Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Was ist IAM?
<a name="introduction"></a>

AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf Ressourcen sicher kontrollieren können. AWS Mit IAM können Sie Berechtigungen verwalten, mit denen gesteuert wird, auf welche AWS Ressourcen Benutzer zugreifen können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. IAM stellt die notwendige Infrastruktur zur Verfügung, um die Authentifizierung und Autorisierung für Ihr AWS-Konten zu steuern.

**Identitäten**

 Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

Verwenden Sie IAM, um zusätzlich zu Ihrem Root-Benutzer weitere Identitäten einzurichten, z. B. Administratoren, Analysten und Entwickler, und gewähren Sie ihnen Zugriff auf die Ressourcen, die sie für die erfolgreiche Ausführung ihrer Aufgaben benötigen. 

**Zugriffsverwaltung**

Nachdem ein Benutzer in IAM eingerichtet wurde, verwendet er seine Anmeldeinformationen, um sich bei AWS zu authentifizieren. Die Authentifizierung erfolgt, indem die Anmeldeinformationen einem Prinzipal (einem IAM-Benutzer, AWS STS Verbundprinzipal, IAM-Rolle oder Anwendung) zugeordnet werden, dem der vertraut. AWS-Konto Als Nächstes wird eine Anfrage gestellt, um dem Prinzipal Zugriff auf Ressourcen zu gewähren. Der Zugriff wird als Antwort auf eine Autorisierungsanfrage gewährt, wenn dem Benutzer die Berechtigung für die Ressource gewährt wurde. Wenn Sie sich beispielsweise zum ersten Mal bei der Konsole anmelden und sich auf der Startseite der Konsole befinden, greifen Sie nicht auf einen bestimmten Service zu. Wenn Sie einen Service auswählen, wird die Autorisierungsanfrage an diesen Service gesendet und es wird geprüft, ob Ihre Identität auf der Liste der autorisierten Benutzer steht, welche Richtlinien zur Kontrolle der gewährten Zugriffsebene durchgesetzt werden und welche anderen Richtlinien möglicherweise in Kraft sind. Autorisierungsanfragen können von Principals innerhalb Ihres Unternehmens AWS-Konto oder von einem anderen AWS-Konto , dem Sie vertrauen, gestellt werden.

Nach der Autorisierung kann der Prinzipal Maßnahmen ergreifen oder Operationen an Ressourcen in Ihrem AWS-Konto durchführen. Der Principal könnte beispielsweise eine neue Amazon Elastic Compute Cloud Instance starten, die IAM-Gruppenmitgliedschaft ändern oder Buckets löschen Amazon Simple Storage Service .

**Tipp**  
AWS Training and Certification bietet eine 10-minütige Videoeinführung in IAM:  
[Einführung in AWS Identity and Access Management](https://www.aws.training/learningobject/video?id=16448).

**Service-Verfügbarkeit**

IAM ist, wie viele andere AWS Dienste, [irgendwann](https://wikipedia.org/wiki/Eventual_consistency) konsistent. IAM erreicht eine hohe Verfügbarkeit, indem die Daten innerhalb der weltweit verteilten Amazon-Rechenzentren über mehrere Server repliziert werden. Wenn eine Anforderung zur Änderung von Daten erfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Allerdings muss die Änderung in IAM repliziert werden, was einige Zeit dauern kann. Solche Änderungen umfassen das Erstellen oder Aktualisieren von Benutzern, Gruppen, Rollen und Richtlinien. Wir empfehlen, dass Sie in den kritischen, hochverfügbaren Code-Pfaden Ihrer Anwendung keine solchen IAM-Änderungen vornehmen. Nehmen Sie IAM-Änderungen stattdessen in einer separaten Initialisierungs- oder Einrichtungsroutine vor, die seltener ausgeführt wird. Vergewissern Sie sich auch, dass die Änderungen weitergegeben wurden, bevor die Produktionsarbeitsabläufe davon abhängen. Weitere Informationen finden Sie unter [Änderungen, die ich vornehme, sind nicht immer direkt sichtbar](troubleshoot.md#troubleshoot_general_eventual-consistency).

**Informationen zu den Servicekosten**

AWS Identity and Access Management (IAM) AWS IAM Identity Center und AWS -Security-Token-Service (AWS STS) sind Funktionen Ihres AWS Kontos, die ohne zusätzliche Kosten angeboten werden. Es fallen nur Gebühren an, wenn Sie mit Ihren IAM-Benutzern oder AWS STS temporären Sicherheitsanmeldedaten auf andere AWS Dienste zugreifen. 

Die externe Zugriffsanalyse von IAM Access Analyzer wird ohne zusätzliche Kosten angeboten. Für ungenutzte Zugriffsanalysen und Kundenrichtlinienprüfungen fallen jedoch Gebühren an. Eine vollständige Liste der Kosten und Preise für IAM Access Analyzer finden Sie unter [Preise für IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).

Informationen zu den Preisen anderer AWS Produkte finden Sie auf der [Preisseite von Amazon Web Services](https://aws.amazon.com/pricing/).

**Integration mit anderen AWS Diensten**

IAM ist in viele AWS Dienste integriert. Eine Liste der AWS Dienste, die mit IAM und den IAM-Funktionen funktionieren, die von den Diensten unterstützt werden, finden Sie unter. [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md) 

# Weshalb sollte ich IAM verwenden?
<a name="intro-iam-features"></a>

AWS Identity and Access Management ist ein leistungsstarkes Tool zur sicheren Verwaltung des Zugriffs auf Ihre AWS Ressourcen. Einer der Hauptvorteile der Verwendung von IAM ist die Möglichkeit, gemeinsamen Zugriff auf Ihr AWS Konto zu gewähren. Darüber hinaus können Sie mit IAM differenzierte Berechtigungen zuweisen, sodass Sie genau steuern können, welche Aktionen verschiedene Benutzer für bestimmte Ressourcen ausführen können. Diese Ebene der Zugriffskontrolle ist entscheidend für die Aufrechterhaltung der Sicherheit Ihrer AWS Umgebung. IAM bietet auch mehrere andere Sicherheits-Features. Sie können die Multi-Faktor-Authentifizierung (MFA) für eine zusätzliche Schutzebene hinzufügen und den Identitätsverbund nutzen, um Benutzer aus Ihrem Unternehmensnetzwerk oder von anderen Identitätsanbietern nahtlos zu integrieren. IAM lässt sich auch integrieren und stellt detaillierte Protokollierungs- und Identitätsinformationen bereit AWS CloudTrail, um Prüf- und Compliance-Anforderungen zu erfüllen. Durch die Nutzung dieser Funktionen können Sie sicherstellen, dass der Zugriff auf Ihre kritischen AWS Ressourcen streng kontrolliert und sicher ist.

## Gemeinsamer Zugriff auf Ihre AWS-Konto
<a name="intro-shared-access"></a>

Sie können anderen Benutzern die Berechtigung zum Verwalten und Verwenden von Ressourcen in Ihrem AWS -Konto erteilen, ohne dass Sie Ihr Passwort oder Ihren Zugriffsschlüssel freigeben müssen. 

## Differenzierte Berechtigungen
<a name="intro-granular-permissions"></a>

Sie können verschiedenen Benutzern verschiedene Berechtigungen für verschiedene Ressourcen erteilen. Sie könnten beispielsweise einigen Benutzern vollständigen Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift und andere Dienste gewähren. AWS Anderen Benutzern können Sie Lesezugriff auf bestimmte Amazon-S3-Buckets, die Berechtigung zum Verwalten von einigen Amazon-EC2-Instances oder den Zugriff auf Ihre Fakturierungsdaten gewähren, aber nichts anderes.

## Sicherer Zugriff auf AWS Ressourcen für Anwendungen, die auf Amazon EC2 ausgeführt werden
<a name="intro-secure-access"></a>

Sie können IAM-Features verwenden, um Anmeldeinformationen für Anwendungen, die auf EC2-Instances ausgeführt werden, sicher bereitzustellen. Diese Anmeldeinformationen berechtigen Ihre Anwendung zum Zugriff auf andere AWS Ressourcen. Beispiele hierfür sind S3-Buckets und DynamoDB-Tabellen. 

## Multifaktor-Authentifizierung (MFA)
<a name="intro-mfa-iam"></a>

Sie können eine Zwei-Faktor-Authentifizierung zu Ihrem Konto und einzelnen Benutzern hinzufügen, um mehr Sicherheit zu erhalten. Mit MFA müssen Sie oder Ihre Benutzer nicht nur ein Passwort oder einen Zugriffsschlüssel angeben, um mit Ihrem Konto zu arbeiten, sondern auch einen Code eines speziell konfigurierten Geräts. Wenn Sie bereits einen FIDO-Sicherheitsschlüssel mit anderen Diensten verwenden und dieser über eine AWS unterstützte Konfiguration verfügt, können Sie ihn WebAuthn für die MFA-Sicherheit verwenden. Weitere Informationen finden Sie unter [Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln](id_credentials_mfa_fido_supported_configurations) 

## Identitätsverbund
<a name="intro-identity-federation-iam"></a>

Sie können Benutzern, die bereits über Passwörter an anderer Stelle verfügen, z. B. in Ihrem Unternehmensnetzwerk oder bei einem Internet-Identitätsanbieter, Zugriff auf Ihr AWS-Konto gewähren. Diesen Benutzern werden temporäre Anmeldeinformationen gewährt, die den Empfehlungen bewährter Methoden für IAM entsprechen. Die Verwendung des Identitätsverbunds erhöht die Sicherheit Ihres AWS -Kontos.

## Identitätsinformationen für Zusicherung
<a name="intro-identity-assurance"></a>

Wenn Sie [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) verwenden, erhalten Sie Protokolldatensätze mit Informationen zu den Benutzern, die Anforderungen nach Ressourcen in Ihrem Konto gestellt haben. Diese Informationen basieren auf IAM-Identitäten.

## Compliance mit PCI DSS
<a name="intro-pci-dss-compliance"></a>

IAM unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen zu PCI DSS, einschließlich der Möglichkeit, eine Kopie des AWS PCI Compliance Package anzufordern, finden Sie unter [PCI DSS Level 1.](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) 

# Wann verwende ich IAM?
<a name="when-to-use-iam"></a>

AWS Identity and Access Management ist ein zentraler Infrastrukturdienst, der die Grundlage für die Zugriffskontrolle auf der Grundlage der darin enthaltenen Identitäten bildet. AWS Sie verwenden IAM jedes Mal, wenn Sie auf Ihr AWS Konto zugreifen. Die Art und Weise, wie Sie IAM verwenden, hängt von den spezifischen Verantwortlichkeiten und Aufgabenbereichen in Ihrer Organisation ab. Benutzer von AWS Diensten verwenden IAM, um auf die für ihre day-to-day Arbeit erforderlichen AWS Ressourcen zuzugreifen, wobei Administratoren die entsprechenden Berechtigungen gewähren. IAM-Administratoren hingegen sind für die Verwaltung von IAM-Identitäten und das Erstellen von Richtlinien zur Kontrolle des Zugriffs auf Ressourcen verantwortlich. Unabhängig von Ihrer Rolle interagieren Sie mit IAM, wann immer Sie den Zugriff auf Ressourcen authentifizieren und autorisieren. AWS Dies könnte die Anmeldung als IAM-Benutzer, die Übernahme einer IAM-Rolle oder die Nutzung der Identitätsverbund für einen nahtlosen Zugriff umfassen. Das Verständnis der verschiedenen IAM-Funktionen und Anwendungsfälle ist entscheidend für die effektive Verwaltung des sicheren Zugriffs auf Ihre Umgebung. AWS Wenn es um die Erstellung von Richtlinien und Berechtigungen geht, bietet IAM einen flexiblen und differenzierten Ansatz. Sie können neben identitätsbasierten Richtlinien, die die Aktionen und Ressourcen angeben, auf die ein Benutzer oder eine Rolle zugreifen kann, auch Vertrauensrichtlinien definieren, um zu steuern, welche Prinzipale eine Rolle übernehmen können. Durch die Konfiguration dieser IAM-Richtlinien können Sie sicherstellen, dass Benutzer und Anwendungen über die entsprechende Berechtigungsstufe verfügen, um ihre erforderlichen Aufgaben auszuführen.

## Wenn Sie verschiedene berufliche Funktionen ausüben
<a name="security_iam_audience"></a>

AWS Identity and Access Management ist ein zentraler Infrastrukturdienst, der die Grundlage für die Zugriffskontrolle auf der Grundlage der internen Identitäten bietet. AWS Sie verwenden IAM jedes Mal, wenn Sie auf Ihr AWS -Konto zugreifen.

 Wie Sie IAM verwenden, unterscheidet sich je nach Ihrer Arbeit in AWS.
+ Dienstbenutzer — Wenn Sie einen AWS Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit erweiterte Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen.
+ Dienstadministrator — Wenn Sie in Ihrem Unternehmen für eine AWS Ressource verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf IAM. Es ist Ihre Aufgabe, zu bestimmen, auf welche IAM-Funktionen und Ressourcen Ihre Service-Benutzer zugreifen sollen. Anschließend müssen Sie Anforderungen an Ihren IAM-Administrator senden, um die Berechtigungen der Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. 
+ IAM-Administrator – Wenn Sie ein IAM-Administrator sind, verwalten Sie IAM-Identitäten und schreiben Richtlinien, um den Zugriff auf IAM zu verwalten. 

 

## Wann Sie berechtigt sind, auf Ressourcen zuzugreifen AWS
<a name="security_iam_authentication-intro"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

## Wenn Sie sich als IAM-Benutzer anmelden.
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

## Wenn Sie eine IAM-Rolle annehmen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Wenn Sie Richtlinien und Berechtigungen erstellen
<a name="getting-started_trust-policies"></a>

Sie können einem Benutzer Berechtigungen erteilen, indem Sie eine Richtlinie erstellen, d. h. ein Dokument, in dem die Aktionen aufgeführt sind, die ein Benutzer ausführen kann, sowie die Ressourcen, auf die sich diese Aktionen auswirken können. Alle Aktionen oder Ressourcen, die nicht explizit erlaubt sind, werden standardmäßig verweigert. Richtlinien können erstellt und an Prinzipale (Benutzer, Benutzergruppen, von Benutzern angenommene Rollen und Ressourcen) angehängt werden.

Sie können diese Richtlinien mit einer IAM-Rolle verwenden:
+ **Vertrauensrichtlinie** – Definiert, welcher [Prinzipal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) die Rolle unter welchen Bedingungen übernehmen kann. Eine Vertrauensrichtlinie ist eine spezifische ressourcenbasierte Richtlinie für IAM-Rollen. Eine Rolle kann nur eine Vertrauensrichtlinie haben.
+ **Identitätsbasierte Richtlinien (intern und verwaltet)** – Diese Richtlinien definieren die Berechtigungen, die der Benutzer der Rolle ausüben kann (oder denen die Ausführung verweigert wird) und für welche Ressourcen.

Verwenden Sie die [Beispiele für identitätsbasierte Richtlinien in IAM](access_policies_examples.md), um Berechtigungen für Ihre IAM-Identitäten zu definieren. Nachdem Sie die benötigte Richtlinie gefunden haben, wählen Sie „View the policy (Richtlinie anzeigen)“, um den JSON-Code der Richtlinie anzuzeigen. Sie können das JSON-Richtliniendokument als Vorlage für Ihre eigenen Richtlinien verwenden.

**Anmerkung**  
Wenn Sie das IAM Identity Center zur Verwaltung Ihrer Benutzer verwenden, weisen Sie Berechtigungssätze im IAM Identity Center zu, anstatt eine Berechtigungsrichtlinie an einen Prinzipal anzufügen. Wenn Sie einer Gruppe oder einen Berechtigungssatz zuweisen Benutzer im AWS IAM Identity Center, erstellt IAM Identity Center entsprechende IAM-Rollen in jedem Konto und fügt diesen Rollen die im Berechtigungssatz angegebenen Richtlinien zu. IAM Identity Center verwaltet die Rolle und ermöglicht es den autorisierten Benutzern, die Rolle anzunehmen. Wenn Sie den Berechtigungssatz ändern, stellt IAM Identity Center sicher, dass die entsprechenden IAM-Richtlinien und -Rollen entsprechend aktualisiert werden.  
Weitere Informationen zu IAM Identity Center finden Sie unter [ Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

# Wie verwalte ich IAM?
<a name="intro-managing-iam"></a>

Die Verwaltung AWS Identity and Access Management innerhalb einer AWS Umgebung erfordert die Nutzung einer Vielzahl von Tools und Schnittstellen. Die gängigste Methode ist die webbasierte Oberfläche AWS-Managementkonsole, mit der Sie eine Vielzahl von IAM-Verwaltungsaufgaben ausführen können, von der Erstellung von Benutzern und Rollen bis hin zur Konfiguration von Berechtigungen.

Für Benutzer, die sich mit Befehlszeilenschnittstellen besser auskennen, AWS stehen zwei Gruppen von Befehlszeilentools zur Verfügung: das AWS Command Line Interface und das AWS Tools for Windows PowerShell. Diese ermöglichen Ihnen die Ausgabe von IAM-bezogenen Befehlen direkt vom Terminal aus, was häufig effizienter ist als die Navigation durch die Konsole. Darüber hinaus AWS CloudShell können Sie CLI- oder SDK-Befehle direkt von Ihrem Webbrowser aus ausführen und dabei die mit Ihrer Konsolenanmeldung verknüpften Berechtigungen verwenden.

Neben der Konsole und der Befehlszeile AWS bietet es Software Development Kits (SDKs) für verschiedene Programmiersprachen, mit denen Sie IAM-Verwaltungsfunktionen direkt in Ihre Anwendungen integrieren können. Alternativ können Sie programmgesteuert über die IAM-Abfrage-API auf IAM zugreifen und HTTPS-Anfragen direkt an den Service senden. Die Nutzung dieser verschiedenen Managementansätze bietet Ihnen die Flexibilität, IAM in Ihre vorhandenen Workflows und Prozesse zu integrieren.

## Verwenden Sie die AWS-Managementkonsole
<a name="intro-managing-iam-section-1"></a>

Die AWS Management Console ist eine Webanwendung, die eine breite Sammlung von Servicekonsolen für die Verwaltung von AWS Ressourcen umfasst und sich auf diese bezieht. Wenn Sie sich zum ersten Mal anmelden, sehen Sie die Startseite der Konsole. Die Startseite bietet Zugriff auf jede Servicekonsole und bietet einen zentralen Ort, an dem Sie auf die Informationen zugreifen können, die Sie für die Ausführung der AWS damit verbundenen Aufgaben benötigen. Welche Dienste und Anwendungen Ihnen nach der Anmeldung an der Konsole zur Verfügung stehen, hängt davon ab, auf welche AWS Ressourcen Sie zugreifen dürfen. Sie können Berechtigungen für Ressourcen erhalten, indem Sie entweder eine Rolle übernehmen, Mitglied einer Gruppe sind, der Berechtigungen gewährt wurden, oder indem Ihnen explizit eine Berechtigung gewährt wird. Bei einem eigenständigen AWS -Konto konfiguriert der Root-Benutzer oder der IAM-Administrator den Zugriff auf Ressourcen. Für AWS Organizations konfiguriert das Verwaltungskonto oder der delegierte Administrator den Zugriff auf Ressourcen.

Wenn Sie planen, dass Benutzer die AWS Management Console zur Verwaltung von AWS Ressourcen verwenden, empfehlen wir aus Sicherheitsgründen, Benutzer mit temporären Anmeldeinformationen zu [konfigurieren](best-practices.md). IAM-Benutzer, die eine Rolle übernommen haben, Verbundprinzipale und Benutzer im IAM Identity Center verfügen über temporäre Anmeldeinformationen, während der IAM-Benutzer und der Root-Benutzer über langfristige Anmeldeinformationen verfügen. Root-Benutzeranmeldedaten gewähren vollen Zugriff auf die AWS-Konto, während andere Benutzer über Anmeldeinformationen verfügen, die ihnen Zugriff auf die Ressourcen gewähren, die ihnen durch IAM-Richtlinien gewährt werden.

Das Anmeldeerlebnis ist für die verschiedenen Benutzertypen AWS-Managementkonsole unterschiedlich.
+ IAM-Benutzer und Root-Benutzer melden sich über die Haupt-Anmelde-URL an AWS (). https://signin.aws.amazon.com Sobald sie diese angemeldet haben, haben sie Zugriff auf die Ressourcen in dem Konto, für das ihnen die Berechtigung gewährt wurde.

  Um sich als Root-Benutzer anzumelden, benötigen Sie die E-Mail-Adresse und das Passwort für den Root-Benutzer.

  Um sich als IAM-Benutzer anzumelden, benötigen Sie die AWS-Konto Nummer oder den Alias, den IAM-Benutzernamen und das IAM-Benutzerkennwort. 

  Wir empfehlen Ihnen, IAM-Benutzer in Ihrem Konto auf bestimmte Situationen zu beschränken, die langfristige Anmeldeinformationen erfordern, z. B. für den Zugriff in Notfällen, und den Root-Benutzer nur für [Aufgaben zu verwenden, die Anmeldeinformationen des Root-Benutzers erfordern](id_root-user.md#root-user-tasks).

  Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich den IAM-Benutzernamen und die Kontoinformationen zu merken. Wenn der Benutzer das nächste Mal eine Seite in der aufruft AWS-Managementkonsole, verwendet die Konsole das Cookie, um den Benutzer auf die Anmeldeseite für das Konto weiterzuleiten.

  Melden Sie sich nach Abschluss Ihrer Sitzung von der Konsole ab, um eine Wiederverwendung Ihrer vorherigen Anmeldung zu verhindern.
+ IAM Identity Center-Benutzer melden sich über ein bestimmtes AWS Zugriffsportal an, das nur für ihre Organisation gilt. Sobald sie sich angemeldet haben, können sie auswählen, auf welches Konto oder welche Anwendung sie zugreifen möchten. Wenn diese auf ein Konto zugreifen möchten, wählen sie aus, welchen Berechtigungssatz sie für die Verwaltungssitzung verwenden möchten. 
+ OICD- und SAML-Verbundprinzipale, die bei einem externen Identitätsanbieter verwaltet werden und mit der Anmeldung bei einem AWS-Konto über ein benutzerdefiniertes Unternehmenszugriffsportal verknüpft sind. Die AWS -Ressourcen, die Benutzern zur Verfügung stehen, hängen von den Richtlinien ab, die von ihrer Organisation ausgewählt wurden.

**Anmerkung**  
Um ein zusätzliches Maß an Sicherheit zu bieten, können Root-Benutzer, IAM-Benutzer und Benutzer in IAM Identity Center die Multi-Faktor-Authentifizierung (MFA) verifizieren lassen, AWS bevor sie Zugriff auf Ressourcen gewähren. AWS Wenn MFA aktiviert ist, müssen Sie auch über Zugriff auf das MFA-Gerät verfügen, um sich anzumelden.

*Weitere Informationen darüber, wie sich verschiedene Benutzer an der Management-Konsole [anmelden, finden Sie im Anmelde-Benutzerhandbuch unter Anmeldung an der AWS Management Console](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html).AWS *

## AWS Befehlszeilentools
<a name="management-method-cli"></a>

Sie können die AWS Befehlszeilentools verwenden, um Befehle an der Befehlszeile Ihres Systems auszugeben, um IAM und AWS Aufgaben auszuführen. Die Verwendung der Kommandozeile kann schneller und bequemer sein als die Konsole. Die Befehlszeilentools sind auch nützlich, wenn Sie Skripts erstellen möchten, die AWS Aufgaben ausführen.

AWS stellt zwei Gruppen von Befehlszeilentools bereit: das [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI) und das [AWS Tools for Windows PowerShell](https://aws.amazon.com/powershell/). Informationen zur Installation und Verwendung von finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/). AWS CLI Informationen zur Installation und Verwendung der Tools für Windows PowerShell finden Sie im [AWS -Tools für PowerShell Benutzerhandbuch](https://docs.aws.amazon.com/powershell/latest/userguide/).

Nachdem Sie sich bei der Konsole angemeldet haben, können Sie CLI- oder SDK-Befehle AWS CloudShell von Ihrem Browser aus ausführen. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich bei der Konsole angemeldet haben. Abhängig von Ihrer Erfahrung ist die CLI möglicherweise eine effizientere Methode zur Verwaltung Ihres AWS-Konto. Weitere Informationen finden Sie unter [Wird verwendet AWS CloudShell , um mit AWS Identity and Access Management zu arbeiten](using-aws-with-cloudshell.md).

### AWS Befehlszeilenschnittstelle (CLI) und Softwareentwicklungskits (SDKs)
<a name="management-method-cli-sdk"></a>

IAM Identity Center und IAM-Benutzer verwenden unterschiedliche Methoden zur Authentifizierung ihrer Anmeldeinformationen, wenn sie sich über die CLI oder die Anwendungsschnittstellen (APIs) in der zugehörigen Datenbank authentifizieren. SDKs 

Anmeldeinformationen und Konfigurationseinstellungen befinden sich an mehreren Stellen, z. B. in den System- oder Benutzerumgebungsvariablen, in lokalen AWS Konfigurationsdateien, oder werden explizit in der Befehlszeile als Parameter deklariert. Bestimmte Speicherorte haben Vorrang vor anderen.

Sowohl IAM Identity Center als auch IAM stellen Zugriffsschlüssel bereit, die mit der CLI oder dem SDK verwendet werden können. Bei Zugriffsschlüsseln des IAM Identity Center handelt es sich um temporäre Anmeldeinformationen, die automatisch aktualisiert werden können. Sie werden im Vergleich zu Langzeit-Zugriffsschlüsseln für IAM-Benutzer empfohlen.

Um Ihre AWS-Konto Nutzung der CLI oder des SDK zu verwalten, können Sie sie AWS CloudShell von Ihrem Browser aus verwenden. Wenn Sie CloudShell CLI- oder SDK-Befehle ausführen, müssen Sie sich zuerst bei der Konsole anmelden. Die Berechtigungen für den Zugriff auf AWS Ressourcen basieren auf den Anmeldeinformationen, mit denen Sie sich an der Konsole angemeldet haben. Abhängig von Ihrer Erfahrung ist die CLI möglicherweise eine effizientere Methode zur Verwaltung Ihres AWS-Konto.

Für die Anwendungsentwicklung können Sie die CLI oder das SDK auf Ihren Computer herunterladen und sich über die Eingabeaufforderung oder ein Docker-Fenster anmelden. In diesem Szenario konfigurieren Sie Authentifizierung und Zugangsdaten als Teil des CLI-Skripts oder der SDK-Anwendung. Sie können den programmgesteuerten Zugriff auf Ressourcen je nach Umgebung und verfügbarem Zugriff auf unterschiedliche Weise konfigurieren. 
+ Zu den empfohlenen Optionen für die Authentifizierung von lokalem Code mit dem AWS Dienst gehören IAM Identity Center und IAM Roles Anywhere
+ Zu den empfohlenen Optionen für die Authentifizierung von Code, der in einer AWS -Umgebung ausgeführt wird, gehören die Verwendung von IAM-Rollen oder die Verwendung von IAM-Identity-Center-Anmeldeinformationen.

Wenn Sie sich über das AWS Zugriffsportal anmelden, können Sie auf der Startseite, auf der Sie Ihren Berechtigungssatz auswählen, kurzfristige Anmeldeinformationen abrufen. Diese Anmeldeinformationen haben eine definierte Dauer und werden nicht automatisch aktualisiert. Wenn Sie diese Anmeldeinformationen verwenden möchten, wählen Sie nach der Anmeldung im AWS Portal den AWS-Konto und anschließend den Berechtigungssatz aus. Wählen Sie **Befehlszeilen- oder programmatischer Zugriff** aus, um die Optionen anzuzeigen, mit denen Sie programmgesteuert oder über die CLI auf AWS Ressourcen zugreifen können. Weitere Informationen zu diesen Methoden finden Sie unter [Abrufen und Aktualisieren temporärer Anmeldeinformationen](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials) im *IAM-Identity-Center-Benutzerhandbuch*. Diese Anmeldeinformationen werden häufig während der Anwendungsentwicklung verwendet, um Code schnell zu testen.

Wir empfehlen die Verwendung von IAM Identity Center-Anmeldeinformationen, die bei der Automatisierung des Zugriffs auf Ihre Ressourcen automatisch aktualisiert werden. AWS Wenn Sie Benutzer und Berechtigungssätze in IAM Identity Center konfiguriert haben, verwenden Sie den `aws configure sso`-Befehl, um einen Befehlszeilenassistenten zu verwenden, der Ihnen hilft, die für Sie verfügbaren Anmeldeinformationen zu identifizieren und sie in einem Profil zu speichern. Weitere Informationen zur Konfiguration Ihres Profils finden Sie unter [Konfiguration Ihres Profils mit dem `aws configure sso`-Assistenten](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso) im *Benutzerhandbuch für die AWS -Befehlszeilenschnittstelle für Version 2*.

**Anmerkung**  
Viele Beispielanwendungen verwenden Langzeit-Zugriffsschlüsseln, die IAM-Benutzern oder Root-Benutzern zugeordnet sind. Im Rahmen einer Lernübung sollten Sie langfristige Anmeldeinformationen nur in einer Sandbox-Umgebung verwenden. Informieren Sie sich über die [Alternativen zu Langzeit-Zugriffsschlüsseln](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys) und planen Sie, Ihren Code so bald wie möglich auf alternative Anmeldeinformationen wie IAM-Identity-Center-Anmeldeinformationen oder IAM-Rollen umzustellen. Löschen Sie nach der Umstellung Ihres Codes die Zugriffsschlüssel. 

Weitere Informationen zur Konfiguration der CLI finden [Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface User Guide für Version 2* und [Authentifizierung und Access Credentials](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) im *AWS Command Line Interface User Guide*.

Weitere Informationen zur Konfiguration des SDK finden Sie unter [IAM Identity Center-Authentifizierung](https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html) im *AWS SDKs und Tools Reference Guide* und [IAM Roles Anywhere](https://docs.aws.amazon.com/sdkref/latest/guide/access-rolesanywhere.html) im *AWS SDKs Tools-Referenzhandbuch*.

## Verwenden Sie den AWS SDKs
<a name="intro-managing-iam-section-2"></a>

AWS stellt SDKs (Software Development Kits) bereit, die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (Java, Python, Ruby, .NET, iOS, Android usw.) bestehen. SDKs Sie bieten eine bequeme Möglichkeit, programmatischen Zugriff auf IAM und zu erstellen. AWS SDKs Sie kümmern sich beispielsweise um Aufgaben wie das kryptografische Signieren von Anfragen, das Verwalten von Fehlern und das automatische Wiederholen von Anfragen. Informationen zu den AWS SDKs, einschließlich deren Download und Installation, finden Sie auf der Seite [Tools für Amazon Web Services](https://aws.amazon.com/tools/).

## Verwendung der IAM-Abfrage-API
<a name="intro-managing-iam-section-3"></a>

Sie können auf IAM und AWS programmgesteuert zugreifen, indem Sie die IAM-Abfrage-API verwenden, mit der Sie HTTPS-Anfragen direkt an den Service senden können. Wenn Sie die Abfrage-API nutzen, müssen Sie Code zur digitalen Signierung von Anforderungen mittels Ihrer Anmeldeinformationen einschließen. Weitere Informationen finden Sie unter [Aufrufen der IAM-API mithilfe von HTTP-Abfrageanforderungen](programming.md) und der [IAM-API-Referenz](https://docs.aws.amazon.com/IAM/latest/APIReference/).

# Funktionsweise von IAM
<a name="intro-structure"></a>

AWS Identity and Access Management bietet die Infrastruktur, die zur Steuerung der Authentifizierung und Autorisierung für Sie erforderlich ist AWS-Konto. 

Zunächst verwendet ein menschlicher Benutzer oder eine Anwendung seine Anmeldeinformationen, um sich bei AWS zu authentifizieren. IAM ordnet die Anmeldeinformationen einem Prinzipal zu (einem IAM-Benutzer, einem AWS STS Verbundbenutzerprinzipal, einer IAM-Rolle oder einer Anwendung), dem der vertraut, AWS-Konto und authentifiziert die Zugriffsberechtigung. AWS

Als Nächstes stellt IAM eine Anfrage, um dem Prinzipal Zugriff auf Ressourcen zu gewähren. IAM gewährt oder verweigert den Zugriff als Reaktion auf eine Autorisierungsanfrage. Wenn Sie sich beispielsweise zum ersten Mal bei der Konsole anmelden und sich auf der Startseite der Konsole befinden, greifen Sie nicht auf einen bestimmten Service zu. Wenn Sie einen Service auswählen, senden Sie eine Autorisierungsanfrage für diesen Service an IAM. IAM überprüft, ob Ihre Identität auf der Liste der autorisierten Benutzer steht, ermittelt, welche Richtlinien die gewährte Zugriffsebene steuern und wertet alle anderen möglicherweise geltenden Richtlinien aus. Prinzipale innerhalb Ihres Unternehmens AWS-Konto oder eines anderen Unternehmens, dem Sie vertrauen, können Autorisierungsanfragen AWS-Konto stellen.

Nach der Autorisierung kann der Prinzipal Aktionen oder Vorgänge mit den Ressourcen in Ihrem AWS-Konto durchführen. Der Principal könnte beispielsweise eine neue Amazon Elastic Compute Cloud Instance starten, die IAM-Gruppenmitgliedschaft ändern oder Buckets löschen Amazon Simple Storage Service . Das folgende Diagramm veranschaulicht diesen Prozess anhand der IAM-Infrastruktur:

![\[Dieses Diagramm zeigt, wie ein Principal vom IAM-Dienst authentifiziert und autorisiert wird, Aktionen oder Operationen mit anderen AWS Diensten oder Ressourcen auszuführen.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/intro-diagram _policies_800.png)


## Bestandteile einer Anfrage
<a name="intro-structure-request"></a>

Wenn ein Principal versucht AWS-Managementkonsole, die AWS API oder den AWS CLI zu verwenden, sendet dieser Principal eine *Anfrage* an. AWS Die Anforderung enthält die folgenden Informationen:
+ **Aktionen oder Operationen** — Die Aktionen oder Operationen, die der Principal ausführen möchte AWS-Managementkonsole, z. B. eine Aktion in der AWS CLI oder oder AWS API.
+ **Ressourcen** — Das AWS Ressourcenobjekt, für das der Principal die Ausführung einer Aktion oder eines Vorgangs anfordert.
+ **Auftraggeber** – Die Person oder Anwendung, die eine Entität (Benutzer oder Rolle) verwendet hat, um die Anforderung zu senden. Zu den Informationen zum Prinzipal gehören die Berechtigungsrichtlinien. 
+ **Umgebungsdaten** – Informationen zur IP-Adresse, zum Benutz-Kundendienstmitarbeiter, zum SSL-Aktivierungsstatus und zum Zeitstempel.
+ **Ressourcendaten** – Daten im Zusammenhang mit der angeforderten Ressource, z. B. ein DynamoDB-Tabellenname oder ein Tag in einer Amazon-EC2-Instance.

AWS fasst die Anforderungsinformationen in einem *Anforderungskontext* zusammen, den IAM auswertet, um die Anfrage zu autorisieren.

## So werden Prinzipale authentifiziert
<a name="intro-structure-authentication"></a>

Ein Principal meldet sich AWS mit seinen Anmeldeinformationen an, die von IAM authentifiziert werden, damit der Principal eine Anfrage senden kann. AWS Einige Dienste, wie Amazon S3 und AWS STS, ermöglichen spezifische Anfragen von anonymen Benutzern. Sie stellen jedoch die Ausnahme von der Regel dar. Jeder Benutzertyp durchläuft eine Authentifizierung.
+ **Root-Benutzer** — Ihre für die Authentifizierung verwendeten Anmeldeinformationen sind die E-Mail-Adresse, mit der Sie das erstellt haben, AWS-Konto und das Passwort, das Sie zu diesem Zeitpunkt angegeben haben. 
+ **Federated Principal** — Ihr Identitätsanbieter authentifiziert Sie und leitet Ihre Anmeldeinformationen weiter AWS, ohne dass Sie sich direkt anmelden müssen. AWS Sowohl IAM Identity Center als auch IAM unterstützen den Identitätsverbund.
+ **Benutzer in AWS-IAM-Identity-Center-Verzeichnis** *(nicht föderiert)* — Benutzer, die direkt im Standardverzeichnis von IAM Identity Center erstellt wurden, melden sich über das AWS Zugriffsportal an und geben Ihren Benutzernamen und Ihr Passwort ein. 
+ **IAM-Benutzer** – Sie melden sich an, indem Sie Ihre Konto-ID oder Ihren Alias, Ihren Benutzernamen und Ihr Passwort angeben. Um Workloads über die API oder zu authentifizieren AWS CLI, können Sie temporäre Anmeldeinformationen verwenden, indem Sie eine Rolle übernehmen, oder Sie können langfristige Anmeldeinformationen verwenden, indem Sie Ihren Zugriffsschlüssel und Ihren geheimen Schlüssel angeben.

  Weitere Informationen zu den IAM-Entitäten finden Sie unter [IAM-Benutzer](id_users.md) und [IAM-Rollen](id_roles.md).

AWS empfiehlt, dass Sie für alle Benutzer die Multi-Faktor-Authentifizierung (MFA) verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen zu MFA finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md). 

## Grundlagen der Autorisierungs- und Berechtigungsrichtlinie
<a name="intro-structure-authorization"></a>

Autorisierung bezieht sich darauf, dass der Prinzipal über die erforderlichen Berechtigungen zum Vervollständigen seiner Anfrage verfügt. Während der Autorisierung identifiziert IAM anhand von Werten aus dem Anforderungskontext die für die Anforderung geltenden Richtlinien. Anschließend wird anhand der Richtlinien festgelegt, ob die Anforderung zugelassen oder abgelehnt werden soll. IAM speichert die meisten Berechtigungsrichtlinien als JSON-Dokumente, die die Berechtigungen für Prinzipal-Entitäten angeben.[Übersicht über JSON-Richtlinien](access_policies.md#access_policies-json) 

Es gibt [verschiedene Arten von Richtlinien](access_policies.md), die sich auf eine Autorisierungsanfrage auswirken können. Um Ihren Benutzern Berechtigungen für den Zugriff auf die AWS Ressourcen in Ihrem Konto zu gewähren, können Sie identitätsbasierte Richtlinien verwenden. Ressourcenbasierte Richtlinien können [kontenübergreifenden Zugriff](access_permissions-required.md#UserPermissionsAcrossAccounts) gewähren. Wenn Sie eine Anfrage in einem anderen Konto initiieren müssen, muss eine Richtlinie in dem anderen Konto Ihnen den Zugriff auf die Ressource gewähren *und* die IAM-Entität, die Sie zum Erstellen der Anfrage verwenden, muss über eine identitätsbasierte Richtlinie verfügen, die die Anfrage erlaubt.

IAM überprüft jede Richtlinie, die auf den Kontext Ihrer Anfrage zutrifft. Bei der Auswertung der IAM-Richtlinien wird eine *explizite Verweigerung* verwendet. Dies bedeutet, dass IAM die gesamte Anfrage ablehnt und die Auswertung beendet, wenn eine einzelne Berechtigungsrichtlinie eine verweigerte Aktion enthält. Da Anfragen *standardmäßig abgelehnt* werden, müssen die geltenden Berechtigungsrichtlinien jeden Teil Ihrer Anfrage zulassen, damit IAM Ihre Anfrage autorisieren kann. Die Auswertungslogik für eine Anfrage innerhalb eines einzelnen Kontos folgt diesen Grundregeln:
+ Standardmäßig werden alle Anforderungen verweigert. (Anforderungen, die mit Root-Benutzer des AWS-Kontos -Anmeldeinformationen für Ressourcen im Konto gesendet werden, werden im Allgemeinen erlaubt.) 
+ Eine explizite Zugriffserlaubnis in einer Berechtigungsrichtlinie (identitätsbasiert oder ressourcenbasiert) hat Vorrang vor diesem Standardwert.
+ Das Vorhandensein einer AWS Organizations Service Control Policy (SCP) oder Resource Control Policy (RCP), einer IAM-Berechtigungsgrenze oder einer Sitzungsrichtlinie setzt die Zulässigkeit außer Kraft. Wenn eine oder mehrere dieser Richtlinienarten vorhanden sind, müssen sie alle die Anfrage zulassen. Andernfalls wird es implizit abgelehnt. *Weitere Informationen zu SCPs und finden Sie RCPs unter [Autorisierungsrichtlinien AWS Organizations im Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html).AWS Organizations *
+ Eine explizite Verweigerung in einer Richtlinie überschreibt alle Genehmigungen in einer Richtlinie.

Weitere Informationen hierzu finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md). <a name="intro-structure-actions"></a>

Nachdem IAM den Prinzipal authentifiziert und autorisiert hat, genehmigt IAM die Aktionen oder Vorgänge in seiner Anfrage, indem es die für den Prinzipal geltende Berechtigungsrichtlinie auswertet. Jeder AWS Dienst definiert die Aktionen (Operationen), die er unterstützt, und umfasst Dinge, die Sie mit einer Ressource tun können, z. B. das Anzeigen, Erstellen, Bearbeiten und Löschen dieser Ressource. Die für den Prinzipal geltende Berechtigungsrichtlinie muss die für die Durchführung einer Operation erforderlichen Aktionen enthalten. Weitere Informationen zur Auswertung von Berechtigungsrichtlinien durch IAM finden Sie unter [Auswertungslogik für Richtlinien](reference_policies_evaluation-logic.md).

Der Service definiert eine Reihe von Aktionen, die ein Prinzipal für jede Ressource ausführen kann. Stellen Sie beim Erstellen von Berechtigungsrichtlinien sicher, dass Sie die Aktionen einschließen, die der Benutzer ausführen darf. Beispielsweise unterstützt IAM über 40 Aktionen für eine Benutzerressource, darunter die folgenden grundlegenden Aktionen:
+ `CreateUser`
+ `DeleteUser`
+ `GetUser`
+ `UpdateUser`

Darüber hinaus können Sie in Ihrer Berechtigungsrichtlinie Bedingungen angeben, die Zugriff auf Ressourcen gewähren, wenn die Anforderung die angegebenen Bedingungen erfüllt. Sie möchten beispielsweise, dass eine Richtlinienanweisung nach einem bestimmten Datum wirksam wird oder den Zugriff steuert, wenn ein bestimmter Wert in einer API angezeigt wird. Zum Angeben von Bedingungen verwenden Sie das [`Condition`](reference_policies_elements_condition_operators.md)-Element einer Richtlinienanweisung. 

Nachdem IAM die Vorgänge in einer angeforderten Anfrage genehmigt hat, kann der Prinzipal mit den zugehörigen Ressourcen in Ihrem Konto arbeiten. Eine Ressource ist ein Objekt, das innerhalb eines Services existiert. Beispiele sind eine Amazon EC2-Instance, ein IAM-Benutzer und ein Amazon S3-Bucket. Wenn der Prinzipal eine Anfrage zur Durchführung einer Aktion für eine Ressource erstellt, die nicht in der Berechtigungsrichtlinie enthalten ist, lehnt der Service die Anfrage ab. Wenn Sie beispielsweise über die Berechtigung zum Löschen einer IAM-Rolle verfügen, aber das Löschen einer IAM-Gruppe anfordern, schlägt die Anforderung fehl, wenn Sie nicht über die Berechtigung zum Löschen von IAM-Gruppen verfügen. Weitere Informationen darüber, welche Aktionen, Ressourcen und Bedingungsschlüssel von den verschiedenen AWS Diensten unterstützt werden, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](reference_policies_actions-resources-contextkeys.html).

# Vergleich von IAM-Identitäten und Anmeldeinformationen
<a name="introduction_identity-management"></a>

Bei den verwalteten Identitäten AWS Identity and Access Management handelt es sich um IAM-Benutzer, IAM-Rollen und IAM-Gruppen. Diese Identitäten gelten zusätzlich zu Ihrem Root-Benutzer, der zusammen mit Ihrem erstellt wurde. AWS AWS-Konto

Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Stellen Sie stattdessen zusätzliche Benutzer bereit und gewähren Sie ihnen die Berechtigungen, die zum Ausführen der erforderlichen Aufgaben erforderlich sind. Sie können Benutzer hinzufügen, indem Sie entweder Personen zu Ihrem IAM-Identity-Center-Verzeichnis hinzufügen, einen externen Identitätsanbieter entweder mit IAM Identity Center oder IAM verbinden oder IAM-Benutzer mit den geringsten Berechtigungen erstellen.

Für zusätzliche Sicherheit empfehlen wir, den Root-Zugriff zu zentralisieren, damit Sie die Root-Benutzeranmeldeinformationen Ihrer AWS-Konten verwalteten Nutzung zentral sichern können. AWS Organizations[Root-Zugriff für Mitgliedskonten zentral verwalten](id_root-user.md#id_root-user-access-management)ermöglicht es Ihnen, Root-Benutzeranmeldedaten zentral zu entfernen und eine langfristige Wiederherstellung zu verhindern und so unbeabsichtigten Root-Zugriff in großem Umfang zu verhindern. Nachdem Sie den zentralisierten Root-Zugriff aktiviert haben, können Sie eine privilegierte Sitzung annehmen, um Aktionen für Mitgliedskonten auszuführen.

Nachdem Sie Ihre Benutzer eingerichtet haben, können Sie bestimmten Personen Zugriff auf Ihre AWS-Konto Benutzer gewähren und ihnen Berechtigungen für den Zugriff auf Ressourcen gewähren.

Als [bewährte Methode](best-practices.md) AWS empfiehlt es sich, menschlichen Benutzern vorzuschreiben, für den Zugriff eine IAM-Rolle anzunehmen, AWS sodass sie temporäre Anmeldeinformationen verwenden. Wenn Sie Identitäten im IAM Identity Center-Verzeichnis verwalten oder mithilfe eines Identitätsanbieters einen Verbund verwenden, befolgen Sie bewährte Methoden.

## Bedingungen
<a name="intro-structure-terms"></a>

Diese Begriffe werden häufig bei der Arbeit mit IAM-Identitäten verwendet:

**IAM-Ressource**  
Der IAM-Service speichert diese Ressourcen. Sie können sie in der Konsole hinzufügen, bearbeiten und entfernen.  
+ IAM-Benutzer
+ IAM-Gruppe
+ IAM role (IAM-Rolle)
+ Berechtigungsrichtlinie
+ Identity-provider object

**IAM-Entität**  
IAM-Ressourcen, die für die Authentifizierung AWS verwendet werden. Geben Sie die Entität als Prinzipal in einer ressourcenbasierten Richtlinie an.   
+ IAM-Benutzer
+ IAM role (IAM-Rolle)

**IAM-Identität**  
Die IAM-Ressource, die in Richtlinien zum Ausführen von Aktionen und Zugreifen auf Ressourcen autorisiert ist. Zu den Identitäten zählen IAM-Benutzer, IAM-Gruppen und IAM-Rollen.   
  

![\[Dieses Diagramm zeigt, dass es sich bei dem IAM-Benutzer und der IAM-Rolle um Prinzipale handelt, die gleichzeitig Entitäten und Identitäten sind. Der Root-Benutzer ist jedoch ein Prinzipal, der weder eine Entität noch eine Identität ist. Das Diagramm informiert Sie auch darüber, dass es sich bei IAM-Gruppen um Identitäten handelt. Die IAM-Authentifizierung steuert den Zugriff von Identitäten mithilfe von Richtlinien. Der Root-Benutzer hat jedoch vollständigen AWS -Ressourcenzugriff und kann nicht durch identitäts- oder ressourcenbasierte IAM-Richtlinien eingeschränkt werden.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/iam-terms-2.png)


**Prinzipale**  
Ein Root-Benutzer des AWS-Kontos IAM-Benutzer oder eine IAM-Rolle, der eine Anfrage für eine Aktion oder einen Vorgang für eine Ressource stellen kann. AWS Zu Prinzipalen gehören menschliche Benutzer, Workloads, Verbundprinzipale und angenommene Rollen. Nach der Authentifizierung erteilt IAM dem Prinzipal je nach Prinzipaltyp entweder permanente oder temporäre Anmeldeinformationen AWS, an die er Anfragen stellen kann.   
*Menschliche Benutzer*, auch bekannt als *menschliche Identitäten*, sind die Personen, Administratoren, Entwickler, Betreiber und Verbraucher Ihrer Anwendungen.  
*Workloads* sind eine Sammlung von Ressourcen und Code, die einen Geschäftswert liefern, z. B. eine Anwendung, ein Prozess, Betriebstools und andere Komponenten.  
*Verbundprinzipale* sind Benutzer, deren Identität und Anmeldeinformationen von einem anderen Identitätsanbieter verwaltet werden, z. B. Active Directory, Okta oder Microsoft Entra.  
*IAM-Rollen* sind eine IAM-Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt, die bestimmen, was die Identität tun darf und was nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen.  
IAM gewährt IAM-Benutzern und dem Root-Benutzer langfristige Anmeldeinformationen und IAM-Rollen temporäre Anmeldeinformationen. Benutzer im AWS IAM Identity Center, OIDC- und SAML-Verbundprinzipale übernehmen bei der Anmeldung IAM-Rollen, wodurch ihnen temporäre Anmeldeinformationen gewährt werden. AWS Als [bewährte Methode](best-practices.md) empfehlen wir, menschlichen Benutzern und Workloads den Zugriff auf Ressourcen mithilfe temporärer Anmeldeinformationen vorzuschreiben. AWS 

## Unterschied zwischen IAM-Benutzern und Benutzern im IAM Identity Center
<a name="intro-identity-users"></a>

 **IAM-Benutzer** sind keine separaten Konten, sondern einzelne Benutzer innerhalb Ihres Kontos. Jeder Benutzer hat sein eigenes Passwort für den Zugriff auf. AWS-Managementkonsole Darüber hinaus können Sie individuelle Zugriffsschlüssel für jeden Benutzer erstellen, sodass der Benutzer programmgesteuerte Anforderungen an die Ressourcen in Ihrem Konto stellen kann.

IAM-Benutzer und ihre Zugriffsschlüssel verfügen über langfristige Anmeldeinformationen für Ihre AWS Ressourcen. Der Hauptzweck für IAM-Benutzer besteht darin, Workloads, die keine IAM-Rollen verwenden können, die Möglichkeit zu geben, mithilfe der API oder CLI programmatische Anfragen an AWS Dienste zu stellen. 

**Anmerkung**  
Für Szenarien, in denen Sie IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir Ihnen, die Zugriffsschlüssel bei Bedarf zu aktualisieren. Weitere Informationen finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md).

Personalidentitäten (Personen) haben je nach der Rolle **Benutzer im AWS IAM Identity Center**, die sie ausüben, unterschiedliche Berechtigungsanforderungen und können innerhalb eines Unternehmens in verschiedenen Bereichen eingesetzt werden. AWS-Konten Wenn Sie Anwendungsfälle haben, für die Zugriffsschlüssel erforderlich sind, können Sie diese Anwendungsfälle mit Benutzer im AWS IAM Identity Center unterstützen. Personen, die sich über das AWS Zugriffsportal anmelden, können Zugangsschlüssel mit kurzfristigen Anmeldeinformationen für Ihre AWS Ressourcen erhalten. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von [AWS IAM Identity Center (IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. IAM Identity Center wird automatisch mit einem Identity Center-Verzeichnis als Standard-Identitätsquelle konfiguriert, in dem Sie Personen und Gruppen hinzufügen und deren Zugriffsebene Ihren AWS Ressourcen zuweisen können. Weitere Informationen finden Sie unter [Was ist AWS IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

Der Hauptunterschied zwischen diesen beiden Benutzertypen besteht darin, dass Benutzer in IAM Identity Center automatisch eine IAM-Rolle übernehmen, wenn sie sich anmelden, AWS bevor sie auf die Managementkonsole oder Ressourcen zugreifen. AWS IAM-Rollen gewähren bei jeder Anmeldung temporäre Anmeldeinformationen. AWS Damit sich IAM-Benutzer mit einer IAM-Rolle anmelden können, müssen sie berechtigt sein, Rollen anzunehmen und zu wechseln, und sie müssen sich ausdrücklich dafür entscheiden, nach dem Zugriff auf das Konto zu der Rolle zu wechseln, die sie übernehmen möchten. AWS 

## Zusammenführen von Benutzern aus einer vorhandenen Identitätsquelle
<a name="intro-identity-federation"></a>

Wenn die Benutzer in Ihrer Organisation bei der Anmeldung in Ihrem Unternehmensnetzwerk bereits authentifiziert sind, müssen Sie für sie keine separaten IAM-Benutzer oder Benutzer im IAM Identity Center erstellen. Stattdessen können Sie diese Benutzeridentitäten so *zusammenführen*, dass sie entweder IAM oder AWS verwenden. AWS IAM Identity Center OIDC- und SAML-Verbundprinzipale nehmen eine IAM-Rolle an, die ihnen die Berechtigung zum Zugriff auf bestimmte Ressourcen gewährt. Weitere Informationen zu Rollen finden Sie unter [Rollenbegriffe und -konzepte](id_roles.md#id_roles_terms-and-concepts).

![\[Dieses Diagramm zeigt, wie ein Verbundprinzipal temporäre AWS Sicherheitsanmeldeinformationen für den Zugriff auf Ressourcen in Ihrem abrufen kann. AWS-Konto\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/iam-intro-federation.diagram.png)


Der Verbund ist in folgenden Fällen nützlich: 
+ **Ihre Benutzer sind bereits in einem Unternehmensverzeichnis vorhanden.** 

  Wenn Ihr Unternehmensverzeichnis mit Security Assertion Markup Language 2.0 (SAML 2.0) kompatibel ist, können Sie Ihr Unternehmensverzeichnis so konfigurieren, dass es Ihren Benutzern Single-Sign-On-Zugriff (SSO) ermöglicht. AWS-Managementkonsole Weitere Informationen finden Sie unter [Gängige Szenarien für temporäre Anmeldeinformationen](id_credentials_temp.md#sts-introduction). 

  Wenn Ihr Unternehmensverzeichnis nicht mit SAML 2.0 kompatibel ist, können Sie eine Identity Broker-Anwendung erstellen, um Ihren Benutzern Single-Sign-On-Zugriff (SSO) auf die zu ermöglichen. AWS-Managementkonsole Weitere Informationen finden Sie unter [Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren](id_roles_providers_enable-console-custom-url.md). 

  Wenn es sich bei Ihrem Unternehmensverzeichnis AWS IAM Identity Center um Microsoft Active Directory handelt, können Sie damit ein selbstverwaltetes Verzeichnis in Active Directory oder ein Verzeichnis in verbinden, [AWS Directory Service](https://aws.amazon.com/directoryservice/)um eine Vertrauensstellung zwischen Ihrem Unternehmensverzeichnis und Ihrem AWS-Konto herzustellen. 

  Wenn Sie einen externen Identitätsanbieter (IdP) wie Okta oder Microsoft Entra verwenden AWS IAM Identity Center , um Benutzer zu verwalten, können Sie damit Vertrauen zwischen Ihrem IdP und Ihrem herstellen. AWS-Konto Weitere Informationen finden Sie unter [Verbinden mit einem externen Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ **Ihre Benutzer verfügen bereits über Internet-Identitäten.**

  Wenn Sie eine mobile oder webbasierte Anwendung erstellen, mit der sich Benutzer über einen Internet-Identitätsanbieter wie Login with Amazon, Facebook, Google oder einen beliebigen OpenID Connect (OIDC) kompatiblen Identitätsanbieter identifizieren können, kann die Anwendung Federation für den Zugriff auf AWS verwenden. Weitere Informationen finden Sie unter [OIDC-Verbund](id_roles_providers_oidc.md). 
**Tipp**  
Um den Identitätsverbund mit Internet-Identitätsanbietern zu verwenden, empfehlen wir die Nutzung von [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html).

## Verschiedene Methoden zum Gewähren des Benutzerzugriffs
<a name="AccessControlMethods"></a>

So können Sie Zugriff auf Ihre Ressourcen gewähren. AWS 


****  

| Typ des Benutzerzugriffs | Wann wird es verwendet? | Wo finde ich weitere Informationen? | 
| --- | --- | --- | 
|  Single Sign-On-Zugriff für Personen, z. B. Ihre Mitarbeiter, auf AWS -Ressourcen über IAM Identity Center  |  Das IAM Identity Center bietet einen zentralen Ort, an dem die Verwaltung von Benutzern und deren Zugriff auf Cloud-Anwendungen sowie deren Zugriff AWS-Konten auf Cloud-Anwendungen zusammengeführt werden. Sie können einen Identitätsspeicher im IAM Identity Center einrichten oder den Verbund mit einem vorhandenen Identitätsanbieter (IdP) konfigurieren. Bewährte Sicherheitsmethoden empfehlen, Ihren menschlichen Benutzern nur begrenzte Zugangsdaten für AWS Ressourcen zu gewähren.  Die Anmeldung für Personen wird einfacher und Sie behalten die Kontrolle über deren Zugriff auf Ressourcen von einem einzigen System aus. IAM Identity Center unterstützt die Multi-Faktor-Authentifizierung (MFA) für zusätzliche Kontosicherheit.  |  Weitere Informationen zum Einrichten von IAM Identity Center finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) im *AWS IAM Identity Center -Benutzerhandbuch*. Weitere Informationen über MFA in IAM Identity Center finden Sie unter [Multi-Faktor-Authentifizierung](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) im *AWS IAM Identity Center -Benutzerhandbuch*.  | 
| Föderierter Zugriff für menschliche Benutzer, z. B. Benutzer Ihrer Belegschaft, auf AWS Dienste, die IAM-Identitätsanbieter verwenden () IdPs | IAM-Unterstützungen IdPs , die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind. Erstellen Sie nach der Erstellung eines IAM-Identitätsanbieters eine oder mehrere IAM-Rollen, die einem Verbundprinzipal dynamisch zugewiesen werden können. | Weitere Informationen zu IAM-Identitätsanbietern und Verbund finden Sie unter [Identitätsanbieter und Verbund zu AWS](id_roles_providers.md). | 
|  Kontoübergreifender Zugriff zwischen AWS-Konten  |  Sie möchten den Zugriff auf bestimmte AWS Ressourcen mit Benutzern in anderen AWS-Konten teilen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Einige AWS -Services unterstützen jedoch ressourcenbasierte Richtlinien, die es Ihnen ermöglichen, eine Richtlinie direkt an eine Ressource anzufügen (anstatt eine Rolle als Proxy zu verwenden).   | Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](id_roles.md). Weitere Informationen zu serviceverknüpften Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](id_roles_create-service-linked-role.md). Informationen dazu, welche Services die Verwendung serviceverknüpften Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Um die serviceverknüpfte Rollendokumentation für diesen Service anzuzeigen, wählen Sie den mit **Ja** verknüpften Link in der Spalte.  | 
|  Langfristige Anmeldeinformationen für bestimmte IAM-Benutzer in Ihrem AWS-Konto  |  Möglicherweise haben Sie spezielle Anwendungsfälle, für die langfristige Anmeldeinformationen mit registrierten IAM-Benutzern erforderlich sind. AWS Sie können IAM verwenden, um diese IAM-Benutzer in Ihrem zu erstellen AWS-Konto, und IAM verwenden, um ihre Berechtigungen zu verwalten. Einige Anwendungsfälle beinhalten Folgendes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/introduction_identity-management.html) Als [bewährte Methode](best-practices.md) in Szenarien, in denen Sie IAM-Benutzer mit [programmgesteuertem Zugriff und langfristigen Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) benötigen, empfehlen wir Ihnen, die Zugriffsschlüssel bei Bedarf zu aktualisieren. Weitere Informationen finden Sie unter [Zugriffsschlüssel aktualisieren](id-credentials-access-keys-update.md).  | Weitere Informationen zum Einrichten eines IAM-Benutzers finden Sie unter [Erstellen Sie einen IAM-Benutzer in Ihrem AWS-Konto](id_users_create.md). Weitere Informationen über IAM-Benutzer-Zugriffsschlüssel finden Sie unter [Verwalten von Zugriffsschlüsseln für IAM-Benutzer](id_credentials_access-keys.md). Weitere Informationen zu dienstspezifischen Anmeldeinformationen für AWS CodeCommit Amazon Keyspaces finden Sie unter [IAM-Anmeldeinformationen für CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS Zugriffsschlüssel](id_credentials_ssh-keys.md) und. [IAM mit Amazon Keyspaces (für Apache Cassandra) verwenden](id_credentials_keyspaces.md)   | 

## Unterstützung des programmgesteuerten Benutzerzugriffs
<a name="gs-get-keys"></a>

Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie der programmgesteuerte Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift: AWS
+ Wenn Sie Identitäten in IAM Identity Center verwalten, AWS APIs benötigen sie ein Profil und dann ein Profil oder eine Umgebungsvariable. AWS Command Line Interface 
+ Wenn Sie IAM-Benutzer haben, AWS Command Line Interface benötigen die AWS APIs und die Zugriffsschlüssel. Wenn möglich, erstellen Sie temporäre Anmeldeinformationen, die aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token bestehen, das angibt, wann die Anmeldeinformationen ablaufen.

Wählen Sie eine der folgenden Optionen aus, um den Benutzern programmgesteuerten Zugriff zu gewähren.


| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Option | Weitere Informationen | 
| --- | --- | --- | 
|  Mitarbeiteridentitäten  (Personen und Benutzer, die im IAM Identity Center verwaltet werden)  | Verwenden Sie kurzfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI oder zu signieren AWS APIs (direkt oder mithilfe von). AWS SDKs |  Folgen Sie dazu den AWS CLI Anweisungen unter [Abrufen von IAM-Rollenanmeldedaten für den CLI-Zugriff](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtogetcredentials.html) im *AWS IAM Identity Center Benutzerhandbuch*. Folgen Sie dazu den AWS APIs Anweisungen unter [SSO-Anmeldeinformationen](https://docs.aws.amazon.com//sdkref/latest/guide/feature-sso-credentials.html) im Referenzhandbuch *AWS SDKs und im Tools-Referenzhandbuch.*  | 
| IAM-Benutzer | Verwenden Sie kurzfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI oder zu signieren AWS APIs (direkt oder mithilfe von AWS SDKs). | Folgen Sie den Anweisungen [unter Temporäre Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_use-resources.html) verwenden. | 
| IAM-Benutzer | Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI oder zu signieren AWS APIs (direkt oder mithilfe von AWS SDKs).(Nicht empfohlen) | Befolgen Sie die Anweisungen unter [Verwaltung von Zugriffsschlüsseln für IAM-Benutzer](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html). | 
| Verbundprinzipale | Verwenden Sie einen AWS STS-API-Vorgang, um eine neue Sitzung mit temporären Sicherheitsanmeldeinformationen zu erstellen, die ein Zugriffsschlüsselpaar und ein Sitzungstoken enthalten. | Erläuterungen zu den API-Operationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen anfordern](id_credentials_temp_request.md) | 

# So stellen Berechtigungen und Richtlinien die Zugriffsverwaltung bereit
<a name="introduction_access-management"></a>

Mit dem Access Management-Teil von AWS Identity and Access Management (IAM) können Sie definieren, was eine Prinzipaleinheit in einem Konto tun kann. Eine Prinzipal-Entität ist eine Person oder Anwendung, die mithilfe einer IAM-Entität (IAM-Benutzer oder IAM-Rolle) authentifiziert wird. Zugriffsverwaltung wird oft als *Autorisierung* bezeichnet. Sie verwalten den Zugriff, AWS indem Sie Richtlinien erstellen und diese IAM-Identitäten (IAM-Benutzer, IAM-Gruppen oder IAM-Rollen) oder Ressourcen zuordnen. AWS Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Principal eine IAM-Entität (IAM-Benutzer oder IAM-Rolle) verwendet, um eine Anfrage zu stellen. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden als JSON-Dokumente gespeichert. AWS Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter [Richtlinien und Berechtigungen in AWS Identity and Access Management](access_policies.md).

## Richtlinien und Konten
<a name="intro-access-accounts"></a>

Wenn Sie ein einzelnes Konto in verwalten AWS, definieren Sie die Berechtigungen innerhalb dieses Kontos mithilfe von Richtlinien. Wenn Sie Berechtigungen für mehrere Konten verwalten, ist es schwieriger, die Berechtigungen für Ihre IAM-Benutzer zu verwalten. Sie können IAM-Rollen, ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) für kontoübergreifende Berechtigungen verwenden. Wenn Sie jedoch mehrere Konten besitzen, empfehlen wir Ihnen stattdessen, den AWS Organizations Dienst zu nutzen, der Sie bei der Verwaltung dieser Berechtigungen unterstützt. Weitere Informationen finden Sie unter [Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) im *AWS Organizations Benutzerhandbuch*.

## Richtlinien und Benutzer
<a name="intro-access-users"></a>

IAM-Benutzer sind Identitäten im AWS-Konto. Wenn Sie einen IAM-Benutzer anlegen, kann er auf nichts in Ihrem Konto zugreifen, bis Sie ihm die Erlaubnis geben. Sie gewähren einem IAM-Benutzer Berechtigungen, indem Sie eine identitätsbasierte Richtlinie erstellen. Dabei handelt es sich um eine Richtlinie, die dem IAM-Benutzer oder einer IAM-Gruppe, zu der der IAM-Benutzer gehört, zugeordnet ist. Das folgende Beispiel zeigt eine JSON-Richtlinie, die es dem IAM-Benutzer erlaubt, alle Amazon-DynamoDB-Aktionen (`dynamodb:*`) in der `Books`-Tabelle im `123456789012`-Konto innerhalb der `us-east-2`-Region auszuführen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}
```

------

 Nachdem Sie diese Richtlinie Ihrem IAM-Benutzer zugeordnet haben, hat der Benutzer die Berechtigung, alle Aktionen in der `Books`-Tabelle Ihrer DynamoDB-Instance auszuführen. Die meisten IAM-Benutzer verfügen über mehrere Richtlinien, deren Kombination die Gesamtzahl ihrer gewährten Berechtigungen darstellt.

Aktionen oder Ressourcen, die durch eine Richtlinie nicht explizit zugelassen sind, werden standardmäßig verweigert. Wenn es sich bei der vorangehenden Richtlinie beispielsweise um die einzelne Richtlinie handelt, die einem Benutzer zugeordnet ist, kann dieser Benutzer DynamoDB-Aktionen für die `Books`-Tabelle ausführen, aber keine Aktionen für andere Tabellen. Ebenso darf der Benutzer keine Aktionen in Amazon EC2, Amazon S3 oder einem anderen AWS Service ausführen, da die Berechtigungen für die Arbeit mit diesen Services nicht in der Richtlinie enthalten sind. 

## Richtlinien und IAM-Gruppen
<a name="intro-access-groups"></a>

Sie können IAM-Benutzer in *IAM-Gruppen* organisieren und der IAM-Gruppe eine Richtlinie zuordnen. In diesem Fall verfügen einzelne IAM-Benutzer noch immer über ihre eigenen Anmeldeinformationen, aber alle IAM-Benutzer in der IAM-Gruppe verfügen über die der IAM-Gruppe zugeordneten Berechtigungen. Verwenden Sie IAM-Gruppen für eine einfachere Verwaltung von Berechtigungen. 

![\[Dieses Diagramm zeigt, wie IAM-Benutzer in IAM-Gruppen organisiert werden können, um Berechtigungen einfacher zu verwalten, da jeder IAM-Benutzer über die der IAM-Gruppe zugewiesenen Berechtigungen verfügt.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/iam-intro-users-and-groups.diagram.png)


IAM-Benutzern oder IAM-Gruppen können mehrere Richtlinien zugeordnet sein, die unterschiedliche Berechtigungen gewähren. In diesem Fall werden die effektiven Berechtigungen für den Prinzipal durch die Kombination der Richtlinien definiert. Wenn der Prinzipal über keine explizite `Allow`-Berechtigung für eine Aktion und eine Ressource verfügt, verfügt der Prinzipal nicht über diese Berechtigungen. 

## Verbundbenutzersitzungen und Rollen
<a name="intro-access-roles"></a>

Federated Principals verfügen nicht wie IAM-Benutzer über permanente Identitäten. AWS-Konto Um Verbundprinzipalen Berechtigungen zuzuweisen, können Sie eine Entität erstellen, die als *Rolle* bezeichnet wird, und Berechtigungen für die Rolle definieren. Wenn sich ein SAMl oder ein OIDC-Verbundprinzipal anmeldet AWS, wird der Benutzer der Rolle zugeordnet und erhält die in der Rolle definierten Berechtigungen. Weitere Informationen finden Sie unter [Erstellen einer Rolle für einen externen Identitätsanbieter](id_roles_create_for-idp.md).

## Identitätsbasierte und ressourcenbasierte Richtlinien
<a name="intro-access-resource-based-policies"></a>

Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine IAM-Identität anfügen können, wie z. B. IAM-Benutzer, -Rollen oder -Gruppen. Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine Ressource wie z. B. einen Amazon S3-Bucket oder eine IAM-Rollenvertrauensrichtlinie anfügen.

***Identitätsbasierte Richtlinien*** steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können weiter kategorisiert werden:
+ **Verwaltete Richtlinien** — Eigenständige identitätsbasierte Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Sie können zwei Arten von verwalteten Richtlinien verwalten: 
  + **AWS verwaltete Richtlinien** — Verwaltete Richtlinien, die von erstellt und verwaltet werden. AWS Wenn Sie mit der Verwendung von Richtlinien noch nicht vertraut sind, empfehlen wir Ihnen, zunächst AWS verwaltete Richtlinien zu verwenden.
  + **Vom Kunden verwaltete Richtlinien** – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Von Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als AWS verwaltete Richtlinien. Sie können eine IAM-Richtlinie im visuellen Editor oder durch direkte Erstellung des JSON-Richtliniendokuments erstellen, bearbeiten und validieren. Weitere Informationen erhalten Sie unter [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](access_policies_create.md) und [IAM-Richtlinien bearbeiten](access_policies_manage-edit.md).
+ **Inline-Richtlinien** – Dies sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen einzelnen Benutzer, einer Gruppe oder einer Rolle integrieren. In den meisten Fällen empfehlen wir nicht die Verwendung von Inline-Richtlinien.

***Ressourcenbasierte Richtlinien*** steuern, welche Aktionen ein bestimmter Auftraggeber mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben.****

Der IAM-Service unterstützt eine Art ressourcenbasierter Richtlinie, die als *Rollenvertrauensrichtlinie* bezeichnet wird und die Sie einer IAM-Rolle anfügen. Da es sich bei einer IAM-Rolle sowohl um eine Identität als auch um eine Ressource handelt, die ressourcenbasierte Richtlinien unterstützt, müssen Sie einer IAM-Rolle sowohl eine Vertrauensrichtlinie als auch eine identitätsbasierte Richtlinie anfügen. Vertrauensrichtlinien definieren, welche Prinzipalentitäten (Konten, Benutzer, Rollen und AWS STS Verbundbenutzerprinzipale) die Rolle übernehmen können. Informationen darüber, inwieweit sich IAM-Rollen von anderen ressourcenbasierten Richtlinien unterscheiden, finden Sie unter [Kontoübergreifender Zugriff auf Ressourcen in IAM](access_policies-cross-account-resource-access.md).

Informationen darüber, welche Services ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md). Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](access_policies_identity-vs-resource.md).

# Berechtigungen basierend auf Attributen mit ABAC-Autorisierung definieren
<a name="introduction_attribute-based-access-control"></a>

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen definiert werden. AWS *nennt diese Attribute Tags.* Sie können Tags an IAM-Ressourcen, einschließlich IAM-Entitäten (IAM-Benutzer oder IAM-Rollen), und an Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen kleinen Richtliniensatz für Ihre IAM-Prinzipale erstellen. Sie können ABAC-Richtlinien entwerfen, die Vorgänge zulassen, wenn der Tag des Prinzipals mit dem Tag der Ressource übereinstimmt. Das Attributsystem von ABAC bietet sowohl einen hohen Benutzerkontext als auch eine detaillierte Zugriffskontrolle. Da ABAC attributbasiert ist, kann es eine dynamische Autorisierung für Daten oder Anwendungen durchführen, die den Zugriff in Echtzeit gewährt oder widerruft. ABAC ist hilfreich in skalierenden Umgebungen und in Situationen, in denen die Verwaltung von Identitäten oder Ressourcenrichtlinien komplex geworden ist.

Sie können beispielsweise drei IAM-Rollen mit dem `access-project`-Tag-Schlüssel erstellen. Legen Sie den Tag-Wert der ersten IAM-Rolle auf `Heart`, den zweiten auf `Star` und den dritten auf `Lightning` fest. Sie können dann eine einzige Richtlinie verwenden, die den Zugriff ermöglicht, wenn die IAM-Rolle und die AWS Ressource den Tag-Wert haben. `access-project` Ein detailliertes Tutorial, das die Verwendung von ABAC in AWS veranschaulicht, finden Sie unter [IAM-Tutorial: Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags definieren](tutorial_attribute-based-access-control.md). Weitere Informationen zu Services, die ABAC unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

![\[Dieses Diagramm veranschaulicht, dass die auf einen Prinzipal angewendeten Tags mit den auf eine Ressource angewendeten Tags übereinstimmen müssen, damit dem Benutzer Berechtigungen für die Ressource gewährt werden. Tags können auf IAM-Gruppen, Ressourcengruppen, einzelne Benutzer und einzelne Ressourcen angewendet werden.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/tutorial-abac-concept-23.png)


## Vergleich von ABAC mit dem herkömmlichen RBAC-Modell
<a name="introduction_attribute-based-access-control_compare-rbac"></a>

Das herkömmliche in IAM verwendete Autorisierungsmodell wird als rollenbasierte Zugriffskontrolle (RBAC) bezeichnet. RBAC definiert Berechtigungen basierend auf der Auftragsfunktion oder *Rolle* einer Person, die sich von einer IAM-Rolle unterscheidet. IAM umfasst verwaltete [Richtlinien für Job-Funktionen](access_policies_job-functions.md), die die Berechtigungen an eine Job-Funktion in einem RBAC-Modell anpassen.

In IAM implementieren Sie RBAC, indem Sie verschiedene Richtlinien für verschiedene Job-Funktionen erstellen. Anschließend fügen Sie die Richtlinien Identitäten (IAM-Benutzern, IAM-Gruppen oder IAM-Rollen) hinzu. Als [bewährte Methode](best-practices.md) erteilen Sie nur die für eine Auftragsfunktion minimal erforderlichen Berechtigungen. Dies führt zu einem Zugriff mit [geringsten Berechtigungen](best-practices.md#grant-least-privilege). Jede Auftragsfunktionsrichtlinie listet die spezifischen Ressourcen auf, auf die Identitäten zugreifen können, denen diese Richtlinie zugewiesen ist. Der Nachteil bei der Verwendung des herkömmlichen RBAC-Modells besteht darin, dass Sie, wenn Sie oder Ihre Benutzer neue Ressourcen zu Ihrer Umgebung hinzufügen, die Richtlinien aktualisieren müssen, um den Zugriff auf diese Ressourcen zu ermöglichen. 

Angenommen, Sie haben drei Projekte namens `Heart`, `Star` und `Lightning`, an denen Ihre Mitarbeiter arbeiten. Sie erstellen für jedes Projekt eine IAM-Rolle. Anschließend fügen Sie jeder IAM-Rolle Richtlinien hinzu, um die Ressourcen zu definieren, auf die jeder zugreifen kann, der die IAM-Rolle übernehmen darf. Wenn ein Mitarbeiter Jobs innerhalb des Unternehmens wechselt, weisen Sie ihm eine andere IAM-Rolle zu. Sie können Personen oder Programme mehr als einer IAM-Rolle zuweisen. Für das `Star`-Projekt sind jedoch möglicherweise zusätzliche Ressourcen erforderlich, beispielsweise ein neuer Amazon-EC2-Container. In diesem Fall müssen Sie die der `Star`-IAM-Rolle zugeordnete Richtlinie aktualisieren, um die neue Container-Ressource anzugeben. Andernfalls dürfen `Star`-Projektmitglieder nicht auf den neuen Container zugreifen.

![\[Dieses Diagramm veranschaulicht, dass die rollenbasierte Zugriffskontrolle erfordert, dass jeder Identität eine spezifische, auf einer Auftragsfunktion basierende Richtlinie für den Zugriff auf verschiedene Ressourcen zugewiesen wird.\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/tutorial-abac-rbac-concept-23.png)


**ABAC hat gegenüber dem herkömmlichen RBAC-Modell folgende Vorteile:**
+ **ABAC-Berechtigungen lassen sich einfach an Innovationen anpassen.** Es ist nicht mehr notwendig, dass ein Administrator vorhandene Richtlinien aktualisiert, um den Zugriff auf neue Ressourcen zu erlauben. Angenommen, Sie haben Ihre ABAC-Strategie mit dem `access-project`-Tag entwickelt. Ein Entwickler verwendet die IAM-Rolle mit dem `access-project` = `Heart`-Tag. Wenn Personen des `Heart`-Projekts zusätzliche Amazon EC2-Ressourcen benötigen, kann der Entwickler neue Amazon EC2-Instances mit dem `access-project` = `Heart`-Tag erstellen. Anschließend kann jeder Benutzer des `Heart`-Projekts diese Instances starten und stoppen, da die Tag-Werte übereinstimmen.
+ **ABAC erfordert weniger Richtlinien.** Da Sie keine verschiedenen Richtlinien für verschiedene Job-Funktionen erstellen müssen, erstellen Sie insgesamt weniger Richtlinien. Diese Richtlinien sind einfacher zu verwalten.
+ **Mithilfe von ABAC können Teams dynamisch auf Veränderungen und Wachstum reagieren.** Da Berechtigungen für neue Ressourcen automatisch basierend auf Attributen gewährt werden, müssen Sie Identitäten keine Richtlinien manuell zuweisen. Wenn Ihr Unternehmen beispielsweise bereits ABAC für die Projekte `Star` und `Heart` verwendet, ist es einfacher, ein neues `Lightning`-Projekt hinzuzufügen Ein IAM-Administrator erstellt eine neue IAM-Rolle mit dem `access-project` = `Lightning`-Tag. Es ist nicht notwendig, die Richtlinie zu ändern, um ein neues Projekt zu unterstützen. Jeder, der über Berechtigungen zur Übernahme der IAM-Rolle verfügt, kann Instances erstellen und anzeigen, die mit `access-project` = `Lightning` markiert sind. Ein anderes Szenario ist, wenn ein Teammitglied vom `Heart`-Projekt zum `Lightning`-Projekt wechselt. Um Teammitgliedern Zugriff auf das `Lightning`-Projekt zu gewähren, weist der IAM-Administrator ihnen eine andere IAM-Rolle zu. Es ist nicht notwendig, die Berechtigungsrichtlinien zu ändern.
+ **Detaillierte Berechtigungen sind mit ABAC möglich.** Wenn Sie Richtlinien erstellen, hat es sich bewährt, die [geringsten Rechte zu erteilen](best-practices.md#grant-least-privilege). Bei der Verwendung von herkömmlichem RBAC schreiben Sie eine Richtlinie, die den Zugriff auf bestimmte Ressourcen ermöglicht. Wenn Sie jedoch ABAC verwenden, können Sie Aktionen für alle Ressourcen zulassen, wenn das Tag der Ressource mit dem Tag des Prinzipals übereinstimmt.
+ **Verwenden Sie Mitarbeiterattribute aus Ihrem Firmenverzeichnis mit ABAC.** Sie können Ihren SAML- oder OIDC-Anbieter so konfigurieren, dass Sitzungs-Tags an IAM übergeben werden. Wenn sich Ihre Mitarbeiter zusammenschließen AWS, wendet IAM ihre Attribute auf den daraus resultierenden Prinzipal an. Sie können dann ABAC verwenden, um Berechtigungen basierend auf diesen Attributen zuzulassen oder abzulehnen.

Ein ausführliches Tutorial, das die Verwendung von ABAC in AWS demonstriert, finden Sie unter. [IAM-Tutorial: Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags definieren](tutorial_attribute-based-access-control.md)