Alternativen zu Langzeit-Zugriffsschlüsseln

Programmgesteuerter Zugriff mit AWS Sicherheitsanmeldedaten

Wir empfehlen, nach Möglichkeit kurzfristige Zugriffstasten zu verwenden, um programmatische Aufrufe zu tätigen AWS oder das AWS Command Line Interface Oder zu verwenden. AWS Tools for PowerShell Sie können für diese Zwecke jedoch auch langfristige AWS Zugriffstasten verwenden.

Wenn Sie einen langfristigen Zugriffsschlüssel erstellen, erstellen Sie die Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE) und den geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) als Set. Der geheime Zugriffsschlüssel ist nur zum Zeitpunkt seiner Erstellung zum Download verfügbar. Wenn Sie den geheimen Zugriffsschlüssel nicht herunterladen oder ihn verlieren, müssen Sie einen neuen erstellen.

In vielen Szenarien benötigen Sie keine langfristigen Zugriffsschlüssel, die niemals ablaufen (wie dies bei der Erstellung von Zugriffsschlüsseln für einen IAM Benutzer der Fall ist). Stattdessen können Sie IAM Rollen erstellen und temporäre Sicherheitsanmeldedaten generieren. Temporäre Sicherheitsanmeldeinformationen enthalten eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel, aber sie enthalten auch ein Sicherheitstoken, das angibt, wann die Anmeldeinformationen ablaufen. Nachdem sie abgelaufen sind, sind sie nicht mehr gültig. Weitere Informationen finden Sie unter Alternativen zu Langzeit-Zugriffsschlüsseln

Zugriffsschlüssel, AKIA die mit IDs beginnen, sind langfristige Zugriffsschlüssel für einen IAM Benutzer oder einen AWS-Konto Root-Benutzer. Bei Zugriffsschlüsseln, die mit IDs beginnen, ASIA handelt es sich um temporäre Zugangsschlüssel, die Sie mithilfe von AWS STS Vorgängen erstellen.

Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb von interagieren möchten. AWS Management Console Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

Welcher Benutzer benötigt programmgesteuerten Zugriff?	Bis	Von
Mitarbeiteridentität (In IAM Identity Center verwaltete Benutzer)	Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder AWS APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen zu den AWS CLI finden Sie unter Konfiguration der AWS CLI zur Verwendung AWS IAM Identity Center im AWS Command Line Interface Benutzerhandbuch. Informationen zu AWS SDKs Tools und AWS APIs finden Sie unter IAMIdentity Center-Authentifizierung im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch.
IAM	Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.	Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAMBenutzerhandbuch.
IAM	(Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen dazu AWS CLI finden Sie unter Authentifizierung mithilfe von IAM Benutzeranmeldedaten im AWS Command Line Interface Benutzerhandbuch. Informationen zu AWS SDKs und Tools finden Sie unter Authentifizieren mit langfristigen Anmeldeinformationen im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch. Weitere Informationen finden Sie unter Verwaltung von Zugriffsschlüsseln für IAM Benutzer im IAMBenutzerhandbuch. AWS APIs

Welcher Benutzer benötigt programmgesteuerten Zugriff?

Bis

Von

Mitarbeiteridentität

(In IAM Identity Center verwaltete Benutzer)

Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder AWS APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Informationen zu den AWS CLI finden Sie unter Konfiguration der AWS CLI zur Verwendung AWS IAM Identity Center im AWS Command Line Interface Benutzerhandbuch.
Informationen zu AWS SDKs Tools und AWS APIs finden Sie unter IAMIdentity Center-Authentifizierung im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch.

IAM

Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.

Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAMBenutzerhandbuch.

IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Informationen dazu AWS CLI finden Sie unter Authentifizierung mithilfe von IAM Benutzeranmeldedaten im AWS Command Line Interface Benutzerhandbuch.
Informationen zu AWS SDKs und Tools finden Sie unter Authentifizieren mit langfristigen Anmeldeinformationen im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch.
Weitere Informationen finden Sie unter Verwaltung von Zugriffsschlüsseln für IAM Benutzer im IAMBenutzerhandbuch. AWS APIs

Alternativen zu Langzeit-Zugriffsschlüsseln

Für viele gängige Anwendungsfälle gibt es Alternativen zu langfristigen Zugriffsschlüsseln. Beachten Sie Folgendes, um die Sicherheit Ihres Kontos zu verbessern.

Betten Sie langfristige Zugriffsschlüssel und geheime Zugriffsschlüssel nicht in Ihren Anwendungscode oder in ein Code-Repository ein. Verwenden AWS Secrets Manager Sie stattdessen eine andere Lösung zur Verwaltung von Geheimnissen, damit Sie Schlüssel nicht im Klartext fest codieren müssen. Die Anwendung oder der Client kann dann bei Bedarf Geheimnisse abrufen. Weitere Informationen finden Sie unter Was ist? AWS Secrets Manager im AWS Secrets Manager Benutzerhandbuch.

Verwenden Sie IAM Rollen, um temporäre Sicherheitsanmeldedaten zu generieren — Verwenden Sie nach Möglichkeit immer Mechanismen zur Ausgabe temporärer Sicherheitsanmeldedaten und nicht langfristige Zugriffsschlüssel. Temporäre Sicherheitsanmeldeinformationen sind sicherer, da sie nicht beim Benutzer gespeichert, sondern dynamisch generiert und dem Benutzer auf Anfrage bereitgestellt werden. Temporäre Sicherheitsanmeldeinformationen haben eine begrenzte Lebensdauer, sodass Sie sie nicht verwalten oder aktualisieren müssen. Zu den Mechanismen, die temporäre Zugriffsschlüssel bereitstellen, gehören IAM Rollen oder die Authentifizierung eines IAM Identity Center-Benutzers. Für Maschinen, die außerhalb von AWS Ihnen laufen, können Sie AWS Identity and Access Management Roles Anywhere verwenden.
Verwenden Sie Alternativen zu langfristigen Zugriffsschlüsseln für die AWS Command Line Interface (AWS CLI) oder die aws-shell – Zu den Alternativen gehören die folgenden.
- AWS CloudShellist eine browserbasierte, vorab authentifizierte Shell, die Sie direkt von der aus starten können. AWS Management Console Sie können AWS CLI Befehle AWS-Services über Ihre bevorzugte Shell (Bash, Powershell oder Z-Shell) ausführen. Wenn Sie dies tun, müssen Sie keine Befehlszeilentools herunterladen oder installieren. Weitere Informationen finden Sie unter Was ist AWS CloudShell? im AWS CloudShell -Benutzerhandbuch.
- AWS CLI Integration von Version 2 mit AWS IAM Identity Center (IAMIdentity Center). Sie können Benutzer authentifizieren und kurzfristige Anmeldeinformationen für die Ausführung von AWS CLI Befehlen bereitstellen. Weitere Informationen finden Sie unter Integration AWS CLI mit IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch und Konfiguration für AWS CLI die Verwendung von IAM Identity Center im AWS Command Line Interface Benutzerhandbuch.
Erstellen Sie keine langfristigen Zugriffsschlüssel für menschliche Benutzer, die Zugriff auf Anwendungen benötigen, oder AWS-Services — IAM Identity Center kann temporäre Zugangsdaten für den Zugriff Ihrer externen IdP-Benutzer generieren. AWS-Services Dadurch entfällt die Notwendigkeit, langfristige Anmeldeinformationen in IAM zu erstellen und zu verwalten. Erstellen Sie in IAM Identity Center einen IAM Identity Center-Berechtigungssatz, der den externen IdP-Benutzern Zugriff gewährt. Weisen Sie dann dem Berechtigungssatz in der ausgewählten AWS-Konten Gruppe eine Gruppe aus IAM Identity Center zu. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center, Connect zu Ihrem externen Identitätsanbieter herstellen und Berechtigungssätze im AWS IAM Identity Center Benutzerhandbuch.
Speichern Sie langfristige Zugriffsschlüssel nicht innerhalb eines AWS Rechendienstes, sondern weisen Sie Computing-Ressourcen eine IAM Rolle zu. Dadurch werden automatisch temporäre Anmeldeinformationen bereitgestellt, um Zugriff zu gewähren. Wenn Sie beispielsweise ein Instance-Profil erstellen, das an eine EC2 Amazon-Instance angehängt ist, können Sie der Instance eine AWS Rolle zuweisen und sie für alle ihre Anwendungen verfügbar machen. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Amazon-Instance ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Sicherheitsnachweise

AWS Richtlinien für Sicherheitsaudits