktion.

1. Geben Sie Benutzern die folgenden Anweisungen zum Ändern ihrer Passwörter: [Wie ein IAM-Benutzer sein eigenes Passwort ändert](id_credentials_passwords_user-change-own.md). 

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`

------
#### [ API ]

Zum Erstellen eines Alias für die URL der AWS-Managementkonsole -Anmeldeseite rufen Sie die folgende Operation auf:
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)` 

------

## So ermöglichen Sie es ausgewählten IAM-Benutzern, ihr eigenes Passwort zu ändern
<a name="proc_letselectuserschangepassword"></a>

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Kontoeinstellungen**. 

1. Stellen Sie im Bereich **Kontoeinstellungen** sicher, dass die Option **Benutzern erlauben, ihr eigenes Passwort zu ändern** deaktiviert ist. Wenn dieses Kontrollkästchen aktiviert ist, können alle Benutzer ihre eigenen Passwörter ändern. (siehe vorheriger Abschnitt). 

1. Erstellen Sie gegebenenfalls die Benutzer, die ihr eigenes Passwort ändern dürfen. Details hierzu finden Sie unter [Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto](id_users_create.md). 

1. (Optional) Erstellen Sie eine IAM-Gruppe für die Benutzer, die ihr Passwort ändern dürfen, und fügen Sie die Benutzer aus dem vorherigen Schritt der Gruppe hinzu. Details hierzu finden Sie unter [IAM-Benutzergruppen](id_groups.md). 

1. Weisen Sie der Gruppe die folgende Richtlinie zu. Weitere Informationen finden Sie unter [Verwalten von IAM-Richtlinien](access_policies_manage.md).

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:GetAccountPasswordPolicy",
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": "iam:ChangePassword",
         "Resource": "arn:aws:iam::*:user/${aws:username}"
       }
     ]
   }
   ```

------

   Diese Richtlinie gewährt Zugriff auf die [ChangePassword](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)Aktion, mit der Benutzer nur ihre eigenen Passwörter über die Konsole AWS CLI, die Tools für Windows PowerShell oder die API ändern können. Sie gewährt auch Zugriff auf die [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)Aktion, mit der der Benutzer die aktuelle Kennwortrichtlinie einsehen kann. Diese Berechtigung ist erforderlich, damit der Benutzer die Kontokennwortrichtlinie auf der Seite **Passwort ändern** einsehen kann. Benutzer müssen die aktuelle Passwortrichtlinie lesen können, um sicherzustellen, dass das neue Passwort den Anforderungen der Richtlinie entspricht.

1. Geben Sie Benutzern die folgenden Anweisungen zum Ändern ihrer Passwörter: [Wie ein IAM-Benutzer sein eigenes Passwort ändert](id_credentials_passwords_user-change-own.md). 

------

### Weitere Informationen
<a name="HowToPwdIAMUser-moreinfo"></a>

Weitere Informationen zum Verwalten von Anmeldeinformationen finden Sie in den folgenden Themen:
+ [IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern](#id_credentials_passwords_enable-user-change) 
+ [Benutzerpasswörter in AWS](id_credentials_passwords.md)
+ [Konto-Passwortrichtlinie für IAM-Benutzer festlegen](id_credentials_passwords_account-policy.md)
+ [Verwalten von IAM-Richtlinien](access_policies_manage.md)
+ [Wie ein IAM-Benutzer sein eigenes Passwort ändert](id_credentials_passwords_user-change-own.md)

# Wie ein IAM-Benutzer sein eigenes Passwort ändert
<a name="id_credentials_passwords_user-change-own"></a>

Wenn Ihnen die Erlaubnis erteilt wurde, Ihr eigenes IAM-Benutzerkennwort zu ändern, können Sie AWS-Managementkonsole dazu eine spezielle Seite in der verwenden. Sie können auch die AWS API AWS CLI oder verwenden.

**Topics**
+ [Erforderliche Berechtigungen](#change-own-passwords-permissions-required)
+ [Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)](#ManagingUserPwdSelf-Console)
+ [Wie ändern IAM-Benutzer ihr eigenes Passwort (AWS CLI oder ihre AWS API)](#ManagingUserPwdSelf-CLIAPI)

## Erforderliche Berechtigungen
<a name="change-own-passwords-permissions-required"></a>

Um das Passwort für Ihren eigenen IAM-Benutzer zu ändern, benötigen Sie die Berechtigungen von der folgenden Richtlinie: [AWS: Ermöglicht es IAM-Benutzern, ihr eigenes Konsolenpasswort auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).

## Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole)
<a name="ManagingUserPwdSelf-Console"></a>

Das folgende Verfahren beschreibt, wie IAM-Benutzer das verwenden können AWS-Managementkonsole , um ihr eigenes Passwort zu ändern.

**So ändern Sie Ihr eigenes IAM-Benutzer-Passwort (Konsole)**

1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [IAM-Konsole](https://console.aws.amazon.com/iam) anzumelden.
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Registerkarte **AWS -IAM-Anmeldeinformationen** die Option **Passwort aktualisieren** aus.

1. Geben Sie unter **Current Password (Aktuelles Passwort)** Ihr aktuelles Passwort ein. Geben Sie in den Feldern **New Passwort (Neues Passwort)** und **Confirm new password (Neues Passwort bestätigen)** ein neues Passwort ein. Klicken Sie dann auf **Passwort ändern**.
**Anmerkung**  
Wenn das Konto über eine Passwortrichtlinie verfügt, muss das neue Passwort die Anforderungen dieser Richtlinie erfüllen. Weitere Informationen finden Sie unter [Konto-Passwortrichtlinie für IAM-Benutzer festlegen](id_credentials_passwords_account-policy.md). 

## Wie ändern IAM-Benutzer ihr eigenes Passwort (AWS CLI oder ihre AWS API)
<a name="ManagingUserPwdSelf-CLIAPI"></a>

Das folgende Verfahren beschreibt, wie IAM-Benutzer die AWS CLI AWS OR-API verwenden können, um ihr eigenes Passwort zu ändern.

**Ändern Sie Ihr IAM-Passwort wie folgt:**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)

# Verwalten von Zugriffsschlüsseln für IAM-Benutzer
<a name="id_credentials_access-keys"></a>

**Wichtig**  
Als [bewährte Methode](best-practices.md) empfiehlt es sich, temporäre Sicherheitsanmeldeinformationen (z. B. IAM-Rollen) zu verwenden, anstatt langfristige Anmeldeinformationen wie Zugriffsschlüssel zu erstellen. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die [Alternativen zu Langzeit-Zugriffsschlüsseln](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Zugriffsschlüssel sind langfristige Anmeldeinformationen für einen IAM-Benutzer oder Root-Benutzer des AWS-Kontos. Sie können Zugriffsschlüssel verwenden, um programmatische Anfragen an die AWS API AWS CLI oder zu signieren (direkt oder mithilfe des AWS SDK). Weitere Informationen finden Sie unter [Programmgesteuerter Zugriff mit AWS Sicherheitsanmeldedaten](security-creds-programmatic-access.md).

Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID (z. B. `AKIAIOSFODNN7EXAMPLE`) und einem geheimen Zugriffsschlüssel (z. B. `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Sie müssen die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zusammen verwenden, um Ihre Anforderungen zu authentifizieren.



Speichern Sie beim Erstellen eines Zugriffsschlüsselpaars die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort. Der geheime Zugriffsschlüssel kann nur zum Zeitpunkt seiner Erstellung abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie den Zugriffsschlüssel löschen und einen neuen erstellen. Weitere Anweisungen finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md).

Sie können maximal zwei Zugriffsschlüssel pro Benutzer besitzen.

**Wichtig**  
IAM-Benutzer mit Zugriffsschlüsseln sind ein Sicherheitsrisiko für Konten. Verwalten Sie Ihre Zugriffsschlüssel auf sichere Weise. Geben Sie Ihre Zugangsschlüssel nicht an Unbefugte weiter, auch nicht, um [Ihre Kontokennungen zu finden](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Dadurch kann eine Person permanenten Zugriff auf Ihr Konto erlangen.  
Beachten Sie beim Arbeiten mit Zugriffsschlüsseln Folgendes:  
Verwenden Sie **NICHT** die Root-Anmeldeinformationen Ihres Kontos, um Zugriffsschlüssel zu erstellen.
Fügen Sie **KEINE** Zugriffsschlüssel oder Anmeldeinformationen in Ihre Anwendungsdateien ein. 
Fügen Sie Ihrem Projektbereich **KEINE** Dateien hinzu, die Zugriffsschlüssel oder Anmeldeinformationen enthalten.
Zugriffsschlüssel oder Anmeldeinformationen, die in der Datei mit den gemeinsamen AWS Anmeldeinformationen gespeichert sind, werden im Klartext gespeichert.

## Empfehlungen zur Überwachung
<a name="monitor-access-keys"></a>

Nach Erstellung der Zugriffsschlüssel:
+ Wird verwendet AWS CloudTrail , um die Verwendung von Zugriffsschlüsseln zu überwachen und unbefugte Zugriffsversuche zu erkennen. Weitere Informationen finden Sie unter [Protokollierung von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail](cloudtrail-integration.md).
+ Richten Sie CloudWatch Alarme ein, um Administratoren über verweigerte Zugriffsversuche zu benachrichtigen und so böswillige Aktivitäten zu erkennen. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Überprüfen, aktualisieren und löschen Sie Zugriffsschlüssel regelmäßig je nach Bedarf.

In den folgenden Themen werden die Verwaltungsaufgaben im Zusammenhang mit Zugriffsschlüsseln detailliert beschrieben.

**Topics**
+ [Empfehlungen zur Überwachung](#monitor-access-keys)
+ [Steuern der Verwendung von Zugriffsschlüsseln durch das Anhängen einer Inline-Richtlinie an einen IAM-Benutzer](access-keys_inline-policy.md)
+ [Erforderliche Berechtigungen zum Verwalten von Zugriffsschlüsseln](access-keys_required-permissions.md)
+ [So können IAM-Benutzer ihre eigenen Zugriffsschlüssel verwalten](access-key-self-managed.md)
+ [So kann ein IAM-Administrator IAM-Benutzer-Zugriffsschlüssel verwalten](access-keys-admin-managed.md)
+ [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md)
+ [Zugriffsschlüssel sichern](securing_access-keys.md)

# Steuern der Verwendung von Zugriffsschlüsseln durch das Anhängen einer Inline-Richtlinie an einen IAM-Benutzer
<a name="access-keys_inline-policy"></a>

Als bewährte Vorgehensweise empfehlen wir, dass [Workloads temporäre Anmeldeinformationen mit IAM-Rollen](best-practices.md#bp-workloads-use-roles) verwenden, um auf AWS zuzugreifen. IAM-Benutzern mit Zugriffsschlüsseln sollte die geringste Berechtigung zugewiesen und die [Multi-Faktor-Authentifizierung (MFA)](id_credentials_mfa.md) aktiviert werden. Weitere Informationen zum Übernehmen von IAM-Rollen finden Sie unter [Methoden, um eine Rolle zu übernehmen](id_roles_manage-assume.md).

Wenn Sie jedoch einen Proof-of-Concept-Test für eine Serviceautomatisierung oder einen anderen kurzfristigen Anwendungsfall erstellen und sich dafür entscheiden, Workloads mit einem IAM-Benutzer mit Zugriffsschlüsseln auszuführen, empfehlen wir Ihnen, [Richtlinienbedingungen zu verwenden, um den Zugriff auf die Anmeldeinformationen des IAM-Benutzers weiter einzuschränken](best-practices.md#use-policy-conditions).

In diesem Fall können Sie entweder eine zeitlich begrenzte Richtlinie erstellen, die die Anmeldeinformationen nach Ablauf der angegebenen Zeit ablaufen lässt, oder, wenn Sie einen Workload aus einem sicheren Netzwerk ausführen, eine IP-Einschränkungsrichtlinie verwenden.

Für beide Anwendungsfälle können Sie eine Inline-Richtlinie verwenden, die dem IAM-Benutzer mit Zugriffsschlüsseln zugeordnet ist.

**So konfigurieren Sie eine zeitgebundene Richtlinie für einen IAM-Benutzer**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich die Option **Benutzer** und dann den Benutzer für den kurzfristigen Anwendungsfall aus. Wenn Sie den Benutzer noch nicht erstellt haben, können Sie [das jetzt tun](getting-started-workloads.md).

1. Wählen Sie auf der Seite mit den **Details** den Tab **Berechtigungen** aus.

1. Wählen Sie **Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.

1. Wählen Sie im Bereich **Richtlinien-Editor** **JSON** aus, um den JSON-Editor anzuzeigen.

1. Geben Sie im JSON-Editor die folgende Richtlinie ein und ersetzen Sie den Wert für den `aws:CurrentTime`-Zeitstempel durch das gewünschte Ablaufdatum und die gewünschte Uhrzeit:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Diese Richtlinie verwendet den `Deny`-Effekt, um alle Aktionen für alle Ressourcen nach dem angegebenen Datum einzuschränken. Die `DateGreaterThan`-Bedingung vergleicht die aktuelle Uhrzeit mit dem von Ihnen festgelegten Zeitstempel.

1. Wählen Sie **Next (Weiter)**, um mit der Seite **Review and create (Überprüfen und erstellen)** fortzufahren. Geben Sie in den **Richtliniendetails** unter **Richtlinienname** einen Namen für die Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.

Nachdem die Richtlinie erstellt wurde, wird sie auf dem Tab **Berechtigungen** für den Benutzer angezeigt. Wenn die aktuelle Zeit größer oder gleich der in der Richtlinie angegebenen Zeit ist, hat der Benutzer keinen Zugriff mehr auf AWS Ressourcen. Informieren Sie die Workload-Entwickler unbedingt über das Ablaufdatum, das Sie für diese Zugriffsschlüssel angegeben haben. 

**So konfigurieren Sie eine IP-Einschränkungsrichtlinie für einen IAM-Benutzer**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich die Option **Benutzer** und dann den Benutzer aus, der den Workload vom sicheren Netzwerk aus ausführen soll. Wenn Sie den Benutzer noch nicht erstellt haben, können Sie [das jetzt tun](getting-started-workloads.md).

1. Wählen Sie auf der Seite mit den **Details** den Tab **Berechtigungen** aus.

1. Wählen Sie **Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.

1. Wählen Sie im Bereich **Richtlinien-Editor** **JSON** aus, um den JSON-Editor anzuzeigen.

1. Kopieren Sie die folgende IAM-Richtlinie in den JSON-Editor und ändern Sie die öffentlichen IPv6 Adressen IPv4 oder Bereiche nach Ihren Bedürfnissen. Sie können [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)verwenden, um Ihre aktuelle öffentliche IP-Adresse zu ermitteln. Sie können einzelne IP-Adressen oder IP-Adressbereiche mithilfe der Schrägstrichnotation angeben. Weitere Informationen finden Sie unter [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**Anmerkung**  
Die IP-Adressen dürfen nicht durch ein VPN oder einen Proxyserver verschleiert werden.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   In diesem Richtlinienbeispiel wird die Verwendung der Zugriffsschlüssel eines IAM-Benutzers mit dieser Richtlinie verweigert, es sei denn, die Anfrage stammt von den Netzwerken (angegeben in der CIDR-Notation) „203.0.113.0/24“, „2001:: 1234:5678DB8: :/64“ oder der spezifischen IP-Adresse „203.0.114.1“ 

1. Wählen Sie **Next (Weiter)**, um mit der Seite **Review and create (Überprüfen und erstellen)** fortzufahren. Geben Sie in den **Richtliniendetails** unter **Richtlinienname** einen Namen für die Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.

Nachdem die Richtlinie erstellt wurde, wird sie auf dem Tab **Berechtigungen** für den Benutzer angezeigt. 

Sie können diese Richtlinie auch als Service Control Policy (SCP) auf mehrere AWS Konten anwenden. Wir empfehlen AWS Organizations, eine zusätzliche Bedingung `aws:PrincipalArn` zu verwenden, damit diese Richtlinienerklärung nur für IAM-Benutzer innerhalb der AWS Konten gilt, die diesem SCP unterliegen. Die folgende Richtlinie beinhaltet dieses Update:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Erforderliche Berechtigungen zum Verwalten von Zugriffsschlüsseln
<a name="access-keys_required-permissions"></a>

**Anmerkung**  
`iam:TagUser` ist eine optionale Berechtigung zum Hinzufügen und Bearbeiten von Beschreibungen für den Zugriffsschlüssel. Weitere Informationen finden Sie unter [Markieren von IAM-Benutzern](id_tags_users.md).

Um Zugriffsschlüssel für Ihren eigenen IAM-Benutzer zu erstellen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Um Zugriffsschlüssel für Ihren eigenen IAM-Benutzer zu aktualisieren, müssen Sie über die Berechtigungen der folgenden Richtlinie verfügen:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# So können IAM-Benutzer ihre eigenen Zugriffsschlüssel verwalten
<a name="access-key-self-managed"></a>

IAM-Administratoren können IAM-Benutzern die Berechtigung zur Selbstverwaltung ihrer Zugriffsschlüssel gewähren, indem sie die in [Erforderliche Berechtigungen zum Verwalten von Zugriffsschlüsseln](access-keys_required-permissions.md) beschriebene Richtlinie anfügen.

Mit diesen Berechtigungen können IAM-Benutzer die folgenden Verfahren verwenden, um die mit ihrem Benutzernamen verknüpften Zugriffsschlüssel zu erstellen, zu aktivieren, zu deaktivieren und zu löschen.

**Topics**
+ [Erstellen eines eigenen Zugriffsschlüssels (Konsole)](#Using_CreateAccessKey)
+ [Deaktivierung Ihres Zugriffsschlüssels (Konsole)](#deactivate-access-key-seccreds)
+ [Aktivierung Ihres Zugriffsschlüssels (Konsole)](#activate-access-key-seccreds)
+ [Löschen Ihres Zugriffsschlüssels (Konsole)](#delete-access-key-seccreds)

## Erstellen eines eigenen Zugriffsschlüssels (Konsole)
<a name="Using_CreateAccessKey"></a>

Wenn Ihnen die entsprechenden Berechtigungen erteilt wurden, können Sie diese verwenden AWS-Managementkonsole , um Zugriffsschlüssel für sich selbst zu erstellen.

**So erstellen Sie Ihre eigenen Zugriffsschlüssel (Konsole)**

1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [IAM-Konsole](https://console.aws.amazon.com/iam) anzumelden.
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie im Abschnitt **Zugriffsschlüssel** die Option **Zugriffsschlüssel erstellen** aus. Wenn Sie bereits über zwei Zugriffsschlüssel verfügen, ist diese Schaltfläche deaktiviert und Sie müssen einen Zugriffsschlüssel löschen, bevor Sie einen neuen erstellen können.

1. Wählen Sie auf der Seite **Access key best practices & alternatives (Bewährte Methoden und Alternativen zu Zugriffsschlüsseln)** Ihren Anwendungsfall aus, um mehr über zusätzliche Optionen zu erfahren, mit denen Sie die Erstellung eines langfristigen Zugriffsschlüssels vermeiden können. Wenn Sie feststellen, dass für Ihren Anwendungsfall immer noch ein Zugriffsschlüssel erforderlich ist, wählen Sie **Other (Andere)** und dann **Next (Weiter)**.

1. (Optional) Legen Sie einen Beschreibungs-Tag-Wert für den Zugriffsschlüssel fest. Dadurch wird Ihrem IAM-Benutzer ein Tag-Schlüssel/Wert-Paar hinzugefügt. Auf diese Weise können Sie Zugriffsschlüssel leichter identifizieren und aktualisieren. Der Tag-Schlüssel ist auf die Zugriffsschlüssel-ID festgelegt. Der Tag-Wert ist auf die von Ihnen angegebene Beschreibung des Zugriffsschlüssels festgelegt. Wenn Sie fertig sind, wählen Sie **Create access key (Zugriffsschlüssel erstellen)** aus.

1. Wählen Sie auf der Seite **Retrieve access keys (Zugriffsschlüssel abrufen)** entweder **Show (Anzeigen)**, um den Wert des geheimen Zugriffsschlüssels Ihres Benutzers anzuzeigen, oder **Download .csv file (CSV-Datei herunterladen)**. Das ist Ihre einzige Gelegenheit, Ihren geheimen Zugriffsschlüssel zu speichern. Nachdem Sie Ihren geheimen Zugriffsschlüssel an einem sicheren Ort gespeichert haben, wählen Sie **Done (Fertig)** aus.

## Deaktivierung Ihres Zugriffsschlüssels (Konsole)
<a name="deactivate-access-key-seccreds"></a>

Wenn Ihnen die entsprechenden Berechtigungen erteilt wurden, können Sie den verwenden AWS-Managementkonsole , um Ihren Zugriffsschlüssel zu deaktivieren.

**So deaktivieren Sie einen Zugriffsschlüssel**

1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [IAM-Konsole](https://console.aws.amazon.com/iam) anzumelden.
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Suchen Sie im Abschnitt **Access keys (Zugriffsschlüssel)** nach dem Schlüssel, den Sie deaktivieren möchten, und wählen Sie dann **Actions (Aktionen)** und anschließend **Deactivate (Deaktivieren)**. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Deaktivieren** aus. Ein deaktivierter Zugriffsschlüssel wird noch immer auf das Limit von zwei Zugriffsschlüsseln angerechnet.

## Aktivierung Ihres Zugriffsschlüssels (Konsole)
<a name="activate-access-key-seccreds"></a>

Wenn Ihnen die entsprechenden Berechtigungen erteilt wurden, können Sie den verwenden AWS-Managementkonsole , um Ihren Zugriffsschlüssel zu aktivieren.

**So aktivieren Sie einen Zugriffsschlüssel**

1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [IAM-Konsole](https://console.aws.amazon.com/iam) anzumelden.
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Suchen Sie im Abschnitt **Access keys (Zugriffsschlüssel)** nach dem Schlüssel, den Sie aktivieren möchten, und wählen Sie dann **Actions (Aktionen)** und anschließend **Activate (Aktivieren)**.

## Löschen Ihres Zugriffsschlüssels (Konsole)
<a name="delete-access-key-seccreds"></a>

Wenn Ihnen die entsprechenden Berechtigungen erteilt wurden, können Sie den verwenden AWS-Managementkonsole , um Ihren Zugriffsschlüssel zu löschen.

**So löschen Sie einen Zugriffsschlüssel, den Sie nicht mehr benötigen**

1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der [IAM-Konsole](https://console.aws.amazon.com/iam) anzumelden.
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Suchen Sie im Abschnitt **Access keys (Zugriffsschlüssel)** nach dem Schlüssel, den Sie löschen möchten, und wählen Sie dann **Actions (Aktionen)** und anschließend **Delete (Löschen)**. Folgen Sie den Anweisungen im Dialogfeld, um zuerst zu **Deactivate (Deaktivieren)** und dann den Löschvorgang zu bestätigen. Sie sollten sich vergewissern, dass der Zugriffsschlüssel wirklich nicht mehr verwendet wird, bevor Sie ihn endgültig löschen.

# So kann ein IAM-Administrator IAM-Benutzer-Zugriffsschlüssel verwalten
<a name="access-keys-admin-managed"></a>

IAM-Administratoren können die einzelnen IAM-Benutzern zugeordneten Zugriffsschlüssel erstellen, aktivieren, deaktivieren und löschen. Sie können auch die IAM-Benutzer im Konto auflisten, die über Zugriffsschlüssel verfügen, und ermitteln, welcher IAM-Benutzer über einen bestimmten Zugriffsschlüssel verfügt.

**Topics**
+ [So erstellen Sie einen Zugriffsschlüssel für einen IAM-Benutzer](#admin-create-access-key)
+ [So deaktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer](#admin-deactivate-access-key)
+ [So aktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer](#admin-activate-access-key)
+ [So löschen Sie einen Zugriffsschlüssel für einen IAM-Benutzer](#admin-delete-access-key)
+ [So listen Sie die Zugriffsschlüssel für einen IAM-Benutzer auf](#admin-list-access-key)
+ [So listen Sie die Zugriffsschlüssel für einen IAM-Benutzer auf](#admin-list-access-key)
+ [Um alle Zugriffsschlüssel IDs für Benutzer in Ihrem Konto anzuzeigen](#admin-list-all-access-keys)
+ [So verwenden Sie eine Zugriffsschlüssel-ID, um einen Benutzer zu finden](#admin-find-user-access-keys)
+ [So finden Sie die letzte Verwendung einer Zugriffsschlüssel-ID](#admin-find-most-recent-use-access-keys)

## So erstellen Sie einen Zugriffsschlüssel für einen IAM-Benutzer
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Wählen Sie auf der Registerkarte **Sicherheits-Anmeldeinformationen** im Abschnitt **Zugriffsschlüssel** die Option **Zugriffsschlüssel erstellen** aus.

   Wenn diese Schaltfläche deaktiviert ist, müssen Sie einen der vorhandenen Schlüssel löschen, bevor Sie einen neuen erstellen können.

1. Sehen Sie sich auf der Seite **Access key best practices & alternatives (Bewährte Methoden und Alternativen zu Zugriffsschlüsseln)** die wichtigsten bewährten Methoden und Alternativen an. Wählen Sie Ihren Anwendungsfall aus, um mehr über zusätzliche Optionen zu erfahren, mit denen Sie die Erstellung eines langfristigen Zugriffsschlüssels vermeiden können.

1. Wenn Sie feststellen, dass für Ihren Anwendungsfall immer noch ein Zugriffsschlüssel erforderlich ist, wählen Sie **Other (Andere)** und dann **Next (Weiter)**.

1. **(Optional)** Auf der Seite **Tag für die Beschreibung festlegen** können Sie dem Zugriffsschlüssel ein Tag für die Beschreibung hinzufügen, um Ihren Zugriffsschlüssel nachzuverfolgen. Wählen Sie **Zugriffsschlüssel erstellen** aus.

1. Wählen Sie auf der Seite **Retrieve access keys (Zugriffsschlüssel abrufen)** **Show (Anzeigen)**, um den Wert des geheimen Zugriffsschlüssels Ihres Benutzers anzuzeigen.

1. Um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel in einer `.csv`-Dateien einem sicheren Ort auf Ihrem Computer zu speichern, wählen Sie die Schaltfläche **Download .csv file (CSV-Datei herunterladen)**.
**Wichtig**  
Dies ist die einzige Gelegenheit, den neu erstellten Zugriffsschlüssel anzuzeigen oder herunterzuladen. Eine Wiederherstellung ist nicht möglich. Achten Sie darauf, Ihren Zugriffsschlüssel sicher aufzubewahren.

Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Ihr Benutzer kann es sofort verwenden.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## So deaktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Wählen Sie auf der Registerkarte **Sicherheits-Anmeldeinformationen** im Abschnitt **Zugriffsschlüssel** das Dropdown-Menü **Aktionen** und dann **Deaktivieren** aus.

1. Bestätigen Sie im Dialogfeld **Deaktivieren**, dass Sie den Zugriffsschlüssel deaktivieren möchten, indem Sie **Deaktivieren** auswählen

Nachdem ein Zugriffsschlüssel deaktiviert wurde, kann er nicht mehr für API-Aufrufe verwendet werden. Sie können ihn bei Bedarf erneut aktivieren.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## So aktivieren Sie einen Zugriffsschlüssel für einen IAM-Benutzer
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Wählen Sie auf der Registerkarte **Sicherheits-Anmeldeinformationen** im Abschnitt **Zugriffsschlüssel** das Dropdown-Menü **Aktionen** und wählen Sie dann **Aktivieren**.

Nachdem ein Zugriffsschlüssel aktiviert wurde, kann er für API-Aufrufe verwendet werden. Bei Bedarf können Sie ihn wieder deaktivieren.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## So löschen Sie einen Zugriffsschlüssel für einen IAM-Benutzer
<a name="admin-delete-access-key"></a>

Wenn Sie einen Zugriffsschlüssel nach der Deaktivierung nicht mehr benötigen, löschen Sie ihn.

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Wählen Sie auf der Registerkarte **Sicherheitsanmeldedaten** im Abschnitt **Zugriffsschlüssel** das Dropdown-Menü **Aktionen** für den inaktiven Zugriffsschlüssel aus und wählen Sie dann **Löschen** aus.

1. Bestätigen Sie im Dialogfeld **Löschen**, dass Sie den Zugriffsschlüssel löschen möchten, indem Sie die Zugriffsschlüssel-ID in das Texteingabefeld eingeben und dann **Löschen** auswählen.

Nachdem ein Zugriffsschlüssel gelöscht wurde, kann er nicht wiederhergestellt werden.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## So listen Sie die Zugriffsschlüssel für einen IAM-Benutzer auf
<a name="admin-list-access-key"></a>

Sie können eine Liste der Zugriffsschlüssel anzeigen, die einem IAM-Benutzer IDs zugeordnet sind. 

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Auf der Registerkarte **Sicherheits-Anmeldeinformationen** werden im Abschnitt **Zugriffsschlüssel** die Zugriffsschlüssel für den Benutzer aufgeführt.

Jeder IAM-Benutzer kann über zwei Zugriffsschlüssel verfügen.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## So listen Sie die Zugriffsschlüssel für einen IAM-Benutzer auf
<a name="admin-list-access-key"></a>

Sie können eine Liste der Zugriffsschlüssel anzeigen, die einem IAM-Benutzer IDs zugeordnet sind. 

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Auf der Registerkarte **Sicherheitsanmeldedaten** werden im Abschnitt **Zugriffsschlüssel** die Zugriffsschlüssel IDs für den Benutzer aufgeführt, einschließlich des Status der einzelnen angezeigten Schlüssel.
**Anmerkung**  
Nur die Zugriffsschlüssel-ID des Benutzers wird angezeigt. Der geheime Zugriffsschlüssel kann nur während der Erstellung des Schlüssels abgerufen werden.

Jeder IAM-Benutzer kann über zwei Zugriffsschlüssel verfügen.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Um alle Zugriffsschlüssel IDs für Benutzer in Ihrem Konto anzuzeigen
<a name="admin-list-all-access-keys"></a>

Sie können eine Liste der Zugriffsschlüssel IDs für Benutzer in Ihrem anzeigen AWS-Konto. 

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

1. Falls erforderlich, fügen Sie die Spalte **Access key ID (Zugriffsschlüssel-ID)** zur Tabelle der Benutzer hinzu, indem Sie die folgenden Schritte ausführen:

   1. Wählen Sie oberhalb der Tabelle ganz rechts das Symbol **Einstellungen** (![\[Preferences icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)) aus.

   1. Aktivieren Sie im Dialogfeld **Einstellungen** unter **Sichtbare Spalten auswählen** die Option **Zugriffstasten-ID**.

   1. Klicken Sie auf **Confirm (Bestätigen)**, um zur Liste der Benutzer zurückzukehren. Die Liste wird aktualisiert und enthält nun die Zugriffsschlüssel-ID.

1. In der Spalte **Zugriffsschlüssel-ID** wird der Status jedes Zugriffsschlüssels gefolgt von seiner ID angezeigt, z. B. **`Active - AKIAIOSFODNN7EXAMPLE`** oder **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Sie können diese Informationen verwenden, um die Zugriffsschlüssel IDs für Benutzer mit einem oder zwei Zugriffsschlüsseln anzuzeigen und zu kopieren. Die Spalte zeigt **`-`** für Benutzer ohne Zugriffsschlüssel an.
**Anmerkung**  
Der geheime Zugriffsschlüssel kann nur während der Erstellung des Schlüssels abgerufen werden.

Jeder IAM-Benutzer kann über zwei Zugriffsschlüssel verfügen.

------

## So verwenden Sie eine Zugriffsschlüssel-ID, um einen Benutzer zu finden
<a name="admin-find-user-access-keys"></a>

Sie können eine Zugriffsschlüssel-ID verwenden, um einen Benutzer in Ihrem AWS-Konto zu finden. 

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Geben Sie im Navigationsbereich im Suchfeld die **Zugriffsschlüssel-ID** ein, z. B. AKIAI44QH8DHBEXAMPLE. 

1. Der IAM-Benutzer, dem die Zugriffsschlüssel-ID zugeordnet ist, wird im Navigationsbereich angezeigt. Wählen Sie den Benutzernamen, um zur Seite mit den Benutzerdetails zu gelangen.

------

## So finden Sie die letzte Verwendung einer Zugriffsschlüssel-ID
<a name="admin-find-most-recent-use-access-keys"></a>

Die letzte Verwendung eines Zugriffsschlüssels wird in der Benutzerliste auf der IAM-Benutzerseite und auf der Benutzerdetailseite angezeigt und ist Teil des Berichts zu den Anmeldeinformationen. 

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. In der Benutzerliste finden Sie die Spalte **Zuletzt verwendeter Zugriffsschlüssel**.

   Wenn die Spalte nicht angezeigt wird, wählen Sie das Symbol **Einstellungen** (![\[Preferences icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)) aus und aktivieren Sie unter **Sichtbare Spalten auswählen** die Option **Zuletzt verwendeter Zugriffsschlüssel**, um die Spalte anzuzeigen.

1. (optional) Wählen Sie im Navigationsbereich unter **Zugriffsberichte** die Option **Bericht zu Anmeldeinformationen** aus, um einen Bericht herunterzuladen, der die Informationen zum zuletzt verwendeten Zugriffsschlüssel für alle IAM-Benutzer in Ihrem Konto enthält.

1. (optional) Wählen Sie den IAM-Benutzer aus, um die Benutzerdetails anzuzeigen. Der Abschnitt **Zusammenfassung** enthält den Zugriffsschlüssel IDs, ihren Status und das Datum der letzten Verwendung.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus:
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Rufen Sie die folgende Operation auf:
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Zugriffsschlüssel aktualisieren
<a name="id-credentials-access-keys-update"></a>

Als [bewährte Sicherheitsmethode](best-practices.md#update-access-keys) empfehlen wir Ihnen, die IAM-Benutzerzugriffsschlüssel bei Bedarf zu aktualisieren, beispielsweise wenn ein Mitarbeiter Ihr Unternehmen verlässt. IAM-Benutzer können ihre eigenen Zugriffsschlüssel aktualisieren, wenn ihnen die erforderlichen Berechtigungen gewährt wurden.

Weitere Informationen zum Gewähren von Berechtigungen für IAM-Benutzer zum Aktualisieren ihrer eigenen Zugriffsschlüssel finden Sie unter [AWS: Ermöglicht es IAM-Benutzern, ihr eigenes Passwort sowie ihre eigenen Zugriffsschlüssel und öffentlichen SSH-Schlüssel auf der Seite Sicherheits-Anmeldeinformationen zu verwalten](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). Sie können auch eine Passwortrichtlinie auf Ihr Konto anwenden, um zu verlangen, dass alle Ihre IAM-Benutzer ihre Passwörter regelmäßig aktualisieren und festlegen, wie oft sie dies tun müssen. Weitere Informationen finden Sie unter [Konto-Passwortrichtlinie für IAM-Benutzer festlegen](id_credentials_passwords_account-policy.md). 

**Anmerkung**  
Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie den Zugriffsschlüssel löschen und einen neuen erstellen. Der geheime Zugriffsschlüssel kann nur zum Zeitpunkt seiner Erstellung abgerufen werden. Gehen Sie wie folgt vor, um verlorene Zugriffsschlüssel zu deaktivieren und anschließend durch neue Anmeldeinformationen zu ersetzen.

**Topics**
+ [Aktualisieren von Zugriffsschlüsseln für IAM-Benutzer (Konsole)](#rotating_access_keys_console)
+ [Aktualisieren der Zugriffsschlüssel (AWS CLI)](#rotating_access_keys_cli)
+ [Aktualisierung der Zugriffsschlüssel (AWS API)](#rotating_access_keys_api)

## Aktualisieren von Zugriffsschlüsseln für IAM-Benutzer (Konsole)
<a name="rotating_access_keys_console"></a>

Sie können Zugriffsschlüssel über die AWS-Managementkonsole aktualisieren.

**So aktualisieren Sie Zugriffsschlüssel für einen IAM-Benutzer, ohne Ihre Anwendungen zu unterbrechen (Konsole)**

1. Erstellen Sie einen zweiten, solange der erste Zugriffsschlüssel aktiv ist.

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

   1. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte **Security credentials (Sicherheitsanmeldeinformationen)**.

   1. Wählen Sie im Abschnitt **Zugriffsschlüssel** die Option **Zugriffsschlüssel erstellen** aus. Wählen Sie auf der Seite **Access key best practices & alternatives (Bewährte Methoden und Alternativen zu Zugriffsschlüsseln)** die Option **Other (Andere)** und anschließend **Next (Weiter)** aus.

   1. (Optional) Legen Sie einen Beschreibungs-Tag-Wert für den Zugriffsschlüssel fest, um diesem IAM-Benutzer ein Tag-Schlüssel-Wert-Paar hinzuzufügen. Auf diese Weise können Sie Zugriffsschlüssel leichter identifizieren und aktualisieren. Der Tag-Schlüssel ist auf die Zugriffsschlüssel-ID festgelegt. Der Tag-Wert ist auf die von Ihnen angegebene Beschreibung des Zugriffsschlüssels festgelegt. Wenn Sie fertig sind, wählen Sie **Create access key (Zugriffsschlüssel erstellen)** aus.

   1. Wählen Sie auf der Seite **Retrieve access keys (Zugriffsschlüssel abrufen)** entweder **Show (Anzeigen)**, um den Wert des geheimen Zugriffsschlüssels Ihres Benutzers anzuzeigen, oder **Download .csv file (CSV-Datei herunterladen)**. Das ist Ihre einzige Gelegenheit, Ihren geheimen Zugriffsschlüssel zu speichern. Nachdem Sie Ihren geheimen Zugriffsschlüssel an einem sicheren Ort gespeichert haben, wählen Sie **Done (Fertig)** aus.

      Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Ihr Benutzer kann es sofort verwenden. Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

1. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Stellen Sie fest, ob der erste Zugriffsschlüssel noch verwendet wird, indem Sie die Informationen **Last used (Zuletzt verwendet)** für den ältesten Zugriffsschlüssel prüfen. Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

1. Auch wenn der Wert in den Informationen **Last used (Zuletzt verwendet)** angibt, dass der alte Schlüssel zu keiner Zeit verwendet worden ist, empfehlen wir, den ersten Zugriffsschlüssel nicht sofort zu löschen. Wählen Sie stattdessen **Actions (Aktionen)** und dann **Deactivate (Deaktivieren)** aus, um den ersten Zugriffsschlüssel zu deaktivieren.

1. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die immer noch den ursprünglichen Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf AWS Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool finden, können Sie den ersten Zugriffsschlüssel reaktivieren. Kehren Sie dann zu [Step 3](#id_credentials_access-keys-key-still-in-use) zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

1. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel löschen:

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

   1. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte **Security credentials (Sicherheitsanmeldeinformationen)**.

   1. Suchen Sie im Abschnitt **Access keys (Zugriffsschlüssel)** nach dem Zugriffsschlüssel, den Sie löschen möchten, und wählen Sie dann **Actions (Aktionen)** und anschließend **Delete (Löschen)**. Folgen Sie den Anweisungen im Dialogfeld, um zuerst zu **Deactivate (Deaktivieren)** und dann den Löschvorgang zu bestätigen.

**Um festzustellen, welche Zugriffsschlüssel aktualisiert oder gelöscht werden müssen (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Falls erforderlich, fügen Sie die Spalte **Access key age (Zugriffsschlüsselalter)** zur Tabelle "Benutzer" hinzu, indem Sie die folgenden Schritte ausführen:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol (![\[Settings icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Wählen Sie unter **Manage columns (Spalten verwalten)** die Option **Access key age (Zugriffsschlüsselalter)**.

   1. Klicken Sie auf **Close (Schließen)**, um zur Liste der Benutzer zurückzukehren.

1. Die Spalte **Access key age (Zugriffsschlüsselalter)** zeigt die Anzahl der Tage an, seit der älteste aktive Zugriffsschlüssel erstellt wurde. Mithilfe dieser Informationen können Sie Benutzer mit Zugriffsschlüsseln finden, die möglicherweise aktualisiert oder gelöscht werden müssen. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte **None (Keiner)** angezeigt.

## Aktualisieren der Zugriffsschlüssel (AWS CLI)
<a name="rotating_access_keys_cli"></a>

Sie können Zugriffsschlüssel über den AWS Command Line Interface aktualisieren.

**So aktualisieren Sie Zugriffsschlüssel, ohne Ihre Anwendungen zu unterbrechen (AWS CLI)**

1. Erstellen Sie einen zweiten, standardmäßig aktiven Zugriffsschlüssel, solange der erste Zugriffsschlüssel aktiv ist. Führen Sie den folgenden Befehl aus:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

1. <a name="step-update-apps"></a>Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

1. <a name="step-determine-use"></a>Stellen Sie mit folgendem Befehl fest, ob der erste Zugriffsschlüssel noch verwendet wird:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

1. Auch wenn der Schritt [Step 3](#step-determine-use) angibt, dass der alte Schlüssel nicht verwendet wird, empfehlen wir, den ersten Zugriffsschlüssel nicht zu sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels mit dem folgenden Befehl auf `Inactive`:
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die immer noch den ursprünglichen Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf AWS Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool feststellen, können Sie den Status zurück zu `Active` wechseln, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zum Schritt [Step 2](#step-update-apps) zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

1. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel mit diesem Befehl löschen:
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Aktualisierung der Zugriffsschlüssel (AWS API)
<a name="rotating_access_keys_api"></a>

Sie können die Zugriffsschlüssel mithilfe der AWS API aktualisieren.

**Um Zugriffsschlüssel zu aktualisieren, ohne Ihre Anwendungen zu unterbrechen (AWS API)**

1. Erstellen Sie einen zweiten, standardmäßig aktiven Zugriffsschlüssel, solange der erste Zugriffsschlüssel aktiv ist. Rufen Sie die folgende Operation auf:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

1. <a name="step-update-apps-2"></a>Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

1. <a name="step-determine-use-2"></a>Stellen Sie durch Aufrufen der folgendem Operation fest, ob der erste Zugriffsschlüssel noch verwendet wird:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

1. Auch wenn der Schritt [Step 3](#step-determine-use-2) angibt, dass der alte Schlüssel nicht verwendet wird, empfehlen wir, den ersten Zugriffsschlüssel nicht zu sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels in `Inactive`, indem Sie die Operation aufrufen:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die immer noch den ursprünglichen Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf AWS Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool feststellen, können Sie den Status zurück zu `Active` wechseln, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zum Schritt [Step 2](#step-update-apps-2) zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

1. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel durch Aufrufen dieser Operation löschen:
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Zugriffsschlüssel sichern
<a name="securing_access-keys"></a>

Jeder, der über Ihre Zugangsschlüssel verfügt, hat denselben Zugriff auf Ihre AWS Ressourcen wie Sie. Daher AWS unternimmt er erhebliche Anstrengungen, um Ihre Zugangsschlüssel zu schützen, und im Einklang mit unserem [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) sollten Sie das auch tun. 

Erweitern Sie die folgenden Abschnitte, um Anleitungen zum Schutz Ihrer Zugriffsschlüssel zu erhalten. 

**Anmerkung**  
Ihre Organisation hat unter Umständen andere Sicherheitsanforderungen und -richtlinien als die in diesem Thema beschriebenen. Die hier gemachten Vorschläge dienen lediglich als allgemeine Orientierungshilfe. 

## Entfernen Sie die Zugriffsschlüssel (oder generieren Sie sie nicht) Root-Benutzer des AWS-Kontos
<a name="root-password"></a>

**Eine der besten Methoden, Ihr Konto zu schützen, besteht darin, für Ihr Root-Benutzer des AWS-Kontos gar keinen Zugriffsschlüssel zu verwenden.** Sofern Sie nicht über Root-Benutzer-Zugriffsschlüssel verfügen müssen (was selten vorkommt), ist es am besten, diese nicht zu generieren. Erstellen Sie stattdessen einen Administratorbenutzer AWS IAM Identity Center für die täglichen Verwaltungsaufgaben. Informationen zum Erstellen eines Administratorbenutzers in IAM Identity Center finden Sie unter [Erste Schritte](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) im *IAM Identity* Center-Benutzerhandbuch.

Wenn Sie bereits über Root-Benutzer-Zugriffsschlüssel für Ihr Konto verfügen, empfehlen wir Folgendes: Suchen Sie in Ihren Anwendungen nach Stellen, an denen Sie derzeit Zugriffsschlüssel verwenden (falls vorhanden), und ersetzen Sie die Root-Benutzer-Zugriffsschlüssel durch IAM-Benutzerzugriffsschlüssel. Deaktivieren und entfernen Sie dann die Root-Benutzer-Zugriffsschlüssel. Weitere Informationen zum Aktualisieren der Zugriffsschlüsseln finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md)



## Verwenden Sie temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle von Langzeit-Zugriffsschlüsseln
<a name="use-roles"></a>

In vielen Fällen benötigen Sie keine langfristigen Zugriffsschlüssel, die nie ablaufen (wie es bei IAM-Benutzern der Fall ist). Erstellen Sie stattdessen IAM-Rollen und generieren Sie temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, enthalten aber auch ein Sicherheits-Token, das angibt, wann die Anmeldeinformationen ablaufen. 

Langzeit-Zugriffsschlüssel, wie etwa solche für IAM-Benutzer und -Root-Benutzer, bleiben so lange gültig, bis Sie sie manuell widerrufen. Temporäre Sicherheitsanmeldedaten, die Sie über IAM-Rollen und andere Funktionen von erhalten haben, AWS -Security-Token-Service laufen jedoch nach kurzer Zeit ab. Verwenden Sie temporäre Sicherheitsanmeldeinformationen, um das Risiko für den Fall zu verringern, dass Anmeldeinformationen versehentlich kompromittiert werden.

Verwenden Sie eine IAM-Rolle und temporäre Sicherheitsanmeldeinformationen in den folgenden Szenarien:
+ **Sie haben eine Anwendung oder AWS CLI Skripte, die auf einer Amazon EC2 EC2-Instance ausgeführt werden.** Verwenden Sie Zugriffsschlüssel nicht direkt in Ihrer Anwendung. Übergeben Sie keine Zugriffsschlüssel an die Anwendung, betten Sie sie nicht in die Anwendung ein und lassen Sie die Anwendung keine Zugriffsschlüssel beliebiger Quellen lesen. Definieren Sie stattdessen eine IAM-Rolle mit entsprechenden Berechtigungen für Ihre Anwendung und starten Sie die Amazon Elastic Compute Cloud (Amazon EC2)-Instance mit [Rollen für EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Dadurch wird der Amazon-EC2-Instance eine IAM-Rolle zugeordnet. Durch diese Vorgehensweise erhält die Anwendung auch temporäre Sicherheitsanmeldeinformationen, die sie wiederum für programmgesteuerte Aufrufe an AWS verwenden kann. Das AWS SDKs und das AWS Command Line Interface (AWS CLI) können automatisch temporäre Anmeldeinformationen von der Rolle abrufen. 
+ **Sie müssen kontenübergreifenden Zugriff gewähren.** Verwenden Sie eine IAM-Rolle zum Einrichten von Vertrauensstellungen zwischen Konten und erteilen Sie Benutzern in einem Konto eingeschränkte Zugriffsberechtigungen für das vertrauenswürdige Konto. Weitere Informationen finden Sie unter [IAM-Tutorial: Delegieren Sie den Zugriff über AWS Konten hinweg mithilfe von IAM-Rollen](tutorial_cross-account-with-roles.md).
+ **Sie verfügen über eine mobile App.** Betten Sie keine Zugriffsschlüssel in die App ein, auch nicht in verschlüsselten Speichern. Verwenden Sie stattdessen [Amazon Cognito](https://aws.amazon.com/cognito/) zum Verwalten der Benutzeridentitäten in Ihrer App. Dieser Service ermöglicht Ihnen die Authentifizierung von Benutzern, die Login with Amazon, Facebook, Google oder einen beliebigen OpenID Connect (OIDC)-kompatiblen Identitätsanbieter nutzen. Anschließend können Sie den Anmeldeinformationsanbieter von Amazon Cognito verwenden, um Anmeldeinformationen zu verwalten, die Ihre App für Anforderungen an AWS nutzt.
+ **Sie möchten sich zu SAML 2.0 AWS zusammenschließen und Ihre Organisation unterstützt diese.** Falls Ihre Organisation über einen Identitätsanbieter verfügt, der SAML 2.0 unterstützt, konfigurieren Sie den Anbieter für SAML. Sie können SAML verwenden, um Authentifizierungsinformationen mit temporären Sicherheitsanmeldedaten auszutauschen AWS und diese zurückzugewinnen. Weitere Informationen finden Sie unter [SAML 2.0-Föderation](id_roles_providers_saml.md).
+ **Sie möchten sich mit einem lokalen Identitätsspeicher verbinden AWS und Ihre Organisation verfügt über einen lokalen Identitätsspeicher.** Wenn sich Benutzer innerhalb Ihrer Organisation authentifizieren können, können Sie eine Anwendung schreiben, die ihnen temporäre Sicherheitsanmeldedaten für den Zugriff auf Ressourcen ausstellt. AWS Weitere Informationen finden Sie unter [Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren](id_roles_providers_enable-console-custom-url.md).
+ **Verwenden Sie Bedingungen in IAM-Richtlinien, um nur den Zugriff von erwarteten Netzwerken aus zuzulassen.** Sie können einschränken, wo und wie Ihre Zugriffsschlüssel verwendet werden, indem Sie [IAM-Richtlinien mit Bedingungen](reference_policies_elements_condition_operators.md) implementieren, die nur erwartete Netzwerke spezifizieren und zulassen, z. B. Ihre öffentlichen IP-Adressen oder Virtual Private Clouds ()VPCs. Auf diese Weise wissen Sie, dass Zugriffsschlüssel nur aus erwarteten und akzeptablen Netzwerken verwendet werden können. 

**Anmerkung**  
Verwenden Sie eine Amazon EC2 EC2-Instance mit einer Anwendung, die programmgesteuerten Zugriff AWS auf Ressourcen benötigt? Falls ja, verwenden Sie [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) für EC2.

## IAM-Benutzerzugriffsschlüssel richtig verwalten
<a name="iam-user-access-keys"></a>

Wenn Sie Zugriffsschlüssel für den programmatischen Zugriff erstellen müssen AWS, erstellen Sie diese für IAM-Benutzer und gewähren Sie den Benutzern nur die Berechtigungen, die sie benötigen.

Beachten Sie diese Vorsichtsmaßnahmen, um die Zugriffsschlüssel von IAM-Benutzern zu schützen:
+ **Betten Sie Zugriffsschlüssel nicht direkt in den Code ein.** [AWS Mit den Befehlszeilentools [AWS SDKs](https://aws.amazon.com/tools/#sdk)und den Befehlszeilentools](https://aws.amazon.com/tools/#cli) können Sie Zugriffsschlüssel an bekannten Orten platzieren, sodass Sie sie nicht im Code speichern müssen. 

  Legen Sie Zugriffsschlüssel an einem der folgenden Orte ab:
  + **Die Datei mit den AWS Anmeldeinformationen.** Die AWS SDKs und verwenden AWS CLI automatisch die Anmeldeinformationen, die Sie in der AWS Anmeldeinformationsdatei speichern. 

    Informationen zur Verwendung der AWS Anmeldeinformationsdatei finden Sie in der Dokumentation zu Ihrem SDK. Beispiele hierfür sind [Set AWS Credentials and Region](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) im *AWS SDK für Java Developer Guide* und [Configuration and Credentials Files](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *AWS Command Line Interface User Guide*.

    Um Anmeldeinformationen für AWS SDK für .NET und zu speichern AWS Tools for Windows PowerShell, empfehlen wir, den SDK Store zu verwenden. Weitere Informationen finden Sie unter [Verwenden des SDK-Speichers](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) im *AWS SDK für .NET -Entwicklerhandbuch*.
  + **Umgebungsvariablen.** Wählen Sie in einem System mit mehreren Mandanten Benutzerumgebungsvariablen und keine Systemumgebungsvariablen aus. 

    Weitere Informationen zur Verwendung von Umgebungsvariablen zum Speichern von Anmeldeinformationen finden Sie unter [Umgebungsvariablen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) im *AWS Command Line Interface -Benutzerhandbuch*. 
+ **Verwenden Sie unterschiedliche Zugriffsschlüssel für unterschiedliche Anwendungen.** Wenn Sie dies tun, können Sie die Berechtigungen isolieren und die Zugriffsschlüssel für einzelne Anwendungen widerrufen, wenn ein Zugriffsschlüssel kompromittiert wurde. Mit separaten Zugriffsschlüsseln für verschiedene Anwendungen werden auch eindeutige Einträge in [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)-Protokolldateien generiert. Mit dieser Konfiguration können Sie leichter feststellen, welche Anwendung bestimmte Aktionen ausgeführt hat. 
+ **Aktualisieren Sie die Zugriffsschlüssel bei Bedarf.** Wenn das Risiko besteht, dass der Zugriffsschlüssel kompromittiert werden könnte, aktualisieren Sie den Zugriffsschlüssel und löschen Sie den vorherigen Zugriffsschlüssel. Details hierzu finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md) 
+ **Entfernen Sie nicht verwendete Zugriffsschlüssel.** Wenn ein Benutzer Ihre Organisation verlässt, entfernen Sie den entsprechenden IAM-Benutzer, damit dieser nicht mehr auf Ihre Ressourcen zugreifen kann. Um herauszufinden, wann ein Zugriffsschlüssel zuletzt verwendet wurde, verwenden Sie die [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)API (AWS CLI command: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Verwenden Sie temporäre Anmeldeinformationen und konfigurieren Sie die Multi-Faktor-Authentifizierung für Ihre sensibelsten API-Vorgänge.** Mit IAM-Richtlinien können Sie angeben, welche API-Operationen ein Benutzer aufrufen darf. In einigen Fällen möchten Sie möglicherweise die zusätzliche Sicherheit nutzen, die darin besteht, dass Benutzer mit AWS MFA authentifiziert werden müssen, bevor Sie ihnen erlauben, besonders vertrauliche Aktionen auszuführen. Sie verfügen beispielsweise über eine Richtlinie, die dem Benutzer gestattet, die Amazon EC2 Aktionen `RunInstances`, `DescribeInstances` und `StopInstances` auszuführen. Möglicherweise möchten Sie jedoch eine destruktive Aktion einschränken `TerminateInstances` und sicherstellen, dass Benutzer diese Aktion nur ausführen können, wenn sie sich mit einem AWS MFA-Gerät authentifizieren. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](id_credentials_mfa_configure-api-require.md).

## Greifen Sie mit Zugangsschlüsseln auf die mobile App zu AWS
<a name="access-keys-mobile-app"></a>

Mit der AWS mobilen App können Sie auf eine begrenzte Anzahl von AWS Diensten und Funktionen zugreifen. Mit der mobilen App können Sie auch unterwegs auf Vorfälle reagieren. Unter [AWS Console Mobile Application](https://aws.amazon.com/console/mobile/) können Sie die App herunterladen und weitere Informationen erhalten.

Sie können sich mit Ihrem Konsolenpasswort oder Ihren Zugriffsschlüsseln bei der mobilen App anmelden. Verwenden Sie als bewährte Methode keine Stammbenutzer-Zugriffsschlüssel. Stattdessen empfehlen wir dringend, zusätzlich zur Verwendung eines Passworts oder einer biometrischen Sperre auf Ihrem Mobilgerät einen IAM-Benutzer speziell für die Verwaltung von AWS Ressourcen mithilfe der mobilen App einzurichten. Wenn Sie Ihr Mobilgerät verlieren, können Sie den Zugriff des IAM-Benutzers entfernen.

**So melden Sie sich mit Zugriffsschlüsseln an (mobile App)**

1. Öffnen Sie die App auf Ihrem mobilen Gerät.

1. Wenn Sie dem Gerät zum ersten Mal eine Identität hinzufügen, wählen Sie **Identität hinzufügen** und dann **Zugriffsschlüssel** aus.

   Wenn Sie sich bereits mit einer anderen Identität angemeldet haben, wählen Sie das Menüsymbol und dann **Identität wechseln** aus. Wählen Sie dann **Als andere Identität anmelden** und dann **Zugriffsschlüssel** aus.

1. Geben Sie auf der Seite **Zugriffsschlüssel** Ihre Informationen ein:
   + **Zugriffsschlüssel-ID**: Geben Sie Ihre Zugriffsschlüssel-ID ein.
   + **Geheimer Zugriffsschlüssel**: Geben Sie Ihren geheimen Zugriffsschlüssel ein.
   + **Identitätsname**: Geben Sie den Namen der Identität ein, der in der mobilen App angezeigt wird. Dieser muss nicht mit Ihrem IAM-Benutzernamen übereinstimmen.
   + **Identitäts-PIN**: Erstellen Sie eine persönliche Identifizierungsnummer (PIN), die Sie bei zukünftigen Anmeldungen verwenden.
**Anmerkung**  
Wenn Sie die Biometrie für die AWS mobile App aktivieren, werden Sie aufgefordert, anstelle der PIN Ihren Fingerabdruck oder Ihre Gesichtserkennung zur Überprüfung zu verwenden. Wenn die Biometrie fehlschlägt, werden Sie möglicherweise stattdessen zur Eingabe der PIN aufgefordert.

1. Wählen Sie **Überprüfen und Hinzufügen von Schlüsseln**.

   Sie können nun über die mobile App auf eine ausgewählte Gruppe Ihrer Ressourcen zugreifen.

## Ähnliche Informationen
<a name="more-resources"></a>

Die folgenden Themen enthalten Anleitungen zur Einrichtung AWS SDKs und Verwendung der AWS CLI Zugriffstasten:
+ [Legen Sie die AWS Anmeldeinformationen und die Region](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) im *AWS SDK für Java Entwicklerhandbuch* fest
+ [Verwendung des SDK-Speichers](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) im *AWS SDK für .NET -Entwicklerhandbuch*
+ [Bereitstellung von Anmeldeinformationen für das SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) im *AWS SDK für PHP -Entwicklerhandbuch*
+ [Konfiguration](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) in der Boto 3-Dokumentation (AWS SDK für Python)
+ [Verwendung von AWS -Anmeldeinformationen](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) im *AWS Tools for Windows PowerShell -Benutzerhandbuch* 
+ [Konfigurations- und Anmeldeinformationsdateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *AWS Command Line Interface -Benutzerhandbuch* 
+ [Gewährung des Zugriffs mithilfe einer IAM-Rolle](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) im *AWS SDK für .NET -Entwicklerhandbuch*
+ [Konfigurieren von IAM-Rollen für Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) in der *AWS SDK for Java 2.x*

## Verwenden von Zugriffsschlüsseln und geheimen Schlüsselanmeldeinformationen für den Konsolenzugriff
<a name="console-access-security-keys"></a>

Es ist möglich, Zugriffsschlüssel und geheime Schlüsselanmeldeinformationen für den direkten Zugriff auf die AWS-Managementkonsole zu verwenden, nicht nur die AWS CLI. Dies kann mithilfe des AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API-Aufrufs erreicht werden. Durch die Erstellung einer Konsolen-URL mithilfe der temporären Anmeldeinformationen und des Tokens, die von `GetFederationToken` bereitgestellt werden, können IAM-Prinzipale auf die Konsole zugreifen. Weitere Informationen finden Sie unter [Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren](id_roles_providers_enable-console-custom-url.md).

Es ist wichtig zu beachten, dass bei der direkten Anmeldung an der Konsole mit IAM- oder Root-Benutze-Anmeldeinformationen bei aktivierter MFA eine MFA erforderlich ist. Wenn jedoch die oben beschriebene Methode (unter Verwendung temporärer Anmeldeinformationen mit `GetFederationToken`) verwendet wird, ist MFA NICHT erforderlich.



## Überwachen von Zugriffsschlüsseln
<a name="Using_access-keys-audit"></a>

Sie können die AWS Zugriffsschlüssel in Ihrem Code überprüfen, um festzustellen, ob die Schlüssel von einem Konto stammen, das Sie besitzen. Sie können eine Zugriffsschlüssel-ID mithilfe des [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) AWS CLI Befehls oder der [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) AWS API-Operation übergeben.

Die AWS API-Operationen AWS CLI und geben die ID der Person zurück, AWS-Konto zu der der Zugriffsschlüssel gehört. Der Zugriffsschlüssel, der mit IDs beginnt, `AKIA` sind langfristige Anmeldeinformationen für einen IAM-Benutzer oder einen Root-Benutzer des AWS-Kontos. Bei einem Zugriffsschlüssel, der mit IDs beginnt, `ASIA` handelt es sich um temporäre Anmeldeinformationen, die mithilfe von AWS STS Vorgängen erstellt werden. Wenn das Konto in der Antwort Ihnen gehört, können Sie sich als Stammbenutzer anmelden und Ihre Stammbenutzer-Zugriffsschlüssel überprüfen. Anschließend können Sie einen [Anmeldeinformationsbericht](id_credentials_getting-report.md) abrufen, um zu erfahren, welcher IAM-Benutzer die Schlüssel besitzt. Um zu erfahren, wer die temporären Anmeldeinformationen für einen `ASIA` Zugriffsschlüssel angefordert hat, sehen Sie sich die AWS STS Ereignisse in Ihren CloudTrail Protokollen an.

Aus Sicherheitsgründen können Sie in den [AWS CloudTrail Protokollen nachlesen](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds), wer eine Aktion in ausgeführt hat AWS. Sie können den `sts:SourceIdentity`-Bedingungsschlüssel in der Rollenvertrauensrichtlinie verwenden, damit Benutzer einen Sitzungsnamen angeben müssen, wenn sie eine Rolle übernehmen. Sie können beispielsweise verlangen, dass IAM-Benutzer ihren eigenen Benutzernamen als Sitzungsnamen angeben. Auf diese Weise können Sie feststellen, welcher Benutzer eine bestimmte Aktion in AWS ausgeführt hat. Weitere Informationen finden Sie unter [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Diese Operation gibt nicht den Status des Zugriffsschlüssels an. Der Schlüssel kann aktiv, inaktiv oder gelöscht sein. Aktive Schlüssel verfügen möglicherweise nicht über Berechtigungen zum Ausführen einer Operation. Die Bereitstellung eines gelöschten Zugriffsschlüssels gibt möglicherweise einen Fehler zurück, der besagt, dass der Schlüssel nicht vorhanden ist.

# AWS Multi-Faktor-Authentifizierung in IAM
<a name="id_credentials_mfa"></a>

Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS Ressourcen zu schützen. Sie können MFA für alle AWS-Konten, einschließlich eigenständiger Konten, Verwaltungskonten und Mitgliedskonten, sowie für Ihre IAM-Benutzer aktivieren. Root-Benutzer des AWS-Kontos Wir empfehlen, nach Möglichkeit Phishing-resistente MFA wie Hauptschlüssel und Sicherheitsschlüssel zu verwenden. Diese FIDO-basierten Authentifikatoren verwenden Kryptografie mit öffentlichen Schlüsseln und sind resistent gegen Phishing- und Replay-Angriffe. Sie bieten ein höheres Maß an man-in-the-middle Sicherheit als TOTP-basierte Optionen.

MFA wird für alle Kontotypen ihrer Root-Benutzer durchgesetzt. Weitere Informationen finden Sie unter [Sichern Sie die Root-Benutzeranmeldedaten Ihres AWS Organizations Kontos](root-user-best-practices.md#ru-bp-organizations). 

Wenn Sie MFA für den Stammbenutzer aktivieren, wirkt sich das nur auf die Anmeldeinformationen des Stammbenutzers. IAM-Benutzer im Konto sind unabhängige Identitäten mit eigenen Anmeldeinformationen und einer jeweils individuellen MFA-Konfiguration. Weitere Informationen zur Verwendung von MFA zum Schutz des Root-Benutzers finden Sie unter [Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos](enable-mfa-for-root.md).

Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu acht MFA-Geräte beliebigen Typs registrieren. Durch die Registrierung mehrerer MFA-Geräte können Sie flexibler vorgehen und das Risiko einer Zugriffsunterbrechung bei Verlust oder Defekt eines Geräts verringern. Sie benötigen nur ein MFA-Gerät, um sich bei der AWS-Managementkonsole anzumelden oder über die AWS CLI eine Sitzung zu erstellen.

**Anmerkung**  
Wir empfehlen, dass Sie von Ihren menschlichen Benutzern verlangen, dass sie beim Zugriff temporäre Anmeldeinformationen verwenden. AWS Haben Sie darüber nachgedacht, es zu verwenden AWS IAM Identity Center? Sie können IAM Identity Center verwenden, um den Zugriff auf mehrere Konten zentral zu verwalten AWS-Konten und Benutzern von einem zentralen Ort aus MFA-geschützten Single Sign-On-Zugriff auf alle ihnen zugewiesenen Konten zu gewähren. Mit IAM Identity Center können Sie Benutzeridentitäten in IAM Identity Center erstellen und verwalten oder einfach eine Verbindung zu Ihrem vorhandenen SAML-2.0-kompatiblen Identitätsanbieter herstellen. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

MFA bietet zusätzliche Sicherheit, da Benutzer beim Zugriff auf AWS Websites oder Dienste zusätzlich zu ihren Anmeldeinformationen eine eindeutige Authentifizierung über einen AWS unterstützten MFA-Mechanismus angeben müssen.

## MFA-Typen
<a name="id_credentials_mfa-types"></a>

AWS unterstützt die folgenden MFA-Typen:

**Contents**
+ [Passkeys und Sicherheitsschlüssel](#passkeys-security-keys-for-iam-users)
+ [Anwendungen für virtuelle Authentifikatoren](#virtual-auth-apps-for-iam-users)
+ [Hardware-TOTP-Token](#hardware-totp-token-for-iam-users)

### Passkeys und Sicherheitsschlüssel
<a name="passkeys-security-keys-for-iam-users"></a>

AWS Identity and Access Management unterstützt Hauptschlüssel und Sicherheitsschlüssel für MFA. Basierend auf den FIDO-Standards verwenden Hauptschlüssel Kryptografie mit öffentlichen Schlüsseln, um eine starke, gegen Phishing resistente Authentifizierung zu gewährleisten, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Hauptschlüsseln: gerätegebundene Hauptschlüssel (Sicherheitsschlüssel) und synchronisierte Hauptschlüssel.
+ **Sicherheitsschlüssel**: Dabei handelt es sich um physische Geräte, wie z. B. a YubiKey, die als zweiter Faktor für die Authentifizierung verwendet werden. Ein einzelner Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM-Benutzer unterstützen.
+ **Synchronisierte Passkeys**: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Du kannst integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um deinen Anmeldeinformationsmanager zu entsperren und dich dort anzumelden. AWS Passkeys werden bei Ihrem ausgewählten Anbieter anhand Ihres Fingerabdrucks, Gesichts oder der Geräte-PIN erstellt. Sie können auch einen Passkey für die geräteübergreifende Authentifizierung (CDA) auf einem Gerät, z. B. einem Mobilgerät oder einem Hardware-Sicherheitsschlüssel, verwenden, um sich auf einem anderen Gerät, z. B. einem Laptop, anzumelden. Weitere Informationen finden Sie unter [Geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Du kannst Passkeys auf all deinen Geräten synchronisieren, um die Anmeldung zu erleichtern und so die Benutzerfreundlichkeit und Wiederherstellbarkeit zu verbessern. AWS Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md).

Die FIDO Alliance führt eine Liste aller [FIDO-zertifizierten Produkte](https://fidoalliance.org/certification/fido-certified-products/), die mit den FIDO-Spezifikationen kompatibel sind.

### Anwendungen für virtuelle Authentifikatoren
<a name="virtual-auth-apps-for-iam-users"></a>

Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein [zeitgesteuertes Einmalpasswort (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss bei der Anmeldung einen gültigen Code vom Gerät eingeben, wenn er dazu aufgefordert wird. Jeder Token, der einem Benutzer zugeordnet wird, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Token eines anderen Benutzers eingeben.

Wir empfehlen Ihnen, Phishing-resistente MFA wie [Hauptschlüssel oder Sicherheitsschlüssel zu verwenden, um](#passkeys-security-keys-for-iam-users) den bestmöglichen Schutz zu gewährleisten. Wenn Sie noch keine Hauptschlüssel oder Sicherheitsschlüssel verwenden können, empfehlen wir Ihnen, ein virtuelles MFA-Gerät als Zwischenmaßnahme zu verwenden, während Sie auf die Genehmigung des Hardwarekaufs warten oder bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).

Anweisungen zum Einrichten eines virtuellen MFA-Geräts für einen IAM-Benutzer finden Sie unter [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md).

**Anmerkung**  
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über den AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.  
Um nicht zugewiesene virtuelle MFA-Geräte in Ihrem Konto anzuzeigen, können Sie entweder den [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) verwenden.
Um ein virtuelles MFA-Gerät zu deaktivieren, können Sie entweder den [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) verwenden. Die Zuweisung des Geräts wird aufgehoben.
[Um Ihrem AWS-Konto Root-Benutzer oder Ihren IAM-Benutzern ein nicht zugewiesenes virtuelles MFA-Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI Befehl oder dem API-Aufruf.](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)

### Hardware-TOTP-Token
<a name="hardware-totp-token-for-iam-users"></a>

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code basierend auf dem [zeitgesteuerten Einmalpasswort (TOTP)-Algorithmus](https://datatracker.ietf.org/doc/html/rfc6238). Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben.

Diese Token werden ausschließlich mit verwendet. AWS-Konten Sie können nur Token verwenden, deren eindeutige Token-Seeds auf sichere Weise gemeinsam genutzt werden AWS. Token-Seeds sind geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Aus anderen Quellen erworbene Token funktionieren nicht mit IAM. Um die Kompatibilität sicherzustellen, müssen Sie Ihr Hardware-MFA-Gerät über einen der folgenden Links kaufen: [OTP-Token](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8) oder [OTP-Anzeigekarte](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4).
+ Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Weitere Informationen zu unterstützten Hardware-MFA-Geräten finden Sie unter [Multi-Faktor-Authentifizierung (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
+ Wenn Sie ein physisches MFA-Gerät verwenden möchten, empfehlen wir Ihnen, als Alternative zu Hardware-TOTP-Geräten Sicherheitsschlüssel zu verwenden. Sicherheitsschlüssel erfordern keine Batterien, sind Phishing-resistent und unterstützen mehrere Benutzer auf einem einzigen Gerät.

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel AWS-Managementkonsole nur über die AWS API aktivieren, nicht über die AWS CLI oder. Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

Anweisungen zum Einrichten eines Hardware-TOTP-Tokens für einen IAM-Benutzer finden Sie unter [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md).

**Anmerkung**  
**MFA auf SMS-Textnachricht** — die Unterstützung für die Aktivierung der SMS-Multifaktor-Authentifizierung (MFA) AWS wurde eingestellt. Wir empfehlen Kunden, deren IAM-Benutzer SMS-basierte MFA verwenden, auf eine der folgenden alternativen Methoden umzusteigen: [Passkey oder Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md), [virtuelles (softwarebasiertes) MFA-Gerät](id_credentials_mfa_enable_virtual.md) oder [Hardware-MFA-Gerät](id_credentials_mfa_enable_physical.md). Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen SMS-MFA-Gerät identifizieren. Wählen Sie in der IAM-Konsole **Users (Benutzer)** im Navigationsbereich und suchen Sie nach Benutzern mit **SMS** in der Spalte **MFA** der Tabelle.

## MFA-Empfehlungen
<a name="id_credentials_mfa-recommendations"></a>

Folgen Sie diesen Empfehlungen für die MFA-Authentifizierung, um Ihre AWS Identitäten zu schützen. 
+ Wir empfehlen Ihnen, Phishing-resistente MFA wie [Hauptschlüssel und Sicherheitsschlüssel als](#passkeys-security-keys-for-iam-users) MFA-Gerät zu verwenden. Diese FIDO-basierten Authentifikatoren bieten den stärksten Schutz vor Angriffen wie Phishing.
+ Wir empfehlen, dass Sie mehrere MFA-Geräte für die Root-Benutzer des AWS-Kontos und IAM-Benutzer in Ihrem aktivieren. AWS-Konten Auf diese Weise können Sie die Sicherheitslatte in Ihrem System höher legen AWS-Konten und die Verwaltung des Zugriffs für Benutzer mit hohen Rechten vereinfachen, wie z. B. Root-Benutzer des AWS-Kontos
+ Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen. Ein IAM-Benutzer muss sich mit einem vorhandenen MFA-Gerät authentifizieren, um ein zusätzliches MFA-Gerät zu aktivieren oder zu deaktivieren.
+ Im Falle eines verlorenen, gestohlenen oder unzugänglichen MFA-Geräts können Sie eines der verbleibenden MFA-Geräte verwenden, um darauf zuzugreifen, AWS-Konto ohne das Wiederherstellungsverfahren durchführen zu müssen. AWS-Konto Wenn ein MFA-Gerät verloren geht oder gestohlen wird, muss es vom IAM-Prinzipal getrennt werden, mit dem es verknüpft ist.
+ Durch die Verwendung mehrerer Optionen MFAs können Ihre Mitarbeiter an geografisch verteilten Standorten oder von zu Hause aus auf hardwarebasiertes MFA zugreifen, AWS ohne den physischen Austausch eines einzelnen Hardwaregeräts zwischen den Mitarbeitern koordinieren zu müssen.
+ Durch die Verwendung zusätzlicher MFA-Geräte für IAM-Principals können Sie eines oder mehrere MFAs für den täglichen Gebrauch verwenden und gleichzeitig physische MFA-Geräte an einem sicheren physischen Ort wie einem Tresor oder einem Safe für Backup und Redundanz aufbewahren.

**Hinweise**  
Sie können die MFA-Informationen für einen Sicherheitsschlüssel oder Hauptschlüssel nicht an AWS STS API-Operationen weitergeben, um temporäre Anmeldeinformationen anzufordern. Sie können Anmeldeinformationen für die Verwendung mit AWS CLI und AWS SDKs bei Verwendung eines Sicherheitsschlüssels oder Hauptschlüssels abrufen, indem Sie den Befehl ausführen. `aws login`
Sie können keine AWS CLI Befehle oder AWS API-Operationen verwenden, um [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) zu aktivieren.
Sie können denselben Namen nicht für mehr als einen Root-Benutzer oder ein IAM-MFA-Gerät verwenden.

## Weitere Ressourcen
<a name="id_credentials_mfa-resources"></a>

Mithilfe der folgenden Ressourcen können Sie mehr über MFA erfahren.
+ Weitere Hinweise zur Verwendung von MFA für den Zugriff finden Sie AWS unter[Anmeldung mit MFA](console_sign-in-mfa.md).
+  Sie können IAM Identity Center nutzen, um sicheren MFA-Zugriff auf Ihr AWS Zugriffsportal, die integrierten IAM Identity Center-Apps und das zu ermöglichen. AWS CLI Weitere Informationen finden Sie unter [Aktivieren von MFA im IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html).

# Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole
<a name="id_credentials_mfa_enable_fido"></a>

Passkeys sind eine Art [Multi-Faktor-Authentifizierungsgerät (MFA)](id_credentials_mfa.md), mit dem Sie Ihre Ressourcen schützen können. AWS AWS unterstützt synchronisierte Hauptschlüssel und gerätegebundene Hauptschlüssel, auch Sicherheitsschlüssel genannt. 

Mithilfe synchronisierter Passkeys können IAM-Benutzer auf vielen ihrer Geräte (auch auf neuen) auf ihre FIDO-Anmeldeinformationen zugreifen, ohne jedes Gerät bei jedem Konto erneut registrieren zu müssen. Zu den synchronisierten Passkeys gehören Anmeldeinformations-Manager von Erstanbietern wie Google, Apple und Microsoft sowie Anmeldeinformationsmanager von Drittanbietern wie 1Password, Dashlane und Bitwarden als zweiter Faktor. Sie können auch biometrische Daten auf dem Gerät (z. B. TouchID, FaceID) verwenden, um den von Ihnen gewählten Anmeldeinformations-Manager für die Verwendung von Passkeys zu entsperren. 

Alternativ sind gerätegebundene Passkeys an einen FIDO-Sicherheitsschlüssel gebunden, den Sie an einen USB-Anschluss Ihres Computers anschließen und dann bei der entsprechenden Aufforderung antippen, um den Anmeldevorgang sicher abzuschließen. Wenn Sie einen FIDO-Sicherheitsschlüssel bereits mit anderen Diensten verwenden und dieser über eine [AWS unterstützte Konfiguration](id_credentials_mfa_fido_supported_configurations.md) verfügt (z. B. die Serie YubiKey 5 von Yubico), können Sie ihn auch mit verwenden. AWS Andernfalls müssen Sie einen FIDO-Sicherheitsschlüssel erwerben, wenn Sie ihn WebAuthn für MFA in verwenden möchten. AWS Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, was ihren Nutzen für die Kontosicherheit erhöht. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter [Multifaktor-Authentifizierung](https://aws.amazon.com/iam/details/mfa/).

Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen. Wir empfehlen, mehrere MFA-Geräte zu registrieren. Sie können beispielsweise einen integrierten Authentifikator registrieren und auch einen Sicherheitsschlüssel registrieren, den Sie an einem physisch sicheren Ort aufbewahren. Wenn Sie Ihren integrierten Authentifikator nicht verwenden können, können Sie Ihren registrierten Sicherheitsschlüssel verwenden. Für Authentifizierungsanwendungen empfehlen wir außerdem, die Cloud-Backup- oder Synchronisierungsfunktion in diesen Apps zu aktivieren. Dadurch vermeiden Sie, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät mit den Authentifizierungs-Apps verlieren oder beschädigen.

**Anmerkung**  
Wir empfehlen, dass Sie menschliche Benutzer auffordern, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Ihre Benutzer können sich AWS mit einem Identitätsanbieter verbinden, wo sie sich mit ihren Unternehmensanmeldedaten und MFA-Konfigurationen authentifizieren. Um den Zugriff auf AWS und Geschäftsanwendungen zu verwalten, empfehlen wir die Verwendung von IAM Identity Center. Weitere Informationen finden Sie im [Benutzerhandbuch zu IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). 

**Topics**
+ [Erforderliche Berechtigungen](#enable-fido-mfa-for-iam-user-permissions-required)
+ [Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren](#enable-fido-mfa-for-own-iam-user)
+ [Passkey oder Sicherheitsschlüssels für einen anderen IAM-Benutzer (Konsole) aktivieren](#enable-fido-mfa-for-iam-user)
+ [Ersetzen eines Passkeys oder Sicherheitsschlüssels](#replace-fido-mfa)
+ [Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln](id_credentials_mfa_fido_supported_configurations.md)

## Erforderliche Berechtigungen
<a name="enable-fido-mfa-for-iam-user-permissions-required"></a>

Um einen FIDO-Passkey für Ihren eigenen IAM-Benutzer zu verwalten und gleichzeitig vertrauliche MFA-bezogene Aktionen zu schützen, müssen Sie über die Berechtigungen der folgenden Richtlinie verfügen:

**Anmerkung**  
Die ARN-Werte sind statische Werte und kein Indikator dafür, welches Protokoll zur Registrierung des Authentifikators verwendet wurde. Wir haben U2F als veraltet eingestuft, daher verwenden alle neuen Implementierungen. WebAuthn

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren
<a name="enable-fido-mfa-for-own-iam-user"></a>

Sie können einen Hauptschlüssel oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer AWS-Managementkonsole nur über die API aktivieren, nicht über die oder. AWS CLI AWS Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

**So aktivieren Sie einen Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole)**

1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS-Managementkonsole Link zu Sicherheitsanmeldedaten\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Seite des ausgewählten IAM-Benutzers die Registerkarte **Sicherheits-Anmeldeinformationen** aus.

1. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie auf der Seite **MFA-Gerätename** einen **Gerätenamen** ein, wählen Sie **Passkey oder Sicherheitsschlüssel** und klicken Sie dann auf **Weiter**.

1. Richten Sie unter **Gerät einrichten** Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

1. Folgen Sie den Anweisungen Ihres Browsers und wählen Sie dann **Fortfahren** aus.

Sie haben jetzt Ihren Hauptschlüssel oder Sicherheitsschlüssel zur Verwendung mit AWS registriert. Hinweise zur Verwendung von MFA mit dem finden Sie AWS-Managementkonsole unter[Anmeldung mit MFA](console_sign-in-mfa.md). 

## Passkey oder Sicherheitsschlüssels für einen anderen IAM-Benutzer (Konsole) aktivieren
<a name="enable-fido-mfa-for-iam-user"></a>

Sie können einen Hauptschlüssel oder eine Sicherheitsfunktion für einen anderen IAM-Benutzer AWS-Managementkonsole nur über die API aktivieren, nicht über die AWS CLI API oder. AWS 

**So aktivieren Sie einen Passkey oder die Sicherheit für einen anderen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie unter **Benutzer** den Namen des Benutzers aus, für den Sie MFA aktivieren möchten.

1. Wählen Sie auf der ausgewählten IAM-Benutzerseite die Registerkarte **Sicherheits-Anmeldeinformationen** aus. 

1. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie auf der Seite **MFA-Gerätename** einen **Gerätenamen** ein, wählen Sie **Passkey oder Sicherheitsschlüssel** und klicken Sie dann auf **Weiter**.

1. Richten Sie unter **Gerät einrichten** Ihren Passkey ein. Erstellen Sie einen Passkey mit biometrischen Daten wie Ihrem Gesicht oder Fingerabdruck, mit einer Geräte-PIN oder indem Sie den FIDO-Sicherheitsschlüssel an den USB-Anschluss Ihres Computers anschließen und ihn antippen.

1. Folgen Sie den Anweisungen Ihres Browsers und wählen Sie dann **Fortfahren** aus.

Sie haben jetzt einen Passkey oder Sicherheitsschlüssel für einen anderen IAM-Benutzer zur Verwendung mit AWS registriert. Hinweise zur Verwendung von MFA mit dem finden Sie AWS-Managementkonsole unter[Anmeldung mit MFA](console_sign-in-mfa.md).

## Ersetzen eines Passkeys oder Sicherheitsschlüssels
<a name="replace-fido-mfa"></a>

Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht [MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) gleichzeitig Root-Benutzer des AWS-Kontos zuweisen. Wenn der Benutzer einen FIDO-Authenticator verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst den alten FIDO-Authenticator deaktivieren. Anschließend können Sie ein neues MFA-Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem anderen IAM-Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Informationen darüber, wie Sie einen neuen FIDO-Sicherheitsschlüssel für einen IAM-Benutzer hinzuzufügen, finden Sie unter [Passkey oder Sicherheitsschlüssel für Ihren eigenen IAM-Benutzer (Konsole) aktivieren](#enable-fido-mfa-for-own-iam-user).

Wenn Sie keinen Zugriff auf einen neuen Passkey oder Sicherheitsschlüssel haben, können Sie ein neues virtuelles MFA-Gerät oder ein neues Hardware-TOTP-Token aktivieren. Siehe eine der folgenden Anweisungen:
+ [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md) 
+ [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md) 

# Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln
<a name="id_credentials_mfa_fido_supported_configurations"></a>

Sie können FIDO2 gerätegebundene Hauptschlüssel, auch Sicherheitsschlüssel genannt, als Multi-Faktor-Authentifizierungsmethode (MFA) mit IAM verwenden, indem Sie die derzeit unterstützten Konfigurationen verwenden. Dazu gehören FIDO2 Geräte, die von IAM unterstützt werden, und Browser, die dies unterstützen. FIDO2 Bevor Sie Ihr FIDO2 Gerät registrieren, überprüfen Sie, ob Sie die neueste Browser- und Betriebssystemversion (OS) verwenden. Die Funktionen können sich in verschiedenen Browsern, Authentifikatoren und Betriebssystem-Clients unterschiedlich verhalten. Wenn die Registrierung Ihres Geräts in einem Browser fehlschlägt, können Sie versuchen, die Registrierung in einem anderen Browser durchzuführen. 

FIDO2 ist ein offener Authentifizierungsstandard und eine Erweiterung von FIDO U2F, der dasselbe hohe Sicherheitsniveau bietet, das auf Kryptografie mit öffentlichen Schlüsseln basiert. FIDO2 besteht aus der W3C Web Authentication Specification (WebAuthn API) und dem FIDO Alliance Client-to-Authenticator Protocol (CTAP), einem Protokoll auf Anwendungsebene. CTAP ermöglicht die Kommunikation zwischen Client oder Plattform, wie einem Browser oder Betriebssystem, mit einem externen Authenticator. Wenn Sie einen FIDO-zertifizierten Authentifikator aktivieren AWS, erstellt der Sicherheitsschlüssel ein neues key pair, das nur mit verwendet werden kann. AWS Geben Sie zuerst Ihre Anmeldeinformationen ein. Wenn Sie dazu aufgefordert werden, tippen Sie auf den Sicherheitsschlüssel, der auf die von AWS ausgegebene Authentifizierungsaufforderung reagiert. [Weitere Informationen zum FIDO2 Standard finden Sie im FIDO2 Projekt.](https://en.wikipedia.org/wiki/FIDO2_Project)

## FIDO2 Geräte, die unterstützt werden von AWS
<a name="id_credentials_mfa_fido_supported_devices"></a>

IAM unterstützt FIDO2 Sicherheitsgeräte, die über USB oder NFC eine Verbindung zu Ihren Geräten herstellen. Bluetooth IAM unterstützt auch Plattformauthentifikatoren wie TouchID oder FaceID. IAM unterstützt keine lokale Passkey-Registrierung für Windows Hello. Zum Erstellen und Verwenden von Passkeys sollten Windows-Benutzer die [geräteübergreifende Authentifizierung](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) nutzen, bei der Sie einen Passkey von einem Gerät (z. B. einem Mobilgerät) oder einen Hardware-Sicherheitsschlüssel verwenden, um sich auf einem anderen Gerät (z. B. einem Laptop) anzumelden.

**Anmerkung**  
AWS benötigt Zugriff auf den physischen USB-Anschluss Ihres Computers, um Ihr FIDO2 Gerät zu verifizieren. Sicherheitsschlüssel funktionieren nicht mit einer virtuellen Maschine, einer Remote-Verbindung oder dem Inkognito-Modus eines Browsers.

Die FIDO Alliance führt eine Liste aller [FIDO2Produkte](https://fidoalliance.org/certification/fido-certified-products/), die mit den FIDO-Spezifikationen kompatibel sind.

## Browser, die unterstützen FIDO2
<a name="id_credentials_mfa_fido_browsers"></a>

Die Verfügbarkeit von FIDO2 Sicherheitsgeräten, die in einem Webbrowser ausgeführt werden, hängt von der Kombination aus Browser und Betriebssystem ab. Die folgenden Browser unterstützen derzeit die Verwendung von Sicherheitsschlüsseln:


****  

| Webbrowser | macOS 10.15\$1 | Windows 10 | Linux | iOS 14.5\$1 | Android 7\$1 | 
| --- | --- | --- | --- | --- | --- | 
| Chrome | Ja | Ja | Ja | Ja | Nein | 
| Safari | Ja | Nein | Nein | Ja | Nein | 
| Edge | Ja | Ja | Nein | Ja | Nein | 
| Firefox | Ja | Ja | Nein | Ja | Nein | 

**Anmerkung**  
Die meisten Firefox-Versionen, die derzeit Unterstützung bieten, aktivieren die Unterstützung standardmäßig FIDO2 nicht. Anweisungen zur Aktivierung der FIDO2 Unterstützung in Firefox finden Sie unter[Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md).  
Firefox unter macOS unterstützt geräteübergreifende Authentifizierungs-Workflows für Passkeys möglicherweise nicht vollständig. Möglicherweise werden Sie dazu aufgefordert, einen Sicherheitsschlüssel zu drücken, anstatt mit der geräteübergreifenden Authentifizierung fortzufahren. Wir empfehlen, für die Anmeldung mit Passkeys unter macOS einen anderen Browser wie Chrome oder Safari zu verwenden.

Weitere Informationen zur Browserunterstützung für ein FIDO2 -zertifiziertes Gerät wie YubiKey finden Sie unter [Betriebssystem- und Webbrowser-Unterstützung für FIDO2 und U2F](https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F).

### Browser-Plugins
<a name="id_credentials_mfa_fido_plugins"></a>

AWS unterstützt nur Browser, die diese Funktion nativ unterstützen. FIDO2 AWS unterstützt nicht die Verwendung von Plugins zum Hinzufügen von FIDO2 Browserunterstützung. Einige Browser-Plugins sind nicht mit dem FIDO2 Standard kompatibel und können bei FIDO2 Sicherheitsschlüsseln zu unerwarteten Ergebnissen führen. 

Weitere Informationen zum Deaktivieren von Browser-Plugins und andere Tipps zur Fehlerbehebung finden Sie unter [Ich kann meinen FIDO-Sicherheitsschlüssel nicht aktivieren](troubleshoot_mfa-fido.md#troubleshoot_mfa-fido-cant-enable). 

## Gerätezertifizierungen
<a name="id_credentials_mfa_fido_certifications"></a>

Gerätebezogene Zertifizierungen, wie etwa die FIPS-Validierung und die FIDO-Zertifizierungsstufe, erfassen und vergeben wir ausschließlich bei der Registrierung eines Sicherheitsschlüssels. Ihre Gerätezertifizierung wird vom [FIDO Alliance Metadata Service (MDS](https://fidoalliance.org/metadata/)) abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres Sicherheitsschlüssels ändert, wird dies nicht automatisch in den Geräte-Tags widergespiegelt. Um die Zertifizierungsinformationen eines Geräts zu aktualisieren, registrieren Sie das Gerät erneut, um die aktualisierten Zertifizierungsinformationen abzurufen. 

AWS stellt bei der Geräteregistrierung die folgenden Zertifizierungstypen als Bedingungsschlüssel bereit, die aus dem FIDO MDS abgerufen werden: FIPS-140-2, FIPS-140-3 und FIDO-Zertifizierungsstufen. Sie haben die Möglichkeit, die Registrierung bestimmter Authentifikatoren in ihren IAM-Richtlinien festzulegen, basierend auf Ihrem bevorzugten Zertifizierungstyp und Ihrer bevorzugten Zertifizierungsstufe. Weitere Informationen finden Sie unten unter „Richtlinien“.

### Beispielrichtlinien für Gerätezertifizierungen
<a name="id_credentials_mfa_fido_certifications_policies"></a>

Die folgenden Anwendungsfälle zeigen Beispielrichtlinien, mit denen Sie MFA-Geräte mit FIPS-Zertifizierungen registrieren können.

**Topics**
+ [Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen](#id_credentials_mfa_fido_certifications_policies_use_case_1)
+ [Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen](#id_credentials_mfa_fido_certifications_policies_use_case_2)
+ [Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen](#id_credentials_mfa_fido_certifications_policies_use_case_3)
+ [Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen](#id_credentials_mfa_fido_certifications_policies_use_case_4)

#### Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_1"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_2"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}
```

------

#### Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_3"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}
```

------

#### Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen
<a name="id_credentials_mfa_fido_certifications_policies_use_case_4"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Create"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Activate",
          "iam:FIDO-FIPS-140-2-certification": "L2"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "Null": {
          "iam:RegisterSecurityKey": "true"
        }
      }
    }
  ]
}
```

------

## AWS CLI und AWS API
<a name="id_credentials_mfa_fido_cliapi"></a>

AWS unterstützt die Verwendung von Hauptschlüsseln und Sicherheitsschlüsseln nur in der AWS-Managementkonsole. Die Verwendung von Passkeys und Sicherheitsschlüsseln für MFA wird in der [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/) und [AWS API](https://aws.amazon.com/tools/) oder für den Zugriff auf [MFA-geschützte API-Operationen](id_credentials_mfa_configure-api-require.md) nicht unterstützt.

## Weitere Ressourcen
<a name="id_credentials_mfa_fido_additional_resources"></a>
+ Weitere Informationen zur Verwendung von Hauptschlüsseln und Sicherheitsschlüsseln in finden Sie AWS unter. [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md)
+ Hilfe zur Problembehebung von Hauptschlüsseln und Sicherheitsschlüsseln in finden Sie AWS unter. [Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln](troubleshoot_mfa-fido.md)
+ Allgemeine Brancheninformationen zum FIDO2 Support finden Sie unter [FIDO2 Project](https://en.wikipedia.org/wiki/FIDO2_Project). 

# Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole
<a name="id_credentials_mfa_enable_virtual"></a>

**Wichtig**  
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden. AWS Weitere Informationen finden Sie unter [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md).

Sie können ein Telefon oder ein anderes Gerät als virtuelles Multi-Factor-Authentication-(MFA)Gerät verwenden. Installieren Sie dazu eine mobile App mit [RFC 6238, einem standardbasierten TOTP-(Time-based One-time Password)Algorithmus](https://datatracker.ietf.org/doc/html/rfc6238). Diese Apps generieren einen sechsstelligen Authentifizierungscode. Da Authentifikatoren auf ungesicherten Mobilgeräten ausgeführt werden können und die Codes möglicherweise an Unbefugte weitergegeben werden könnten, bietet TOTP-basierte MFA nicht das gleiche Sicherheitsniveau wie Phishing-resistente Optionen wie Sicherheitsschlüssel und Hauptschlüssel. [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2) Wir empfehlen die Verwendung von Hauptschlüsseln oder Sicherheitsschlüsseln für MFA, um den bestmöglichen Schutz vor Angriffen wie Phishing zu gewährleisten.

Wenn Sie noch nicht in der Lage sind, Hauptschlüssel oder Sicherheitsschlüssel zu verwenden, empfehlen wir Ihnen, als Zwischenmaßnahme ein virtuelles MFA-Gerät zu verwenden, während Sie auf etwaige Genehmigungen für den Kauf von Hardware oder auf das Eintreffen Ihrer Hardware warten.

Die meisten virtuellen MFA-Apps unterstützen die Erstellung mehrerer virtueller Geräte, sodass Sie dieselbe App für mehrere AWS-Konten oder mehrere Benutzer verwenden können. Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination von [MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Sie benötigen nur ein MFA-Gerät, um sich bei dem anzumelden AWS-Managementkonsole oder eine Sitzung über zu erstellen. AWS CLI Wir empfehlen, mehrere MFA-Geräte zu registrieren. Für Authentifizierungsanwendungen empfehlen wir außerdem, das Cloud-Backup oder das Synchronisierungs-Feature zu aktivieren, um zu verhindern, dass Sie den Zugriff auf Ihr Konto verlieren, wenn Sie Ihr Gerät verlieren oder kaputt gehen.

AWS erfordert eine virtuelle MFA-App, die ein sechsstelliges OTP erzeugt. Eine Liste der verwendbaren virtuellen MFA-Apps finden Sie unter [Multi-Factor Authentication](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). 

**Topics**
+ [Erforderliche Berechtigungen](#mfa_enable_virtual_permissions-required)
+ [Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)](#enable-virt-mfa-for-iam-user)
+ [Ersetzen eines virtuellen MFA-Geräts](#replace-virt-mfa)

## Erforderliche Berechtigungen
<a name="mfa_enable_virtual_permissions-required"></a>

Um virtuelle MFA-Geräte für Ihren IAM-Benutzer zu verwalten, benötigen Sie die Berechtigungen von der folgenden Richtlinie: [AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).

## Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)
<a name="enable-virt-mfa-for-iam-user"></a>

Sie können IAM in verwenden, AWS-Managementkonsole um ein virtuelles MFA-Gerät für einen IAM-Benutzer in Ihrem Konto zu aktivieren und zu verwalten. Sie können Ihren IAM-Ressourcen, einschließlich virtueller MFA-Geräte, Tags hinzufügen, um den Zugriff auf diese zu identifizieren, zu organisieren und zu kontrollieren. Sie können virtuelle MFA-Geräte nur kennzeichnen, wenn Sie die AWS API AWS CLI oder verwenden. Informationen zum Aktivieren und Verwalten eines MFA-Geräts mithilfe der AWS API AWS CLI oder finden Sie unter[MFA-Geräte in der AWS CLI oder AWS API zuweisen](id_credentials_mfa_enable_cliapi.md). Weitere Informationen über das Markieren von IAM-Ressourcen mit Tags finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md). 

**Anmerkung**  
Sie müssen über physischen Zugriff auf die Hardware verfügen, die als Host für das virtuelle MFA-Gerät des Benutzers dient, um MFA konfigurieren zu können. Beispielsweise können Sie MFA für einen Benutzer konfigurieren, der ein virtuelles MFA-Gerät verwendet, das auf einem Smartphone ausgeführt wird. In diesem Fall müssen Sie das Smartphone zur Verfügung haben, um den Assistenten zu beenden. Aus diesem Grund kann es sinnvoll sein, die Konfiguration und Verwaltung der virtuellen MFA-Geräte von den Benutzern selbst vornehmen zu lassen. In diesem Fall müssen Sie den Benutzern die Berechtigungen zur Ausführung der erforderlichen IAM-Aktionen erteilen. Weitere Informationen und ein Beispiel für eine IAM-Richtlinie, die diese Berechtigungen gewährt, finden Sie unter [IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können](tutorial_users-self-manage-mfa-and-creds.md) und Beispielrichtlinie [AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern die Verwaltung ihres eigenen MFA-Geräts auf der Seite „Sicherheits-Anmeldeinformationen“](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md). 

**Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie in der **Users list** (Liste der Benutzer) den Namen des IAM-Benutzer aus.

1. Wechseln Sie zur Registerkarte **Security Credentials**. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Authenticator app (Authenticator-App)** und dann **Next (Weiter)**.

   IAM generiert Konfigurationsinformationen für das virtuelle MFA-Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des "geheimen Konfigurationsschlüssels", der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

1. Öffnen Sie Ihre virtuelle MFA-App. Eine Liste der Anwendungen, die Sie zum Hosten von virtuellen MFA-Geräten verwenden können, finden Sie unter [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/). 

   Wenn die virtuelle MFA-App mehrere virtuelle MFA-Geräte oder -Konten unterstützt, wählen Sie die Option zum Erstellen eines neuen virtuellen MFA-Geräts oder -Kontos.

1. Stellen Sie fest, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:
   + Wählen Sie im Assistenten **Show QR code (QR-Code anzeigen)** und verwenden Sie dann die App, um den QR-Code zu scannen. Dies kann ein Kamerasymbol oder die Option **Code scannen** sein, bei der der Code mit der Kamera des Geräts gescannt wird.
   + Wählen Sie im Assistenten die Option **Show secret key (Geheimen Schlüssel anzeigen)** aus und geben Sie dann den geheimen Schlüssel in Ihre MFA-App ein.

   Wenn Sie fertig sind, beginnt das virtuelle MFA-Gerät, einmalige Passwörter zu generieren. 

1. Geben Sie auf der Seite **Set up device (Gerät einrichten)** im Feld **MFA code 1 (MFA-Code 1)** das aktuell auf dem virtuellen MFA-Gerät angezeigte Einmalpasswort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite Einmalpasswort in das Feld **MFA Code 2** ein. Wählen Sie **Add MFA (MFA hinzufügen)**. 
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das virtuelle MFA-Gerät ist jetzt für die Verwendung mit AWS bereit. Hinweise zur Verwendung von MFA mit dem finden Sie AWS-Managementkonsole unter[Anmeldung mit MFA](console_sign-in-mfa.md).

**Anmerkung**  
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über den AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.  
Um nicht zugewiesene virtuelle MFA-Geräte in Ihrem Konto anzuzeigen, können Sie entweder den [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) verwenden.
Um ein virtuelles MFA-Gerät zu deaktivieren, können Sie entweder den [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI Befehl oder den [API-Aufruf](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) verwenden. Die Zuweisung des Geräts wird aufgehoben.
[Um Ihrem AWS-Konto Root-Benutzer oder Ihren IAM-Benutzern ein nicht zugewiesenes virtuelles MFA-Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI Befehl oder dem API-Aufruf.](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)

## Ersetzen eines virtuellen MFA-Geräts
<a name="replace-virt-mfa"></a>

Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination von MFA-Typen registrieren. Wenn der Benutzer ein Gerät verliert oder es aus irgendeinem Grund ersetzen muss, deaktivieren Sie das alte Gerät. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem anderen IAM-Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Um ein virtuelles MFA-Ersatzgerät für einen anderen IAM-Benutzer hinzuzufügen, befolgen Sie die Anleitung [Aktivieren eines virtuellen MFA-Geräts für einen IAM-Benutzer (Konsole)](#enable-virt-mfa-for-iam-user) oben.
+ Gehen Sie wie im Verfahren [Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md) beschrieben vor Root-Benutzer des AWS-Kontos, um ein virtuelles MFA-Ersatzgerät für das hinzuzufügen.

# Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole
<a name="id_credentials_mfa_enable_physical"></a>

**Wichtig**  
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden. AWS Weitere Informationen finden Sie unter [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md).

Ein Hardware-TOTP-Token generiert auf der Grundlage des Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) einen sechsstelligen numerischen Code. Der Benutzer muss einen gültigen Code vom Gerät eingeben, wenn er während des Anmeldevorgangs dazu aufgefordert wird. Ein MFA-Gerät muss einem Benutzer eindeutig zugewiesen werden. Ein Benutzer kann sich nicht mit dem Code eines anderen Geräts authentifizieren. MFA-Geräte können nicht über Konten oder Benutzer hinweg freigegeben werden.

Hardware-TOTP-Token und [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) sind physische Geräte, die Sie kaufen können. Hardware-MFA-Geräte generieren TOTP-Codes für die Authentifizierung, wenn Sie sich anmelden. AWS Sie sind auf Batterien angewiesen, die im Laufe der Zeit möglicherweise ausgetauscht und neu synchronisiert werden müssen. AWS FIDO-Sicherheitsschlüssel, die Kryptografie mit öffentlichen Schlüsseln verwenden, benötigen keine Batterien und bieten einen nahtlosen Authentifizierungsprozess. Wir empfehlen die Verwendung von FIDO-Sicherheitsschlüsseln aufgrund ihrer Phishing-Resistenz, die eine sicherere Alternative zu TOTP-Geräten darstellen. Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, was ihren Nutzen für die Kontosicherheit erhöht. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter [Multifaktor-Authentifizierung](https://aws.amazon.com/iam/details/mfa/).



Sie können ein Hardware-TOTP-Token für einen IAM-Benutzer über die AWS-Managementkonsole Befehlszeile oder die IAM-API aktivieren. Informationen zum Aktivieren eines MFA-Geräts für Sie finden Sie Root-Benutzer des AWS-Kontos unter[Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).

Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen.

**Wichtig**  
Wir empfehlen Ihnen, mehrere MFA-Geräte für Ihre Benutzer zu aktivieren, damit Sie im Falle eines verlorenen oder unzugänglichen MFA-Geräts weiterhin auf Ihr Konto zugreifen können.

**Anmerkung**  
Wenn Sie das Gerät über die Befehlszeile aktivieren möchten, verwenden Sie [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html). Um das MFA-Gerät mit der IAM-API zu aktivieren, verwenden Sie die Operation [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html). 

**Topics**
+ [Erforderliche Berechtigungen](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-own-iam-user)
+ [Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-iam-user)
+ [Ersetzen eines physischen MFA-Geräts](#replace-phys-mfa)

## Erforderliche Berechtigungen
<a name="enable-hw-mfa-for-iam-user-permissions-required"></a>

Um ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer zu verwalten und dabei gleichzeitig sensible MFA-bezogene Aktionen zu schützen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)
<a name="enable-hw-mfa-for-own-iam-user"></a>

 Sie können Ihr eigenes physisches TOTP-Token über die AWS-Managementkonsole aktivieren.

**Anmerkung**  
Bevor Sie ein physisches TOTP-Token aktivieren können, benötigen Sie physischen Zugriff auf das Gerät.

**So aktivieren Sie ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer (Konsole)**

1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS-Managementkonsole Link zu Sicherheitsanmeldedaten\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Registerkarte **AWS -IAM-Anmeldeinformationen** im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** die Option **MFA-Gerät zuweisen**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.

1. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.

1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.  
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)

1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

1. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).

## Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)
<a name="enable-hw-mfa-for-iam-user"></a>

 Sie können ein physisches TOTP-Token über die AWS-Managementkonsole für einen anderen IAM-Benutzer aktivieren.

**So aktivieren Sie ein physisches TOTP-Token für einen anderen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Wählen Sie den Namen des Benutzers, für den Sie MFA aktivieren möchten.

1. Wechseln Sie zur Registerkarte **Security Credentials**. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.

1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.

1. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.

1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.  
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)

1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.

1. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).

Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).

## Ersetzen eines physischen MFA-Geräts
<a name="replace-phys-mfa"></a>

Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht [MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) gleichzeitig Root-Benutzer des AWS-Kontos zuweisen. Wenn der Benutzer ein Gerät verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst das alte Gerät deaktivieren. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Um ein physisches TOTP-Ersatztoken für einen IAM-Benutzer hinzuzufügen, führen Sie die in der Anleitung [Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-iam-user) weiter oben in diesem Thema beschriebenen Schritte.
+ Gehen Sie wie im Verfahren weiter oben in diesem Thema beschrieben vor Root-Benutzer des AWS-Kontos, um ein Ersatz-Hardware-TOTP-Token für das hinzuzufügen[Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).

# MFA-Geräte in der AWS CLI oder AWS API zuweisen
<a name="id_credentials_mfa_enable_cliapi"></a>

Sie können AWS CLI Befehle oder AWS API-Operationen verwenden, um ein virtuelles MFA-Gerät für einen IAM-Benutzer zu aktivieren. Sie können ein MFA-Gerät nicht Root-Benutzer des AWS-Kontos mit der AWS API AWS CLI, Tools für Windows PowerShell oder einem anderen Befehlszeilentool für aktivieren. Sie können jedoch das verwenden, AWS-Managementkonsole um ein MFA-Gerät für den Root-Benutzer zu aktivieren. 

Wenn Sie ein MFA-Gerät von der aus aktivieren AWS-Managementkonsole, führt die Konsole mehrere Schritte für Sie aus. Wenn Sie stattdessen ein virtuelles Gerät mithilfe von Tools für Windows PowerShell oder AWS API erstellen, müssen Sie die Schritte manuell und in der richtigen Reihenfolge ausführen. AWS CLI Um beispielsweise ein virtuelles MFA-Gerät zu erstellen, müssen Sie das IAM-Objekt erstellen und den Code entweder als Zeichenfolge oder QR-Code extrahieren. Anschließend müssen Sie das Gerät synchronisieren und einem IAM-Benutzer zuordnen. Weitere Informationen finden Sie im Abschnitt **Beispiele** von [New- IAMVirtual MFADevice](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=New-IAMVirtualMFADevice.html&tocid=New-IAMVirtualMFADevice). Bei physischen Geräten können Sie den Erstellungsschritt überspringen und das Gerät direkt synchronisieren und dem Benutzer zuordnen. 

Sie können Ihren IAM-Ressourcen, einschließlich virtueller MFA-Geräte, Tags hinzufügen, um den Zugriff auf diese zu identifizieren, zu organisieren und zu kontrollieren. Sie können virtuelle MFA-Geräte nur kennzeichnen, wenn Sie die AWS API AWS CLI oder verwenden.

Ein IAM-Benutzer, der das SDK oder die CLI verwendet, kann ein zusätzliches MFA-Gerät aktivieren, indem er [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) aufruft oder ein vorhandenes MFA-Gerät durch den Aufruf von [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) deaktivieren. Um dies erfolgreich durchzuführen, müssen sie zuerst [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) aufrufen und MFA-Codes mit einem vorhandenen MFA-Gerät senden. Dieser Aufruf gibt temporäre Anmeldeinformationen zurück, die dann zum Signieren von API-Vorgängen verwendet werden können, die eine MFA-Authentifizierung erfordern. Ein Beispiel für Anforderung und Antwort finden Sie unter [`GetSessionToken` – Temporäre Anmeldeinformationen für Benutzer in nicht vertrauenswürdigen Umgebungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken). 

**So erstellen Sie die virtuelle Geräteeinheit in IAM, um ein virtuelles MFA-Gerät zu repräsentieren**  
Mithilfe dieser Befehl wird ein ARN für das Gerät bereitgestellt, der in vielen der folgenden Befehle anstelle einer Seriennummer verwendet wird.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html) 

**So aktivieren Sie ein MFA-Gerät für die Verwendung mit AWS**  
Mit diesen Befehlen wird das Gerät mit einem Benutzer synchronisiert AWS und diesem zugeordnet. Wenn es sich dabei um ein virtuelles Gerät handelt, verwenden Sie den ARN des virtuellen Geräts als Seriennummer.

**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. Führen Sie in diesem Fall mithilfe der unten beschriebenen Befehle eine erneute Synchronisierung durch.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) 

**So deaktivieren Sie ein Gerät**  
Mit diesen Befehlen heben Sie die Zuordnung des Geräts zu einem Benutzer auf und deaktivieren es. Wenn es sich dabei um ein virtuelles Gerät handelt, verwenden Sie den ARN des virtuellen Geräts als Seriennummer. Außerdem müssen Sie die virtuelle Geräteeinheit separat löschen. 
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

**So listen Sie virtuelle MFA-Geräteeinheiten auf**  
Verwenden Sie diese Befehle, um virtuelle MFA-Geräte-Entitys aufzulisten.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) 

**Markieren eines virtuellen MFA-Geräts**  
Verwenden Sie diese Befehle, um ein virtuelles MFA-Gerät zu markieren.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html) 

**Auflisten der Tags für ein virtuelles MFA-Gerät**  
Verwenden Sie diese Befehle, um die an ein virtuelles MFA-Gerät angehängten Tags aufzulisten.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html) 

**Entfernen einer Markierung eines virtuellen MFA-Geräts**  
Verwenden Sie diese Befehle, um Tags zu entfernen, die an ein virtuelles MFA-Gerät angehängt sind.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html) 

**So führen Sie eine erneute Synchronisierung eines MFA-Geräts durch**  
Verwenden Sie diese Befehle, wenn das Gerät Codes generiert, die von nicht akzeptiert werden AWS. Wenn es sich dabei um ein virtuelles Gerät handelt, verwenden Sie den ARN des virtuellen Geräts als Seriennummer.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html) 

**So löschen Sie eine virtuelle MFA-Geräteeinheit in IAM**  
Nachdem Sie die Gerätezuordnung zu einem Benutzer aufgehoben haben, können Sie die Geräteeinheit löschen.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html) 
+ AWS API: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html) 

**So stellen Sie ein verlorenes oder nicht mehr funktionierendes virtuelles MFA-Gerät wieder her**  
Manchmal geht ein mobiles Gerät eines Benutzers, auf dem die virtuelle MFA-Anwendung gehostet wird, verloren, wird ausgetauscht oder es funktioniert nicht mehr. Wenn dies der Fall ist, kann der Benutzer es nicht selbst wiederherstellen. Der Benutzer muss sich zur Deaktivierung des Geräts an einen Administrator wenden. Weitere Informationen finden Sie unter [Wiederherstellung einer MFA-geschützten Identität in IAM](id_credentials_mfa_lost-or-broken.md).

# MFA-Status überprüfen
<a name="id_credentials_mfa_checking-status"></a>

Verwenden Sie die IAM-Konsole, um zu überprüfen, ob ein Root-Benutzer des AWS-Kontos oder IAM-Benutzer ein gültiges MFA-Gerät aktiviert hat.

**So überprüfen Sie den MFA-Status eines Stammbenutzers**

1. Melden Sie sich AWS-Managementkonsole mit Ihren Root-Benutzeranmeldedaten bei an und öffnen Sie dann die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.

1. Überprüfen Sie unter **Multi-Factor Authentication (MFA)**, ob MFA aktiviert oder deaktiviert ist. Wenn MFA nicht aktiviert ist, wird ein Warnsymbol (![\[Alert icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-alert-icon.console.png)) angezeigt. 

Wenn Sie MFA für das Konto aktivieren möchten, finden Sie Informationen unter:
+ [Virtuelles MFA-Geräts für Ihren Root-Benutzer aktivieren (Konsole)](enable-virt-mfa-for-root.md)
+ [Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole)](enable-fido-mfa-for-root.md)
+ [Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md)

**So überprüfen Sie den MFA-Status des IAM-Benutzers**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole. 

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Falls erforderlich, fügen Sie die Spalte **MFA** zur Tabelle "Benutzer" hinzu, indem Sie die folgenden Schritte ausführen:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol (![\[Settings icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. In **Manage Columns (Spalten verwalten)** wählen Sie **MFA**.

   1. (Optional) Deaktivieren Sie die Kontrollkästchen für alle Spaltenüberschriften, die nicht in der Benutzertabelle angezeigt werden sollen.

   1. Klicken Sie auf **Close (Schließen)**, um zur Liste der Benutzer zurückzukehren.

1. In der Spalte **MFA** erhalten Sie Informationen über das aktivierte MFA-Gerät. Wenn kein MFA-Gerät für den Benutzer aktiv ist, zeigt die Konsole **None (Keine)** an. Wenn der Benutzer ein aktiviertes MFA-Gerät hat, zeigt die Spalte **MFA** den Typ des Geräts, das mit einem Wert von **Virtual**, **Sicherheitsschlüssel**, **Hardware** oder **SMS** aktiviert ist.
**Anmerkung**  
AWS Die Unterstützung für die Aktivierung der SMS-Multifaktor-Authentifizierung (MFA) wurde eingestellt. Wir empfehlen Kunden mit IAM-Benutzern, die SMS-textnachrichtenbasierte MFA verwenden, zu einer der folgenden alternativen Methoden zu wechseln: [virtuelles (softwarebasiertes) MFA-Gerät](id_credentials_mfa_enable_virtual.md), [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md), oder [Hardware-MFA-Gerät](id_credentials_mfa_enable_physical.md). Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen SMS-MFA-Gerät identifizieren. Navigieren Sie zu diesem Zweck zur IAM-Konsole, wählen Sie im Navigationsbereich **Users (Benutzer)** und suchen Sie nach Benutzern mit **SMS** in der Tabellenspalte **MFA**.

1. Um zusätzliche Informationen über das MFA-Gerät für einen Benutzer anzuzeigen, wählen Sie den Namen des Benutzers, dessen MFA-Status Sie überprüfen möchten. Klicken Sie dann auf die Registerkarte **Security credentials (Sicherheits-Anmeldeinformationen)**. 

1. Wenn kein MFA-Gerät für den Benutzer aktiv ist, zeigt die Konsole **No MFA devices (Keine MFA-Geräte) an. Weisen Sie im Abschnitt **Multi-Factor Authentication (MFA) ein MFA-Gerät** zu, um die Sicherheit Ihrer AWS Umgebung zu verbessern**. Wenn der Benutzer MFA-Geräte aktiviert hat, werden im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** Details zu den Geräten angezeigt:
   + Der Gerätename
   + Der Gerätetyp
   + Die Kennung für das Gerät, z. B. eine Seriennummer für ein physisches Gerät oder der ARN AWS für ein virtuelles Gerät
   + Wann das Gerät erstellt wurde

Um ein Gerät zu entfernen oder erneut zu synchronisieren, wählen Sie das Optionsfeld neben dem Gerät und wählen Sie **Remove (Entfernen)** oder **Resync (Erneut synchronisieren)**.

Weitere Informationen zur Aktivierung von MFA finden Sie unter: 
+ [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md)
+ [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md)
+ [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md)

# Resynchronisierung von virtuellen und Hardware-MFA-Geräten
<a name="id_credentials_mfa_sync"></a>

Sie können AWS es verwenden, um Ihre virtuellen und Hardware-Geräte mit Multi-Faktor-Authentifizierung (MFA) neu zu synchronisieren. Wenn das Gerät nicht synchronisiert ist, wenn Sie versuchen, es zu verwenden, schlägt der Anmeldeversuch fehl, und IAM fordert Sie auf, das Gerät erneut zu synchronisieren.

**Anmerkung**  
FIDO-Sicherheitsschlüssel verlieren ihre Synchronisation nicht. Wenn ein FIDO-Sicherheitsschlüssel verloren geht oder beschädigt ist, können Sie ihn deaktivieren. Weitere Anweisungen zum Deaktivieren von MFA-Geräten finden Sie unter [So deaktivieren Sie ein MFA-Gerät für einen anderen IAM-Benutzer (Konsole)](id_credentials_mfa_disable.md#deactivate-mfa-for-user).

Als AWS Administrator können Sie die virtuellen und Hardware-MFA-Geräte Ihrer IAM-Benutzer erneut synchronisieren, wenn sie nicht mehr synchronisiert sind.

Wenn Ihr Root-Benutzer des AWS-Kontos MFA-Gerät nicht funktioniert, können Sie Ihr Gerät mithilfe der IAM-Konsole mit oder ohne Abschluss des Anmeldevorgangs neu synchronisieren. Wenn Sie Ihr Gerät nicht erfolgreich resynchronisieren können, müssen Sie es möglicherweise trennen und erneut verknüpfen. Weitere Information dazu finden Sie unter [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md) und [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

**Topics**
+ [Erforderliche Berechtigungen](#id_credentials_mfa_sync_console-permissions-required)
+ [Erneutes Synchronisieren virtueller und physischer MFA-Geräte (IAM-Konsole)](#id_credentials_mfa_sync_console)
+ [Resynchronisieren von virtuellen und physischen MFA-Geräten (AWS CLI)](#id_credentials_mfa_sync_cli)
+ [Resynchronisierung von virtuellen und Hardware-MFA-Geräten (API)AWS](#id_credentials_mfa_sync_api)

## Erforderliche Berechtigungen
<a name="id_credentials_mfa_sync_console-permissions-required"></a>

Um virtuelle oder Hardware-MFA-Geräte für Ihren IAM-Benutzer erneut zu synchronisieren, benötigen Sie die Berechtigungen von der folgenden Richtlinie. Diese Richtlinie erlaubt es Ihnen nicht, ein Gerät zu erstellen oder zu deaktivieren.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Erneutes Synchronisieren virtueller und physischer MFA-Geräte (IAM-Konsole)
<a name="id_credentials_mfa_sync_console"></a>

Sie können die IAM Konsole verwenden, um eine Neusynchronisierung bei physischen und virtuellen MFA-Geräten durchzuführen.

**So synchronisieren Sie ein virtuelles oder physisches MFA-Gerät für Ihren eigenen IAM-Benutzer (Konsole) neu**

1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**  
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.

   Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.

1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.   
![\[AWS Link zu den Sicherheitsanmeldedaten der Managementkonsole\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Wählen Sie auf der Registerkarte **AWS -IAM-Anmeldeinformationen** im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** das Optionsfeld neben dem MFA-Gerät und dann **Erneut synchronisieren**.

1. Geben Sie unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** die nächsten zwei sequenziell generierten Codes des Geräts ein. Wählen Sie dann **Resync (Erneut synchronisieren)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, scheint die Anforderung zu funktionieren, aber das Gerät ist weiterhin nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden.

**So synchronisieren Sie ein virtuelles oder physisches MFA-Gerät für einen anderen IAM-Benutzer (Konsole) neu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Users (Benutzer)** den Namen des Benutzers aus, dessen MFA-Gerät erneut synchronisiert werden muss.

1. Wechseln Sie zur Registerkarte **Sicherheitsanmeldeinformationen**. Wählen Sie im Abschnitt **Multi-factor authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** das Optionsfeld neben dem MFA-Gerät und dann **Resync (Erneut synchronisieren)**.

1. Geben Sie unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** die nächsten zwei sequenziell generierten Codes des Geräts ein. Wählen Sie dann **Resync (Erneut synchronisieren)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, scheint die Anforderung zu funktionieren, aber das Gerät ist weiterhin nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden.

**So synchronisieren Sie Ihr Stammbenutzer-MFA vor der Anmeldung erneut (Konsole)**

1. Wählen Sie auf der Seite **Amazon Web Services Sign In With Authentication Device (Amazon Web Services Anmeldung mit Authentifizierungsgerät)** die Option **Having problems with your authentication device? (Haben Sie Probleme mit Ihrem Authentifizierungsgerät?) Click here.**
**Anmerkung**  
Möglicherweise wird Ihnen unterschiedlicher Text angezeigt, z. B. **Sign in using MFA (Melden Sie sich mit MFA an)** und **Troubleshoot your authentication device (Fehlerbehebung bei Ihrem Authentifizierungsgerät)**. Es stehen jedoch die gleichen Features zur Verfügung.

1. Geben Sie im Abschnitt **Re-Sync With Our Servers (Re-Synchronisation mit unseren Servern)** unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** die beiden nächsten in der Folge generierten Codes von dem Gerät ein. Wählen Sie dann **Re-sync authentication device (Authentifizierungsgerät neu synchronisieren)**.

1. Geben Sie, falls erforderlich, das Passwort erneut ein, und wählen Sie **Sign in (Anmelden)**. Schließen Sie dann mit Ihrem MFA-Gerät den Anmeldevorgang ab.

**So synchronisieren Sie Ihr Stammbenutzer-MFA-Gerät nach der Anmeldung erneut (Konsole)**

1. Melden Sie sich als Kontoinhaber bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
**Anmerkung**  
Als Root-Benutzer können Sie sich nicht auf der Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** anmelden. Wenn Ihnen die Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** angezeigt wird, wählen Sie die Option **Sign in using root user email (Mit Root-Benutzer-E-Mail anmelden)** unten auf der Seite. Hilfe bei der Anmeldung als Root-Benutzer finden [Sie im *Benutzerhandbuch unter AWS-Managementkonsole Als AWS-Anmeldung Root-Benutzer* anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html).

1. Klicken Sie rechts in der Navigationsleiste auf den Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**. Sofern erforderlich, wählen Sie **Continue to Security Credentials (Weiter zu Sicherheitsanmeldeinformationen)**.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Erweitern Sie den Bereich **Multi-Factor Authentication (MFA)** auf der Seite.

1. Aktivieren Sie das Optionsfeld neben dem Gerät und wählen Sie **Resync (Erneut synchronisieren)**.

1. Geben Sie im Dialogfeld **Resync MFA device (MFA-Gerät erneut synchronisieren)** die beiden nächsten in der Folge generierten Codes vom Gerät unter **MFA code 1 (MFA-Code 1)** und **MFA code 2 (MFA-Code 2)** ein. Wählen Sie dann **Resync (Erneut synchronisieren)**.
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verbunden, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden.

## Resynchronisieren von virtuellen und physischen MFA-Geräten (AWS CLI)
<a name="id_credentials_mfa_sync_cli"></a>

Sie können die AWS CLI verwenden, um eine Neusynchronisierung bei physischen und virtuellen MFA-Geräten durchzuführen.

**So synchronisieren Sie ein virtuelles oder Hardware-MFA-Gerät für einen IAM-Benutzer neu (AWS CLI)**  
Geben Sie an der Befehlszeile den Befehl [aws iam resync-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) ein:
+ Virtuelles MFA-Gerät: Geben Sie den Amazon Resource Name (ARN) des Geräts als Seriennummer ein.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
  ```
+ Physisches MFA-Gerät: Geben Sie die Seriennummer des physischen Geräts als Seriennummer an. Das Format ist herstellerspezifisch. Sie können beispielsweise ein Gemalto-Token von Amazon erwerben. Die Seriennummer besteht in der Regel aus vier Buchstaben, gefolgt von vier Ziffern.

  ```
  aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
  ```

**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit dem Senden der Anforderung warten, schlägt die Anforderung fehl, weil die Gültigkeit der Codes nach kurzer Zeit verfällt.

## Resynchronisierung von virtuellen und Hardware-MFA-Geräten (API)AWS
<a name="id_credentials_mfa_sync_api"></a>

IAM bietet einen API-Aufruf zur Durchführung der Synchronisierung. In diesem Fall empfehlen wir, dass Sie Ihren Benutzern für virtuelle und Hardware-MFA-Geräte die Berechtigung erteilen, auf diesen API-Aufruf zuzugreifen. Erstellen Sie dann ein Tool basierend auf diesem API-Aufruf, damit Ihre Benutzer ihre Geräte jederzeit neu synchronisieren können.

**So synchronisieren Sie ein virtuelles oder Hardware-MFA-Gerät für einen IAM-Benutzer (API) neu AWS**
+ [Senden Sie die Resync-Anfrage. MFADevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html)

# Deaktivieren eines MFA-Geräts
<a name="id_credentials_mfa_disable"></a>

Wenn Sie Schwierigkeiten haben, sich mit einem Multi-Faktor-Authentifizierung (MFA)-Gerät als IAM-Benutzer anzumelden, wenden Sie sich an Ihren Administrator, um Unterstützung zu erhalten.

Als Administrator können Sie das Gerät für einen anderen IAM-Benutzer deaktivieren. Dadurch kann der Benutzer sich ohne MFA anmelden. Dies kann eine vorübergehende Lösung darstellen, während die MFA-Gerät ersetzt wird oder wenn das Gerät vorübergehend nicht verfügbar ist. Wir empfehlen jedoch, dass Sie so bald wie möglich ein neues Gerät für den Benutzer aktivieren. Weitere Informationen zum Aktivieren eines neuen MFA-Geräts finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

**Anmerkung**  
Wenn Sie die API verwenden oder einen Benutzer aus Ihrem löschen AWS CLI möchten AWS-Konto, müssen Sie das MFA-Gerät des Benutzers deaktivieren oder löschen. Diese Änderung nehmen Sie im Rahmen der Entfernung des Benutzers vor. Weitere Informationen zum Entfernen von Benutzern finden Sie unter [Entfernen oder Deaktivieren eines IAM-Benutzers](id_users_remove.md).

**Topics**
+ [Deaktivieren von MFA-Geräten (Konsole)](#deactive-mfa-console)
+ [Deaktivieren von MFA-Geräten (AWS CLI)](#deactivate-mfa-cli)
+ [Deaktivierung von MFA-Geräten (API)AWS](#deactivate-mfa-api)

## Deaktivieren von MFA-Geräten (Konsole)
<a name="deactive-mfa-console"></a><a name="deactivate-mfa-for-user"></a>

**So deaktivieren Sie ein MFA-Gerät für einen anderen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Zum Deaktivieren des MFA-Geräts für einen Benutzer wählen Sie den Namen des Benutzer aus, dessen MFA Sie entfernen möchten.

1. Wechseln Sie zur Registerkarte **Sicherheitsanmeldeinformationen**.

1. Wählen Sie unter **Multi-factor authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Optionsschaltfläche neben dem MFA-Gerät, dann **Remove (Entfernen)**) und dann **Remove (Entfernen)**.

   Das Gerät wurde entfernt von AWS. Es kann erst zur Anmeldung oder Authentifizierung von Anfragen verwendet werden, wenn es erneut aktiviert und einem AWS Benutzer zugeordnet wurde oder. Root-Benutzer des AWS-Kontos<a name="deactivate-mfa-for-root"></a>

**Um das MFA-Gerät für Ihre Root-Benutzer des AWS-Kontos (Konsole) zu deaktivieren**

1. Melden Sie sich als Kontoinhaber bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
**Anmerkung**  
Als Root-Benutzer können Sie sich nicht auf der Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** anmelden. Wenn Ihnen die Seite **Sign in as IAM user (Als IAM-Benutzer anmelden)** angezeigt wird, wählen Sie die Option **Sign in using root user email (Mit Root-Benutzer-E-Mail anmelden)** unten auf der Seite. Hilfe bei der Anmeldung als Root-Benutzer finden [Sie im *Benutzerhandbuch unter AWS-Managementkonsole Als AWS-Anmeldung Root-Benutzer* anmelden](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-          root-user-sign-in-tutorial.html).

1. Klicken Sie rechts in der Navigationsleiste auf den Kontonamen und wählen Sie dann **Security Credentials (Sicherheitsanmeldeinformationen)**. Sofern erforderlich, wählen Sie **Continue to Security Credentials (Weiter zu Sicherheitsanmeldeinformationen)**.  
![\[Sicherheitsanmeldeinformationen im Navigationsmenü\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Wählen Sie im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** das Optionsfeld neben dem MFA-Gerät, das Sie deaktivieren möchten, und wählen Sie **Remove (Entfernen)**.

1. Wählen Sie **Remove (Entfernen)** aus.

   Das MFA-Gerät wird für das AWS-Konto deaktiviert. Suchen Sie in der E-Mail, die mit Ihrer verknüpft ist, AWS-Konto nach einer Bestätigungsnachricht von Amazon Web Services. In der E-Mail-Nachricht werden Sie darüber informiert, dass Ihre Amazon Web Services Multi-Factor Authentication (MFA) deaktiviert wurde. Die Nachricht stammt von `@amazon.com` oder `@aws.amazon.com`.

**Anmerkung**  
Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über den AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.

## Deaktivieren von MFA-Geräten (AWS CLI)
<a name="deactivate-mfa-cli"></a>

**So deaktivieren Sie ein MFA-Gerät für einen IAM-Benutzer (AWS CLI)**
+ Führen Sie diesen Befehl aus: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)

## Deaktivierung von MFA-Geräten (API)AWS
<a name="deactivate-mfa-api"></a>

**So deaktivieren Sie ein MFA-Gerät für einen IAM-Benutzer (API)AWS**
+ Rufen Sie diese Operation auf: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)

# Wiederherstellung einer MFA-geschützten Identität in IAM
<a name="id_credentials_mfa_lost-or-broken"></a>

Wenn Ihr [virtuelles MFA-Gerät](id_credentials_mfa_enable_virtual.md) oder Ihr [Hardware-TOTP-Token](id_credentials_mfa_enable_physical.md) ordnungsgemäß zu funktionieren scheint, Sie es aber nicht für den Zugriff auf Ihre AWS Ressourcen verwenden können, ist es möglicherweise nicht mehr synchronisiert mit. AWS Weitere Informationen zum Synchronisieren eines virtuellen MFA-Geräts oder Hardware-MFA-Geräts finden Sie unter [Resynchronisierung von virtuellen und Hardware-MFA-Geräten](id_credentials_mfa_sync.md). [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) verlieren ihre Synchronisation nicht.

Wenn das [MFA-Gerät](id_credentials_mfa.md) für a verloren geht, beschädigt Root-Benutzer des AWS-Kontos ist oder nicht funktioniert, können Sie den Zugriff auf Ihr Konto wiederherstellen. IAM-Benutzer müssen sich zur Deaktivierung des Geräts an einen Administrator wenden.

**Wichtig**  
Wir empfehlen, mehrere MFA-Geräte zu aktivieren. Durch die Registrierung mehrerer MFA-Geräte wird der fortgesetzte Zugriff sichergestellt, wenn ein Gerät verloren geht oder kaputt geht. Ihre Root-Benutzer des AWS-Kontos und IAM-Benutzer können bis zu acht MFA-Geräte beliebigen Typs registrieren.

## Voraussetzung – Verwendung eines anderen MFA-Geräts
<a name="mfa-lost-or-broken-prerequisites"></a>

Wenn Ihr [Gerät für die Multi-Faktor-Authentifizierung (MFA)](id_credentials_mfa.md) verloren geht, beschädigt ist oder nicht funktioniert, können Sie sich mit einem anderen MFA-Gerät anmelden, das für denselben Root-Benutzer oder IAM-Benutzer registriert ist.

**So melden Sie sich mit einem anderen MFA-Gerät**

1. Melden Sie sich mit Ihrer AWS-Konto -ID oder Ihrem Kontoalias und Ihrem Passwort bei der [AWS-Managementkonsole](url-comsole-domain;iam) an.

1. Wählen Sie auf der Seite **Zusätzliche Überprüfung erforderlich** oder **Multi-Faktor-Authentifizierung** die Option **Andere MFA-Methode ausprobieren** aus.

1. Authentifizieren Sie sich mit dem von Ihnen ausgewählten MFA-Gerätetyp.

1. Der nächste Schritt variiert je nachdem, ob Sie sich erfolgreich mit einem alternativen MFA-Gerät angemeldet haben.
   + Wenn Sie sich erfolgreich angemeldet haben, können Sie [Resynchronisierung von virtuellen und Hardware-MFA-Geräten](id_credentials_mfa_sync.md), wodurch das Problem möglicherweise behoben wird. Wenn Ihr MFA-Gerät verloren geht oder beschädigt ist, können Sie es deaktivieren. Weitere Anweisungen zum Deaktivieren von MFA-Geräten finden Sie unter [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
   + Wenn Sie sich nicht mit MFA anmelden können, verwenden Sie die Schritte unter [Wiederherstellen eines Stammbenutzer-MFA-Geräts](#root-mfa-lost-or-broken) oder [Wiederherstellen eines IAM-Benutzer-MFA-Geräts](#iam-user-mfa-lost-or-broken), um Ihre durch MFA geschützte Identität wiederherzustellen.



## Wiederherstellen eines Stammbenutzer-MFA-Geräts
<a name="root-mfa-lost-or-broken"></a>

Wenn Sie sich nicht mit MFA anmelden können, können Sie alternative Authentifizierungsmethoden zur Anmeldung verwenden, indem Sie Ihre Identität anhand der E-Mail-Adresse und der primären Kontakttelefonnummer bestätigen, die bei Ihrem Konto registriert sind.

Bestätigen Sie, dass Sie auf die E-Mail-Adresse und die primäre Kontakttelefonnummer zugreifen können, die mit Ihrem Konto verknüpft sind, bevor Sie alternative Authentifizierungsfaktoren verwenden, um sich als Root-Benutzer anzumelden. Wenn Sie die Telefonnummer des primären Kontakts aktualisieren müssen, melden Sie sich als IAM-Benutzer mit *Administrator*-Zugriff statt als Root-Benutzer an. Weitere Anweisungen zur Aktualisierung der Kontokontaktinformationen finden Sie im *AWS Billing -Benutzerhandbuch* unter [Kontaktinformationen bearbeiten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html). Wenn Sie keinen Zugriff auf eine E-Mail und eine primäre Kontakttelefonnummer haben, müssen Sie sich an den [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support) wenden.

**Wichtig**  
Wir empfehlen Ihnen, die mit Ihrem Root-Benutzer verknüpfte E-Mail-Adresse und Kontakttelefonnummer auf dem neuesten Stand zu halten, damit Ihr Konto erfolgreich wiederhergestellt werden kann. Weitere Informationen finden Sie im *AWS -Kontenverwaltung Referenzhandbuch* unter [Aktualisieren Sie den Hauptkontakt für Ihr AWS-Konto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html).

**Um sich mit alternativen Authentifizierungsfaktoren anzumelden als Root-Benutzer des AWS-Kontos**

1.  Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

1. Wählen Sie auf der Seite **Zusätzliche Verifizierung erforderlich** eine MFA-Methode für die Authentifizierung aus und klicken Sie auf **Weiter**. 
**Anmerkung**  
Möglicherweise sehen Sie alternativen Text wie **Sign in using MFA** (Mit MFA anmelden), **Troubleshoot your authentication device** (Fehlerbehebung für Ihr Authentifizierungsgerät), oder **Troubleshoot MFA** (Fehlerbehebung für MFA), aber die Funktionalität ist dieselbe. Wenn Sie zur Verifizierung der E-Mail-Adresse Ihres Kontos und der primären Kontakttelefonnummer keine alternativen Authentifizierungsfaktoren verwenden können, wenden Sie sich an [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support), um Ihr MFA-Gerät zu deaktivieren.

1. Je nachdem, welche Art von MFA Sie verwenden, wird eine andere Seite angezeigt, aber die Option **Fehlerbehebung bei MFA** funktioniert genauso. Wählen Sie auf der Seite **Zusätzliche Überprüfung erforderlich** oder **Multifaktor-Authentifizierung** die Option **Fehlerbehebung bei MFA** aus.

1. Geben Sie, falls erforderlich, das Passwort erneut ein, und wählen Sie **Sign in (Anmelden)**.

1. Wählen Sie auf der Seite **Fehlerbehebung bei Ihrem Authentifizierungsgerät** im Abschnitt **Anmelden mit alternativen Faktoren der Authentifizierung** die Option **Anmelden mit alternativen Faktoren**.

1. Authentifizieren Sie Ihr Konto auf der Seite **Anmeldung mit alternativen Faktoren**, indem Sie die E-Mail-Adresse verifizieren, und wählen Sie **Verifizierungs-E-Mail senden** aus. 

1. Suchen Sie in der E-Mail, die mit Ihrer verknüpft ist, AWS-Konto nach einer Nachricht von Amazon Web Services (recover-mfa-no-reply@verify .signin.aws). Befolgen Sie die Anweisungen in der E-Mail-Nachricht.

   Wenn in Ihrem Konto keine E-Mail-Nachricht angezeigt wird, überprüfen Sie Ihren Spam-Ordner oder wählen Sie in Ihrem Browser **Resend the email (E-Mail erneut versenden)**.

1. Nachdem Ihre E-Mail-Adresse verifiziert wurde, können Sie mit der Authentifizierung Ihres Kontos fortfahren. Zum Überprüfen Ihrer Haupttelefonnummer wählen Sie **Call me now** (Mich jetzt anrufen).

1. Nehmen Sie den Anruf von entgegen AWS und geben Sie, wenn Sie dazu aufgefordert werden, die sechsstellige Nummer von der AWS Website auf der Telefontastatur ein. 

   Wenn Sie keinen Anruf von erhalten AWS, wählen Sie **Anmelden, um sich erneut an** der Konsole anzumelden und von vorne zu beginnen. Oder sehen Sie unter [Verlorenes oder unbrauchbares Multi-Faktor-Authentifizierung (MFA)-Gerät](https://support.aws.amazon.com/#/contacts/aws-mfa-support) nach, um den Support für Hilfe zu kontaktieren.

1. Nach dem Verifizieren Ihrer Telefonnummer können Sie sich bei Ihrem Konto anmelden, indem Sie **Sign in to the console (Anmelden an der Konsole)** auswählen.

1. Der nächste Schritt variiert je nach Art der MFA, die Sie verwenden:
   + Für ein virtuelles MFA-Gerät, entfernen Sie das Konto von Ihrem Gerät. Löschen Sie dann auf der Seite [AWS -Sicherheitsanmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) die Entität für das alte virtuelle MFA-Gerät, bevor Sie eine neue erstellen.
   + Für einen FIDO-Sicherheitsschlüssel gehen Sie auf die Seite [AWS -Sicherheitsanmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) und deaktivieren Sie den alten FIDO-Sicherheitsschlüssel, bevor Sie einen neuen aktivieren.
   + Wenn Sie ein Hardware-TOTP-Token benötigen, wenden Sie sich an den Drittanbieter, um Hilfe bei der Reparatur oder dem Austausch des Geräts zu erhalten. Sie können sich weiter mit der alternativen Authentifizierung anmelden, bis Sie Ihr neues Gerät erhalten. Nachdem Sie das neue Hardware-MFA-Gerät erhalten haben, gehen Sie zur Seite [AWS -Sicherheits-Anmeldeinformationen](https://console.aws.amazon.com/iam/home?#security_credential) und löschen Sie das alte MFA-Gerät.
**Anmerkung**  
Sie müssen ein verlorenes oder gestohlenes MFA-Gerät nicht durch ein gleichartiges Gerät ersetzen. Wenn Sie beispielsweise Ihren FIDO-Sicherheitsschlüssel verlieren und einen neuen bestellen, können Sie bis zum Eintreffen des neuen FIDO-Schlüssels die virtuelle MFA oder einen Hardware-TOTP-Token verwenden.

**Wichtig**  
Wenn Ihr MFA-Gerät verloren geht oder gestohlen wurde, ändern Sie Ihr Root-Benutzerpasswort, nachdem Sie sich angemeldet und Ihr Ersatz-MFA-Gerät eingerichtet haben. Ein Angreifer könnte das Authentifizierungsgerät gestohlen haben und verfügt möglicherweise auch über Ihr aktuelles Passwort. Weitere Informationen finden Sie unter [Ändern Sie das Passwort für Root-Benutzer des AWS-Kontos](root-user-password.md).

## Wiederherstellen eines IAM-Benutzer-MFA-Geräts
<a name="iam-user-mfa-lost-or-broken"></a>

Wenn Sie ein IAM-Benutzer sind, der sich nicht mit MFA anmelden kann, können Sie ein MFA-Gerät nicht selbst wiederherstellen. Sie müssen sich zur Deaktivierung des Geräts an einen Administrator wenden. Anschließend können Sie ein neues Gerät aktivieren.

**So erhalten Sie als IAM-Benutzer Hilfe für ein MFA-Gerät**

1. Wenden Sie sich an den AWS Administrator oder eine andere Person, die Ihnen den Benutzernamen und das Passwort für den IAM-Benutzer gegeben hat. Der Administrator muss das MFA-Gerät deaktivieren, wie in [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md) beschrieben, damit Sie sich anmelden können.

1. Der nächste Schritt variiert je nach Art der MFA, die Sie verwenden:
   + Für ein virtuelles MFA-Gerät, entfernen Sie das Konto von Ihrem Gerät. Aktivieren Sie dann das virtuelle Gerät wie in [Weisen Sie ein virtuelles MFA-Gerät zu in der AWS-Managementkonsole](id_credentials_mfa_enable_virtual.md) beschrieben.
   + Wenn Sie einen FIDO-Sicherheitsschlüssel benötigen, wenden Sie sich an den Drittanbieter, der Ihnen beim Austausch des Geräts hilft. Wenn Sie den neuen FIDO-Sicherheitsschlüssel erhalten, aktivieren Sie ihn wie in [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md) beschrieben.
   + Wenn Sie ein Hardware-TOTP-Token benötigen, wenden Sie sich an den Drittanbieter, um Hilfe bei der Reparatur oder dem Austausch des Geräts zu erhalten. Nachdem Sie das neue physische MFA-Gerät erhalten haben, aktivieren Sie das Gerät wie in [Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole](id_credentials_mfa_enable_physical.md) beschrieben.
**Anmerkung**  
Sie müssen ein verlorenes oder gestohlenes MFA-Gerät nicht durch ein gleichartiges Gerät ersetzen. Sie können bis zu acht MFA-Geräte beliebiger Kombination verwenden. Wenn Sie beispielsweise Ihren FIDO-Sicherheitsschlüssel verlieren und einen neuen bestellen, können Sie bis zum Eintreffen des neuen FIDO-Schlüssels die virtuelle MFA oder einen Hardware-TOTP-Token verwenden.

1. Wenn Ihr MFA-Gerät verloren gegangen ist oder gestohlen wurde, ändern Sie auch Ihr Passwort, falls ein Angreifer das Authentifizierungsgerät gestohlen hat und möglicherweise auch Ihr aktuelles Passwort kennt. Weitere Informationen finden Sie unter [Verwalten von Passwörtern für IAM-Benutzer](id_credentials_passwords_admin-change-user.md).

# Sicherer API-Zugriff mit MFA
<a name="id_credentials_mfa_configure-api-require"></a>

Mit IAM-Richtlinien können Sie angeben, welche API-Operationen ein Benutzer aufrufen darf. Sie können für zusätzliche Sicherheit sorgen, indem Sie von Benutzern eine Authentifizierung mit Multi-Faktor-Authentifizierung (MFA) verlangen, bevor Sie ihnen erlauben, besonders vertrauliche Aktionen auszuführen.

Sie verfügen beispielsweise über eine Richtlinie, die dem Benutzer gestattet, die Amazon EC2 Aktionen `RunInstances`, `DescribeInstances` und `StopInstances` auszuführen. Möglicherweise möchten Sie jedoch eine destruktive Aktion einschränken `TerminateInstances` und sicherstellen, dass Benutzer diese Aktion nur ausführen können, wenn sie sich mit einem AWS MFA-Gerät authentifizieren.

**Topics**
+ [-Übersicht](#MFAProtectedAPI-overview)
+ [Szenario: MFA-Schutz für kontoübergreifende Delegierung](#MFAProtectedAPI-cross-account-delegation)
+ [Szenario: MFA-Schutz für Zugriff auf API-Operationen im aktuellen Konto](#MFAProtectedAPI-user-mfa)
+ [Szenario: MFA-Schutz für Ressourcen mit ressourcenbasierten Richtlinien](#MFAProtectedAPI-resource-policies)

## -Übersicht
<a name="MFAProtectedAPI-overview"></a>

Um den MFA-Schutz zu API-Operationen hinzuzufügen, sind folgende Schritte auszuführen:

1. Der Administrator konfiguriert ein AWS MFA-Gerät für jeden Benutzer, der API-Anfragen stellen muss, für die eine MFA-Authentifizierung erforderlich ist. Weitere Informationen finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md). 

1. Der Administrator erstellt Richtlinien für die Benutzer, die ein `Condition` Element enthalten, das überprüft, ob sich der Benutzer mit einem AWS MFA-Gerät authentifiziert hat.

1. Der Benutzer ruft eine der AWS STS API-Operationen auf, die die MFA-Parameter unterstützen: [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html). Als Teil des Aufrufs schließt der Benutzer die mit dem Benutzer verknüpfte Gerät-ID für das Gerät ein. Der Benutzer schließt außerdem das zeitbasierte Einmalpasswort (Time-based One-Time Password, TOTP) ein. In beiden Fällen erhält der Benutzer temporäre Sicherheitsanmeldeinformationen zurück, die der Benutzer für zusätzliche Anfragen an AWS benutzen kann.
**Anmerkung**  
MFA-Schutz für die API-Operationen eines Service ist nur dann verfügbar, wenn der Service temporäre Sicherheitsanmeldeinformationen unterstützt. Eine Liste dieser Services finden Sie unter [Verwendung temporärer Sicherheitscodes für den Zugriff auf AWS](https://docs.aws.amazon.com/STS/latest/UsingSTS/UsingTokens.html).

Schlägt die Autorisierung fehl, wird eine Fehlermeldung „Zugriff verweigert“ AWS zurückgegeben (wie bei jedem nicht autorisierten Zugriff). Wenn MFA-geschützte API-Richtlinien vorhanden sind, wird der Zugriff auf die in den Richtlinien angegebenen AWS API-Operationen verweigert, wenn der Benutzer versucht, eine API-Operation ohne gültige MFA-Authentifizierung aufzurufen. Die Operation wird auch verweigert, wenn der Zeitstempel der Anforderung für die API-Operation sich außerhalb des in der Richtlinie festgelegten zulässigen Bereichs befindet. Der Benutzer muss sich erneut mit MFA authentifizieren, indem neue temporäre Sicherheitsanmeldeinformationen mit einem MFA-Code und einer Geräte-Seriennummer angefordert werden.

### IAM-Richtlinien mit MFA-Bedingungen
<a name="MFAProtectedAPI-policies"></a>

Richtlinien mit MFA-Bedingungen können folgenden Elementen angefügt werden:
+ Einem IAM-Benutzer oder einer IAM-Gruppe
+ Einer Ressource, wie zum Beispiel ein Amazon S3-Bucket, eine Amazon SQS-Warteschlange oder ein Amazon SNS-Thema
+ Die Vertrauensrichtlinie einer IAM-Rolle, die von einem Benutzer übernommen werden kann

Sie können eine MFA-Bedingung in einer Richtlinie zum Überprüfen der folgenden Eigenschaften verwenden:
+ Vorhanden – Um mit MFA lediglich zu überprüfen, ob sich der Benutzer mit MFA authentifiziert hat, prüfen Sie, dass der `aws:MultiFactorAuthPresent`-Schlüssel auf `True` gesetzt ist, und zwar einer `Bool`-Bedingung. Der Schlüssel ist nur vorhanden, wenn sich der Benutzer mit kurzfristigen Anmeldeinformationen authentifiziert. Langfristige Anmeldeinformationen wie Zugriffsschlüssel enthalten diesen Schlüssel nicht.
+ Dauer – Wenn Sie den Zugriff nur innerhalb einer bestimmten Zeit nach der MFA-Authentifizierung gewähren möchten, verwenden Sie einen numerischen Bedingungstyp, um das Alter des `aws:MultiFactorAuthAge`-Schlüssels mit einem Wert (wie 3.600 Sekunden) zu vergleichen. Beachten Sie, dass der `aws:MultiFactorAuthAge`-Schlüssel nicht vorhanden ist, wenn keine MFA verwendet wurde.

Das folgende Beispiel zeigt die Vertrauensrichtlinie einer IAM-Rolle, die eine MFA-Bedingung enthält, um die Existenz der MFA-Authentifizierung festzustellen. Mit dieser Richtlinie können Benutzer der im `Principal` Element AWS-Konto angegebenen Rolle (durch eine gültige AWS-Konto ID `ACCOUNT-B-ID` ersetzen) die Rolle übernehmen, der diese Richtlinie zugewiesen ist. Solche Benutzer können die Rolle jedoch nur annehmen, wenn sie sich mit MFA authentifizieren.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS": "ACCOUNT-B-ID"},
    "Action": "sts:AssumeRole",
    "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
  }
}
```

------

Weitere Informationen über die Bedingungstypen für MFA finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md), [Numerische Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_Numeric) und [Bedingungsoperator zur Prüfung der Existenz von Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_Null). 

### Sie haben die Wahl zwischen GetSessionToken und AssumeRole
<a name="scenarios"></a>

AWS STS bietet zwei API-Operationen, mit denen Benutzer MFA-Informationen weitergeben können: `GetSessionToken` und`AssumeRole`. Die vom Benutzer zur Erlangung temporärer Sicherheitsanmeldeinformationen aufgerufene API-Operation wird durch eines der folgenden Szenarien bestimmt. 

**Verwenden Sie `GetSessionToken` für die folgenden Szenarien:**
+ Rufen Sie API-Operationen auf, die auf Ressourcen zugreifen, genauso AWS-Konto wie der IAM-Benutzer, der die Anfrage stellt. Beachten Sie, dass temporäre Anmeldeinformationen aus einer `GetSessionToken` Anfrage *nur dann* auf IAM- und AWS STS API-Operationen zugreifen können, wenn Sie MFA-Informationen in die Anforderung von Anmeldeinformationen aufnehmen. Da von `GetSessionToken` zurückgegebene temporäre Anmeldeinformationen MFA-Informationen enthalten, können Sie mit den Anmeldeinformationen ausgeführte einzelne API-Operationen auf MFA prüfen. 
+ Zugriff auf Ressourcen, die über ressourcenbasierte Richtlinien geschützt sind, die eine MFA-Bedingung enthalten.

Der Zweck der Operation `GetSessionToken` besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Richtlinien können nicht dazu verwendet werden, Authentifizierungsoperationen zu steuern.

**Verwenden Sie `AssumeRole` für die folgenden Szenarien:**
+ Aufrufe von API-Operationen, die auf die Ressourcen in demselben oder einem anderen AWS-Konto zugreifen. Die API-Aufrufe können jedes IAM oder jede API beinhalten. AWS STS Beachten Sie, dass MFA zu dem Zeitpunkt, zu dem der Benutzer die Rolle übernimmt, aktiviert ist. Die von `AssumeRole` zurückgegebenen temporären Anmeldeinformationen enthalten keine MFA-Informationen im Kontext, sodass einzelne API-Operationen nicht auf MFA geprüft werden können. Daher müssen Sie `GetSessionToken` verwenden, um den Zugriff auf die von ressourcenbasierten Richtlinien geschützten Ressourcen einzuschränken.

**Anmerkung**  
AWS CloudTrail Protokolle enthalten MFA-Informationen, wenn sich der IAM-Benutzer mit MFA anmeldet. Wenn der IAM-Benutzer eine IAM-Rolle annimmt, CloudTrail werden auch die `sessionContext` Attribute für Aktionen protokolliert`mfaAuthenticated: true`, die mit der angenommenen Rolle ausgeführt wurden. Die CloudTrail Protokollierung erfolgt jedoch unabhängig von den Anforderungen von IAM, wenn API-Aufrufe mit den Anmeldeinformationen der angenommenen Rolle getätigt werden. Weitere Informationen finden Sie unter [CloudTrail-Element userIdentity](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

Weitere Informationen zur Implementierung dieser Szenarien finden Sie weiter unten in diesem Dokument.

### Wichtige Punkte für den MFA-geschützten API-Zugriff
<a name="MFAProtectedAPI-important-points"></a>

Beachten Sie die folgenden Aspekte in Bezug auf den MFA-Schutz für API-Operationen:
+ MFA-Schutz steht nur mit temporären Sicherheitsanmeldeinformationen zur Verfügung, die mit `AssumeRole` oder `GetSessionToken` eingeholt werden müssen. 
+ Sie können den MFA-geschützten API-Zugriff nicht mit Root-Benutzer des AWS-Kontos Anmeldeinformationen verwenden.
+ Sie können den MFA-geschützten API-Zugriff nicht mit U2F-Sicherheitsschlüsseln verwenden.
+ Verbundbenutzern kann kein MFA-Gerät zur Verwendung mit AWS Diensten zugewiesen werden, sodass sie nicht auf AWS Ressourcen zugreifen können, die von MFA gesteuert werden. (Siehe nächster Punkt.) 
+ Andere AWS STS API-Operationen, die temporäre Anmeldeinformationen zurückgeben, unterstützen MFA nicht. Für `AssumeRoleWithWebIdentity` und `AssumeRoleWithSAML` wird der Benutzer von einem externen Anbieter authentifiziert und AWS kann nicht feststellen, ob dieser Anbieter MFA benötigt. Für `GetFederationToken` wird MFA nicht notwendigerweise mit einem spezifischen Benutzer verknüpft. 
+ Langfristige Anmeldeinformationen (IAM-Benutzer-Zugriffsschlüssel und Stammbenutzer-Zugriffsschlüssel) können für den MFA-geschützten API-Zugriff ebenfalls nicht verwendet werden, da sie zeitlich unbegrenzt sind.
+ `AssumeRole` und `GetSessionToken` können auch ohne MFA-Informationen aufgerufen werden. In diesem Fall erhält der Aufrufer temporäre Sicherheitsanmeldeinformationen, aber die Sitzungsinformationen dieser Anmeldeinformationen enthalten keine Angaben darüber, ob der Benutzer sich mit MFA authentifiziert hat.
+ Um MFA-Schutz für API-Operationen einzurichten, fügen Sie den Richtlinien MFA-Bedingungen hinzu. In einer Richtlinie muss der `aws:MultiFactorAuthPresent`-Bedingungsschlüssel enthalten sein, damit die Verwendung von MFA durchgesetzt wird. Bei der kontoübergreifenden Delegierung muss die Vertrauensrichtlinie der Rolle den Bedingungsschlüssel enthalten.
+ Wenn Sie einer anderen Person AWS-Konto den Zugriff auf Ressourcen in Ihrem Konto gestatten, hängt die Sicherheit Ihrer Ressourcen von der Konfiguration des vertrauenswürdigen Kontos ab (das andere Konto, nicht Ihres). Dies gilt auch, wenn Sie eine Multi-Factor Authentication verlangen. Jede Identität im vertrauenswürdigen Konto mit Berechtigung zum Erstellen von virtuellen MFA-Geräten kann einen MFA-Anspruch erstellen, um den entsprechenden Teil der Vertrauensrichtlinie Ihrer Rolle zu erfüllen. Bevor Sie Mitgliedern eines anderen Kontos Zugriff auf Ihre AWS Ressourcen gewähren, für die eine Multi-Faktor-Authentifizierung erforderlich ist, sollten Sie sicherstellen, dass der Besitzer des vertrauenswürdigen Kontos die bewährten Sicherheitsmethoden befolgt. Beispiel: Das vertrauenswürdige Konto sollte den Zugriff auf sensible API-Operationen, z. B. API-Operationen zur MFA-Geräteverwaltung, auf spezifische, vertrauenswürdige Identitäten beschränken.
+ Wenn eine Richtlinie eine MFA-Bedingung enthält, wird eine Anfrage abgelehnt, falls die Benutzer nicht mit MFA authentifiziert worden sind oder die MFA-Geräte-ID oder das zeitlich begrenzte, einmalige Passwort ungültig ist.

## Szenario: MFA-Schutz für kontoübergreifende Delegierung
<a name="MFAProtectedAPI-cross-account-delegation"></a>

In diesem Szenario möchten Sie den Zugriff an IAM-Benutzer in einem anderen Konto delegieren, aber nur, wenn die Benutzer mit einem AWS MFA-Gerät authentifiziert sind. Weitere Informationen über die kontoübergreifende Delegierung finden Sie unter [Rollenbegriffe und -konzepte](id_roles.md#id_roles_terms-and-concepts). 

Angenommen, Sie haben ein Konto A (das vertrauende Konto, das die zu gewünschten Ressourcen enthält) mit der IAM-Benutzerin Anaya, die über Administratorberechtigungen verfügt. Sie möchten dem Benutzer Richard im Konto B (dem vertrauenswürdigen Konto) Zugriff gewähren, dabei aber sicherstellen, dass sich Richard mit MFA authentifiziert, bevor er die Rolle übernimmt. 

1. Im vertrauenswürdigen Konto A erstellt Anaya eine IAM-Rolle mit dem Namen `CrossAccountRole` und legt den Principal in der Vertrauensrichtlinie der Rolle auf die Konto-ID von Konto B fest. Die Vertrauensrichtlinie erteilt die Genehmigung für die Aktion. AWS STS `AssumeRole` Darüber hinaus fügt Anaya der Vertrauensrichtlinie eine MFA-Bedingung hinzu, wie im folgenden Beispiel dargestellt. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {
       "Effect": "Allow",
       "Principal": {"AWS": "ACCOUNT-B-ID"},
       "Action": "sts:AssumeRole",
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }
   }
   ```

------

1. Anaya fügt der Rolle eine Berechtigungsrichtlinie hinzu, die die Ausführungsberechtigungen enthält. Die Berechtigungsrichtlinie für eine Rolle mit MFA-Schutz unterscheidet sich nicht von anderen Berechtigungsrichtlinien für Rollen. Das folgende Beispiel zeigt die Richtlinie, die Anaya zur Rolle hinzufügt. Sie gestattet einem Benutzer, der diese Richtlinie übernimmt, beliebige Amazon-DynamoDB-Aktionen in der Tabelle `Books` in Konto A durchzuführen. Diese Richtlinie gestattet auch die `dynamodb:ListTables`-Aktion, die zum Ausführen der Aktionen in der Konsole erforderlich ist. 
**Anmerkung**  
Die Berechtigungsrichtlinie enthält keine MFA-Bedingung. Beachten Sie dabei, dass die MFA-Authentifizierung nur verwendet wird, um zu ermitteln, ob ein Benutzer die Rolle übernehmen kann. Sobald der Benutzer die Rolle übernommen hat, werden keine weiteren MFA-Kontrollen durchgeführt. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "TableActions",
               "Effect": "Allow",
               "Action": "dynamodb:*",
               "Resource": "arn:aws:dynamodb:*:111122223333:table/Books"
           },
           {
               "Sid": "ListTables",
               "Effect": "Allow",
               "Action": "dynamodb:ListTables",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Im vertrauenswürdigen Konto B stellt der Administrator sicher, dass der IAM-Benutzer Richard mit einem AWS MFA-Gerät konfiguriert ist und dass er die ID des Geräts kennt. Die Gerät-ID ist bei einem physischen MFA-Gerät die Seriennummer oder bei einem virtuellen MFA-Gerät der Geräte-ARN.

1. In Konto B fügt der Administrator die folgenden Richtlinien dem Benutzer Richard an (oder einer Gruppe, deren Mitglied Bob ist), die ihm das Aufrufen der Aktion `AssumeRole` gestatten. Die Ressource ist auf den ARN der von Anaya in Schritt 1 erstellten Rolle festgelegt. Beachten Sie, dass diese Richtlinie keine MFA-Bedingung enthält.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/CrossAccountRole"
               ]
           }
       ]
   }
   ```

------

1. Richard (oder eine von Richard ausgeführte Anwendung) ruft im Konto B `AssumeRole` auf. Der API-Aufruf enthält den ARN der zu übernehmenden Rolle (`arn:aws:iam::ACCOUNT-A-ID:role/CrossAccountRole`), die MFA-Geräte-ID und das aktuelle TOTP, das Richard von seinem Gerät erhält. 

   Wenn Richard anruft`AssumeRole`, AWS stellt er fest, ob er über gültige Anmeldeinformationen verfügt, einschließlich der Anforderungen für MFA. Wenn dies der Fall ist, übernimmt Richard die Rolle und kann beliebige DynamoDB-Aktionen in der Tabelle mit dem Namen `Books` im Konto A ausführen, sofern er die temporären Anmeldeinformationen der Rolle verwendet. 

   Ein Beispiel für ein Programm, das `AssumeRole` aufruft, finden Sie unter [Telefonieren AssumeRole mit MFA-Authentifizierung](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-assumerole).

## Szenario: MFA-Schutz für Zugriff auf API-Operationen im aktuellen Konto
<a name="MFAProtectedAPI-user-mfa"></a>

In diesem Szenario sollten Sie sicherstellen, dass ein Benutzer in Ihrem Konto nur dann auf sensible API-Operationen zugreifen AWS-Konto kann, wenn der Benutzer mit einem AWS MFA-Gerät authentifiziert ist.

Angenommen, Sie haben ein Konto A mit einer Gruppe von Entwicklern, die mit EC2-Instances arbeiten müssen. Normale Entwickler können mit den Instances arbeiten, aber sie haben keine Berechtigungen für die Aktion `ec2:StopInstances` oder `ec2:TerminateInstances`. Sie möchten diese besonderen, "destruktiven" Aktionen auf nur einige wenige vertrauenswürdige Benutzer beschränken. Daher fügen Sie einen MFA-Schutz der Richtlinie hinzu, der diese sensiblen Amazon EC2-Aktionen zulässt. 

In diesem Szenario ist Sofía einer dieser vertrauenswürdigen Benutzer. Die Benutzerin Anaya ist eine Administratorin in Konto A. 

1. Anaya stellt sicher, dass Sofía mit einem AWS MFA-Gerät konfiguriert ist und dass Sofía die ID des Geräts kennt. Die Gerät-ID ist bei einem physischen MFA-Gerät die Seriennummer oder bei einem virtuellen MFA-Gerät der Geräte-ARN. 

1. Anaya erstellt eine Gruppe mit dem Namen `EC2-Admins` und fügt Sofía dieser Gruppe hinzu.

1. Anaya fügt die folgende Richtlinie an die Gruppe `EC2-Admins` an. Diese Richtlinie gewährt Benutzern die Berechtigung zum Aufrufen der Amazon EC2-Aktionen `StopInstances` und `TerminateInstances` nur dann, wenn sich der Benutzer mit MFA authentifiziert hat. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Action": [
         "ec2:StopInstances",
         "ec2:TerminateInstances"
       ],
       "Resource": ["*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------

1. 
**Anmerkung**  
Damit diese Richtlinie wirksam wird, müssen sich Benutzer zuerst abmelden und dann wieder anmelden.

   Wenn Benutzer Sofía eine Amazon EC2-Instance anhalten oder beenden muss, ruft sie (oder eine von ihr ausgeführte Anwendung) `GetSessionToken` auf. Diese API-Operation übergibt die ID des MFA-Geräts und das aktuelle TOTP, das Sofía von ihrem Gerät erhält.

1. Die Benutzerin Sofía (oder eine von Sofía verwendete Anwendung) verwendet die von `GetSessionToken` bereitgestellten Anmeldeinformationen, um die Amazon EC2-Aktion `StopInstances` oder `TerminateInstances` aufzurufen. 

   Ein Beispiel für ein Programm, das `GetSessionToken` aufruft, finden Sie unter [Telefonieren GetSessionToken mit MFA-Authentifizierung](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) weiter unten in diesem Dokument.

## Szenario: MFA-Schutz für Ressourcen mit ressourcenbasierten Richtlinien
<a name="MFAProtectedAPI-resource-policies"></a>

In diesem Szenario sind Sie der Besitzer eines S3-Buckets, einer SQS-Warteschlange oder eines SNS-Themas. Sie möchten sicherstellen, dass jeder Benutzer, der auf AWS-Konto die Ressource zugreift, von einem AWS MFA-Gerät authentifiziert wird. 

Dieses Szenario zeigt eine Möglichkeit, den kontoübergreifenden MFA-Schutz herzustellen, ohne dass die Benutzer eine Rolle übernehmen müssen. In diesem Fall kann der Benutzer auf die Ressource zugreifen, wenn drei Bedingungen erfüllt sind: Der Benutzer muss sich mithilfe von MFA authentifizieren, muss in der Lage sein, temporäre Sicherheitsanmeldeinformationen über `GetSessionToken` abzurufen, und muss über ein Konto verfügen, das von der Ressourcenrichtlinie als vertrauenswürdig eingestuft wird. 

Angenommen, Sie befinden sich im Konto A und erstellen einen S3-Bucket. Sie möchten Benutzern, die sich in mehreren verschiedenen Ländern befinden, Zugriff auf diesen Bucket gewähren AWS-Konten, aber nur, wenn diese Benutzer mit MFA authentifiziert sind.

In diesem Szenario ist Anaya eine Administratorin im Konto A und Benutzer Nikhil ist ein IAM-Benutzer im Konto C.

1. Anaya erstellt im Konto A einen Bucket mit dem Namen `Account-A-bucket`.

1. Anaya fügt die Bucket-Richtlinie dem Bucket hinzu. Die Richtlinie gestattet jedem Benutzer in Konto A, Konto B und Konto C, die Amazon S3-Aktionen `PutObject` und `DeleteObject` im S3-Bucket auszuführen. Die Richtlinie enthält eine MFA-Bedingung. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [{
       "Effect": "Allow",
       "Principal": {"AWS": [
         "ACCOUNT-A-ID",
         "ACCOUNT-B-ID",
         "ACCOUNT-C-ID"
       ]},
       "Action": [
         "s3:PutObject",
         "s3:DeleteObject"
       ],
       "Resource": ["arn:aws:s3:::ACCOUNT-A-BUCKET-NAME/*"],
       "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
     }]
   }
   ```

------
**Anmerkung**  
Amazon S3; bietet eine MFA Delete-Funktion (nur) für den *Stamm*-Kontozugriff. Sie können Amazon S3 MFA Delete aktivieren, wenn Sie den Versionierungsstatus des Buckets festlegen. Amazon S3 MFA Delete kann nicht auf einen IAM-Benutzer angewendet werden und wird unabhängig von MFA-geschützten API-Zugriffen verwaltet. Ein IAM-Benutzer mit Berechtigungen zum Löschen eines Buckets kann keinen Bucket löschen, für den Amazon S3 MFA Delete aktiviert ist. Weitere Informationen zu Amazon S3 MFA Delete finden Sie unter [MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html).

1. Im Konto C stellt ein Administrator sicher, dass für den Benutzer Nikhil ein AWS -MFA-Gerät konfiguriert ist und er die Geräte-ID kennt. Die Gerät-ID ist bei einem physischen MFA-Gerät die Seriennummer oder bei einem virtuellen MFA-Gerät der Geräte-ARN. 

1. Nikhil (oder eine von Nikhil ausgeführte Anwendung) ruft im Konto C `GetSessionToken` auf. Der Aufruf enthält die ID oder den ARN des MFA-Geräts und das aktuelle TOTP, das Nikhil von seinem Gerät erhält. 

1. Nikhil (oder eine von Nikhil verwendete Anwendung) benutzt die von `GetSessionToken` bereitgestellten Anmeldeinformationen, um die Amazon S3–`PutObject`Aktion zum Hochladen einer Datei nach `Account-A-bucket` aufzurufen. 

   Ein Beispiel für ein Programm, das `GetSessionToken` aufruft, finden Sie unter [Telefonieren GetSessionToken mit MFA-Authentifizierung](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) weiter unten in diesem Dokument.
**Anmerkung**  
Die von `AssumeRole` zurückgegebenen temporären Anmeldeinformationen funktionieren in diesem Fall nicht. Obwohl der Benutzer MFA-Informationen bereitstellen kann, um eine Rolle zu übernehmen, enthalten die von `AssumeRole` zurückgegebenen temporären Anmeldeinformationen nicht die MFA-Informationen. Diese Informationen sind zur Erfüllung der MFA-Bedingung in der Richtlinie erforderlich. 

# Beispielcode: Anfordern von Anmeldeinformationen mit Multi-Factor Authentication
<a name="id_credentials_mfa_sample-code"></a>

Die folgenden Beispiele veranschaulichen, wie die Operationen `GetSessionToken` und `AssumeRole` aufgerufen und MFA-Authentifizierungsparameter übergeben werden. Es werden keine Berechtigungen zum Aufrufen von `GetSessionToken` benötigt, Sie müssen jedoch über eine Richtlinie verfügen, die Ihnen gestattet, `AssumeRole` aufzurufen. Die zurückgegebenen Anmeldeinformationen werden dann verwendet, um alle S3-Buckets im Konto aufzulisten.

## Telefonieren GetSessionToken mit MFA-Authentifizierung
<a name="MFAProtectedAPI-example-getsessiontoken"></a>

Das folgende Beispiel zeigt, wie Sie `GetSessionToken` aufrufen und MFA-Authentifizierungsdaten übergeben. Die von der Operation `GetSessionToken` zurückgegebenen temporären Sicherheitsanmeldeinformationen werden dann verwendet, um alle S3-Buckets im Konto aufzulisten.

Die Richtlinie, die dem den Code ausführenden Benutzer (oder einer Gruppe, der er angehört) zugeordnet ist, stellt die Berechtigungen für die zurückgegeben temporären Anmeldeinformationen bereit. Für diesen Beispielcode muss die Richtlinie dem Benutzer die Erlaubnis erteilen, den Vorgang Amazon S3 `ListBuckets` anzufordern. 

Die folgenden Code-Beispiele zeigen, wie `GetSessionToken` verwendet wird.

------
#### [ CLI ]

**AWS CLI**  
**So erhalten Sie einen Satz kurzfristiger Anmeldeinformationen für eine IAM-Identität**  
Der folgende `get-session-token`-Befehl ruft einen Satz kurzfristiger Anmeldeinformationen für die IAM-Identität ab, die den Aufruf ausführt. Die resultierenden Anmeldeinformationen können für Anfragen verwendet werden, bei denen die Richtlinie eine Multi-Faktor-Authentifizierung (MFA) erfordert. Die Anmeldeinformationen verfallen 15 Minuten nach ihrer Generierung.  

```
aws sts get-session-token \
    --duration-seconds 900 \
    --serial-number "YourMFADeviceSerialNumber" \
    --token-code 123456
```
Ausgabe:  

```
{
    "Credentials": {
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    }
}
```
Weitere Informationen finden Sie unter [Anfordern von temporären Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) im *AWS -IAM-Benutzerhandbuch*.  
+  Einzelheiten zur API finden Sie [GetSessionToken](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-session-token.html)in der *AWS CLI Befehlsreferenz.* 

------
#### [ PowerShell ]

**Tools für PowerShell V4**  
**Beispiel 1: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die für einen festgelegten Zeitraum gültig sind. Die Anmeldeinformationen, die zum Anfordern temporärer Anmeldeinformationen verwendet werden, werden aus den aktuellen Shell-Standardwerten abgeleitet. Um andere Anmeldeinformationen anzugeben, verwenden Sie die SecretKey Parameter - ProfileName oder - AccessKey /-.**  

```
Get-STSSessionToken
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 2: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Die zum Stellen der Anfrage verwendeten Anmeldeinformationen werden aus dem angegebenen Profil abgerufen.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 3: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Dabei wird die Identifikationsnummer des MFA-Geräts verwendet, das dem Konto zugeordnet ist, dessen Anmeldeinformationen im Profil „myprofilename“ angegeben sind, und der vom Gerät bereitgestellte Wert.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Einzelheiten zur API finden Sie unter [GetSessionToken AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet-Referenz (*V4). 

**Tools für V5 PowerShell **  
**Beispiel 1: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die für einen festgelegten Zeitraum gültig sind. Die Anmeldeinformationen, die zum Anfordern temporärer Anmeldeinformationen verwendet werden, werden aus den aktuellen Shell-Standardwerten abgeleitet. Um andere Anmeldeinformationen anzugeben, verwenden Sie die Parameter - ProfileName oder - AccessKey /-SecretKey .**  

```
Get-STSSessionToken
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 2: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Die zum Stellen der Anfrage verwendeten Anmeldeinformationen werden aus dem angegebenen Profil abgerufen.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
**Beispiel 3: Gibt eine `Amazon.RuntimeAWSCredentials`-Instance mit temporären Anmeldeinformationen zurück, die eine Stunde lang gültig sind. Dabei wird die Identifikationsnummer des MFA-Geräts verwendet, das dem Konto zugeordnet ist, dessen Anmeldeinformationen im Profil „myprofilename“ angegeben sind, und der vom Gerät bereitgestellte Wert.**  

```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Ausgabe:**  

```
AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....
```
+  Einzelheiten zur API finden Sie unter [GetSessionToken AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v5/reference)*Cmdlet-Referenz (*V5). 

------
#### [ Python ]

**SDK für Python (Boto3)**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples) einrichten und ausführen. 
Rufen Sie ein Sitzungs-Token ab, indem Sie ein MFA-Token übergeben, und verwenden Sie es, um Amazon-S3-Buckets für das Konto aufzulisten.  

```
def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
    """
    Gets a session token with MFA credentials and uses the temporary session
    credentials to list Amazon S3 buckets.

    Requires an MFA device serial number and token.

    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an Amazon Resource Name (ARN).
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    if mfa_serial_number is not None:
        response = sts_client.get_session_token(
            SerialNumber=mfa_serial_number, TokenCode=mfa_totp
        )
    else:
        response = sts_client.get_session_token()
    temp_credentials = response["Credentials"]

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Buckets for the account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Einzelheiten zur API finden Sie [GetSessionToken](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/GetSessionToken)in *AWS SDK for Python (Boto3) API* Reference. 

------

## Telefonieren AssumeRole mit MFA-Authentifizierung
<a name="MFAProtectedAPI-example-assumerole"></a>

Die folgenden Beispiele zeigen, wie Sie `AssumeRole` aufrufen und MFA-Authentifizierungsdaten übergeben. Die von `AssumeRole` zurückgegebenen temporären Sicherheitsanmeldeinformationen werden dann verwendet, um alle Amazon S3-Buckets im Konto aufzulisten.

Weitere Informationen zu diesem Szenario finden Sie unter [Szenario: MFA-Schutz für kontoübergreifende Delegierung](id_credentials_mfa_configure-api-require.md#MFAProtectedAPI-cross-account-delegation). 

Die folgenden Code-Beispiele zeigen, wie `AssumeRole` verwendet wird.

------
#### [ .NET ]

**SDK für .NET**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/STS#code-examples) einrichten und ausführen. 

```
using System;
using System.Threading.Tasks;
using Amazon;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;

namespace AssumeRoleExample
{
    class AssumeRole
    {
        /// <summary>
        /// This example shows how to use the AWS Security Token
        /// Service (AWS STS) to assume an IAM role.
        ///
        /// NOTE: It is important that the role that will be assumed has a
        /// trust relationship with the account that will assume the role.
        ///
        /// Before you run the example, you need to create the role you want to
        /// assume and have it trust the IAM account that will assume that role.
        ///
        /// See https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html
        /// for help in working with roles.
        /// </summary>

        // A region property may be used if the profile or credentials loaded do not specify a region,
        // or to use a specific region.
        private static readonly RegionEndpoint REGION = RegionEndpoint.USWest2;

        static async Task Main()
        {
            // Create the SecurityToken client and then display the identity of the
            // default user.
            var roleArnToAssume = "arn:aws:iam::123456789012:role/testAssumeRole";

            var client = new Amazon.SecurityToken.AmazonSecurityTokenServiceClient(REGION);

            // Get and display the information about the identity of the default user.
            var callerIdRequest = new GetCallerIdentityRequest();
            var caller = await client.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"Original Caller: {caller.Arn}");

            // Create the request to use with the AssumeRoleAsync call.
            var assumeRoleReq = new AssumeRoleRequest()
            {
                DurationSeconds = 1600,
                RoleSessionName = "Session1",
                RoleArn = roleArnToAssume
            };

            var assumeRoleRes = await client.AssumeRoleAsync(assumeRoleReq);

            // Now create a new client based on the credentials of the caller assuming the role.
            var client2 = new AmazonSecurityTokenServiceClient(credentials: assumeRoleRes.Credentials, REGION);

            // Get and display information about the caller that has assumed the defined role.
            var caller2 = await client2.GetCallerIdentityAsync(callerIdRequest);
            Console.WriteLine($"AssumedRole Caller: {caller2.Arn}");
        }
    }
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/DotNetSDKV3/sts-2011-06-15/AssumeRole)in der *AWS SDK für .NET API-Referenz*. 

------
#### [ Bash ]

**AWS CLI mit Bash-Skript**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/aws-cli/bash-linux/iam#code-examples) einrichten und ausführen. 

```
###############################################################################
# function iecho
#
# This function enables the script to display the specified text only if
# the global variable $VERBOSE is set to true.
###############################################################################
function iecho() {
  if [[ $VERBOSE == true ]]; then
    echo "$@"
  fi
}

###############################################################################
# function errecho
#
# This function outputs everything sent to it to STDERR (standard error output).
###############################################################################
function errecho() {
  printf "%s\n" "$*" 1>&2
}

###############################################################################
# function sts_assume_role
#
# This function assumes a role in the AWS account and returns the temporary
#  credentials.
#
# Parameters:
#       -n role_session_name -- The name of the session.
#       -r role_arn -- The ARN of the role to assume.
#
# Returns:
#       [access_key_id, secret_access_key, session_token]
#     And:
#       0 - If successful.
#       1 - If an error occurred.
###############################################################################
function sts_assume_role() {
  local role_session_name role_arn response
  local option OPTARG # Required to use getopts command in a function.

  # bashsupport disable=BP5008
  function usage() {
    echo "function sts_assume_role"
    echo "Assumes a role in the AWS account and returns the temporary credentials:"
    echo "  -n role_session_name -- The name of the session."
    echo "  -r role_arn -- The ARN of the role to assume."
    echo ""
  }

  while getopts n:r:h option; do
    case "${option}" in
      n) role_session_name=${OPTARG} ;;
      r) role_arn=${OPTARG} ;;
      h)
        usage
        return 0
        ;;
      \?)
        echo "Invalid parameter"
        usage
        return 1
        ;;
    esac
  done

  response=$(aws sts assume-role \
    --role-session-name "$role_session_name" \
    --role-arn "$role_arn" \
    --output text \
    --query "Credentials.[AccessKeyId, SecretAccessKey, SessionToken]")

  local error_code=${?}

  if [[ $error_code -ne 0 ]]; then
    aws_cli_error_log $error_code
    errecho "ERROR: AWS reports create-role operation failed.\n$response"
    return 1
  fi

  echo "$response"

  return 0
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/aws-cli/sts-2011-06-15/AssumeRole)in der *AWS CLI Befehlsreferenz*. 

------
#### [ C\$1\$1 ]

**SDK für C\$1\$1**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp/example_code/sts#code-examples) einrichten und ausführen. 

```
bool AwsDoc::STS::assumeRole(const Aws::String &roleArn,
                             const Aws::String &roleSessionName,
                             const Aws::String &externalId,
                             Aws::Auth::AWSCredentials &credentials,
                             const Aws::Client::ClientConfiguration &clientConfig) {
    Aws::STS::STSClient sts(clientConfig);
    Aws::STS::Model::AssumeRoleRequest sts_req;

    sts_req.SetRoleArn(roleArn);
    sts_req.SetRoleSessionName(roleSessionName);
    sts_req.SetExternalId(externalId);

    const Aws::STS::Model::AssumeRoleOutcome outcome = sts.AssumeRole(sts_req);

    if (!outcome.IsSuccess()) {
        std::cerr << "Error assuming IAM role. " <<
                  outcome.GetError().GetMessage() << std::endl;
    }
    else {
        std::cout << "Credentials successfully retrieved." << std::endl;
        const Aws::STS::Model::AssumeRoleResult result = outcome.GetResult();
        const Aws::STS::Model::Credentials &temp_credentials = result.GetCredentials();

        // Store temporary credentials in return argument.
        // Note: The credentials object returned by assumeRole differs
        // from the AWSCredentials object used in most situations.
        credentials.SetAWSAccessKeyId(temp_credentials.GetAccessKeyId());
        credentials.SetAWSSecretKey(temp_credentials.GetSecretAccessKey());
        credentials.SetSessionToken(temp_credentials.GetSessionToken());
    }

    return outcome.IsSuccess();
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/SdkForCpp/sts-2011-06-15/AssumeRole)in der *AWS SDK für C\$1\$1 API-Referenz*. 

------
#### [ CLI ]

**AWS CLI**  
**So übernehmen Sie eine Rolle**  
Der folgende `assume-role`-Befehl ruft eine Reihe von kurzfristigen Anmeldeinformationen für die IAM-Rolle `s3-access-example` ab.  

```
aws sts assume-role \
    --role-arn arn:aws:iam::123456789012:role/xaccounts3access \
    --role-session-name s3-access-example
```
Ausgabe:  

```
{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA3XFRBF535PLBIFPI4:s3-access-example",
        "Arn": "arn:aws:sts::123456789012:assumed-role/xaccounts3access/s3-access-example"
    },
    "Credentials": {
        "SecretAccessKey": "9drTJvcXLB89EXAMPLELB8923FB892xMFI",
        "SessionToken": "AQoXdzELDDY//////////wEaoAK1wvxJY12r2IrDFT2IvAzTCn3zHoZ7YNtpiQLF0MqZye/qwjzP2iEXAMPLEbw/m3hsj8VBTkPORGvr9jM5sgP+w9IZWZnU+LWhmg+a5fDi2oTGUYcdg9uexQ4mtCHIHfi4citgqZTgco40Yqr4lIlo4V2b2Dyauk0eYFNebHtYlFVgAUj+7Indz3LU0aTWk1WKIjHmmMCIoTkyYp/k7kUG7moeEYKSitwQIi6Gjn+nyzM+PtoA3685ixzv0R7i5rjQi0YE0lf1oeie3bDiNHncmzosRM6SFiPzSvp6h/32xQuZsjcypmwsPSDtTPYcs0+YN/8BRi2/IcrxSpnWEXAMPLEXSDFTAQAM6Dl9zR0tXoybnlrZIwMLlMi1Kcgo5OytwU=",
        "Expiration": "2016-03-15T00:05:07Z",
        "AccessKeyId": "ASIAJEXAMPLEXEG2JICEA"
    }
}
```
Die Ausgabe des Befehls enthält einen Zugriffsschlüssel, einen geheimen Schlüssel und ein Sitzungs-Token, die Sie zur Authentifizierung bei AWS verwenden können.  
Für die AWS CLI können Sie ein benanntes Profil einrichten, das einer Rolle zugeordnet ist. Wenn Sie das Profil verwenden, ruft die AWS CLI assume-role auf und verwaltet die Anmeldeinformationen für Sie. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle in der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) im *AWS CLI-Benutzerhandbuch*.  
+  Einzelheiten zur API finden Sie unter [AssumeRole AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)*Befehlsreferenz.* 

------
#### [ Java ]

**SDK für Java 2.x**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2/example_code/sts#code-examples) einrichten und ausführen. 

```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.sts.StsClient;
import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;
import software.amazon.awssdk.services.sts.model.StsException;
import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;
import software.amazon.awssdk.services.sts.model.Credentials;
import java.time.Instant;
import java.time.ZoneId;
import java.time.format.DateTimeFormatter;
import java.time.format.FormatStyle;
import java.util.Locale;

/**
 * To make this code example work, create a Role that you want to assume.
 * Then define a Trust Relationship in the AWS Console. You can use this as an
 * example:
 *
 * {
 * "Version":"2012-10-17",		 	 	 
 * "Statement": [
 * {
 * "Effect": "Allow",
 * "Principal": {
 * "AWS": "<Specify the ARN of your IAM user you are using in this code example>"
 * },
 * "Action": "sts:AssumeRole"
 * }
 * ]
 * }
 *
 * For more information, see "Editing the Trust Relationship for an Existing
 * Role" in the AWS Directory Service guide.
 *
 * Also, set up your development environment, including your credentials.
 *
 * For information, see this documentation topic:
 *
 * https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html
 */
public class AssumeRole {
    public static void main(String[] args) {
        final String usage = """

                Usage:
                    <roleArn> <roleSessionName>\s

                Where:
                    roleArn - The Amazon Resource Name (ARN) of the role to assume (for example, arn:aws:iam::000008047983:role/s3role).\s
                    roleSessionName - An identifier for the assumed role session (for example, mysession).\s
                """;

        if (args.length != 2) {
            System.out.println(usage);
            System.exit(1);
        }

        String roleArn = args[0];
        String roleSessionName = args[1];
        Region region = Region.US_EAST_1;
        StsClient stsClient = StsClient.builder()
                .region(region)
                .build();

        assumeGivenRole(stsClient, roleArn, roleSessionName);
        stsClient.close();
    }

    public static void assumeGivenRole(StsClient stsClient, String roleArn, String roleSessionName) {
        try {
            AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()
                    .roleArn(roleArn)
                    .roleSessionName(roleSessionName)
                    .build();

            AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);
            Credentials myCreds = roleResponse.credentials();

            // Display the time when the temp creds expire.
            Instant exTime = myCreds.expiration();
            String tokenInfo = myCreds.sessionToken();

            // Convert the Instant to readable date.
            DateTimeFormatter formatter = DateTimeFormatter.ofLocalizedDateTime(FormatStyle.SHORT)
                    .withLocale(Locale.US)
                    .withZone(ZoneId.systemDefault());

            formatter.format(exTime);
            System.out.println("The token " + tokenInfo + "  expires on " + exTime);

        } catch (StsException e) {
            System.err.println(e.getMessage());
            System.exit(1);
        }
    }
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/SdkForJavaV2/sts-2011-06-15/AssumeRole)in der *AWS SDK for Java 2.x API-Referenz*. 

------
#### [ JavaScript ]

**SDK für JavaScript (v3)**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/sts#code-examples) einrichten und ausführen. 
Erstellen Sie den Client.  

```
import { STSClient } from "@aws-sdk/client-sts";
// Set the AWS Region.
const REGION = "us-east-1";
// Create an AWS STS service client object.
export const client = new STSClient({ region: REGION });
```
Übernehmen Sie die IAM-Rolle.  

```
import { AssumeRoleCommand } from "@aws-sdk/client-sts";

import { client } from "../libs/client.js";

export const main = async () => {
  try {
    // Returns a set of temporary security credentials that you can use to
    // access Amazon Web Services resources that you might not normally
    // have access to.
    const command = new AssumeRoleCommand({
      // The Amazon Resource Name (ARN) of the role to assume.
      RoleArn: "ROLE_ARN",
      // An identifier for the assumed role session.
      RoleSessionName: "session1",
      // The duration, in seconds, of the role session. The value specified
      // can range from 900 seconds (15 minutes) up to the maximum session
      // duration set for the role.
      DurationSeconds: 900,
    });
    const response = await client.send(command);
    console.log(response);
  } catch (err) {
    console.error(err);
  }
};
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/sts/command/AssumeRoleCommand)in der *AWS SDK für JavaScript API-Referenz*. 

**SDK für JavaScript (v2)**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascript/example_code/sts#code-examples) einrichten und ausführen. 

```
// Load the AWS SDK for Node.js
const AWS = require("aws-sdk");
// Set the region
AWS.config.update({ region: "REGION" });

var roleToAssume = {
  RoleArn: "arn:aws:iam::123456789012:role/RoleName",
  RoleSessionName: "session1",
  DurationSeconds: 900,
};
var roleCreds;

// Create the STS service object
var sts = new AWS.STS({ apiVersion: "2011-06-15" });

//Assume Role
sts.assumeRole(roleToAssume, function (err, data) {
  if (err) console.log(err, err.stack);
  else {
    roleCreds = {
      accessKeyId: data.Credentials.AccessKeyId,
      secretAccessKey: data.Credentials.SecretAccessKey,
      sessionToken: data.Credentials.SessionToken,
    };
    stsGetCallerIdentity(roleCreds);
  }
});

//Get Arn of current identity
function stsGetCallerIdentity(creds) {
  var stsParams = { credentials: creds };
  // Create STS service object
  var sts = new AWS.STS(stsParams);

  sts.getCallerIdentity({}, function (err, data) {
    if (err) {
      console.log(err, err.stack);
    } else {
      console.log(data.Arn);
    }
  });
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/sts-2011-06-15/AssumeRole)in der *AWS SDK für JavaScript API-Referenz*. 

------
#### [ PowerShell ]

**Tools für PowerShell V4**  
**Beispiel 1: Gibt einen Satz temporärer Anmeldeinformationen (Zugriffsschlüssel, geheimer Schlüssel und Sitzungstoken) zurück, die eine Stunde lang für den Zugriff auf AWS Ressourcen verwendet werden können, auf die der anfragende Benutzer normalerweise keinen Zugriff hat. Die zurückgegebenen Anmeldeinformationen verfügen über die Berechtigungen, die von der Zugriffsrichtlinie der übernommenen Rolle und der bereitgestellten Richtlinie zugelassen sind (Sie können die bereitgestellte Richtlinie nicht verwenden, um Berechtigungen zu gewähren, die über die in der Zugriffsrichtlinie der übernommenen Rolle definierten Berechtigungen hinausgehen).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Beispiel 2: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine Stunde gültig sind und über dieselben Berechtigungen verfügen, die in der Zugriffsrichtlinie der übernommenen Rolle definiert sind.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Beispiel 3: Gibt einen Satz temporärer Anmeldeinformationen zurück, die die Seriennummer und das generierte Token von einem MFA bereitstellen, das den Anmeldeinformationen des Benutzers zugeordnet ist, die zur Ausführung des Cmdlet verwendet werden.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Beispiel 4: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine in einem Kundenkonto definierte Rolle übernommen haben. Für jede Rolle, die der Drittanbieter übernehmen kann, muss das Kundenkonto eine Rolle mithilfe einer Kennung erstellen, die bei jeder Übernahme der Rolle im ExternalId Parameter - übergeben werden muss.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Einzelheiten zur API finden Sie unter [AssumeRole AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v4/reference)*Cmdlet-Referenz (V4).* 

**Tools für V5 PowerShell **  
**Beispiel 1: Gibt einen Satz temporärer Anmeldeinformationen (Zugriffsschlüssel, geheimer Schlüssel und Sitzungstoken) zurück, die eine Stunde lang für den Zugriff auf AWS Ressourcen verwendet werden können, auf die der anfragende Benutzer normalerweise keinen Zugriff hat. Die zurückgegebenen Anmeldeinformationen verfügen über die Berechtigungen, die von der Zugriffsrichtlinie der übernommenen Rolle und der bereitgestellten Richtlinie zugelassen sind (Sie können die bereitgestellte Richtlinie nicht verwenden, um Berechtigungen zu gewähren, die über die in der Zugriffsrichtlinie der übernommenen Rolle definierten Berechtigungen hinausgehen).**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Beispiel 2: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine Stunde gültig sind und über dieselben Berechtigungen verfügen, die in der Zugriffsrichtlinie der übernommenen Rolle definiert sind.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Beispiel 3: Gibt einen Satz temporärer Anmeldeinformationen zurück, die die Seriennummer und das generierte Token von einem MFA bereitstellen, das den Anmeldeinformationen des Benutzers zugeordnet ist, die zur Ausführung des Cmdlet verwendet werden.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Beispiel 4: Gibt einen Satz temporärer Anmeldeinformationen zurück, die eine in einem Kundenkonto definierte Rolle übernommen haben. Für jede Rolle, die der Drittanbieter übernehmen kann, muss das Kundenkonto eine Rolle mithilfe einer Kennung erstellen, die bei jeder Übernahme der Rolle im ExternalId Parameter - übergeben werden muss.**  

```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+  Einzelheiten zur API finden Sie unter [AssumeRole AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/v5/reference)*Cmdlet-Referenz (V5*). 

------
#### [ Python ]

**SDK für Python (Boto3)**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples) einrichten und ausführen. 
Übernehmen Sie eine IAM-Rolle, die ein MFA-Token erfordert, und verwenden Sie temporäre Anmeldeinformationen, um Amazon-S3-Buckets für das Konto aufzulisten.  

```
def list_buckets_from_assumed_role_with_mfa(
    assume_role_arn, session_name, mfa_serial_number, mfa_totp, sts_client
):
    """
    Assumes a role from another account and uses the temporary credentials from
    that role to list the Amazon S3 buckets that are owned by the other account.
    Requires an MFA device serial number and token.

    The assumed role must grant permission to list the buckets in the other account.

    :param assume_role_arn: The Amazon Resource Name (ARN) of the role that
                            grants access to list the other account's buckets.
    :param session_name: The name of the STS session.
    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an ARN.
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    response = sts_client.assume_role(
        RoleArn=assume_role_arn,
        RoleSessionName=session_name,
        SerialNumber=mfa_serial_number,
        TokenCode=mfa_totp,
    )
    temp_credentials = response["Credentials"]
    print(f"Assumed role {assume_role_arn} and got temporary credentials.")

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Listing buckets for the assumed role's account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/AssumeRole)in *AWS SDK for Python (Boto3) API* Reference. 

------
#### [ Ruby ]

**SDK für Ruby**  
 Es gibt noch mehr dazu. GitHub Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby/example_code/iam#code-examples) einrichten und ausführen. 

```
  # Creates an AWS Security Token Service (AWS STS) client with specified credentials.
  # This is separated into a factory function so that it can be mocked for unit testing.
  #
  # @param key_id [String] The ID of the access key used by the STS client.
  # @param key_secret [String] The secret part of the access key used by the STS client.
  def create_sts_client(key_id, key_secret)
    Aws::STS::Client.new(access_key_id: key_id, secret_access_key: key_secret)
  end

  # Gets temporary credentials that can be used to assume a role.
  #
  # @param role_arn [String] The ARN of the role that is assumed when these credentials
  #                          are used.
  # @param sts_client [AWS::STS::Client] An AWS STS client.
  # @return [Aws::AssumeRoleCredentials] The credentials that can be used to assume the role.
  def assume_role(role_arn, sts_client)
    credentials = Aws::AssumeRoleCredentials.new(
      client: sts_client,
      role_arn: role_arn,
      role_session_name: 'create-use-assume-role-scenario'
    )
    @logger.info("Assumed role '#{role_arn}', got temporary credentials.")
    credentials
  end
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.aws.amazon.com/goto/SdkForRubyV3/sts-2011-06-15/AssumeRole)in der *AWS SDK für Ruby API-Referenz*. 

------
#### [ Rust ]

**SDK für Rust**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1/examples/sts/#code-examples) einrichten und ausführen. 

```
async fn assume_role(config: &SdkConfig, role_name: String, session_name: Option<String>) {
    let provider = aws_config::sts::AssumeRoleProvider::builder(role_name)
        .session_name(session_name.unwrap_or("rust_sdk_example_session".into()))
        .configure(config)
        .build()
        .await;

    let local_config = aws_config::from_env()
        .credentials_provider(provider)
        .load()
        .await;
    let client = Client::new(&local_config);
    let req = client.get_caller_identity();
    let resp = req.send().await;
    match resp {
        Ok(e) => {
            println!("UserID :               {}", e.user_id().unwrap_or_default());
            println!("Account:               {}", e.account().unwrap_or_default());
            println!("Arn    :               {}", e.arn().unwrap_or_default());
        }
        Err(e) => println!("{:?}", e),
    }
}
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://docs.rs/aws-sdk-sts/latest/aws_sdk_sts/client/struct.Client.html#method.assume_role)in der *API-Referenz zum AWS SDK für Rust*. 

------
#### [ Swift ]

**SDK für Swift**  
 Es gibt noch mehr dazu GitHub. Hier finden Sie das vollständige Beispiel und erfahren, wie Sie das [AWS -Code-Beispiel-](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift/example_code/iam#code-examples) einrichten und ausführen. 

```
import AWSSTS

    public func assumeRole(role: IAMClientTypes.Role, sessionName: String)
        async throws -> STSClientTypes.Credentials
    {
        let input = AssumeRoleInput(
            roleArn: role.arn,
            roleSessionName: sessionName
        )
        do {
            let output = try await stsClient.assumeRole(input: input)

            guard let credentials = output.credentials else {
                throw ServiceHandlerError.authError
            }

            return credentials
        } catch {
            print("Error assuming role: ", dump(error))
            throw error
        }
    }
```
+  Einzelheiten zur API finden Sie [AssumeRole](https://sdk.amazonaws.com/swift/api/awssts/latest/documentation/awssts/stsclient/assumerole(input:))in der *API-Referenz zum AWS SDK für Swift*. 

------

# Servicespezifische Anmeldeinformationen für IAM-Benutzer
<a name="id_credentials_service-specific-creds"></a>

Dienstspezifische Anmeldeinformationen sind spezielle Authentifizierungsmechanismen, die für bestimmte AWS Dienste entwickelt wurden. Diese Anmeldeinformationen bieten im Vergleich zu AWS Standardanmeldedaten eine vereinfachte Authentifizierung und sind auf die Authentifizierungsanforderungen einzelner AWS Dienste zugeschnitten. Im Gegensatz zu Zugriffsschlüsseln, die für mehrere AWS Dienste verwendet werden können, sind dienstspezifische Anmeldeinformationen nur für den Dienst konzipiert, für den sie erstellt wurden. Dieser gezielte Ansatz erhöht die Sicherheit, indem der Umfang der Anmeldeinformationen begrenzt wird.

Servicespezifische Anmeldeinformationen bestehen in der Regel aus einem Benutzernamen-Passwort-Paar oder speziellen API-Schlüsseln, die gemäß den Anforderungen des jeweiligen Services formatiert sind. Wenn Sie servicespezifische Anmeldeinformationen erstellen, sind diese standardmäßig aktiv und sofort einsatzbereit. Sie können maximal zwei Sätze servicespezifischer Anmeldeinformationen für jeden unterstützten Service pro IAM-Benutzer festlegen. Dieses Limit ermöglicht es Ihnen, einen aktiven Satz beizubehalten und bei Bedarf zu einem neuen Satz zu wechseln. AWS unterstützt derzeit dienstspezifische Anmeldeinformationen für die folgenden Dienste:

## Wann sollten dienstspezifische Anmeldeinformationen verwendet werden
<a name="id_credentials_service-specific-creds-usecase"></a>

Dienstspezifische Anmeldeinformationen dienen der Kompatibilität mit Bibliotheken, SDKs Tools oder Anwendungen von Drittanbietern, die nicht nativ mit AWS Anmeldeinformationen,, AWS SDKs oder kompatibel sind. AWS APIs Zu diesen Anwendungsfällen gehört die Migration zu AWS Diensten von einer selbst gehosteten Infrastruktur oder von Diensten, die von anderen Anbietern gehostet werden.

Wenn Sie ganz von vorne beginnen und wo immer möglich, empfehlen wir, AWS temporäre Anmeldeinformationen zu verwenden, z. B. solche, die von einer IAM-Rolle bereitgestellt werden, um sich mit einem AWS SDK oder einer Bibliothek, die temporäre Anmeldeinformationen unterstützt, bei einem AWS Dienst zu authentifizieren. AWS 

## Rotieren servicespezifischer Anmeldeinformationen
<a name="id_credentials_service-specific-creds-rotation"></a>

Aus Sicherheitsgründen sollten Sie servicespezifische Anmeldeinformationen regelmäßig rotieren. So rotieren Sie Anmeldeinformationen, ohne Ihre Anwendungen zu unterbrechen:

1. Erstellen Sie einen zweiten Satz servicespezifischer Anmeldeinformationen für denselben Service und IAM-Benutzer.

1. Aktualisieren Sie alle Anwendungen, sodass sie die neuen Anmeldeinformationen verwenden, und überprüfen Sie deren korrekte Funktion.

1. Ändern Sie den Status der ursprünglichen Anmeldeinformationen auf „Inaktiv“.

1. Überprüfen Sie, ob alle Anwendungen weiterhin ordnungsgemäß funktionieren.

1. Löschen Sie die inaktiven servicespezifischen Anmeldeinformationen, sobald Sie sicher sind, dass sie nicht mehr benötigt werden.

## Überwachung servicespezifischer Anmeldeinformationen
<a name="id_credentials_service-specific-creds-monitoring"></a>

Sie können AWS CloudTrail damit die Verwendung von dienstspezifischen Anmeldeinformationen in Ihrem Konto überwachen. AWS Um CloudTrail Ereignisse im Zusammenhang mit der Verwendung dienstspezifischer Anmeldeinformationen einzusehen, überprüfen Sie die CloudTrail Protokolle auf Ereignisse des Dienstes, für den die Anmeldeinformationen verwendet werden. Weitere Informationen finden Sie unter [Protokollierung von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail](cloudtrail-integration.md).

Um zusätzliche Sicherheit zu gewährleisten, sollten Sie CloudWatch Alarme einrichten, die Sie über bestimmte Muster bei der Verwendung von Anmeldeinformationen informieren, die auf unbefugten Zugriff oder andere Sicherheitsbedenken hinweisen könnten. Weitere Informationen finden Sie unter [Überwachen von CloudTrail Protokolldateien mit Amazon CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) im *AWS CloudTrail Benutzerhandbuch*.

Die folgenden Themen enthalten Informationen zu servicespezifischen Anmeldeinformationen.

**Topics**
+ [Wann sollten dienstspezifische Anmeldeinformationen verwendet werden](#id_credentials_service-specific-creds-usecase)
+ [Rotieren servicespezifischer Anmeldeinformationen](#id_credentials_service-specific-creds-rotation)
+ [Überwachung servicespezifischer Anmeldeinformationen](#id_credentials_service-specific-creds-monitoring)
+ [API-Schlüssel für Amazon Bedrock und Amazon Logs CloudWatch](id_credentials_bedrock_cloudwatchlogs.md)
+ [IAM mit Amazon Keyspaces (für Apache Cassandra) verwenden](id_credentials_keyspaces.md)

# API-Schlüssel für Amazon Bedrock und Amazon Logs CloudWatch
<a name="id_credentials_bedrock_cloudwatchlogs"></a>

**Anmerkung**  
Die API-Schlüssel von Amazon CloudWatch Logs sind derzeit als Vorschauversion verfügbar und werden in den kommenden Wochen allgemein verfügbar sein. Die API-Schlüssel von Amazon CloudWatch Logs ähneln stark den langfristigen API-Schlüsseln von Amazon Bedrock, die auf dieser Seite beschrieben werden. Weitere Informationen zu langfristigen API-Schlüsseln von Amazon CloudWatch Logs finden Sie unter [Senden von Protokollen an Amazon CloudWatch Logs mithilfe des HLC-Endpunkts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HLC_Endpoint.html).

Amazon Bedrock ist ein vollständig verwalteter Service, der Grundlagenmodelle führender KI-Unternehmen und von Amazon bietet. Sie können über die AWS-Managementkonsole und programmgesteuert mithilfe der oder API auf Amazon Bedrock zugreifen. AWS CLI AWS Bei programmgesteuerten Anfragen an Amazon Bedrock können Sie sich entweder mit [temporären Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) oder API-Schlüsseln von Amazon Bedrock authentifizieren. Amazon Bedrock unterstützt zwei Arten von API-Schlüsseln:
+ **Kurzfristige API-Schlüssel** — Ein kurzfristiger API-Schlüssel ist eine vorsignierte URL, die Signature Version 4 verwendet AWS . Kurzfristige API-Schlüssel haben dieselben Berechtigungen und dieselbe Gültigkeitsdauer wie die Anmeldeinformationen der Identität, die den API-Schlüssel generiert, und sind bis zu 12 Stunden oder bis zum Ende Ihrer Konsolensitzung gültig, je nachdem, welcher Zeitraum kürzer ist. Sie können die Amazon-Bedrock-Konsole, das Python-Paket `aws-bedrock-token-generator` und Pakete für andere Programmiersprachen verwenden, um kurzfristige API-Schlüssel zu generieren. Weitere Informationen finden Sie im *Amazon-Bedrock-Benutzerhandbuch* unter [Generate Amazon Bedrock API keys for easy access to the Amazon Bedrock API](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html).
+ **Langfristige API-Schlüssel** – Langfristige API-Schlüssel sind einem IAM-Benutzer zugeordnet und werden mithilfe von IAM-[servicespezifischen Anmeldeinformationen](id_credentials_service-specific-creds.md) generiert. Diese Anmeldeinformationen sind ausschließlich für die Verwendung mit Amazon Bedrock vorgesehen und erhöhen die Sicherheit durch die Einschränkung des Umfangs der Anmeldeinformationen. Sie können eine Ablaufzeit für den langfristigen API-Schlüssel festlegen. Sie können die IAM- oder Amazon Bedrock-Konsole, die AWS CLI oder die AWS API verwenden, um langfristige API-Schlüssel zu generieren.

Ein IAM-Benutzer kann über bis zu zwei langfristige API-Schlüssel für Amazon Bedrock verfügen, was Ihnen die Implementierung sicherer Schlüsselrotationsverfahren erleichtert. 

Wenn Sie einen langfristigen API-Schlüssel generieren, [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/bedrock/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonBedrockLimitedAccess)wird die AWS verwaltete Richtlinie automatisch an den IAM-Benutzer angehängt. Diese Richtlinie gewährt Zugriff auf die wichtigsten API-Operationen von Amazon Bedrock. Wenn Sie zusätzlichen Zugriff auf Amazon Bedrock benötigen, können Sie die Berechtigungen für den IAM-Benutzer anpassen. Weitere Informationen zum Ändern von Berechtigungen finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](access_policies_manage-attach-detach.md). Weitere Informationen zur Verwendung eines Amazon-Bedrock-Schlüssels finden Sie im *Amazon-Bedrock-Benutzerhandbuch* unter [Verwenden eines API-Schlüssels von Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html).

**Anmerkung**  
Langfristige API-Schlüssel bergen ein höheres Sicherheitsrisiko als kurzfristige API-Schlüssel. Wir empfehlen, nach Möglichkeit kurzfristige API-Schlüssel oder temporäre Sicherheitsanmeldeinformationen zu verwenden. Wenn Sie langfristige API-Schlüssel verwenden, empfehlen wir die regelmäßige Schlüsselrotation.

## Voraussetzungen
<a name="id_credentials_bedrock_prerequisites"></a>

Bevor Sie einen langfristigen API-Schlüssel für Amazon Bedrock über die IAM-Konsole generieren können, müssen folgende Voraussetzungen erfüllt sein:
+ Ein IAM-Benutzer, der dem langfristigen API-Schlüssel zugeordnet werden soll. Weitere Anweisungen zum Erstellen eines IAM-Benutzers finden Sie unter [Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto](id_users_create.md).
+ Stellen Sie sicher, dass Sie über die folgenden IAM-Richtlinienberechtigungen verfügen, um servicespezifische Anmeldeinformationen für einen IAM-Benutzer zu verwalten. Die Beispielrichtlinie gewährt die Berechtigung zum Erstellen, Auflisten, Aktualisieren, Löschen und Zurücksetzen servicespezifischer Anmeldeinformationen. Ersetzen Sie den Wert „`username`“ im Element „Ressource“ durch den Namen des IAM-Benutzers, für den Sie API-Schlüssel für Amazon Bedrock generieren werden:

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "ManageBedrockServiceSpecificCredentials",
              "Effect": "Allow",
              "Action": [
                  "iam:CreateServiceSpecificCredential",
                  "iam:ListServiceSpecificCredentials",
                  "iam:UpdateServiceSpecificCredential",
                  "iam:DeleteServiceSpecificCredential",
                  "iam:ResetServiceSpecificCredential"
              ],
              "Resource": "arn:aws:iam::*:user/username"
          }
      ]
  }
  ```

------

## Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (Konsole)
<a name="id_credentials_bedrock_console_create"></a>

**So generieren Sie einen langfristigen API-Schlüssel für Amazon Bedrock (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich der IAM-Konsole **Benutzer** aus.

1. Wählen Sie den IAM-Benutzer aus, für den Sie langfristige API-Schlüssel für Amazon Bedrock generieren möchten.

1. Wechseln Sie zur Registerkarte **Sicherheitsanmeldeinformationen**.

1. Wählen Sie im Abschnitt **API-Schlüssel für Amazon Bedrock** die Option **API-Schlüssel generieren** aus.

1. Für den **Ablauf des API-Schlüssels** haben Sie folgende Möglichkeiten:
   + Wählen Sie eine Ablaufdauer für den API-Schlüssel von **1**, **5**, **30**, **90** oder **365** Tagen aus.
   + Wählen Sie **Benutzerdefinierte Dauer** aus, um ein benutzerdefiniertes Ablaufdatum für den API-Schlüssel festzulegen.
   + Wählen Sie **Nie läuft ab** aus (nicht empfohlen).

1. Wählen Sie **API-Schlüssel generieren** aus.

1. Kopieren Sie Ihren API-Schlüssel oder laden Sie ihn herunter. Dies ist das einzige Mal, dass Sie den API-Schlüsselwert anzeigen können.
**Wichtig**  
Bewahren Sie Ihren API-Schlüssel sicher auf. Nach dem Schließen des Dialogfelds kann der API-Schlüssel nicht erneut abgerufen werden. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren oder vergessen, können Sie ihn nicht wiederherstellen. Erstellen Sie stattdessen einen neuen Zugriffsschlüssel und deaktivieren Sie den alten.

## Generieren eines langfristigen API-Schlüssels für Amazon Bedrock (AWS CLI)
<a name="id_credentials_bedrock_cli_create"></a>

Gehen Sie wie folgt vor, um mit dem AWS CLI einen langfristigen Amazon Bedrock-API-Schlüssel zu generieren:

1. Erstellen Sie mit dem Befehl [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html) einen IAM-Benutzer, der mit Amazon Bedrock verwendet werden soll.

   ```
   aws iam create-user \
       --user-name BedrockAPIKey_1
   ```

1. Hängen Sie die AWS verwaltete Richtlinie `AmazonBedrockLimitedAccess` mit dem folgenden Befehl an den Amazon Bedrock IAM-Benutzer an [ attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html):

   ```
   aws iam attach-user-policy --user-name BedrockAPIKey_1 \
       --policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
   ```

1. Generieren Sie den langfristigen API-Schlüssel von Amazon Bedrock mithilfe des [ create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)Befehls. Für die Gültigkeitsdauer der Anmeldeinformationen können Sie einen Wert zwischen 1 und 36 600 Tagen angeben. Wenn Sie keine Gültigkeitsdauer für die Anmeldeinformationen angeben, läuft der API-Schlüssel nicht ab.

   So generieren Sie einen langfristigen API-Schlüssel mit einer Gültigkeitsdauer von 30 Tagen:

   ```
   aws iam create-service-specific-credential \
       --user-name BedrockAPIKey_1 \
       --service-name bedrock.amazonaws.com \
       --credential-age-days 30
   ```

Der in der Antwort zurückgegebene Wert „`ServiceApiKeyValue`“ ist Ihr langfristiger API-Schlüssel für Amazon Bedrock. Speichern Sie den Wert „`ServiceApiKeyValue`“ sicher, da Sie ihn später nicht mehr abrufen können.

### Auflisten langfristiger API-Schlüssel (AWS CLI)
<a name="id_credentials_bedrock_cli_list"></a>

Um Metadaten für langfristige API-Schlüssel von Amazon Bedrock für einen bestimmten Benutzer aufzulisten, verwenden Sie den [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)Befehl mit dem folgenden `--user-name` Parameter:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --user-name BedrockAPIKey_1
```

Um alle Metadaten der langfristigen API-Schlüssel von Amazon Bedrock im Konto aufzulisten, verwenden Sie den [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)Befehl mit dem folgenden `--all-users` Parameter:

```
aws iam list-service-specific-credentials \
    --service-name bedrock.amazonaws.com \
    --all-users
```

### Aktualisieren des Status des langfristigen API-Schlüssels (AWS CLI)
<a name="id_credentials_bedrock_cli_update"></a>

Verwenden Sie den [ update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)folgenden Befehl, um den Status eines langfristigen API-Schlüssels für Amazon Bedrock zu aktualisieren:

```
aws iam update-service-specific-credential \
    --user-name "BedrockAPIKey_1" \
    --service-specific-credential-id "ACCA1234EXAMPLE1234" \
    --status Inactive|Active
```

## Generierung eines langfristigen API-Schlüssels für Amazon Bedrock (AWS API)
<a name="id_credentials_bedrock_api"></a>

Sie können die folgenden API-Operationen verwenden, um langfristige API-Schlüssel für Amazon Bedrock zu generieren und zu verwalten:
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html) 
+  [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html) 

# IAM mit Amazon Keyspaces (für Apache Cassandra) verwenden
<a name="id_credentials_keyspaces"></a>

Amazon Keyspaces (for Apache Cassandra) ist ein skalierbarer, hochverfügbarer und verwalteter Apache Cassandra-kompatibler Datenbankservice. Sie können über oder programmgesteuert auf Amazon Keyspaces zugreifen. AWS-Managementkonsole Um programmgesteuert mit servicespezifischen Anmeldeinformationen auf Amazon Keyspaces zuzugreifen, können Sie `cqlsh` oder Open-Source-Cassandra-Treiber verwenden. *Servicespezifische Anmeldeinformationen* beinhalten einen Benutzernamen und ein Passwort, wie sie von Cassandra für die Authentifizierung und Zugriffsverwaltung verwendet werden. Sie können maximal zwei Sätze servicespezifischer Anmeldeinformationen für jeden unterstützten Service pro Benutzer festlegen.

Um programmgesteuert mit Zugriffsschlüsseln auf Amazon Keyspaces AWS zuzugreifen, können Sie das AWS SDK, die AWS Command Line Interface (AWS CLI) oder Open-Source-Cassandra-Treiber mit dem SigV4-Plugin verwenden. Weitere Informationen finden Sie unter [Create and configure AWS Credentials for Amazon Keyspaces (for](https://docs.aws.amazon.com//keyspaces/latest/devguide/access.credentials.html) Apache Cassandra) im *Amazon Keyspaces (for Apache Cassandra)* Developer Guide.

**Anmerkung**  
Wenn Sie planen, mit Amazon Keyspaces nur über die Konsole zu interagieren, müssen Sie keine servicespezifischen Anmeldeinformationen generieren. Weitere Informationen finden Sie unter [Zugreifen auf Amazon Keyspaces mithilfe der Konsole](https://docs.aws.amazon.com/keyspaces/latest/devguide/console_keyspaces.html) im *Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch*.

Weitere Informationen über die erforderlichen Berechtigungen für den Zugriff auf Amazon Keyspaces finden Sie unter [Beispiele für identitätsbasierte Amazon Keyspaces (für Apache Cassandra) Richtlinien](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) im *Amazon Keyspaces (für Apache Cassandra) Developer Guide*.

## Erstellen von Amazon Keyspaces Anmeldeinformationen (Konsole)
<a name="keyspaces_credentials_console"></a>

Sie können die verwenden AWS-Managementkonsole , um Amazon Keyspaces-Anmeldeinformationen (für Apache Cassandra) für Ihre IAM-Benutzer zu generieren.

**So erzeugen Sie servicespezifische Amazon Keyspaces-Anmeldeinformationen (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich **Users (Benutzer)** und wählen Sie dann den Namen des Benutzers, der die Anmeldeinformationen benötigt.

1. Wählen Sie auf der Registerkarte **Security Credentials (Sicherheitsanmeldeinformationen)** unter **Credentials for Amazon Keyspaces Apache Cassandra Service**, **Generate credentials (Anmeldeinformationen generieren)**.

1. Ihre servicespezifischen Anmeldeinformationen sind nun verfügbar. Das Passwort kann nur noch zu diesem Zeitpunkt eingesehen oder heruntergeladen werden. Später kann er nicht mehr wiederhergestellt werden. Sie können Ihr Passwort jedoch jederzeit zurücksetzen. Speichern Sie den Benutzer und das Passwort an einem sicheren Ort, da Sie sie später benötigen.

## Erstellen von Anmeldeinformationen für Amazon Keyspaces (AWS CLI)
<a name="keyspaces_credentials_cli"></a>

Sie können die verwenden AWS CLI , um Amazon Keyspaces-Anmeldeinformationen (für Apache Cassandra) für Ihre IAM-Benutzer zu generieren.

**So generieren Sie servicespezifische Amazon Keyspaces-Anmeldeinformationen (AWS CLI)**
+ Verwenden Sie den folgenden Befehl:
  + [als ich create-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-specific-credential.html)

## Generierung von Amazon Keyspaces-Anmeldeinformationen (AWS API)
<a name="keyspaces_credentials_api"></a>

Sie können die AWS API verwenden, um Amazon Keyspaces-Anmeldeinformationen (für Apache Cassandra) für Ihre IAM-Benutzer zu generieren.

**Um servicespezifische Anmeldeinformationen (AWS API) von Amazon Keyspaces zu generieren**
+ Führen Sie die folgende Operation aus:
  + [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html) 

# Finden Sie ungenutzte AWS Zugangsdaten
<a name="id_credentials_finding-unused"></a>

Um die Sicherheit Ihres zu erhöhen AWS-Konto, entfernen Sie nicht benötigte IAM-Benutzeranmeldedaten (d. h. Passwörter und Zugriffsschlüssel). Wenn Benutzer beispielsweise Ihr Unternehmen verlassen oder keinen AWS Zugriff mehr benötigen, suchen Sie nach den Anmeldeinformationen, die sie verwendet haben, und stellen Sie sicher, dass sie nicht mehr betriebsbereit sind. Im Idealfall löschen Sie die Anmeldeinformationen, wenn sie nicht mehr benötigt werden. Sie können sie immer zu einem späteren Zeitpunkt bei Bedarf neu erstellen. Zumindest sollten Sie das Passwort ändern oder den Zugriffsschlüssel deaktivieren, sodass der ehemalige Benutzer nicht mehr zugreifen kann.

Natürlich ist die Bedeutung von *ungenutzt* unterschiedlich. Normalerweise ist damit eine Nichtverwendung von Anmeldeinformationen innerhalb eines bestimmten Zeitraums gemeint.

## Suchen von ungenutzten Passwörtern
<a name="finding-unused-passwords"></a>

Sie können den verwenden AWS-Managementkonsole , um Informationen zur Passwortnutzung für Ihre Benutzer einzusehen. Wenn Sie über eine große Anzahl von Benutzern verfügen, können Sie über die Konsole einen Bericht mit den Anmeldeinformation herunterladen, in dem für jeden Benutzer die Information zur letztmaligen Benutzung des entsprechenden Passworts enthalten ist. Sie können auch über die AWS CLI oder die IAM-API auf die Informationen zugreifen.

**So suchen Sie ungenutzte Passwörter (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Fügen Sie, falls erforderlich, die Spalte **Console last sign-in (Letzte Anmeldung an der Konsole)** zur Benutzertabelle hinzu:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol (![\[Settings icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Wählen Sie unter **Select visible columns (Sichtbare Spalten auswählen)** die Option **Console last sign-in (Letzte Anmeldung der Konsole)** aus.

   1. Klicken Sie auf **Confirm (Bestätigen)**, um zur Liste der Benutzer zurückzukehren.

1. In der Spalte **Letzte Anmeldung in der Konsole** wird das Datum angezeigt, an dem sich der Benutzer zuletzt AWS über die Konsole angemeldet hat. Anhand dieser Informationen können Sie Passwörter suchen, die innerhalb eines bestimmten Zeitraums nicht verwendet worden sind. In der Spalte wird für Benutzer mit Passwörtern, die sich zu keiner Zeit angemeldet haben, **Never (Nie)** angegeben. **None (Keine)** gibt Benutzer ohne Passwörter an. Passwörter, die in der letzten Zeit nicht verwendet wurden, können möglicherweise entfernt werden.
**Wichtig**  
Aufgrund eines Serviceproblems werden zwischen dem 3. Mai 2018, 22:50 Uhr PDT, und dem 23. Mai 2018, 14:08 Uhr PDT, verwendete Passwörter nicht als zuletzt verwendetes Passwort gemeldet. [Dies wirkt sich auf das Datum der [letzten Anmeldung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) aus, das in der IAM-Konsole angezeigt wird, und auf das Datum, an dem das Passwort zuletzt verwendet wurde, im [Bericht über die IAM-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html), die vom API-Vorgang zurückgegeben werden. GetUser ](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) Wenn Benutzer sich in dieser Zeit angemeldet haben, wird als letztes Verwendungsdatum des Passworts das Datum angegeben, an dem der Benutzer sich das letzte Mal vor dem 3. Mai 2018 angemeldet hat. Für Benutzer, die sich nach dem 23. Mai 2018, 14:08 Uhr PDT, angemeldet haben, wird das richtige letzte Passwortverwendungsdatum zurückgegeben.  
Wenn Sie Informationen zum zuletzt verwendeten Passwort verwenden, um ungenutzte Anmeldeinformationen für das Löschen zu identifizieren, z. B. wenn Sie Benutzer löschen, bei denen Sie sich AWS in den letzten 90 Tagen nicht angemeldet haben, empfehlen wir Ihnen, Ihr Testfenster so anzupassen, dass es auch Daten nach dem 23. Mai 2018 berücksichtigt. Wenn Ihre Benutzer Zugriffstasten für den AWS programmgesteuerten Zugriff verwenden, können Sie alternativ auf die Informationen zum zuletzt verwendeten Zugriffsschlüssel zurückgreifen, da diese für alle Daten korrekt sind. 

**So finden Sie ungenutzte Passwörter, indem Sie den Bericht mit den Anmeldeinformationen (Konsole) herunterladen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Credential report (Anmeldeinformationsbericht)**.

1. Wählen Sie **Download Report (Bericht herunterladen)** aus, um eine CSV-Datei (Datei mit durch Kommas getrennten Werten) mit dem Namen `status_reports_<date>T<time>.csv` herunterzuladen. Die fünfte Spalte enthält die Spalte `password_last_used` mit den nachstehenden Daten:
   + **N/A** – Benutzer ohne zugewiesenes Passwort.
   + **no\$1information** – Benutzer, die Ihr Passwort seit dem 20. Oktober 2014, als IAM begonnen hat, das Alter des Passworts zu registrieren, nicht benutzt haben.

**So ermitteln Sie ungenutzte Passwörter (AWS CLI)**  
Führen Sie den folgenden Befehl aus, um ungenutzte Passwörter zu ermitteln:
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)` gibt eine Liste von Benutzern jeweils mit einem `PasswordLastUsed`-Wert zurück. Wenn der Wert fehlt, hat der Benutzer entweder kein Passwort oder das Passwort ist seit dem 20. Oktober 2014, als IAM begonnen hat, das Alter des Passworts zu registrieren, nicht verwendet worden.

**Um unbenutzte Passwörter zu finden (AWS API)**  
Rufen Sie die folgende Operation auf, um ungenutzte Passwörter zu ermitteln:
+  ` [ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)` gibt eine Sammlung von Benutzern zurück, die jeweils einen `<PasswordLastUsed>`-Wert haben. Wenn der Wert fehlt, hat der Benutzer entweder kein Passwort oder das Passwort ist seit dem 20. Oktober 2014, als IAM begonnen hat, das Alter des Passworts zu registrieren, nicht verwendet worden.

Weitere Informationen über die Befehle zum Herunterladen des Berichts mit den Anmeldeinformationen finden Sie unter [Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)](id_credentials_getting-report.md#getting-credential-reports-cliapi).

## Suchen von ungenutzten Zugriffsschlüsseln
<a name="finding-unused-access-keys"></a>

Sie können den verwenden AWS-Managementkonsole , um Informationen zur Verwendung von Zugriffsschlüsseln für Ihre Benutzer einzusehen. Wenn Sie über eine große Anzahl von Benutzern verfügen, können Sie über die Konsole einen Bericht mit den Anmeldeinformation herunterladen, in dem für jeden Benutzer die Information zur letztmaligen Benutzung des entsprechenden Zugriffsschlüssels enthalten ist. Sie können auch über die AWS CLI oder die IAM-API auf die Informationen zugreifen.

**So finden Sie ungenutzte Zugriffsschlüssel (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Fügen Sie, falls erforderlich, die Spalte **Access key last used (Zuletzt verwendeter Zugriffsschlüssel)** der Benutzertabelle hinzu:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol (![\[Settings icon\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Wählen Sie unter **Select visible columns (Sichtbare Spalten auswählen)** die Option **Access key last used (Zugriffsschlüssel zuletzt verwendet)** aus.

   1. Klicken Sie auf **Confirm (Bestätigen)**, um zur Liste der Benutzer zurückzukehren.

1. In der Spalte **Zuletzt verwendeter Zugriffsschlüssel** wird die Anzahl der Tage seit dem letzten AWS programmgesteuerten Zugriff durch den Benutzer angezeigt. Anhand dieser Informationen können Sie Zugriffsschlüssel suchen, die innerhalb eines bestimmten Zeitraums nicht verwendet worden sind. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte **–** angezeigt. Zugriffsschlüssel, die in der letzten Zeit nicht verwendet wurden, können entfernt werden.

**So finden Sie ungenutzte Zugriffsschlüssel, indem Sie den Bericht mit den Anmeldeinformationen (Konsole) herunterladen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Credential Report (Anmeldeinformationsbericht)**.

1. Wählen Sie **Download Report (Bericht herunterladen)** aus, um eine CSV-Datei (Datei mit durch Kommas getrennten Werten) mit dem Namen `status_reports_<date>T<time>.csv` herunterzuladen. Die Spalten 11 bis 13 enthalten das letzte Nutzungsdatum, die Region und die Serviceinformationen für den Zugriffsschlüssel 1. Die Spalten 16 bis 18 enthalten die gleichen Informationen für den Zugriffsschlüssel 2. Der Wert lautet **N/A**, wenn der Benutzer nicht über einen Zugriffsschlüssel verfügt oder der Zugriffsschlüssel seit dem 22. April 2015, als IAM begonnen hat, das Alter des Zugriffsschlüssels zu registrieren, nicht verwendet worden ist.

**So ermitteln Sie ungenutzte Zugriffsschlüssel (AWS CLI)**  
Führen Sie die folgenden Befehle aus, um ungenutzte Zugriffsschlüssel zu ermitteln:
+ `[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` gibt Informationen zu den Zugriffsschlüssel eines Benutzers einschließlich `AccessKeyID` zurück.
+ `[aws iam get-access-key-last-used](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)` nimmt eine Zugriffsschlüssel-ID und gibt eine Ausgabe zurück, die das `LastUsedDate`, die `Region`, in der der Zugriffsschlüssel zuletzt verwendet wurde, und den `ServiceName` des letzten angeforderten Services enthält. Wenn `LastUsedDate` fehlt, ist der Zugriffsschlüssel seit dem 22. April 2015 – der Termin, ab dem IAM das Alter von Zugriffsschlüsseln registriert – nicht verwendet worden.

**Um ungenutzte Zugriffsschlüssel (AWS API) zu finden**  
Rufen Sie die folgenden Operationen auf, um ungenutzte Zugriffsschlüssel zu ermitteln:
+ `[ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)` gibt eine Liste der `AccessKeyID`-Werte für die Zugriffsschlüssel zurück, die dem angegebenen Benutzer zugeordnet sind. 
+ `[GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)` nimmt eine Zugriffsschlüssel-ID und gibt eine Zusammenstellung von Werten zurück. Darin sind das `LastUsedDate`, die `Region`, in der der Zugriffsschlüssel zuletzt verwendet wurde, und der `ServiceName` des zuletzt angeforderten Services enthalten. Wenn der Wert fehlt, hat entweder der Benutzer keinen Zugriffsschlüssel oder der Zugriffsschlüssel ist seit dem 22. April 2015 – der Termin, ab dem IAM das Alter von Zugriffsschlüsseln registriert – nicht verwendet worden.

Weitere Informationen über die Befehle zum Herunterladen des Berichts mit den Anmeldeinformationen finden Sie unter [Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)](id_credentials_getting-report.md#getting-credential-reports-cliapi).

# Generieren Sie Anmeldedatenberichte für Ihre AWS-Konto
<a name="id_credentials_getting-report"></a>

Sie können einen *Bericht zu Anmeldeinformationen* erstellen und herunterladen. In diesem Bericht sind alle Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Sie können einen Bericht über Anmeldeinformationen über die AWS-Managementkonsole[Befehlszeilentools](https://aws.amazon.com/tools/#Command_Line_Tools) oder die [AWS SDKs](https://aws.amazon.com/tools)IAM-API abrufen. 

**Anmerkung**  
Der Bericht mit den IAM-Anmeldeinformationen enthält nur die folgenden IAM-verwalteten Anmeldeinformationen: Passwörter, die ersten beiden Zugriffsschlüssel pro Benutzer, MFA-Geräte und X.509-Signaturzertifikate. Der Bericht enthält keine dienstspezifischen Anmeldeinformationen (wie CodeCommit Passwörter, langfristige API-Schlüssel von Amazon Bedrock oder langfristige API-Schlüssel von Amazon CloudWatch Logs) oder andere Benutzerzugriffsschlüssel als die ersten beiden. Verwenden Sie und, um die vollständige Sichtbarkeit der Anmeldeinformationen zu gewährleisten. [ListServiceSpecificCredentials[ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) APIs

Berichte zu Anmeldeinformationen können zu Audit- und Compliance-Zwecken verwendet werden. Anhand des Berichts können Sie prüfen, wie sich die Lebensdaueranforderungen von Anmeldeinformationen wie Passwort und Zugriffsschlüssel-Aktualisierung auswirken. Stellen Sie den Bericht einem externen Prüfer bereit oder gewähren Sie einem Prüfer die notwendigen Berechtigungen zum Herunterladen des Berichts.

Bei Bedarf können Sie alle vier Stunden einen Bericht zu Anmeldeinformationen erstellen. Wenn Sie einen Bericht anfordern, prüft IAM zunächst, ob innerhalb der letzten vier Stunden ein Bericht für den generiert AWS-Konto wurde. Wenn innerhalb dieses Zeitraums bereits ein Bericht erstellt wurde, wird dieser heruntergeladen. Wenn der aktuelle Bericht für das Konto älter ist als vier Stunden oder wenn noch keine Berichte für das Konto vorliegen, erstellt IAM einen neuen Bericht und lädt diesen herunter. 

**Topics**
+ [Erforderliche Berechtigungen](#id_credentials_required_permissions)
+ [Erläuterung des Berichtsformats](#id_credentials_understanding_the_report_format)
+ [Abrufen von Berichten zu Anmeldeinformationen (Konsole)](#getting-credential-reports-console)
+ [Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)](#getting-credential-reports-cliapi)
+ [Abrufen von Berichten über Anmeldeinformationen (AWS API)](#getting-credential-reports-api)

## Erforderliche Berechtigungen
<a name="id_credentials_required_permissions"></a>

Die folgenden Berechtigungen werden zum Erstellen und Herunterladen von Berichten benötigt:
+ So erstellen Sie einen Bericht zu Anmeldeinformationen: `iam:GenerateCredentialReport` 
+ So laden Sie den Bericht herunter: `iam:GetCredentialReport`

## Erläuterung des Berichtsformats
<a name="id_credentials_understanding_the_report_format"></a>

Berichte zu Anmeldeinformationen liegen im CSV-Format vor. Sie können CSV-Dateien zur Analyse mit einer Tabellensoftware öffnen oder eine eigene Anwendung erstellen, um die CSV-Dateien programmgesteuert auszulesen und benutzerdefinierte Analysen auszuführen. 

Die CSV-Datei enthält die folgenden Spalten:

**user**  
Der Anzeigename des Benutzers 

**arn**  
Der Amazon-Ressourcenname (ARN) des Benutzers. Weitere Informationen zu finden Sie ARNs unter[ICH BIN ARNs](reference_identifiers.md#identifiers-arns). 

**user\$1creation\$1time**  
Erstellungsdatum und -uhrzeit des Benutzers im [ISO-8601-Format](https://en.wikipedia.org/wiki/ISO_8601).

**password\$1enabled**  
Wenn der Benutzer ein Passwort besitzt, ist dieser Wert `TRUE`, andernfalls `FALSE`. Dieser Wert ist `FALSE` für neue Mitgliedskonten, die als Teil Ihrer Organisation erstellt wurden, da sie standardmäßig keine Root-Benutzeranmeldeinformationen haben.

**password\$1last\$1used**  
Datum und Uhrzeit der letzten Verwendung des Kennworts des Benutzers Root-Benutzer des AWS-Kontos oder zur Anmeldung auf einer AWS Website im [Datums-/Uhrzeitformat nach ISO 8601.](http://www.iso.org/iso/iso8601) AWS Websites, die den Zeitpunkt der letzten Anmeldung eines Benutzers erfassen AWS-Managementkonsole, sind die AWS Diskussionsforen und der AWS Marketplace. Wenn ein Passwort innerhalb von 5 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.   
+ Der Wert in diesem Feld ist in folgenden Fällen `no_information`:
  + Das Passwort des Benutzers wurde noch nie verwendet.
  + Dem Passwort sind keine Anmeldedaten zugeordnet. Das ist beispielsweise der Fall, wenn das Passwort eines Benutzers nach Beginn der Erfassung dieser Informationen am 20. Oktober 2014 in IAM noch nicht verwendet wurde.
+ Der Wert in diesem Feld ist `N/A` (nicht anwendbar), wenn der Benutzer nicht über ein Passwort verfügt.

**Wichtig**  
Aufgrund eines Serviceproblems werden zwischen dem 3. Mai 2018, 22:50 Uhr PDT, und dem 23. Mai 2018, 14:08 Uhr PDT, verwendete Passwörter nicht als zuletzt verwendetes Passwort gemeldet. [Dies wirkt sich auf das Datum der [letzten Anmeldung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) aus, das in der IAM-Konsole angezeigt wird, und auf das Datum, an dem das Passwort zuletzt verwendet wurde, im [Bericht über die IAM-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html), die vom API-Vorgang zurückgegeben werden. GetUser ](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) Wenn Benutzer sich in dieser Zeit angemeldet haben, wird als letztes Verwendungsdatum des Passworts das Datum angegeben, an dem der Benutzer sich das letzte Mal vor dem 3. Mai 2018 angemeldet hat. Für Benutzer, die sich nach dem 23. Mai 2018, 14:08 Uhr PDT, angemeldet haben, wird das richtige letzte Passwortverwendungsdatum zurückgegeben.  
Wenn Sie Informationen zum zuletzt verwendeten Passwort verwenden, um ungenutzte Anmeldeinformationen für das Löschen zu identifizieren, z. B. wenn Sie Benutzer löschen, bei denen Sie sich AWS in den letzten 90 Tagen nicht angemeldet haben, empfehlen wir Ihnen, Ihr Testfenster so anzupassen, dass es auch Daten nach dem 23. Mai 2018 berücksichtigt. Wenn Ihre Benutzer Zugriffstasten für den AWS programmgesteuerten Zugriff verwenden, können Sie alternativ auf die Informationen zum zuletzt verwendeten Zugriffsschlüssel zurückgreifen, da diese für alle Daten korrekt sind. 

**password\$1last\$1changed**  
Datum und Uhrzeit der letzten Passwortänderung im [ISO-8601-Format](https://en.wikipedia.org/wiki/ISO_8601). Wenn der Benutzer nicht über ein Passwort verfügt, ist der Wert in diesem Feld `N/A` (nicht anwendbar).

**password\$1next\$1rotation**  
Wenn das Konto über eine [Passwortrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html) verfügt, die eine Passwortrotation erfordert, enthält dieses Feld das Datum und die Uhrzeit im [ISO 8601-Format](https://en.wikipedia.org/wiki/ISO_8601), zu dem/der der Benutzer ein neues Passwort festlegen muss. Der Wert für AWS-Konto (Stamm) ist immer. `not_supported`

**mfa\$1active**  
Wenn ein [Multi-Factor Authentication](id_credentials_mfa.md)-Gerät (MFA-Gerät) für den Benutzer aktiviert wurde, ist dieser Wert `TRUE`, andernfalls `FALSE`.

**access\$1key\$11\$1active**  
Wenn der Benutzer über einen Zugriffsschlüssel verfügt und der Status des Zugriffsschlüssels `Active` ist, ist dieser Wert `TRUE`, andernfalls `FALSE`. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

**access\$1key\$11\$1last\$1rotated**  
Datum und Uhrzeit im [ISO 8601-Format](https://en.wikipedia.org/wiki/ISO_8601), an dem der Zugriffsschlüssel des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über einen aktiven Zugriffsschlüssel verfügt, ist der Wert in diesem Feld `N/A` (nicht anwendbar). Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

**access\$1key\$11\$1last\$1used\$1date**  
Datum und Uhrzeit im [ISO 8601-Format](https://en.wikipedia.org/wiki/ISO_8601), an dem der Zugriffsschlüssel des Benutzers zuletzt für eine AWS -API-Anforderung verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.  
Der Wert in diesem Feld ist in folgenden Fällen `N/A` (nicht anwendbar):  
+ Der Benutzer verfügt nicht über einen Zugriffsschlüssel.
+ Der Zugriffsschlüssel wurde noch nie verwendet.
+ Der Zugriffsschlüssel wurde seit Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 noch nicht verwendet.

**access\$1key\$11\$1last\$1used\$1region**  
Die [AWS -Region](https://docs.aws.amazon.com/general/latest/gr/rande.html), in der der Zugriffsschlüssel zuletzt verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.  
Der Wert in diesem Feld ist in folgenden Fällen `N/A` (nicht anwendbar):  
+ Der Benutzer verfügt nicht über einen Zugriffsschlüssel.
+ Der Zugriffsschlüssel wurde noch nie verwendet.
+ Der Zugriffsschlüssel wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.
+ Der zuletzt verwendete Service ist nicht regionsspezifisch, z. B. Amazon S3.

**access\$1key\$11\$1last\$1used\$1service**  
Der AWS Dienst, auf den zuletzt mit dem Zugriffsschlüssel zugegriffen wurde. Für den Wert in diesem Feld wird der `s3`Namespace des Services verwendet, z. B. für Amazon S3; und `ec2` für Amazon EC2. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.  
Der Wert in diesem Feld ist in folgenden Fällen `N/A` (nicht anwendbar):  
+ Der Benutzer verfügt nicht über einen Zugriffsschlüssel.
+ Der Zugriffsschlüssel wurde noch nie verwendet.
+ Der Zugriffsschlüssel wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

**access\$1key\$12\$1active**  
Wenn der Benutzer über einen zweiten Zugriffsschlüssel verfügt und der Status des zweiten Zugriffsschlüssels `Active` ist, ist dieser Wert `TRUE`, andernfalls `FALSE`. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.  
Benutzer können über bis zu zwei Zugriffsschlüssel verfügen, um die Rotation zu vereinfachen, indem sie zuerst den Schlüssel aktualisieren und dann den vorherigen Schlüssel löschen. Weitere Informationen zum Aktualisieren der Zugriffsschlüssel finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md)

**access\$1key\$12\$1last\$1rotated**  
Datum und Uhrzeit im [ISO 8601-Format](https://en.wikipedia.org/wiki/ISO_8601), an dem der zweite Zugriffsschlüssel des Benutzers erstellt oder zuletzt aktualisiert wurde. Wenn der Benutzer nicht über einen zweiten aktiven Zugriffsschlüssel verfügt, ist der Wert in diesem Feld `N/A` (nicht anwendbar). Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

**access\$1key\$12\$1last\$1used\$1date**  
Datum und Uhrzeit im [Datums-/Uhrzeitformat nach ISO 8601](https://en.wikipedia.org/wiki/ISO_8601), an dem der zweite Zugriffsschlüssel des Benutzers zuletzt zum Signieren einer AWS API-Anfrage verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.  
Der Wert in diesem Feld ist in folgenden Fällen `N/A` (nicht anwendbar):  
+ Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.
+ Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.
+ Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

**access\$1key\$12\$1last\$1used\$1region**  
Die [AWS -Region](https://docs.aws.amazon.com/general/latest/gr/rande.html), in der der zweite Zugriffsschlüssel des Benutzers zuletzt verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer. Der Wert in diesem Feld ist in folgenden Fällen `N/A` (nicht anwendbar):  
+ Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.
+ Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.
+ Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.
+ Der zuletzt verwendete Service ist nicht regionsspezifisch, z. B. Amazon S3.

**access\$1key\$12\$1last\$1used\$1service**  
Der AWS Dienst, auf den zuletzt mit dem zweiten Zugriffsschlüssel des Benutzers zugegriffen wurde. Für den Wert in diesem Feld wird der `s3`Namespace des Services verwendet, z. B. für Amazon S3; und `ec2` für Amazon EC2. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer. Der Wert in diesem Feld ist in folgenden Fällen `N/A` (nicht anwendbar):  
+ Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.
+ Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.
+ Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

**cert\$11\$1active**  
Wenn der Benutzer über ein X.509-Signaturzertifikat verfügt und der Status des Zertifikats `Active` ist, ist dieser Wert `TRUE`, andernfalls `FALSE`.

**cert\$11\$1last\$1rotated**  
Datum und Uhrzeit im [ISO 8601-Format](https://en.wikipedia.org/wiki/ISO_8601), an dem das Signaturzertifikat des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über ein aktives Signaturzertifikat verfügt, ist der Wert in diesem Feld `N/A` (nicht anwendbar).

**cert\$12\$1active**  
Wenn der Benutzer über ein zweites X.509-Signaturzertifikat verfügt und der Status des Zertifikats `Active` ist, ist dieser Wert `TRUE`, andernfalls `FALSE`.  
Benutzer können für einen einfacheren Zertifikataustausch über bis zu zwei X.509-Signaturzertifikate verfügen.

**cert\$12\$1last\$1rotated**  
Datum und Uhrzeit im [ISO 8601-Format](https://en.wikipedia.org/wiki/ISO_8601), an dem das zweite Signaturzertifikat des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über ein zweites aktives Signaturzertifikat verfügt, ist der Wert in diesem Feld `N/A` (nicht anwendbar).

**additional\$1credentials als\$1info**  
Wenn der Benutzer über mehr als zwei Zugriffsschlüssel oder Zertifikate verfügt, gibt dieser Wert die Anzahl der zusätzlichen Zugriffsschlüssel oder Zertifikate und die Aktionen an, mit denen Sie die mit dem Benutzer verknüpften Zugriffsschlüssel oder Zertifikate auflisten können.

## Abrufen von Berichten zu Anmeldeinformationen (Konsole)
<a name="getting-credential-reports-console"></a>

Sie können den verwenden AWS-Managementkonsole , um einen Bericht mit Anmeldeinformationen als Datei mit kommagetrennten Werten (CSV) herunterzuladen.

**So laden Sie einen Bericht zu Anmeldeinformationen herunter (Konsole)**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Klicken Sie im Navigationsbereich auf **Credential report (Anmeldeinformationsbericht)**.

1. Wählen Sie **Download Report (Bericht herunterladen)**.

## Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)
<a name="getting-credential-reports-cliapi"></a>

**So laden Sie einen Bericht zu Anmeldedaten herunter (AWS CLI)**

1. Generieren Sie einen Bericht über Anmeldeinformationen. AWS speichert einen einzelnen Bericht. Wenn ein Bericht vorhanden ist, überschreibt das Generieren eines Berichts für Anmeldeinformationen den vorherigen Bericht. [https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html)

1. Zeigen Sie den letzten Bericht an, der generiert wurde: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html)

## Abrufen von Berichten über Anmeldeinformationen (AWS API)
<a name="getting-credential-reports-api"></a>

**Um einen Bericht über Anmeldeinformationen (AWS API) herunterzuladen**

1. Generieren Sie einen Bericht über Anmeldeinformationen. AWS speichert einen einzelnen Bericht. Wenn ein Bericht vorhanden ist, überschreibt das Generieren eines Berichts für Anmeldeinformationen den vorherigen Bericht. [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)

1. Zeigen Sie den letzten Bericht an, der generiert wurde: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)

# IAM-Anmeldeinformationen für CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS Zugriffsschlüssel
<a name="id_credentials_ssh-keys"></a>

CodeCommit ist ein verwalteter Versionskontrolldienst, der private Git-Repositorys in der AWS Cloud hostet. Zur Verwendung CodeCommit konfigurierst du deinen Git-Client für die Kommunikation mit CodeCommit Repositorys. Im Rahmen dieser Konfiguration stellen Sie IAM-Anmeldeinformationen bereit, mit denen Sie authentifiziert CodeCommit werden können. IAM unterstützt CodeCommit drei Arten von Anmeldeinformationen:
+ Git-Anmeldeinformationen, ein von IAM generiertes Paar aus Benutzername und Passwort, mit dem Sie über HTTPS mit CodeCommit Repositorys kommunizieren können.
+ SSH-Schlüssel, ein lokal generiertes öffentlich-privates key pair, das Sie Ihrem IAM-Benutzer zuordnen können, um mit Repositorys über SSH zu kommunizieren. CodeCommit 
+  [AWS Zugriffsschlüssel](id_credentials_access-keys.md), die Sie mit dem im Lieferumfang enthaltenen Credential Helper verwenden können, um mit Repositorys über HTTPS zu kommunizieren. AWS CLI CodeCommit 

**Anmerkung**  
Sie können keine SSH-Schlüssel oder Git-Anmeldeinformationen verwenden, um auf Repositorys in einem anderen AWS -Konto zuzugreifen. *Informationen zur Konfiguration des Zugriffs auf CodeCommit Repositorys für IAM-Benutzer und -Gruppen in einem anderen AWS-Konto Verzeichnis finden [Sie unter Kontenübergreifendes Zugriff auf ein AWS CodeCommit Repository mithilfe von Rollen konfigurieren](https://docs.aws.amazon.com/codecommit/latest/userguide/cross-account.html) im Benutzerhandbuch.AWS CodeCommit *

Weitere Informationen zu jeder Option finden Sie in folgenden Abschnitten. 

## Verwenden Sie Git-Anmeldeinformationen und HTTPS mit CodeCommit (empfohlen)
<a name="git-credentials-code-commit"></a>

Bei GIT-Anmeldeinformationen erstellen Sie einen statischen Benutzernamen und ein Passwort für Ihre IAM-Benutzer und verwenden dann diese Anmeldeinformationen für HTTPS-Verbindungen. Sie können diese Anmeldeinformationen mit einem Drittanbieter-Tool oder einer integrierten Entwicklungsumgebung (Integrated Development Environment, IDE) verwenden, die statische Git-Anmeldeinformationen unterstützt.

Da diese Anmeldeinformationen für alle unterstützten Betriebssysteme universell gültig und mit den meisten Systemen zur Verwaltung von Anmeldeinformationen, Entwicklungsumgebungen und anderen Tools zur Softwareentwicklung kompatibel sind, wird diese Methode bevorzugt. Sie können das Passwort für Git-Anmeldeinformationen jederzeit zurücksetzen. Sie können die Anmeldeinformationen auch deaktivieren oder löschen, wenn Sie sie nicht mehr benötigen.

**Anmerkung**  
Sie können nicht Ihren eigenen Benutzernamen oder das Passwort für Git-Anmeldeinformationen wählen. IAM generiert diese Anmeldeinformationen für Sie, um sicherzustellen, dass sie den Sicherheitsstandards für Repositorys entsprechen AWS und die Repositorys in sichern. CodeCommit Sie können die Anmeldeinformationen nur einmal herunterladen, unmittelbar nachdem sie generiert worden sind. Stellen Sie sicher, dass Sie die Anmeldeinformationen an einem sicheren Ort speichern. Falls erforderlich, können Sie das Passwort jederzeit zurücksetzen, allerdings funktionieren dann alle mit dem alten Passwort konfigurierten Verbindungen nicht mehr. Sie müssen die Verbindungen mit dem neuen Passwort neu konfigurieren, bevor Sie eine Verbindung herstellen können.

Weitere Informationen finden Sie im folgenden Thema: 
+ Informationen zum Erstellen eines IAM-Benutzers finden Sie unter [Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto](id_users_create.md). 
+ Informationen zum Generieren und Verwenden von Git-Anmeldeinformationen finden Sie unter [Für HTTPS-Benutzer CodeCommit, die Git-Anmeldeinformationen verwenden](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-gc.html) im *AWS CodeCommit Benutzerhandbuch*. 

**Anmerkung**  
Wenn Sie den Namen eines IAM-Benutzers ändern, nachdem die Git-Anmeldeinformationen generiert wurden, werden der Benutzername und die Git-Anmeldeinformationen nicht automatisch geändert. Der Benutzername und das Passwort bleiben gleich und sind weiterhin gültig. 

**So aktualisieren Sie servicespezifische Anmeldeinformationen**

1. Erstellen Sie, zusätzlich zu den bereits verwendeten, einen zweiten Satz servicespezifischer Anmeldeinformationen.

1. Aktualisieren Sie alle Ihre Anwendungen für die Nutzung der neuen Anmeldeinformationen und vergewissern Sie sich, dass die Anwendungen funktionieren.

1. Ändern Sie den Status der ursprünglichen Anmeldeinformationen in "Inaktiv".

1. Stellen Sie sicher, dass alle Ihre Anwendungen weiterhin funktionieren.

1. Löschen Sie die inaktiven, servicespezifischen Anmeldeinformationen.

## Verwenden Sie SSH-Schlüssel und SSH mit CodeCommit
<a name="ssh-keys-code-commit"></a>

Mit SSH-Verbindungen erstellen Sie öffentliche und private Schlüsseldateien auf Ihrem lokalen Computer, die Git CodeCommit verwenden und für die SSH-Authentifizierung verwenden. Verknüpfen Sie den öffentlichen Schlüssel mit Ihrem IAM-Benutzer und speichern Sie den privaten Schlüssel auf Ihrem lokalen Computer ab. Weitere Informationen finden Sie im folgenden Thema: 
+ Informationen zum Erstellen eines IAM-Benutzers finden Sie unter [Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto](id_users_create.md). 
+ Um einen öffentlichen SSH-Schlüssel zu erstellen und ihn mit einem IAM-Benutzer zu verknüpfen, siehe [Für SSH-Verbindungen unter Linux, macOS oder Unix](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-unixes.html) oder siehe [Für SSH-Verbindungen unter Windows](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-ssh-windows.html) im *AWS CodeCommit Benutzerhandbuch*. 

**Anmerkung**  
Der öffentliche Schlüssel muss in ssh-rsa-Format oder PEM-Format verschlüsselt sein. Die Mindest-Bit-Länge des öffentlichen Schlüssels beträgt 2048 Bit und die Maximallänge beträgt 16384 Bit. Dies ist von der Größe der hochgeladenen Datei unabhängig. Sie können beispielsweise einen 2048-Bit-Schlüssel erstellen, und die ausgegebene PEM-Datei ist 1679 Byte lang. Wenn Sie den öffentlichen Schlüssel in einem anderen Format oder einer anderen Größe bereitstellen, wird eine Fehlermeldung angezeigt, dass das Schlüsselformat ungültig ist.

## Verwende HTTPS mit dem AWS CLI Credential Helper und CodeCommit
<a name="access-keys-code-commit"></a>

Als Alternative zu HTTPS-Verbindungen mit Git-Anmeldeinformationen können Sie Git erlauben, eine kryptografisch signierte Version Ihrer IAM-Benutzeranmeldedaten oder Ihrer Amazon EC2 EC2-Instance-Rolle zu verwenden, wann immer Git sich authentifizieren muss, um mit AWS Repositorys zu interagieren. CodeCommit Dies ist die einzige Verbindungsmethode für CodeCommit Repositorys, für die kein IAM-Benutzer erforderlich ist. Dies ist auch die einzige Methode, die mit Verbundzugriff und temporären Anmeldeinformationen funktioniert. Weitere Informationen finden Sie im folgenden Thema:
+ Weitere Informationen zum Verbundzugriff finden Sie unter [Identitätsanbieter und Verbund zu AWS](id_roles_providers.md) und [Zugriff für extern authentifizierte Benutzer gewähren (Identitätsverbund)](id_roles_common-scenarios_federated-users.md). 
+ Weitere Informationen zu temporären Anmeldeinformationen finden Sie unter [Temporäre IAM Sicherheitsanmeldeinformationen](id_credentials_temp.md) und [Temporärer Zugriff auf CodeCommit-Repositorys](https://docs.aws.amazon.com/codecommit/latest/userguide/temporary-access.html). 

Der AWS CLI Credential Helper ist nicht mit anderen Credential Helper-Systemen wie Keychain Access oder Windows Credential Management kompatibel. Wenn Sie HTTPS-Verbindungen mit dem Credential Helper für Anmeldeinformationen konfigurieren, sind weitere Einstellungen zu beachten. Weitere Informationen finden Sie unter [Für HTTPS-Verbindungen unter Linux, macOS oder Unix mit dem AWS CLI Credential Helper](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-unixes.html) oder [HTTPS-Verbindungen unter Windows mit dem AWS CLI Credential Helper](https://docs.aws.amazon.com/codecommit/latest/userguide/setting-up-https-windows.html) im *AWS CodeCommit Benutzerhandbuch*.

# Verwaltung von Serverzertifikaten in IAM
<a name="id_credentials_server-certs"></a>

*Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung in zu aktivieren AWS, benötigen Sie ein SSL/TLS-Serverzertifikat.* Für Zertifikate in einer Region, die von AWS Certificate Manager (ACM) unterstützt wird, empfehlen wir die Verwendung von für Bereitstellung und Verwaltung Ihrer Server-Zertifikate. In nicht unterstützten Regionen müssen Sie IAM für die Verwaltung der Zertifikate verwenden. Informationen darüber, welche Regionen ACM unterstützt, finden Sie unter [AWS Certificate Manager -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/acm.html) im *Allgemeine AWS-Referenz*.

**Wichtig**  
Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Mit ACM können Sie ein Zertifikat anfordern oder ein vorhandenes ACM- oder externes Zertifikat für Ressourcen bereitstellen. AWS Die von ACM bereitgestellten Zertifikate sind kostenlos und werden automatisch verlängert. In einer [unterstützten Region](https://docs.aws.amazon.com/general/latest/gr/acm.html) können Sie mit ACM Serverzertifikate über die Konsole oder programmgesteuert verwalten. Weitere Informationen zu ACM finden Sie im [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Weitere Informationen zum Anfordern eines [-Zertifikats finden Sie unter ](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html)Anfordern eines öffentlichen Zertifikats[ oder ](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)Anfordern eines privaten Zertifikats *AWS Certificate Manager im *. Weitere Informationen zum Importieren von Zertifikaten von Drittanbietern in ACM finden Sie unter [Importieren von Zertifikaten](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) im *AWS Certificate Manager -Benutzerhandbuch*.

Verwenden Sie IAM als Zertifikatmanager nur für die Unterstützung von HTTPS-Verbindungen in einer Region, die nicht [von ACM unterstützt](https://docs.aws.amazon.com/general/latest/gr/acm.html) wird. IAM bietet eine sichere Verschlüsselungsmethode für Ihre privaten Schlüssel und speichert die verschlüsselte Version in einem SSL-Zertifikatspeicher in IAM. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen, Sie müssen Ihr Zertifikat jedoch von einem externen Anbieter beziehen, damit Sie es verwenden können. AWS ACM-Zertifikate können nicht in IAM hochgeladen werden. Außerdem ist es nicht möglich, Zertifikate auf der IAM-Konsole zu verwalten.

Weitere Informationen zum Hochladen von Drittanbieterzertifikaten in IAM finden Sie in den folgenden Themen.

**Topics**
+ [Laden Sie ein Serverzertifikat (AWS API) hoch](#upload-server-certificate)
+ [AWS API-Operationen für Serverzertifikate](#id_credentials_server-certs-api)
+ [Fehlerbehebung bei Serverzertifikaten](#server-certificate-troubleshooting)

## Laden Sie ein Serverzertifikat (AWS API) hoch
<a name="upload-server-certificate"></a>

Um ein Serverzertifikat in IAM hochzuladen, müssen Sie das Zertifikat bereitstellen und dessen privaten Schlüssel verwalten. Wenn das Zertifikat nicht selbstsigniert ist, müssen Sie auch eine Zertifikatskette bereitstellen. (Zum Hochladen eines selbstsignierten Zertifikats benötigen Sie keine Zertifikatskette.) Bevor Sie ein Zertifikat hochladen, stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:
+ Das Zertifikat muss zum Zeitpunkt des Hochladens gültig sein. Sie können ein Zertifikat nicht vor Beginn des Gültigkeitszeitraums (das Datum `NotBefore` des Zertifikats) oder nach Ablauf der Gültigkeit (das Datum `NotAfter` des Zertifikats) hochladen.
+ Der private Schlüssel muss unverschlüsselt sein. Sie können keinen privaten Schlüssel hochladen, der durch ein Passwort oder eine Passphrase geschützt ist. Informationen zum Entschlüsseln von verschlüsselten privaten Schlüsseln finden Sie unter [Fehlerbehebung bei Serverzertifikaten](#server-certificate-troubleshooting).
+ Das Zertifikat, der private Schlüssel und die Zertifikatskette müssen PEM-kodiert sein. Informationen zum Konvertieren dieser Elemente ins PEM-Format finden Sie unter [Fehlerbehebung bei Serverzertifikaten](#server-certificate-troubleshooting).

Um die [IAM-API](https://docs.aws.amazon.com/IAM/latest/APIReference/) zum Hochladen eines Zertifikats zu verwenden, senden Sie eine [UploadServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UploadServerCertificate.html)Anfrage. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) durchführen. In diesem Beispiel wird Folgendes angenommen:
+ Das PEM-kodierte Zertifikat ist in einer Datei mit dem Namen `Certificate.pem` gespeichert.
+ Das PEM-kodierte Zertifikatkette ist in einer Datei mit dem Namen `CertificateChain.pem` gespeichert.
+ Das PEM-kodierte Zertifikat ist in einer Datei mit dem Namen `PrivateKey.pem` gespeichert.
+ (Optional) Sie möchten das Serverzertifikat mit einem Schlüsselwertpaar kennzeichnen. Sie können beispielsweise den Tag-Schlüssel `Department` und den Tag-Wert `Engineering` hinzufügen, um Ihnen bei der Identifizierung und Organisation Ihrer Zertifikate zu helfen.

Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie diese Dateinamen durch Ihre eigenen. *ExampleCertificate*Ersetzen Sie es durch einen Namen für Ihr hochgeladenes Zertifikat. Wenn Sie das Zertifikat taggen möchten, ersetzen Sie das Schlüssel-Wert-Paar *ExampleKey* und das *ExampleValue* Tag-Schlüssel-Wert-Paar durch Ihre eigenen Werte. Geben Sie den Befehl durchgehend in einer Zeile ein. Das folgende Beispiel enthält Zeilenumbrüche und zusätzliche Leerzeichen, um das Lesen zu vereinfachen.

```
aws iam upload-server-certificate --server-certificate-name ExampleCertificate
                                    --certificate-body file://Certificate.pem
                                    --certificate-chain file://CertificateChain.pem
                                    --private-key file://PrivateKey.pem
                                    --tags '{"Key": "ExampleKey", "Value": "ExampleValue"}'
```

Wenn der vorherige Befehl erfolgreich ausgeführt wurde, werden Metadaten zum hochgeladenen Zertifikat einschließlich dessen [Amazon-Ressourcennamen (ARN)](reference_identifiers.md#identifiers-arns), dem Anzeigenamen, der ID, dem Ablaufdatum, Tags usw. zurückgegeben.

**Anmerkung**  
Wenn Sie ein Serverzertifikat zur Verwendung mit Amazon hochladen CloudFront, müssen Sie mit der `--path` Option einen Pfad angeben. Der Pfad muss mit `/cloudfront` beginnen und mit einem Schrägstrich enden (z. B. `/cloudfront/test/`).

Um das zum Hochladen eines Zertifikats AWS Tools for Windows PowerShell zu verwenden, verwenden Sie [Publish- IAMServer Certificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Publish-IAMServerCertificate.html&tocid=Publish-IAMServerCertificate).

## AWS API-Operationen für Serverzertifikate
<a name="id_credentials_server-certs-api"></a>

Verwenden Sie die folgenden Befehle, um Serverzertifikate anzuzeigen, mit Tags zu versehen, umzubenennen und zu löschen.
+ Wird verwendet [GetServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServerCertificate.html), um ein Zertifikat abzurufen. Diese Anfrage gibt das Zertifikat, die Zertifikatskette (sofern eine hochgeladen wurde) und Metadaten zum Zertifikat zurück.
**Anmerkung**  
Sie können private Schlüssel nach dem Hochladen nicht mehr aus IAM herunterladen oder abrufen.
+ Verwenden Sie [Get- IAMServer Certificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Get-IAMServerCertificate.html&tocid=Get-IAMServerCertificate), um ein Zertifikat abzurufen.
+ Dient [ListServerCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServerCertificates.html)zum Auflisten Ihrer hochgeladenen Serverzertifikate. Die Anfrage gibt eine Liste zurück, die Metadaten zu jedem Zertifikat enthält.
+ Verwenden Sie [Get- IAMServer Certificates](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Get-IAMServerCertificates.html&tocid=Get-IAMServerCertificates), um Ihre hochgeladenen Serverzertifikate aufzulisten.
+ Wird verwendet [TagServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagServerCertificate.html), um ein vorhandenes Serverzertifikat zu kennzeichnen. 
+ Wird verwendet [UntagServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagServerCertificate.html), um die Markierung eines Serverzertifikats aufzuheben.
+ Wird verwendet [UpdateServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServerCertificate.html), um ein Serverzertifikat umzubenennen oder seinen Pfad zu aktualisieren.

   Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.

  Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie den alten und neuen Zertifikatnamen und den Zertifikatspfad und geben Sie den Befehl durchgehend in einer Zeile ein. Das folgende Beispiel enthält Zeilenumbrüche und zusätzliche Leerzeichen, um das Lesen zu vereinfachen.

  ```
  aws iam update-server-certificate --server-certificate-name ExampleCertificate
                                      --new-server-certificate-name CloudFrontCertificate
                                      --new-path /cloudfront/
  ```

  Um ein Serverzertifikat AWS Tools for Windows PowerShell umzubenennen oder seinen Pfad zu aktualisieren, verwenden Sie [Update- IAMServer Certificate](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Update-IAMServerCertificate.html&tocid=Update-IAMServerCertificate).
+ Wird verwendet [DeleteServerCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServerCertificate.html), um ein Serverzertifikat zu löschen. 

  Verwenden Sie [Remove — Certificate, AWS Tools for Windows PowerShell um ein IAMServer Serverzertifikat](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=Remove-IAMServerCertificate.html&tocid=Remove-IAMServerCertificate) zu löschen.

## Fehlerbehebung bei Serverzertifikaten
<a name="server-certificate-troubleshooting"></a>

Bevor Sie ein Zertifikat in IAM hochladen können, müssen Sie sicherstellen, dass das Zertifikat, der private Schlüssel und die Zertifikatskette PEM-kodiert sind. Sie müssen außerdem dafür sorgen, dass der private Schlüssel nicht verschlüsselt ist. Sehen Sie sich die folgenden Beispiele an.

**Example Beispiel für ein PEM-kodiertes Zertifikat**  

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
```

**Example Beispiel eines PEM-kodierten, unverschlüsselten privaten Schlüssels**  

```
-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----
```

**Example PEM-kodierte Zertifikatkette**  
Eine Zertifikatkette enthält ein oder mehrere Zertifikate. Sie können Ihre Zertifikatdateien mit einem Texteditor, dem Kopierbefehl in Windows oder dem cat-Befehl in Linux zu einer Kette verknüpfen. Wenn Sie mehrere Zertifikate einbeziehen, muss jedes Zertifikat das vorhergehende Zertifikat zertifizieren. Dazu müssen Sie die Zertifikate verketten, darunter das Zertifikat der Stammzertifizierungsstelle als letztes.  
Das folgende Beispiel enthält drei Zertifikate, Ihre Zertifikatkette enthält möglicherweise jedoch mehr oder weniger Zertifikate.  

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
```

Wenn diese Elemente nicht im richtigen Format zum Hochladen in IAM vorliegen, können Sie sie mit [OpenSSL](https://openssl.org/) ins richtige Format konvertieren.

**So konvertieren Sie ein Zertifikat oder eine Zertifikatskette von DER zu PEM**  
Verwenden Sie den Befehl [OpenSSL **x509**](https://openssl.org/docs/manmaster/man1/x509.html) wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl `Certificate.der` durch den Namen der Datei, die das DER-kodierte Zertifikat enthält. Ersetzen Sie `Certificate.pem` durch den gewünschten Namen der Ausgabedatei, die das PEM-codierte Zertifikat enthalten soll.  

```
openssl x509 -inform DER -in Certificate.der -outform PEM -out Certificate.pem
```
 

**So konvertieren Sie einen privaten Schlüssel von DER zu PEM**  
Verwenden Sie den Befehl [OpenSSL **rsa**](https://openssl.org/docs/manmaster/man1/rsa.html) wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl `PrivateKey.der` durch den Namen der Datei, die den DER-kodierten privaten Schlüssel enthält. Ersetzen Sie `PrivateKey.pem` durch den gewünschten Namen der Ausgabedatei, die den PEM-codierten privaten Schlüssel enthalten soll.  

```
openssl rsa -inform DER -in PrivateKey.der -outform PEM -out PrivateKey.pem
```
 

**So entschlüsseln Sie einen verschlüsselten privaten Schlüssel (Entfernen eines Passworts oder einer Passphrase)**  
Verwenden Sie den Befehl [OpenSSL **rsa**](https://openssl.org/docs/manmaster/man1/rsa.html) wie im folgenden Beispiel. Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie `EncryptedPrivateKey.pem` durch den Namen der Datei, die den verschlüsselten privaten Schlüssel enthält. Ersetzen Sie `PrivateKey.pem` durch den gewünschten Namen der Ausgabedatei, die den PEM-codierten unverschlüsselten privaten Schlüssel enthalten soll.  

```
openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem
```
 

**So konvertieren Sie ein Zertifikat-Bundle von PKCS\$112 (PFX) zu PEM**  
Verwenden Sie den Befehl [OpenSSL **pkcs12**](https://openssl.org/docs/manmaster/man1/pkcs12.html) wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl `CertificateBundle.p12` durch den Namen der Datei, die das PKCS\$112-kodierte Zertifikat-Bundle enthält. Ersetzen Sie `CertificateBundle.pem` durch den gewünschten Namen der Ausgabedatei, die das PEM-codierte Zertifikat-Bundle enthalten soll.  

```
openssl pkcs12 -in CertificateBundle.p12 -out CertificateBundle.pem -nodes
```
 

**So konvertieren Sie ein Zertifikat-Bundle von PKCS\$17 zu PEM**  
Verwenden Sie den Befehl [OpenSSL **pkcs7**](https://openssl.org/docs/manmaster/man1/pkcs7.html) wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl `CertificateBundle.p7b` durch den Namen der Datei, die das PKCS\$17-kodierte Zertifikat-Bundle enthält. Ersetzen Sie `CertificateBundle.pem` durch den gewünschten Namen der Ausgabedatei, die das PEM-codierte Zertifikat-Bundle enthalten soll.  

```
openssl pkcs7 -in CertificateBundle.p7b -print_certs -out CertificateBundle.pem
```