Ändern von Berechtigungen für einen IAM-Benutzer - AWS Identitäts- und Zugriffsverwaltung
Anzeigen des BenutzerzugriffsGenerieren einer Richtlinie basierend auf der Zugriffsaktivität eines BenutzersHinzufügen von Berechtigungen für einem Benutzer (Konsole)Ändern von Berechtigungen für einen Benutzer (Konsole)Entfernen einer Berechtigungsrichtlinie von einem Benutzer (Konsole)Entfernen der Berechtigungsgrenze von einem Benutzer (Konsole)Berechtigungen (AWS CLI oder AWS API) eines Benutzers hinzufügen und entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern von Berechtigungen für einen IAM-Benutzer

Sie können die Berechtigungen für einen IAM-Benutzer in Ihrem ändern, AWS-Konto indem Sie dessen Gruppenmitgliedschaften ändern, die Berechtigungen eines vorhandenen Benutzers kopieren, Richtlinien direkt an einen Benutzer anhängen oder indem Sie eine Berechtigungsgrenze festlegen. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein Benutzer haben kann. Bei Berechtigungsgrenzen handelt es sich um eine erweiterte Funktion. AWS

Weitere Informationen über die erforderlichen Berechtigungen, um die Berechtigungen eines Benutzers zu bearbeiten, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Anzeigen des Benutzerzugriffs

Bevor Sie die Berechtigungen für einen Benutzer ändern, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Generieren einer Richtlinie basierend auf der Zugriffsaktivität eines Benutzers

Manchmal können Sie einer IAM-Entität (Benutzer oder Rolle) Berechtigungen erteilen, die über das hinausgehen, was diese benötigen. Um Ihnen beim Verfeinern der Berechtigungen zu helfen, können Sie eine IAM-Richtlinie generieren, die auf der Zugriffsaktivität für eine Entity basiert. IAM Access Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Entität in dem von Ihnen angegebenen Zeitraum verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit definierten Berechtigungen zu erstellen und sie dann an die IAM-Rolle anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die der Benutzer oder die Rolle benötigt, um mit AWS Ressourcen für Ihren speziellen Anwendungsfall zu interagieren. Weitere Informationen hierzu finden Sie unter Generieren von Richtlinien basierend auf Zugriffsaktivitäten.

Hinzufügen von Berechtigungen für einem Benutzer (Konsole)

IAM bietet drei Möglichkeiten zum Hinzufügen von Berechtigungsrichtlinien zu einem Benutzer:

  • Hinzufügen von Benutzern zu Gruppen – Machen Sie den Benutzer zu einem Mitglied einer Gruppe. Die Richtlinien der Gruppe werden dem Benutzer zugeordnet.

  • Kopieren von Berechtigungen von vorhandenen Benutzern – Kopieren Sie alle Gruppenmitgliedschaften, angefügte verwaltete Richtlinien, eingebundene Richtlinien sowie vorhandene Berechtigungsgrenzen des Quellbenutzers.

  • Anfügen von Richtlinien direkt zu Benutzern – Fügen Sie eine verwaltete Richtlinie direkt an den Benutzer an. Um die Verwaltung von Berechtigungen zu vereinfachen, ordnen Sie Ihre Richtlinien einer Gruppe zu und machen die Benutzer zu Mitgliedern der entsprechenden Gruppen.

Wichtig

Wenn der Benutzer eine Berechtigungsgrenze hat, können Sie einem Benutzer nicht mehr Berechtigungen hinzufügen, als laut der Berechtigungsgrenze erlaubt sind.

Hinzufügen von Berechtigungen durch Hinzufügen des Benutzers zu einer Gruppe

Das Hinzufügen eines Benutzers zu einer Gruppe wirkt sich sofort auf den Benutzer.

So erteilen Sie einem Benutzer Berechtigungen, indem sie ihn zu einer Gruppe hinzufügen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Überprüfen Sie in der Konsole in der Spalte Groups (Gruppen) die aktuellen Gruppenmitgliedschaften der Benutzer. Falls erforderlich, fügen Sie die Spalte zur Tabelle der Benutzer hinzu, indem Sie die folgenden Schritte ausführen:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( Settings icon ).

    2. Klicken Sie im Dialogfeld auf Manage Columns (Spalten verwalten) und wählen Sie die Spalte Groups (Gruppen). Optional können Sie auch die Markierung der Kontrollkästchen für alle Spaltenüberschriften entfernen, die nicht in der Tabelle der Benutzer erscheinen sollen.

    3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren.

    In der Spalte Groups (Gruppen) wird angegeben, zu welchen Gruppen der Benutzer gehört. Die Spalte enthält die Gruppennamen für bis zu zwei Gruppen. Wenn der Benutzer ein Mitglied von drei oder mehreren Gruppen ist, werden die ersten beiden Gruppen (alphabetisch geordnet) sowie die Anzahl der weiteren Gruppenmitgliedschaften angezeigt. Beispiel: Wenn der Benutzer zur Gruppe A, Gruppe B, Gruppe C und Gruppe D gehört, enthält das Feld den Wert Group A, Group B + 2 more. Um die Gesamtanzahl der Gruppenmitgliedschaften des Benutzers anzuzeigen, können Sie die Spalte Group count (Gruppenanzahl) zur Benutzertabelle hinzufügen.

  4. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungen Sie ändern möchten.

  5. Wählen Sie die Registerkarte Permissions (Berechtigungen) und anschließend die Option Add Permissions (Berechtigung hinzufügen). Wählen Sie Add user to group.

  6. Aktivieren Sie das Kontrollkästchen für jede Gruppe, die der Benutzer angehören soll. Die Liste enthält die Gruppennamen und Richtlinien, die dem Benutzer zugewiesen werden, wenn er Mitglied der Gruppe wird.

  7. (Optional) Zusätzlich zu den vorhandenen Gruppen können Sie Create group (Gruppe erstellen) auswählen, um eine neue Gruppe zu definieren:

    1. Geben Sie auf der neuen Registerkarte für User group Name (Benutzergruppenname) den Namen für Ihre neue Gruppe ein.

      Anmerkung

      Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und Kontingente AWS STS. Gruppennamen können eine Kombination aus bis zu 128 Buchstaben, Ziffern und die folgenden Zeichen enthalten: (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. Sie können beispielsweise nicht zwei Gruppen mit dem Namen TESTGRUPPE und testgruppe erstellen.

    2. Markieren Sie ein oder mehrere Kontrollkästchen für die verwalteten Richtlinien, die Sie der Gruppe zuordnen möchten. Sie können auch anhand von Create policy (Richtlinie erstellen) eine neue verwaltete Richtlinie erstellen. Wenn Sie auf diese Weise vorgehen möchten, kehren Sie zu dieser Browser-Registerkarte oder zu diesem Fenster zurück. Wenn die neue Richtlinie erstellt wurde, wählen Sie erst Refresh (Aktualisieren) und dann die neue Richtlinie aus, die Sie Ihrer Gruppe anfügen möchten. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien.

    3. Wählen Sie Create user group (Benutzergruppe erstellen).

    4. Kehren Sie zur ursprünglichen Registerkarte zurück und aktualisieren Sie die Liste der Gruppen. Dann aktivieren Sie das Kontrollkästchen für die neue Gruppe.

  8. Wählen Sie Next (Weiter) aus, um eine Liste der Gruppenmitgliedschaften anzuzeigen, die zu dem neuen Benutzer hinzugefügt werden soll. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Hinzufügen von Berechtigungen durch Kopieren von einem anderen Benutzer

Das Kopieren der Berechtigungen wirkt sich sofort auf den Benutzer.

So fügen Sie Berechtigungen für einen Benutzer durch das Kopieren von Berechtigungen von einem anderen Benutzer hinzu

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie erst den Navigationsbereich Users (Benutzer) und dann den Namen des Benutzers aus, dessen Berechtigungen Sie ändern möchten, und klicken Sie dann auf die Registerkarte Permissions (Berechtigungen).

  3. Wählen Sie Add permissions (Berechtigungen hinzufügen) und dann Copy permissions from existing user (Berechtigungen von vorhandenen Benutzern kopieren). Die Liste zeigt die verfügbaren Benutzer zusammen mit ihren Gruppenmitgliedschaften und zugeordneten Richtlinien an. Wenn die vollständige Liste der Gruppen oder Richtlinien nicht in eine Zeile passt, können Sie den Link and n more anklicken. Auf diese Weise öffnet sich eine neue Registerkarte und es wird die vollständige Liste der Richtlinien (Registerkarte Permissions) und Gruppen (Registerkarte Groups) angezeigt.

  4. Aktivieren Sie das Ankreuzfeld neben dem Benutzer, dessen Berechtigungen Sie kopieren möchten.

  5. Wählen Sie Next (Weiter) aus, um eine Liste der Änderungen für den Benutzer anzuzeigen. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Hinzufügen von Berechtigungen durch direktes Anfügen von Richtlinien zum Benutzer

Das Hinzufügen von Richtlinien wirkt sich sofort auf den Benutzer.

So fügen Sie Berechtigungen durch direktes Anfügen von Richtlinien dem Benutzer hinzu

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie erst den Navigationsbereich Users (Benutzer) und dann den Namen des Benutzers aus, dessen Berechtigungen Sie ändern möchten, und klicken Sie dann auf die Registerkarte Permissions (Berechtigungen).

  3. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus und wählen Sie dann Attach policies directly (Richtlinien direkt anhängen) aus.

  4. Markieren Sie ein oder mehrere Kontrollkästchen für die verwalteten Richtlinien, die Sie dem Benutzer zuordnen möchten. Sie können auch anhand von Create policy (Richtlinie erstellen) eine neue verwaltete Richtlinie erstellen. Wenn Sie das tun, kehren Sie zu dieser Browser-Registerkarte oder zu diesem Fenster zurück, wenn die neue Richtlinie erstellt worden ist. Klicken Sie erst auf Refresh (Aktualisieren) und dann auf das Kontrollkästchen der neuen Richtlinie, um sie ihrem Benutzer anzufügen. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien.

  5. Wählen Sie Next (Weiter) aus, um eine Liste der Richtlinien anzuzeigen, die dem Benutzer anzufügen sind. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Die Berechtigungsgrenze für einen Benutzer festlegen

Das Festlegen einer Berechtigungsgrenze wirkt sich sofort auf den Benutzer.

Die Berechtigungsgrenze für einen Benutzer festlegen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie ändern möchten.

  4. Wählen Sie die Registerkarte Permissions (Berechtigungen). Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Sie Set permissions boundary (Berechtigungsgrenze festlegen).

  5. Wählen Sie die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

  6. Wählen Sie Set boundary (Grenze festlegen).

Ändern von Berechtigungen für einen Benutzer (Konsole)

IAM ermöglicht Ihnen, die Berechtigungen, die einem Benutzer zugeordnet sind, auf folgende Weise zu ändern:

  • Bearbeiten einer Berechtigungsrichtlinie – Bearbeiten einer Inline-Richtlinie des Benutzers, der eingebundenen Richtlinie der Gruppe des Benutzers, oder bearbeiten einer verwalteten Richtlinie, die dem Benutzer direkt oder aus einer Gruppe angefügt wird. Wenn der Benutzer eine Berechtigungsgrenze hat, können Sie nicht mehr Berechtigungen bereitstellen, als von der Richtlinie, die als Berechtigungsgrenze des Benutzers verwendet wurde, erlaubt ist.

  • Ändern der Berechtigungsgrenze – Ändern Sie die Richtlinie, die als Berechtigungsgrenze für den Benutzer verwendet wird. Dadurch können die maximalen Berechtigungen, die ein Benutzer haben kann, erweitert oder eingeschränkt werden.

Bearbeiten einer Berechtigungsrichtlinie, die einem Benutzer hinzugefügt wurde

Eine Änderung der Berechtigungen wirkt sich sofort auf den Benutzer aus.

Die einem Benutzer hinzugefügten verwalteten Richtlinien bearbeiten

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsrichtlinie Sie ändern möchten.

  4. Wählen Sie die Registerkarte Berechtigungen. Falls erforderlich, öffnen Sie den Abschnitt Permissions policies (Berechtigungsrichtlinien) .

  5. Wählen Sie den Namen der Richtlinie, die Sie bearbeiten möchten, um Details zur Richtlinie anzuzeigen. Wählen Sie die Registerkarte Policy usage (Richtliniennutzung), um andere Entitäten anzuzeigen, die möglicherweise beeinträchtigt werden, wenn Sie die Richtlinie bearbeiten.

  6. Wählen Sie die Registerkarte Permissions (Berechtigungen) und überprüfen Sie die Berechtigungen, die durch die Richtlinie erteilt werden. Wählen Sie dann Edit policy (Richtlinie bearbeiten).

  7. Bearbeiten Sie die Richtlinie und lösen Sie alle Empfehlungen zur policy validation (Richtlinienvalidierung). Weitere Informationen finden Sie unter Bearbeiten von IAM-Richtlinien.

  8. Wählen Sie Review policy (Richtlinie überprüfen), überprüfen Sie die Richtlinienübersicht, und wählen Sie dann Save changes (Änderungen speichern).

Ändern der Berechtigungsgrenze für einen Benutzer

Das Ändern einer Berechtigungsgrenze wirkt sich sofort auf den Benutzer.

Ändern der Richtlinie zum Festlegen der Berechtigungsgrenze für einen Benutzer

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie ändern möchten.

  4. Wählen Sie die Registerkarte Permissions (Berechtigungen). Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Change boundary (Grenze ändern).

  5. Wählen Sie die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

  6. Wählen Sie Set boundary (Grenze festlegen).

Entfernen einer Berechtigungsrichtlinie von einem Benutzer (Konsole)

Das Entfernen einer Richtlinie wirkt sich sofort auf den Benutzer.

So entfernen Sie Berechtigungen für IAM-Benutzer

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie entfernen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wenn Sie Berechtigungen durch Entfernen einer vorhandenen Richtlinie entfernen möchten, sehen Sie sich den Type (Typ) an, um zu verstehen, wie dem Benutzer die Richtlinie zugewiesen wird, bevor Sie Remove (Entfernen) zum Entfernen der Richtlinie auswählen:

    • Erfolgt die Anwendung der Richtlinie wegen einer Gruppenmitgliedschaft, wird mit Remove (Entfernen) der Benutzer aus der Gruppe entfernt. Denken Sie daran, dass einer Gruppe möglicherweise mehrere Richtlinien angefügt wurden. Wenn Sie einen Benutzer aus einer Gruppe entfernen, verliert er den Zugriff auf alle Richtlinien, die ihm über die Gruppenmitgliedschaft zugewiesen wurden.

    • Wenn die Richtlinie eine direkt zum Benutzer angefügte verwaltete Richtlinie ist, wird durch die Auswahl von Remove (Entfernen) die Richtlinie vom Benutzer getrennt. Dies hat keine Auswirkungen auf die Richtlinie selbst oder eine andere Entität, zu der die Richtlinie angefügt ist.

    • Wenn die Richtlinie eine eingebettete Inlinerichtlinie ist, dann wird durch die Auswahl von X die Richtlinie aus IAM entfernt. Inlinerichtlinien, die direkt einem Benutzer angefügt werden, sind nur für diesen Benutzer vorhanden.

Entfernen der Berechtigungsgrenze von einem Benutzer (Konsole)

Das Entfernen einer Berechtigungsgrenze wirkt sich sofort auf den Benutzer.

Entfernen der Berechtigungsgrenze von einem Benutzer

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie entfernen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen. Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Remove boundary (Grenze entfernen).

  5. Wählen Sie Remove boundary (Grenze entfernen), um zu bestätigen, dass Sie die Berechtigungsgrenze entfernen möchten.

Berechtigungen (AWS CLI oder AWS API) eines Benutzers hinzufügen und entfernen

Um Berechtigungen programmgesteuert hinzuzufügen oder zu entfernen, müssen Sie die Gruppenmitgliedschaften hinzufügen oder entfernen, die verwaltete Richtlinien zuordnen bzw. diese Zuordnung aufheben oder die Inlinerichtlinien hinzufügen oder löschen. Weitere Informationen finden Sie unter den folgenden Themen: