Berechtigungen für einen IAM Benutzer ändern - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für einen IAM Benutzer ändern

Sie können die Berechtigungen für einen IAM Benutzer in Ihrer Gruppe ändern, AWS-Konto indem Sie dessen Gruppenmitgliedschaften ändern, die Berechtigungen eines vorhandenen Benutzers kopieren, Richtlinien direkt an einen Benutzer anhängen oder indem Sie eine Berechtigungsgrenze festlegen. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein Benutzer haben kann. Bei Berechtigungsgrenzen handelt es sich um eine erweiterte Funktion AWS .

Weitere Informationen über die erforderlichen Berechtigungen, um die Berechtigungen eines Benutzers zu bearbeiten, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Anzeigen des Benutzerzugriffs

Bevor Sie die Berechtigungen für einen Benutzer ändern, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen.

Generieren einer Richtlinie basierend auf der Zugriffsaktivität eines Benutzers

Manchmal können Sie einer IAM Entität (Benutzer oder Rolle) Berechtigungen gewähren, die über das hinausgehen, was sie benötigt. Um Ihnen zu helfen, die von Ihnen gewährten Berechtigungen zu verfeinern, können Sie eine IAM Richtlinie erstellen, die auf der Zugriffsaktivität für eine Entität basiert. IAMAccess Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Entität in dem von Ihnen angegebenen Zeitraum verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit detaillierten Berechtigungen zu erstellen und sie dann an die IAM Entität anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die der Benutzer oder die Rolle benötigt, um mit AWS Ressourcen für Ihren speziellen Anwendungsfall zu interagieren. Weitere Informationen finden Sie unter Generierung von IAM Access Analyzer-Richtlinien.

Hinzufügen von Berechtigungen für einem Benutzer (Konsole)

IAMbietet drei Möglichkeiten, einem Benutzer Berechtigungsrichtlinien hinzuzufügen:

  • Hinzufügen von Benutzern zu Gruppen – Machen Sie den Benutzer zu einem Mitglied einer Gruppe. Die Richtlinien der Gruppe werden dem Benutzer zugeordnet.

  • Kopieren von Berechtigungen von vorhandenen Benutzern – Kopieren Sie alle Gruppenmitgliedschaften, angefügte verwaltete Richtlinien, eingebundene Richtlinien sowie vorhandene Berechtigungsgrenzen des Quellbenutzers.

  • Anfügen von Richtlinien direkt zu Benutzern – Fügen Sie eine verwaltete Richtlinie direkt an den Benutzer an. Um die Verwaltung von Berechtigungen zu vereinfachen, fügen Sie Ihre Richtlinien einer Gruppe hinzu und machen Sie die IAM Benutzer dann zu Mitgliedern der entsprechenden Gruppen.

Wichtig

Wenn der Benutzer eine Berechtigungsgrenze hat, können Sie einem Benutzer nicht mehr Berechtigungen hinzufügen, als laut der Berechtigungsgrenze erlaubt sind.

Hinzufügen von Berechtigungen durch Hinzufügen des Benutzers zu einer Gruppe

Das Hinzufügen eines Benutzers zu einer Gruppe wirkt sich sofort auf den Benutzer.

So erteilen Sie einem Benutzer Berechtigungen, indem sie ihn zu einer Gruppe hinzufügen
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Überprüfen Sie die aktuellen Gruppenmitgliedschaften für IAM Benutzer in der Spalte Gruppen der Konsole. Fügen Sie die Spalte bei Bedarf der IAM Benutzertabelle hinzu, indem Sie die folgenden Schritte ausführen:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( Settings icon ).

    2. Klicken Sie im Dialogfeld auf Manage Columns (Spalten verwalten) und wählen Sie die Spalte Groups (Gruppen). Optional können Sie auch das Kontrollkästchen für alle Spaltenüberschriften deaktivieren, die nicht in der IAM Benutzertabelle angezeigt werden sollen.

    3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren.

    In der Spalte Groups (Gruppen) wird angegeben, zu welchen Gruppen der Benutzer gehört. Die Spalte enthält die Gruppennamen für bis zu zwei Gruppen. Wenn der Benutzer ein Mitglied von drei oder mehreren Gruppen ist, werden die ersten beiden Gruppen (alphabetisch geordnet) sowie die Anzahl der weiteren Gruppenmitgliedschaften angezeigt. Beispiel: Wenn der Benutzer zur Gruppe A, Gruppe B, Gruppe C und Gruppe D gehört, enthält das Feld den Wert Group A, Group B + 2 more. Um die Gesamtzahl der Gruppen zu sehen, zu denen der Benutzer gehört, können Sie der Benutzertabelle die IAM Spalte Gruppenanzahl hinzufügen.

  4. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungen Sie ändern möchten.

  5. Wählen Sie die Registerkarte Permissions (Berechtigungen) und anschließend die Option Add Permissions (Berechtigung hinzufügen). Wählen Sie Add user to group.

  6. Aktivieren Sie das Kontrollkästchen für jede Gruppe, die der Benutzer angehören soll. Die Liste enthält die Gruppennamen und Richtlinien, die dem Benutzer zugewiesen werden, wenn er Mitglied der Gruppe wird.

  7. (Optional) Zusätzlich zu den vorhandenen Gruppen können Sie Create group (Gruppe erstellen) auswählen, um eine neue Gruppe zu definieren:

    1. Geben Sie auf der neuen Registerkarte für User group Name (Benutzergruppenname) den Namen für Ihre neue Gruppe ein.

      Anmerkung

      Die Anzahl und Größe der IAM Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente. Gruppennamen können eine Kombination aus bis zu 128 Buchstaben, Ziffern und die folgenden Zeichen enthalten: (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. Sie können beispielsweise nicht zwei Gruppen mit dem Namen TESTGROUPund der Testgruppe erstellen.

    2. Markieren Sie ein oder mehrere Kontrollkästchen für die verwalteten Richtlinien, die Sie der Gruppe zuordnen möchten. Sie können auch anhand von Create policy (Richtlinie erstellen) eine neue verwaltete Richtlinie erstellen. Wenn Sie auf diese Weise vorgehen möchten, kehren Sie zu dieser Browser-Registerkarte oder zu diesem Fenster zurück. Wenn die neue Richtlinie erstellt wurde, wählen Sie erst Refresh (Aktualisieren) und dann die neue Richtlinie aus, die Sie Ihrer Gruppe anfügen möchten. Weitere Informationen finden Sie unter Definieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien.

    3. Wählen Sie Create user group (Benutzergruppe erstellen).

    4. Kehren Sie zur ursprünglichen Registerkarte zurück und aktualisieren Sie die Liste der Gruppen. Dann aktivieren Sie das Kontrollkästchen für die neue Gruppe.

  8. Wählen Sie Next (Weiter) aus, um eine Liste der Gruppenmitgliedschaften anzuzeigen, die zu dem neuen Benutzer hinzugefügt werden soll. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Hinzufügen von Berechtigungen durch Kopieren von einem anderen Benutzer

Das Kopieren der Berechtigungen wirkt sich sofort auf den Benutzer.

So fügen Sie Berechtigungen für einen Benutzer durch das Kopieren von Berechtigungen von einem anderen Benutzer hinzu
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie erst den Navigationsbereich Users (Benutzer) und dann den Namen des Benutzers aus, dessen Berechtigungen Sie ändern möchten, und klicken Sie dann auf die Registerkarte Permissions (Berechtigungen).

  3. Wählen Sie Add permissions (Berechtigungen hinzufügen) und dann Copy permissions from existing user (Berechtigungen von vorhandenen Benutzern kopieren). In der Liste werden die verfügbaren IAM Benutzer zusammen mit ihren Gruppenmitgliedschaften und den zugehörigen Richtlinien angezeigt. Wenn die vollständige Liste der Gruppen oder Richtlinien nicht in eine Zeile passt, können Sie den Link für und wählen n mehr. Auf diese Weise öffnet sich eine neue Registerkarte und es wird die vollständige Liste der Richtlinien (Registerkarte Permissions) und Gruppen (Registerkarte Groups) angezeigt.

  4. Aktivieren Sie das Ankreuzfeld neben dem Benutzer, dessen Berechtigungen Sie kopieren möchten.

  5. Wählen Sie Next (Weiter) aus, um eine Liste der Änderungen für den Benutzer anzuzeigen. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Hinzufügen von Berechtigungen durch direktes Anfügen von Richtlinien zum Benutzer

Das Hinzufügen von Richtlinien wirkt sich sofort auf den Benutzer.

So fügen Sie Berechtigungen durch direktes Anfügen von Richtlinien dem Benutzer hinzu
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie erst den Navigationsbereich Users (Benutzer) und dann den Namen des Benutzers aus, dessen Berechtigungen Sie ändern möchten, und klicken Sie dann auf die Registerkarte Permissions (Berechtigungen).

  3. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus und wählen Sie dann Attach policies directly (Richtlinien direkt anhängen) aus.

  4. Markieren Sie ein oder mehrere Kontrollkästchen für die verwalteten Richtlinien, die Sie dem Benutzer zuordnen möchten. Sie können auch anhand von Create policy (Richtlinie erstellen) eine neue verwaltete Richtlinie erstellen. Wenn Sie das tun, kehren Sie zu dieser Browser-Registerkarte oder zu diesem Fenster zurück, wenn die neue Richtlinie erstellt worden ist. Klicken Sie erst auf Refresh (Aktualisieren) und dann auf das Kontrollkästchen der neuen Richtlinie, um sie ihrem Benutzer anzufügen. Weitere Informationen finden Sie unter Definieren Sie benutzerdefinierte IAM Berechtigungen mit vom Kunden verwalteten Richtlinien.

  5. Wählen Sie Next (Weiter) aus, um eine Liste der Richtlinien anzuzeigen, die dem Benutzer anzufügen sind. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Die Berechtigungsgrenze für einen Benutzer festlegen

Das Festlegen einer Berechtigungsgrenze wirkt sich sofort auf den Benutzer.

Die Berechtigungsgrenze für einen Benutzer festlegen
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie ändern möchten.

  4. Wählen Sie die Registerkarte Permissions (Berechtigungen). Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Sie Set permissions boundary (Berechtigungsgrenze festlegen).

  5. Wählen Sie die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

  6. Wählen Sie Set boundary (Grenze festlegen).

Ändern von Berechtigungen für einen Benutzer (Konsole)

IAMermöglicht es Ihnen, die einem Benutzer zugewiesenen Berechtigungen auf folgende Weise zu ändern:

  • Bearbeiten einer Berechtigungsrichtlinie – Bearbeiten einer Inline-Richtlinie des Benutzers, der eingebundenen Richtlinie der Gruppe des Benutzers, oder bearbeiten einer verwalteten Richtlinie, die dem Benutzer direkt oder aus einer Gruppe angefügt wird. Wenn der Benutzer eine Berechtigungsgrenze hat, können Sie nicht mehr Berechtigungen bereitstellen, als von der Richtlinie, die als Berechtigungsgrenze des Benutzers verwendet wurde, erlaubt ist.

  • Ändern der Berechtigungsgrenze – Ändern Sie die Richtlinie, die als Berechtigungsgrenze für den Benutzer verwendet wird. Dadurch können die maximalen Berechtigungen, die ein Benutzer haben kann, erweitert oder eingeschränkt werden.

Bearbeiten einer Berechtigungsrichtlinie, die einem Benutzer hinzugefügt wurde

Eine Änderung der Berechtigungen wirkt sich sofort auf den Benutzer aus.

Die einem Benutzer hinzugefügten verwalteten Richtlinien bearbeiten
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsrichtlinie Sie ändern möchten.

  4. Wählen Sie die Registerkarte Berechtigungen. Falls erforderlich, öffnen Sie den Abschnitt Permissions policies (Berechtigungsrichtlinien) .

  5. Wählen Sie den Namen der Richtlinie, die Sie bearbeiten möchten, um Details zur Richtlinie anzuzeigen. Wählen Sie die Registerkarte Policy usage (Richtliniennutzung), um andere Entitäten anzuzeigen, die möglicherweise beeinträchtigt werden, wenn Sie die Richtlinie bearbeiten.

  6. Wählen Sie die Registerkarte Permissions (Berechtigungen) und überprüfen Sie die Berechtigungen, die durch die Richtlinie erteilt werden. Wählen Sie dann Edit policy (Richtlinie bearbeiten).

  7. Bearbeiten Sie die Richtlinie und lösen Sie alle Empfehlungen zur policy validation (Richtlinienvalidierung). Weitere Informationen finden Sie unter IAMRichtlinien bearbeiten.

  8. Wählen Sie Review policy (Richtlinie überprüfen), überprüfen Sie die Richtlinienübersicht, und wählen Sie dann Save changes (Änderungen speichern).

Ändern der Berechtigungsgrenze für einen Benutzer

Das Ändern einer Berechtigungsgrenze wirkt sich sofort auf den Benutzer.

Ändern der Richtlinie zum Festlegen der Berechtigungsgrenze für einen Benutzer
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie ändern möchten.

  4. Wählen Sie die Registerkarte Permissions (Berechtigungen). Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Change boundary (Grenze ändern).

  5. Wählen Sie die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

  6. Wählen Sie Set boundary (Grenze festlegen).

Entfernen einer Berechtigungsrichtlinie von einem Benutzer (Konsole)

Das Entfernen einer Richtlinie wirkt sich sofort auf den Benutzer.

Um Berechtigungen für IAM Benutzer zu entfernen
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie entfernen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wenn Sie Berechtigungen durch Entfernen einer vorhandenen Richtlinie entfernen möchten, sehen Sie sich den Type (Typ) an, um zu verstehen, wie dem Benutzer die Richtlinie zugewiesen wird, bevor Sie Remove (Entfernen) zum Entfernen der Richtlinie auswählen:

    • Erfolgt die Anwendung der Richtlinie wegen einer Gruppenmitgliedschaft, wird mit Remove (Entfernen) der Benutzer aus der Gruppe entfernt. Denken Sie daran, dass einer Gruppe möglicherweise mehrere Richtlinien angefügt wurden. Wenn Sie einen Benutzer aus einer Gruppe entfernen, verliert er den Zugriff auf alle Richtlinien, die ihm über die Gruppenmitgliedschaft zugewiesen wurden.

    • Wenn die Richtlinie eine direkt zum Benutzer angefügte verwaltete Richtlinie ist, wird durch die Auswahl von Remove (Entfernen) die Richtlinie vom Benutzer getrennt. Dies hat keine Auswirkungen auf die Richtlinie selbst oder eine andere Entität, zu der die Richtlinie angefügt ist.

    • Wenn es sich bei der Richtlinie um eine eingebettete Inline-Richtlinie handelt, wird die Richtlinie durch Auswahl von X entferntIAM. Inlinerichtlinien, die direkt einem Benutzer angefügt werden, sind nur für diesen Benutzer vorhanden.

Entfernen der Berechtigungsgrenze von einem Benutzer (Konsole)

Das Entfernen einer Berechtigungsgrenze wirkt sich sofort auf den Benutzer.

Entfernen der Berechtigungsgrenze von einem Benutzer
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Berechtigungsgrenze Sie entfernen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen. Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Remove boundary (Grenze entfernen).

  5. Wählen Sie Remove boundary (Grenze entfernen), um zu bestätigen, dass Sie die Berechtigungsgrenze entfernen möchten.

Berechtigungen eines Benutzers hinzufügen und entfernen (AWS CLI oder AWS API)

Um Berechtigungen programmgesteuert hinzuzufügen oder zu entfernen, müssen Sie die Gruppenmitgliedschaften hinzufügen oder entfernen, die verwaltete Richtlinien zuordnen bzw. diese Zuordnung aufheben oder die Inlinerichtlinien hinzufügen oder löschen. Weitere Informationen finden Sie unter den folgenden Themen: