Verwalten von IAM-Benutzern - AWS Identitäts- und Zugriffsverwaltung
Anzeigen des BenutzerzugriffsAuflisten von IAM-BenutzernUmbenennen eines IAM-BenutzersLöschen eines IAM-BenutzersDeaktivieren eines IAM-Benutzers

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten von IAM-Benutzern

Anmerkung

Als bewährte Methode empfehlen wir, dass menschliche Benutzer für den Zugriff mit temporären Anmeldeinformationen einen Verbund mit einem Identitätsanbieter AWS verwenden müssen. Wenn Sie die bewährten Methoden befolgen, verwalten Sie keine IAM-Benutzer und -Gruppen. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS Ressourcen verwaltet AWS und können als föderierte Identität darauf zugreifen. Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, einem Web-Identitätsanbieter, dem AWS Directory Service, dem Identity Center-Verzeichnis oder einem beliebigen Benutzer, der mithilfe von Anmeldeinformationen, die über eine Identitätsquelle bereitgestellt wurden, auf AWS Dienste zugreift. Verbundidentitäten verwenden die von ihrem Identitätsanbieter definierten Gruppen. Wenn Sie dies verwenden AWS IAM Identity Center, finden Sie unter Identitäten in IAM Identity Center verwalten im AWS IAM Identity Center Benutzerhandbuch Informationen zum Erstellen von Benutzern und Gruppen in IAM Identity Center.

Amazon Web Services bietet mehrere Tools zum Verwalten von IAM-Benutzern in Ihrem AWS-Konto. Sie können die IAM-Benutzer in Ihrem Konto oder in einer Gruppe auflisten, oder alle Gruppen, in denen ein Benutzer Mitglied ist. Sie können den Pfad eines IAM-Benutzers umbenennen oder ändern. Wenn Sie dazu übergehen, Verbundidentitäten anstelle von IAM-Benutzern zu verwenden, können Sie einen IAM-Benutzer aus Ihrem AWS -Konto löschen oder den Benutzer deaktivieren.

Weitere Informationen zum Hinzufügen, Ändern oder Entfernen von verwalteten Richtlinien für einen IAM-Benutzer finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer. Weitere Informationen zum Verwalten von Inline-Richtlinien für IAM-Benutzer finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen, Bearbeiten von IAM-Richtlinien und Löschen von IAM-Richtlinien. Es hat sich bewährt, verwaltete Richtlinien anstelle von eingebundenen Richtlinien zu verwenden. Die AWS -verwalteten Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit. Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle Kunden verfügbar sind. AWS Daher empfehlen wir Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die spezifisch auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgabenbereiche konzipiert sind, finden Sie unter. AWS verwaltete Richtlinien für Jobfunktionen

Weitere Informationen zum Validieren von IAM-Richtlinien finden Sie unter Validieren von IAM-Richtlinien.

Tipp

IAM Access Analyzer kann die Services und Aktionen analysieren, die Ihre IAM-Rollen verwenden, und generiert dann eine fein abgestimmte Richtlinie, die Sie verwenden können. Nachdem Sie jede generierte Richtlinie getestet haben, können Sie die Richtlinie in Ihrer Produktionsumgebung bereitstellen. Dadurch wird sichergestellt, dass Sie nur die erforderlichen Berechtigungen für Ihre Workloads gewähren. Weitere Informationen zur Richtlinienerstellung finden Sie unter IAM Access Analyzer Richtlinienerstellung.

Weitere Informationen zum Verwalten von IAM-Benutzerpasswörtern finden Sie unter Verwalten von Passwörtern für IAM-Benutzer,

Anzeigen des Benutzerzugriffs

Bevor Sie einen Benutzer löschen, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Auflisten von IAM-Benutzern

Sie können die IAM-Benutzer in Ihrer AWS-Konto oder in einer bestimmten IAM-Benutzergruppe sowie alle Benutzergruppen auflisten, denen ein Benutzer angehört. Weitere Informationen zu den Berechtigungen, die Sie zum Auflisten von Benutzern benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

So listen Sie alle Benutzer im Konto auf

So listen Sie die Benutzer in einer bestimmten Gruppe auf

So listen Sie alle Gruppen auf, denen ein Benutzer angehört

Umbenennen eines IAM-Benutzers

Um den Namen oder Pfad eines Benutzers zu ändern, müssen Sie die AWS CLI Tools für Windows PowerShell oder die AWS API verwenden. In der Konsole gibt es keine Möglichkeit zum Umbenennen eines Benutzers. Weitere Informationen zu den Berechtigungen, die Sie zum Umbenennen eines Benutzers benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Wenn Sie den Namen oder den Pfad eines Benutzers ändern, geschieht Folgendes:

  • Alle Richtlinien, die dem Benutzer zugewiesen sind, verbleiben bei ihm unter dem neuen Namen.

  • Der Benutzer verbleibt unter dem neuen Namen in den gleichen Gruppen.

  • Die eindeutige ID des Benutzers bleibt unverändert. Weitere Informationen zu eindeutigen IDs finden Sie unter Eindeutige Bezeichner.

  • Die Ressourcen- oder Rollenrichtlinien, die auf den Benutzer als Auftraggeber verweisen (dem Benutzer wird Zugriff gewährt), werden automatisch mit dem neuen Namen oder Pfad aktualisiert. Beispiel: Die warteschlangenbasierten Richtlinien in Amazon SQS oder die ressourcenbasierten Richtlinien in Amazon S3 werden automatisch mit dem neuen Namen und Pfad aktualisiert.

In IAM werden die Richtlinien, die auf den Benutzer als Ressource verweisen, nicht automatisch mit dem neuen Namen oder Pfad aktualisiert. Dies müssen Sie manuell vornehmen. Beispiel: Dem Benutzer Richard ist eine Richtlinie zugewiesen, mit der er seine Sicherheitsanmeldeinformationen verwalten kann. Wenn ein Administrator Richard in Rich umbenennt, muss er auch die Richtlinie aktualisieren, um die Ressource von dieser Zeichenfolge:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

in diese zu ändern:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Dies gilt auch, wenn ein Administrator den Pfad ändert. Der Administrator muss die Richtlinie aktualisieren, damit der neue Pfad für den Benutzer wiedergegeben wird.

So benennen Sie einen Benutzer um

Löschen eines IAM-Benutzers

Sie können einen IAM-Benutzer aus Ihrem löschen, AWS-Konto wenn dieser Benutzer Ihr Unternehmen verlässt. Wenn der Benutzer vorübergehend nicht da ist, können Sie den Zugriff des Benutzers deaktivieren, anstatt ihn wie in Deaktivieren eines IAM-Benutzers beschrieben aus dem Konto zu löschen.

Löschen eines IAM-Benutzers (Konsole)

Wenn Sie den verwenden AWS Management Console , um einen IAM-Benutzer zu löschen, löscht IAM automatisch die folgenden Informationen für Sie:

  • Der Benutzer

  • Sämtliche Gruppenmitgliedschaften, d. h. der Benutzer wird aus allen IAM-Gruppen entfernt, denen er angehörte

  • Alle Passwörter des Benutzers

  • Alle Zugriffsschlüssel des Benutzers

  • Alle eingebundenen Richtlinien, die mit dem Benutzer integriert sind (Richtlinien, die einem Benutzer über Gruppenberechtigungen zugewiesen wurden, sind hiervon nicht betroffen)

    Anmerkung

    IAM entfernt alle verwalteten Richtlinien, die dem Benutzer zugeordnet sind, wenn Sie den Benutzer löschen, löscht jedoch keine verwalteten Richtlinien.

  • Alle zugehörigen MFA-Geräte

So löschen Sie einen IAM-Benutzer (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Users (Benutzer) aus und aktivieren Sie dann das Kontrollkästchen neben dem Benutzernamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.

  3. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

  4. Geben Sie im Bestätigungsdialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Löschen.

Löschen eines IAM-Benutzers (AWS CLI)

Im AWS Management Console Gegensatz zu müssen Sie beim Löschen eines Benutzers mit dem AWS CLI die dem Benutzer zugewiesenen Elemente manuell löschen. Dieser Vorgang veranschaulicht den Prozess.

So löschen Sie einen Benutzer aus dem Konto (AWS CLI)

  1. Löschen Sie das Passwort des Benutzers, sofern vorhanden.

    aws iam delete-login-profile

  2. Löschen Sie die Zugriffsschlüssel des Benutzers, wenn der Benutzer über solche verfügt.

    aws iam list-access-keys (zum Auflisten der Zugriffsschlüssel des Benutzers) und aws iam delete-access-key

  3. Löschen Sie das Signaturzertifikat des Benutzers. Beachten Sie, dass einmal gelöschte Sicherheitsanmeldeinformationen nicht wiederhergestellt werden können. Dieser Vorgang ist endgültig.

    aws iam list-signing-certificates (zum Auflisten der Signaturzertifikate des Benutzers) und aws iam delete-signing-certificate

  4. Löschen Sie den öffentlichen SSH-Schlüssel des Benutzers, wenn der Benutzer über diesen verfügt.

    aws iam list-ssh-public-keys (zum Auflisten der öffentlichen SSH-Schlüssel des Benutzers) und aws iam delete-ssh-public-key

  5. Löschen Sie die Git-Anmeldeinformationen des Benutzers.

    aws iam list-service-specific-credentials (zum Auflisten der Git-Anmeldeinformationen des Benutzers) und aws iam delete-service-specific-credential

  6. Deaktivieren Sie die Multi-Factor Authentication (MFA), wenn für den Benutzer eine solche verwendet wird.

    aws iam list-mfa-devices (zum Auflisten der MFA-Geräte des Benutzers aws iam deactivate-mfa-device (zum Deaktivieren des Geräts) und aws iam delete-virtual-mfa-device (zum dauerhaften Löschen eines virtuellen MFA-Geräts)

  7. Löschen Sie die eingebundenen Richtlinien des Benutzers.

    aws iam list-user-policies (zum Auflisten der eingebundenen Richtlinien des Benutzers) und aws iam delete-user-policy (zum Löschen der Richtlinie)

  8. Heben Sie die Verknüpfung aller verwalteten Richtlinien mit dem Benutzer auf.

    aws iam list-attached-user-policies (zum Auflisten der verwalteten Richtlinien, die dem Benutzer zugeordnet sind) und aws iam detach-user-policy (zum Aufheben der Verknüpfung der Richtlinien)

  9. Entfernen Sie den Benutzer aus allen Gruppen.

    aws iam list-groups-for-user (zum Auflisten der Gruppen, denen der Benutzer angehört) und aws iam remove-user-from-group

  10. Löschen Sie den Benutzer.

    aws iam delete-user

Deaktivieren eines IAM-Benutzers

Möglicherweise müssen Sie IAM-Benutzer deaktivieren, während sie sich vorübergehend nicht in Ihrem Unternehmen befinden. Sie können ihre IAM-Benutzeranmeldedaten unverändert lassen und ihren AWS Zugriff trotzdem blockieren.

Um einen Benutzer zu deaktivieren, erstellen Sie eine Richtlinie und fügen Sie sie hinzu, um dem Benutzer den Zugriff auf AWS zu verweigern. Sie können den Zugriff des Benutzers später wiederherstellen.

Im Folgenden finden Sie zwei Beispiele für Verweigerungsrichtlinien, die Sie einem Benutzer zuordnen können, um ihm den Zugriff zu verweigern.

Die folgende Richtlinie beinhaltet keine zeitliche Begrenzung. Sie müssen die Richtlinie entfernen, um den Zugriff des Benutzers wiederherzustellen.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

Die folgende Richtlinie beinhaltet eine Bedingung, die die Richtlinie am 24. Dezember 2024 um 23:59 Uhr (UTC) startet und am 28. Februar 2025 um 23:59 Uhr (UTC) beendet.

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}