Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto

PDF
RSS
Fokusmodus
Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto - AWS Identitäts- und Zugriffsverwaltung
Schützen Sie Ihre Root-Benutzer-Anmeldedaten, um eine unbefugte Nutzung zu verhindernVerwenden eines sicheren Root-Benutzerpassworts zum Schutz des ZugriffsSichern Ihren Stammbenutzeranmeldung mit Multi-Faktor-Authentifizierung (MFA)Keine Zugriffsschlüssel für den Root-Benutzer erstellenVerwenden Sie nach Möglichkeit die Genehmigung mehrerer Personen für die Anmeldung als Root-BenutzerVerwenden einer Gruppen-E-Mail-Adresse für Root-Benutzer-AnmeldeinformationenEinschränken des Zugriffs auf Mechanismen zur KontowiederherstellungSichern von Root-Benutzer-Anmeldedaten für Ihr UnternehmenskontoÜberwachung von Zugang und Nutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie ein Konto zum ersten Mal erstellen AWS-Konto, verwenden Sie zunächst einen Satz von Standardanmeldedaten mit vollständigem Zugriff auf alle AWS Ressourcen in Ihrem Konto. Diese Identität wird als AWS-Konto -Root-Benutzer bezeichnet. Wir empfehlen dringend, dass Sie nicht auf den AWS-Konto Root-Benutzer zugreifen, es sei denn, Sie haben eine Aufgabe, für die Root-Benutzeranmeldedaten erforderlich sind. Sie müssen Ihre Root-Benutzeranmeldeinformationen und die Mechanismen zur Kontowiederherstellung sichern, um sicherzustellen, dass Sie Ihre Anmeldeinformationen mit weitreichenden Berechtigungen nicht für unbefugte Zwecke preisgeben.

Für mehrere, über Organizations AWS-Konten verwaltete Organisationen empfehlen wir, die Root-Benutzeranmeldedaten aus den Mitgliedskonten zu entfernen, um eine unbefugte Nutzung zu verhindern. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen sowie die Multi-Faktor-Authentifizierung (MFA) deaktivieren und löschen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

Anstatt auf den Root-Benutzer zuzugreifen, erstellen Sie einen Administratorbenutzer für alltägliche Aufgaben.

Mit Ihrem administrativen Benutzer können Sie dann zusätzliche Identitäten für Benutzer erstellen, die Zugriff auf Ressourcen in Ihrem AWS-Konto benötigen. Wir empfehlen dringend, dass Benutzer sich beim Zugriff mit temporären Anmeldeinformationen authentifizieren müssen. AWS

  • Verwenden Sie diese Option für eine einzelne AWS-Konto, eigenständige Version, IAM-Rollen um Identitäten in Ihrem Konto mit bestimmten Berechtigungen zu erstellen. Rollen sollten von jedem übernommen werden können, der sie benötigt. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. Im Gegensatz zu IAM-Rollen verfügen IAM-Benutzer über langfristige Anmeldeinformationen wie Passwörter und Zugangsschlüssel. Wenn möglich, empfehlen die bewährten Methoden, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben.

  • Verwenden Sie für mehrere über Organizations AWS-Konten verwaltete IAM Identity Center Workforce-Benutzer. Mit IAM Identity Center können Sie alle Benutzer AWS-Konten und die Berechtigungen innerhalb dieser Konten zentral verwalten. Verwalten Sie Ihre Benutzeridentitäten mit IAM Identity Center oder von einem externen Identitätsanbieter. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Schützen Sie Ihre Root-Benutzer-Anmeldedaten, um eine unbefugte Nutzung zu verhindern

Schützen Sie Ihre Root-Benutzeranmeldeinformationen und verwenden Sie sie nur für die Aufgaben, die sie erfordern. Um eine unbefugte Nutzung zu verhindern, geben Sie Ihr Root-Benutzerpasswort, Ihre MFA, Ihre Zugriffsschlüssel, CloudFront Schlüsselpaare oder Ihre Signaturzertifikate nicht an Dritte weiter, außer an Personen, die aus geschäftlichen Gründen auf den Root-Benutzer zugreifen müssen.

Speichern Sie das Root-Benutzerkennwort nicht zusammen mit Tools, die von AWS-Services einem Konto abhängen, auf das mit demselben Passwort zugegriffen wird. Wenn Sie Ihr Root-Benutzer-Passwort verlieren oder vergessen, können Sie nicht auf diese Tools zugreifen. Wir empfehlen Ihnen, der Ausfallsicherheit Priorität einzuräumen und zu erwägen, dass zwei oder mehr Personen den Zugriff auf den Speicherort autorisieren müssen. Der Zugriff auf das Passwort oder dessen Speicherort sollten protokolliert und überwacht werden.

Verwenden eines sicheren Root-Benutzerpassworts zum Schutz des Zugriffs

Es empfiehlt sich, ein sicheres und eindeutiges Passwort zu verwenden. Tools wie Passwort-Manager mit starken Algorithmen zur Passwortgenerierung können Ihnen dabei helfen, diese Ziele zu erreichen. AWS setzt voraus, dass Ihr Passwort die folgenden Bedingungen erfüllt:

  • Es muss mindestens 8 Zeichen und maximal 128 Zeichen lang sein.

  • Es muss mindestens drei der folgenden Zeichentypen enthalten: Großbuchstaben, Kleinbuchstaben, Zahlen und ! @ # $ % ^ & * () <> [] {} | _+-= Symbole.

  • Es darf nicht mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse identisch sein.

Weitere Informationen finden Sie unter Ändern Sie das Passwort für Root-Benutzer des AWS-Kontos.

Sichern Ihren Stammbenutzeranmeldung mit Multi-Faktor-Authentifizierung (MFA)

Da ein Root-Benutzer privilegierte Aktionen ausführen kann, ist es wichtig, zusätzlich zur E-Mail-Adresse und dem Passwort als Anmeldedaten, dem Root-Benutzer MFA als zweiten Authentifizierungsfaktor hinzuzufügen. Sie können bis zu acht MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen bei Ihrem AWS-Konto Root-Benutzer registrieren.

Wir empfehlen dringend, mehrere MFA-Geräte für Ihre Root-Benutzeranmeldedaten zu aktivieren, um Ihrer Sicherheitsstrategie zusätzliche Flexibilität und Stabilität zu verleihen. Für eigenständige Konten und Verwaltungskonten verlangt die Durchsetzung von MFA, dass Root-Benutzer MFA innerhalb von 35 Tagen nach ihrem ersten Anmeldeversuch registrieren müssen, sofern sie nicht bereits aktiviert ist. Für Mitgliedskonten ist die Einrichtung von MFA derzeit optional, die Durchsetzung ist jedoch für Frühjahr 2025 geplant, sodass eine MFA-Registrierung innerhalb von 35 Tagen erforderlich ist, um mit dem fortzufahren. AWS Management Console

Keine Zugriffsschlüssel für den Root-Benutzer erstellen

Mit Zugriffstasten können Sie Befehle in der AWS Befehlszeilenschnittstelle (AWS CLI) ausführen oder API-Operationen von einem der AWS SDKs aus verwenden. Es wird dringend empfohlen, keine Zugriffsschlüsselpaare für Ihren Root-Benutzer zu erstellen, da der Root-Benutzer vollen Zugriff auf alle AWS-Services Ressourcen im Konto hat, einschließlich der Rechnungsinformationen.

Da nur für wenige Aufgaben der Root-Benutzer erforderlich ist und Sie diese Aufgaben in der Regel selten ausführen, empfehlen wir, sich bei dem anzumelden, um Root-Benutzeraufgaben ausführen AWS Management Console zu können. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die Alternativen zu Langzeit-Zugriffsschlüsseln.

Verwenden Sie nach Möglichkeit die Genehmigung mehrerer Personen für die Anmeldung als Root-Benutzer

Erwägen Sie, die Genehmigung durch mehrere Personen zu verwenden, um sicherzustellen, dass keine Person sowohl auf MFA als auch auf das Passwort für den Root-Benutzer zugreifen kann. Einige Unternehmen fügen eine zusätzliche Sicherheitsebene hinzu, indem sie eine Gruppe von Administratoren mit Zugriff auf das Passwort und eine weitere Gruppe von Administratoren mit Zugriff auf MFA einrichten. Ein Mitglied aus jeder Gruppe muss sich als Root-Benutzer anmelden.

Verwenden einer Gruppen-E-Mail-Adresse für Root-Benutzer-Anmeldeinformationen

Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird und empfangene Nachrichten direkt an eine Gruppe von Benutzern weiterleitet. Wenn Sie den Kontoinhaber kontaktieren AWS müssen, verringert dieser Ansatz das Risiko von Verzögerungen bei der Beantwortung, selbst wenn Personen im Urlaub sind, krank sind oder das Unternehmen verlassen haben. Die E-Mail-Adresse, die für den Root-Benutzer verwendet wird, sollte nicht für andere Zwecke verwendet werden.

Einschränken des Zugriffs auf Mechanismen zur Kontowiederherstellung

Stellen Sie sicher, dass Sie einen Prozess zur Verwaltung der Wiederherstellungsmechanismen für Root-Benutzer-Anmeldeinformationen entwickeln, für den Fall, dass Sie in Notfällen wie der Übernahme Ihres Administratorkontos darauf zugreifen müssen.

  • Stellen Sie sicher, dass Sie Zugriff auf Ihr E-Mail-Postfach für Root-Benutzer haben, damit Sie ein verlorenes oder vergessenes Root-Benutzer-Passwort zurücksetzen können.

  • Wenn die MFA für Ihren AWS-Konto Root-Benutzer verloren geht, beschädigt ist oder nicht funktioniert, können Sie sich mit einem anderen MFA anmelden, der mit denselben Root-Benutzeranmeldeinformationen registriert ist. Wenn Sie den Zugriff auf all Ihre verloren haben MFAs, benötigen Sie sowohl die Telefonnummer als auch die E-Mail-Adresse, mit der Sie Ihr Konto registriert haben, um auf dem neuesten Stand zu sein und Ihr MFA wiederherzustellen. Einzelheiten finden Sie unter Wiederherstellen eines Root-Benutzer-MFA-Geräts..

  • Wenn Sie Ihr Root-Benutzer-Passwort und Ihre MFA nicht speichern möchten, kann die in Ihrem Konto registrierte Telefonnummer als alternative Methode zur Wiederherstellung der Root-Benutzer-Anmeldeinformationen verwendet werden. Stellen Sie sicher, dass Sie Zugriff auf die Kontakttelefonnummer haben, halten Sie die Telefonnummer auf dem neuesten Stand und schränken Sie ein, wer Zugriff auf die Verwaltung der Telefonnummer hat.

Niemand sollte Zugriff sowohl auf den E-Mail-Posteingang sowie auf die Telefonnummer haben, da es sich bei beiden um Bestätigungskanäle handelt, mit denen Sie Ihr Root-Benutzer-Passwort wiederherstellen können. Es ist wichtig, dass zwei Personengruppen diese Kanäle verwalten. Eine Gruppe sollte Zugriff auf Ihre primäre E-Mail-Adresse haben und eine andere Gruppe sollte Zugriff auf die primäre Telefonnummer haben, um den Zugriff auf Ihr Konto als Root-Benutzer wiederherzustellen.

Sichern von Root-Benutzer-Anmeldedaten für Ihr Unternehmenskonto

Wenn Sie bei Organizations zu einer Strategie mit mehreren Konten übergehen, AWS-Konten hat jedes Ihrer eigenen Root-Benutzeranmeldedaten, die Sie sichern müssen. Das Konto, mit dem Sie Ihre Organisation erstellen, ist das Verwaltungskonto, und die übrigen Konten in Ihrer Organisation sind Mitgliedskonten.

Sichere Root-Benutzeranmeldedaten für das Verwaltungskonto

AWS erfordert, dass Sie MFA für den Root-Benutzer des Verwaltungskontos Ihrer Organisation registrieren. Die MFA-Registrierung muss beim ersten Anmeldeversuch oder innerhalb der 35-tägigen Nachfrist abgeschlossen werden. Wenn MFA innerhalb dieser Zeit nicht aktiviert ist, ist eine Registrierung erforderlich, bevor Sie auf die AWS Management Console zugreifen können. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos.

Sichern von Root-Benutzer-Anmeldeinformationen für Mitgliedskonten

Wenn Sie Organisationnen zur Verwaltung mehrerer Konten verwenden, gibt es zwei Strategien, die Sie anwenden können, um den Zugriff von Root-Benutzern in Ihren Organisationen zu sichern.

  • Zentralisieren Sie den Root-Zugriff und entfernen Sie die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten. Entfernen Sie die Root-Benutzeranmeldedaten, Zugriffsschlüssel und Signaturzertifikate und deaktivieren und löschen Sie die Multi-Faktor-Authentifizierung (MFA). Wenn diese Strategie verwendet wird, können sich Mitgliedskonten nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

  • Schützen Sie die Root-Benutzeranmeldeinformationen Organizations Unternehmenskonten mit MFA, um die Kontosicherheit zu erhöhen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos.

Einzelheiten finden Sie unter Zugreifen auf Mitgliedskonten in Ihrer Organisation im Organisationen-Benutzerhandbuch.

Einrichten von präventiven Sicherheitskontrollen in Organisationen mithilfe einer Service-Kontrollrichtlinie (SCP)

Wenn für die Mitgliedskonten in Ihrer Organisation Root-Benutzer-Anmeldeinformationen aktiviert sind, können Sie eine SCP anwenden, um den Zugriff auf den Root-Benutzer des Mitgliedskontos einzuschränken. Das Verweigern aller Root-Benutzeraktionen in Ihren Mitgliedskonten, mit Ausnahme bestimmter Root-Aktionen, trägt dazu bei, unbefugten Zugriff zu verhindern. Einzelheiten finden Sie unter Verwenden eines SCP zum Einschränken der Aktionen des Root-Benutzers in Ihren Mitgliedskonten.

Überwachung von Zugang und Nutzung

Wir empfehlen Ihnen, Ihre derzeitigen Nachverfolgungsmechanismen zu verwenden, um die Anmeldung und Nutzung von Anmeldeinformationen von Root-Benutzern zu überwachen, zu warnen und zu melden, einschließlich Warnungen, die die Anmeldung und Nutzung von Root-Benutzern ankündigen. Die folgenden Services können dazu beitragen, sicherzustellen, dass die Nutzung der Anmeldeinformationen des Root-Benutzers nachverfolgt wird, und Sicherheitsprüfungen durchzuführen, die dazu beitragen können, eine unbefugte Nutzung zu verhindern.

Anmerkung

CloudTrail protokolliert verschiedene Anmeldeereignisse für Root-Benutzer und privilegierte Root-Benutzersitzungen. Diese privilegierten Sitzungen ermöglichen die Ausführung von Aufgaben, für die Root-Benutzer-Anmeldeinformationen erforderlich sind, in Mitgliedskonten in Ihrer Organisation. Sie können das Anmeldeereignis verwenden, um die Aktionen zu identifizieren, die vom Verwaltungskonto oder einem delegierten Administrator mithilfe von sts:AssumeRoot ausgeführt wurden. Weitere Informationen finden Sie unter Verfolgen von privilegierten Aufgaben in CloudTrail.

  • Wenn Sie über die Anmeldeaktivitäten von Root-Benutzern in Ihrem Konto informiert werden möchten, können Sie Amazon nutzen, um eine Ereignisregel CloudWatch zu erstellen, die erkennt, wenn Root-Benutzeranmeldedaten verwendet werden, und eine Benachrichtigung an Ihren Sicherheitsadministrator auslöst. Einzelheiten finden Sie unter AWS-Konto Root-Benutzeraktivitäten überwachen und benachrichtigen.

  • Wenn Sie Benachrichtigungen einrichten möchten, um Sie über genehmigte Root-Benutzeraktionen zu informieren, können Sie Amazon EventBridge zusammen mit Amazon SNS nutzen, um eine EventBridge Regel zu schreiben, um die Nutzung von Root-Benutzern für die jeweilige Aktion zu verfolgen und Sie mithilfe eines Amazon SNS SNS-Themas zu benachrichtigen. Ein Beispiel finden Sie unter Senden einer Benachrichtigung, wenn ein Amazon-S3-Objekt erstellt wird.

  • Wenn Sie den Dienst zur Bedrohungserkennung GuardDuty bereits verwenden, können Sie dessen Funktion erweitern, sodass Sie benachrichtigt werden, wenn Root-Benutzeranmeldedaten in Ihrem Konto verwendet werden.

Die Warnmeldungen sollten unter anderem die E-Mail-Adresse des Root-Benutzers enthalten. Halten Sie Verfahren für die Reaktion auf Warnungen bereit, damit Mitarbeiter, die eine Warnung zum Root-Benutzerzugriff erhalten, verstehen, wie sie überprüfen können, ob Root-Benutzerzugriff erwartet wird, und wie sie eskalieren können, wenn sie glauben, dass ein Sicherheitsvorfall vorliegt. Ein Beispiel für die Konfiguration von Warnmeldungen finden Sie unter AWS-Konto Root-Benutzeraktivitäten überwachen und benachrichtigen.

Auswertung der MFA-Compliance von Root-Benutzern

Die folgenden Services können bei der Bewertung der MFA-Compliance für Root-Benutzer-Anmeldeinformationen helfen.

Wenn Sie die bewährte Methode zum Entfernen der Root-Benutzer-Anmeldeinformationen befolgen, werden MFA-bezogene Regeln als nicht konform zurückgegeben.

Wir empfehlen, die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten in Ihrer Organisation zu entfernen, um eine unbefugte Nutzung zu verhindern. Nachdem Sie die Root-Benutzeranmeldedaten, einschließlich MFA, entfernt haben, werden diese Mitgliedskonten als nicht zutreffend bewertet.

  • AWS Config enthält Regeln zur Überwachung der Einhaltung der bewährten Methoden für Root-Benutzer. Sie können AWS Config verwaltete Regeln verwenden, um MFA für Root-Benutzeranmeldedaten durchzusetzen. AWS Config kann auch Zugriffsschlüssel für den Root-Benutzer identifizieren.

  • Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices zu bewerten, z. B. wenn Sie MFA für den Root-Benutzer haben und keine Root-Benutzerzugriffsschlüssel haben. Einzelheiten zu den verfügbaren Regeln finden Sie unter AWS Identity and Access Management -Steuerelemente im Security-Hub-Benutzerhandbuch.

  • Trusted Advisor bietet eine Sicherheitsüberprüfung, damit Sie wissen, ob MFA für das Root-Benutzerkonto nicht aktiviert ist. Weitere Informationen finden Sie unter MFA im Root-Konto im AWS -Support-Benutzerhandbuch.

Wenn Sie ein Sicherheitsproblem in Ihrem Konto melden möchten, lesen Sie Verdächtige E-Mails melden oder Meldung von Schwachstellen. Alternativ können Sie sich an AWS wenden, um Unterstützung und zusätzliche Hilfestellung zu erhalten.

Auf dieser Seite

Related resources

AWS Identity and Access Management API-Referenz
AWS CLI Befehle für AWS Identity and Access Management
SDKs und Werkzeuge 

Related resources

AWS Identity and Access Management API-Referenz
AWS CLI Befehle für AWS Identity and Access Management
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.