Entfernen oder Deaktivieren eines IAM-Benutzers - AWS Identitäts- und Zugriffsverwaltung
Voraussetzung – Anzeigen des IAM-BenutzerzugriffsEntfernen eines IAM-Benutzers (Konsole)Löschen eines IAM-Benutzers (AWS CLI)Deaktivieren eines IAM-Benutzers

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Entfernen oder Deaktivieren eines IAM-Benutzers

Bewährte Methoden empfehlen, dass Sie ungenutzte IAM-Benutzer aus Ihrem AWS-Konto entfernen. Wenn Sie die Anmeldeinformationen des IAM-Benutzers für die zukünftige Verwendung behalten möchten, können Sie den Benutzerzugriff deaktivieren, anstatt diese aus dem Konto zu löschen. Weitere Informationen finden Sie unter Deaktivieren eines IAM-Benutzers.

Voraussetzung – Anzeigen des IAM-Benutzerzugriffs

Bevor Sie einen Benutzer entfernen, überprüfen Sie seine letzte Service-Level-Aktivität. Dadurch wird verhindert, dass einem Prinzipal (Person oder Anwendung), der den Zugriff verwendet, der Zugriff entzogen wird. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff.

Entfernen eines IAM-Benutzers (Konsole)

Wenn Sie den verwenden AWS Management Console , um einen IAM-Benutzer zu entfernen, löscht IAM automatisch die folgenden zugehörigen Informationen:

  • Die IAM-Benutzerkennung

  • Alle Gruppenmitgliedschaften, d. h. der IAM-Benutzer wird aus allen Gruppen entfernt, in denen der IAM-Benutzer Mitglied war

  • Jedes mit dem IAM-Benutzer verknüpfte Passwort

  • Alle Zugriffsschlüssel des IAM-Benutzers

  • Alle im IAM-Benutzer eingebundenen Inline-Richtlinien (Richtlinien, die mithilfe von Berechtigungen für Gruppen von Benutzern auf den IAM-Benutzer angewendet wurden, sind nicht betroffen)

    Anmerkung

    Wenn Sie den Benutzer löschen, entfernt IAM alle verwalteten Richtlinien, die dem IAM-Benutzer zugeordnet sind, löscht jedoch keine verwalteten Richtlinien.

  • Alle zugehörigen MFA-Geräte

So entfernen Sie einen IAM-Benutzer (Konsole)

IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich die Option Benutzer aus und aktivieren Sie dann das Kontrollkästchen neben dem IAM-Benutzernamen, den Sie löschen möchten.

  4. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

  5. Geben Sie im Bestätigungsdialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Löschen.

Die Konsole zeigt eine Statusbenachrichtigung an, dass der IAM-Benutzer gelöscht wurde.

Löschen eines IAM-Benutzers (AWS CLI)

Im AWS Management Console Gegensatz zu müssen Sie beim Löschen eines IAM-Benutzers mit dem die dem AWS CLI IAM-Benutzer zugewiesenen Elemente manuell löschen. Dieser Vorgang veranschaulicht den Prozess.

Um einen IAM-Benutzer aus Ihrem () zu löschen AWS-KontoAWS CLI

  1. Löschen Sie das Passwort des Benutzers, sofern vorhanden.

    aws iam delete-login-profile

  2. Löschen Sie die Zugriffsschlüssel des Benutzers, wenn der Benutzer über solche verfügt.

    aws iam list-access-keys (zum Auflisten der Zugriffsschlüssel des Benutzers) und aws iam delete-access-key

  3. Löschen Sie das Signaturzertifikat des Benutzers. Beachten Sie, dass einmal gelöschte Sicherheitsanmeldeinformationen nicht wiederhergestellt werden können. Dieser Vorgang ist endgültig.

    aws iam list-signing-certificates (zum Auflisten der Signaturzertifikate des Benutzers) und aws iam delete-signing-certificate

  4. Löschen Sie den öffentlichen SSH-Schlüssel des Benutzers, wenn der Benutzer über diesen verfügt.

    aws iam list-ssh-public-keys (zum Auflisten der öffentlichen SSH-Schlüssel des Benutzers) und aws iam delete-ssh-public-key

  5. Löschen Sie die Git-Anmeldeinformationen des Benutzers.

    aws iam list-service-specific-credentials (zum Auflisten der Git-Anmeldeinformationen des Benutzers) und aws iam delete-service-specific-credential

  6. Deaktivieren Sie die Multi-Factor Authentication (MFA), wenn für den Benutzer eine solche verwendet wird.

    aws iam list-mfa-devices (zum Auflisten der MFA-Geräte des Benutzers aws iam deactivate-mfa-device (zum Deaktivieren des Geräts) und aws iam delete-virtual-mfa-device (zum dauerhaften Löschen eines virtuellen MFA-Geräts)

  7. Löschen Sie die eingebundenen Richtlinien des Benutzers.

    aws iam list-user-policies (zum Auflisten der eingebundenen Richtlinien des Benutzers) und aws iam delete-user-policy (zum Löschen der Richtlinie)

  8. Heben Sie die Verknüpfung aller verwalteten Richtlinien mit dem Benutzer auf.

    aws iam list-attached-user-policies (zum Auflisten der verwalteten Richtlinien, die dem Benutzer zugeordnet sind) und aws iam detach-user-policy (zum Aufheben der Verknüpfung der Richtlinien)

  9. Entfernen Sie den Benutzer aus allen IAM-Gruppen.

    aws iam list-groups-for-user (zum Auflisten der IAM-Gruppen, denen der Benutzer angehört) und aws iam remove-user-from-group

  10. Löschen Sie den Benutzer.

    aws iam delete-user

Deaktivieren eines IAM-Benutzers

Möglicherweise müssen Sie IAM-Benutzer deaktivieren, während sie sich vorübergehend nicht in Ihrem Unternehmen befinden. Sie können ihre IAM-Benutzeranmeldeinformationen beibehalten und trotzdem ihre AWS -Zugriffe sperren.

Um einen Benutzer zu deaktivieren, erstellen Sie eine Richtlinie und fügen Sie sie hinzu, um dem Benutzer den Zugriff auf AWS zu verweigern. Sie können den Zugriff des Benutzers später wiederherstellen.

Im Folgenden finden Sie zwei Beispiele für Verweigerungsrichtlinien, die Sie einem Benutzer zuordnen können, um ihm den Zugriff zu verweigern.

Die folgende Richtlinie beinhaltet keine zeitliche Begrenzung. Sie müssen die Richtlinie entfernen, um den Zugriff des Benutzers wiederherzustellen.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

Die folgende Richtlinie beinhaltet eine Bedingung, die die Richtlinie am 24. Dezember 2024 um 23:59 Uhr (UTC) startet und am 28. Februar 2025 um 23:59 Uhr (UTC) beendet.

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}