

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Sicherheitsnachweise
<a name="security-creds"></a>

Bei der Interaktion mit geben Sie Ihre AWS *Sicherheitsanmeldedaten* an AWS, um zu überprüfen, wer Sie sind und ob Sie berechtigt sind, auf die von Ihnen angeforderten Ressourcen zuzugreifen. AWS verwendet die Sicherheitsanmeldedaten, um Ihre Anfragen zu authentifizieren und zu autorisieren.

Wenn Sie z. B. eine geschützte Datei aus einem Amazon Simple Storage Service (Amazon S3)-Bucket herunterladen möchten, müssen Ihre Anmeldeinformationen diesen Zugriff erlauben. Wenn aus Ihren Anmeldeinformationen nicht hervorgeht, dass Sie zum Herunterladen der Datei berechtigt sind, AWS lehnt Ihre Anfrage ab. Ihre AWS Sicherheitsanmeldedaten sind jedoch nicht erforderlich, um eine Datei in einem Amazon S3 S3-Bucket herunterzuladen, der öffentlich geteilt wird.

Es gibt verschiedene Benutzertypen AWS, von denen jeder seine eigenen Sicherheitsanmeldedaten hat: 
+ **Kontoinhaber (Root-Benutzer)** — Der Benutzer, der das erstellt hat AWS-Konto und vollen Zugriff hat.
+ **AWS IAM Identity Center Benutzer — Benutzer**, die in verwaltet AWS IAM Identity Center werden.
+ **Verbundprinzipale** — Benutzer von externen Identitätsanbietern, denen AWS über den Verbund temporärer Zugriff gewährt wird. Weitere Informationen zu Verbundidentitäten finden Sie unter [Identitätsanbieter und Verbund zu AWS](id_roles_providers.md).
+ **IAM-Benutzer — Einzelne Benutzer**, die innerhalb des AWS Identity and Access Management (IAM-) Dienstes erstellt wurden.

Benutzer verfügen entweder über langfristige oder temporäre Sicherheitsanmeldeinformationen. Root-Benutzer, IAM-Benutzer und Zugriffsschlüssel haben langfristige Sicherheitsanmeldeinformationen, die nicht ablaufen. Um langfristige Anmeldeinformationen zu schützen, müssen Prozesse zur [Verwaltung von Zugriffsschlüsseln](id_credentials_access-keys.md), zum [Ändern von Passwörtern](id_credentials_passwords.md) und zum [Aktivieren von MFA](id_credentials_mfa.md) vorhanden sein. 

Um die Verwaltung von Root-Benutzeranmeldedaten für alle Mitgliedskonten in zu vereinfachen AWS Organizations, können Sie die Root-Benutzeranmeldedaten Ihrer AWS-Konten verwalteten Benutzer zentral sichern. AWS Organizations[Root-Zugriff für Mitgliedskonten zentral verwalten](id_root-user.md#id_root-user-access-management)ermöglicht es Ihnen, Root-Benutzeranmeldedaten zentral zu entfernen und eine langfristige Wiederherstellung zu verhindern und so unbeabsichtigten Root-Zugriff in großem Umfang zu verhindern.

IAM-Rollen und AWS STS föderierte Benutzerprinzipale verfügen über temporäre Sicherheitsanmeldedaten. Benutzer im AWS IAM Identity Center Temporäre Sicherheitsanmeldeinformationen laufen nach einem definierten Zeitraum ab oder wenn der Benutzer seine Sitzung beendet. Temporäre Anmeldeinformationen funktionieren fast genauso wie die langfristigen Anmeldeinformationen, mit folgenden Unterschieden:
+ Temporäre Sicherheitsanmeldeinformationen sind über einen *kurzen Zeitraum* gültig, wie der Name schon sagt. Sie können mit einer Gültigkeitsdauer von wenigen Minuten bis mehrere Stunden konfiguriert werden. Wenn die Anmeldeinformationen abgelaufen sind, werden sie nicht AWS mehr erkannt und es ist auch kein Zugriff mehr über API-Anfragen möglich, die mit ihnen gestellt wurden.
+ Temporäre Sicherheitsanmeldeinformationen werden nicht mit dem Benutzer gespeichert, sondern auf Anforderung des Benutzers dynamisch generiert und bereitgestellt. Wenn (oder sogar bevor) die temporären Anmeldeinformationen ablaufen, kann der Benutzer neue Anmeldeinformationen anfordern, solange der anfordernde Benutzer weiterhin dazu berechtigt ist.

Daher haben temporäre Anmeldeinformationen die folgenden Vorteile gegenüber langfristigen Anmeldeinformationen:
+ Sie müssen keine langfristigen AWS Sicherheitsnachweise verteilen oder in eine Anwendung einbetten.
+ Sie können Benutzern Zugriff auf Ihre AWS Ressourcen gewähren, ohne eine AWS Identität für sie definieren zu müssen. Temporäre Anmeldeinformationen sind die Grundlage für [Rollen und den Identitätsverbund](id_roles.md).
+ Die temporären Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie aktualisieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können die Gültigkeit der Anmeldeinformationen bis zu einem bestimmten Höchstwert festlegen. 

## Sicherheitsüberlegungen
<a name="security-considerations-ref"></a>

Wir empfehlen, die folgenden Informationen zu berücksichtigen, wenn Sie die Datenschutzvorkehrungen für Ihre AWS-Konto festlegen:
+  Wenn Sie einen erstellen AWS-Konto, erstellen wir das Konto Root-Benutzer. Diese Anmeldeinformationen des Root-Benutzers (Kontoinhabers) ermöglichen vollständigen Zugriff auf alle Ressourcen des Kontos. Die erste Aufgabe, die Sie mit dem Root-Benutzer ausführen, besteht darin, einem anderen Benutzer Administratorrechte zu gewähren, AWS-Konto sodass Sie die Nutzung des Root-Benutzers minimieren. 
+ Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene für Benutzer, die auf Ihr AWS-Konto zugreifen können. Für zusätzliche Sicherheit empfehlen wir, dass Sie MFA für die Root-Benutzer des AWS-Kontos Anmeldeinformationen und alle IAM-Benutzer verlangen. Weitere Informationen finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).
+ AWS erfordert unterschiedliche Typen von Sicherheitsanmeldedaten, je nachdem, wie Sie darauf zugreifen AWS und welcher AWS Benutzertyp Sie sind. Beispielsweise verwenden Sie Anmeldeinformationen für die AWS-Managementkonsole Zeit, in der Sie Zugriffstasten verwenden, um programmatische Aufrufe zu tätigen. AWS*Hilfe bei der Bestimmung Ihres Benutzertyps und Ihrer Anmeldeseite finden Sie im Benutzerhandbuch unter [Was ist AWS Anmeldung](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html).AWS-Anmeldung *
+ Sie können keine IAM-Richtlinien verwenden, um dem Root-Benutzer den Zugriff auf Ressourcen explizit zu verweigern. Sie können nur eine AWS Organizations [Service Control Policy (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) verwenden, um die Berechtigungen des Root-Benutzers einzuschränken. 
+ Wenn Sie Ihr Root-Benutzer-Passwort vergessen oder verlieren, müssen Sie Zugriff auf die mit Ihrem Konto verknüpfte E-Mail-Adresse haben, um es zurücksetzen zu können.
+ Wenn Sie Ihre Root-Benutzer-Zugangsschlüssel verlieren, müssen Sie sich in Ihrem Konto als Root-Benutzer anmelden können, um neue zu erstellen.
+ Verwenden Sie Ihren Root-Benutzer nicht für alltägliche Aufgaben. Verwenden Sie ihn nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern](id_root-user.md#root-user-tasks).
+ Sicherheitsanmeldeinformationen gelten jeweils für ein Konto. Wenn Sie Zugriff auf mehrere AWS-Konten haben, verfügen Sie über separate Anmeldeinformationen für jedes Konto.
+ [Richtlinien](access_policies.md) legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Benutzergruppe auf welchen AWS Ressourcen und unter welchen Bedingungen ausführen kann. Mithilfe von Richtlinien können Sie den Zugriff auf AWS-Services und die Ressourcen in Ihrem sicher kontrollieren AWS-Konto. Wenn Sie Berechtigungen als Reaktion auf ein Sicherheitsereignis ändern oder widerrufen müssen, löschen oder ändern Sie die Richtlinien, anstatt Änderungen direkt an der Identität vorzunehmen.
+ Stellen Sie sicher, dass Sie die Anmeldeinformationen für Ihren *Emergency-Access*-IAM-Benutzer und alle Zugriffsschlüssel, die Sie für den programmatischen Zugriff erstellt haben, an einem sicheren Ort speichern. Wenn Sie Ihre Zugriffsschlüssel verlieren, müssen Sie sich in Ihrem Konto anmelden, um neue zu erstellen.
+ Es wird dringend empfohlen, temporäre Anmeldeinformationen zu verwenden, die von IAM-Rollen und Verbundprinzipalen bereitgestellt werden, anstelle der langfristigen Anmeldeinformationen, die von IAM-Benutzern und Zugriffsschlüsseln bereitgestellt werden.

# Programmgesteuerter Zugriff mit AWS Sicherheitsanmeldedaten
<a name="security-creds-programmatic-access"></a>

Wir empfehlen, nach Möglichkeit kurzfristige Zugriffstasten zu verwenden, um programmatische Aufrufe zu tätigen AWS oder das AWS Command Line Interface Oder zu verwenden. AWS -Tools für PowerShell Sie können für diese Zwecke jedoch auch langfristige AWS Zugriffstasten verwenden.

Wenn Sie einen langfristigen Zugriffsschlüssel erstellen, erstellen Sie die Zugriffsschlüssel-ID (z. B. `AKIAIOSFODNN7EXAMPLE`) und den geheimen Zugriffsschlüssel (z. B. `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) als Set. Der geheime Zugriffsschlüssel ist nur zum Zeitpunkt seiner Erstellung zum Download verfügbar. Wenn Sie den geheimen Zugriffsschlüssel nicht herunterladen oder ihn verlieren, müssen Sie einen neuen erstellen.

In vielen Fällen benötigen Sie keine langfristigen Zugriffsschlüssel, die nie ablaufen (wie es bei IAM-Benutzern der Fall ist, wenn Sie Zugriffsschlüssel erstellen). Erstellen Sie stattdessen IAM-Rollen und generieren Sie temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen enthalten eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel, aber sie enthalten auch ein Sicherheitstoken, das angibt, wann die Anmeldeinformationen ablaufen. Nachdem sie abgelaufen sind, sind sie nicht mehr gültig. Weitere Informationen finden Sie unter [Alternativen zu Langzeit-Zugriffsschlüsseln](#security-creds-alternatives-to-long-term-access-keys).

Zugriffsschlüssel, die mit IDs beginnen, `AKIA` sind langfristige Zugriffsschlüssel für einen IAM-Benutzer oder einen AWS-Konto Root-Benutzer. Bei Zugriffsschlüsseln, die mit IDs beginnen, `ASIA` handelt es sich um temporäre Zugangsschlüssel, die Sie mithilfe von AWS STS Vorgängen erstellen.

Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb von interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.


****  

| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von | 
| --- | --- | --- | 
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs |  Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/security-creds-programmatic-access.html)  | 
|  Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden)  | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. |  Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/security-creds-programmatic-access.html)  | 
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. | 
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs |  Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/security-creds-programmatic-access.html)  | 

## Alternativen zu Langzeit-Zugriffsschlüsseln
<a name="security-creds-alternatives-to-long-term-access-keys"></a>

Für viele gängige Anwendungsfälle gibt es Alternativen zu langfristigen Zugriffsschlüsseln. Beachten Sie Folgendes, um die Sicherheit Ihres Kontos zu verbessern.
+ **Betten Sie langfristige Zugriffsschlüssel und geheime Zugriffsschlüssel nicht in Ihren Anwendungscode oder in ein Code-Repository ein.** Verwenden AWS Secrets Manager Sie stattdessen eine andere Lösung zur Verwaltung von Geheimnissen, damit Sie Schlüssel nicht im Klartext fest codieren müssen. Die Anwendung oder der Client kann dann bei Bedarf Geheimnisse abrufen. Weitere Informationen finden Sie unter [Was ist? AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) im *AWS Secrets Manager Benutzerhandbuch*.
+ ** Verwenden Sie nach Möglichkeit IAM-Rollen, um temporäre Sicherheitsanmeldeinformationen zu generieren –** Verwenden Sie nach Möglichkeit immer Mechanismen, um temporäre Sicherheitsanmeldeinformationen auszugeben, anstatt langfristige Zugriffsschlüssel. Temporäre Sicherheitsanmeldeinformationen sind sicherer, da sie nicht beim Benutzer gespeichert, sondern dynamisch generiert und dem Benutzer auf Anfrage bereitgestellt werden. Temporäre Sicherheitsanmeldeinformationen haben eine begrenzte Lebensdauer, sodass Sie sie nicht verwalten oder aktualisieren müssen. Zu den Mechanismen, die temporäre Zugriffsschlüssel bereitstellen, gehören IAM-Rollen oder die Authentifizierung eines IAM-Identity-Center-Benutzers. Für Maschinen, die außerhalb von laufen, können AWS Sie [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden. 
+ ** Verwenden Sie Alternativen zu langfristigen Zugriffsschlüsseln für die AWS Command Line Interface (AWS CLI) oder die `aws-shell` –** Zu den Alternativen gehören die folgenden.
  + **Melden Sie sich mit Konsolenanmeldedaten für die AWS lokale Entwicklung an**. Sie können AWS CLI Version 2 und den `aws login` Befehl verwenden, um kurzfristige Anmeldeinformationen zu generieren, um AWS CLI Befehle mit Ihren Konsolenanmeldeinformationen auszuführen. Weitere Informationen finden Sie im *AWS Command Line Interface Benutzerhandbuch* unter [Anmeldung für AWS lokale Entwicklung](https://docs.aws.amazon.com//cli/latest/userguide/cli-authentication-user.html). 
  + **AWS CloudShell**ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt von der aus starten können. AWS-Managementkonsole Sie können AWS CLI Befehle AWS-Services über Ihre bevorzugte Shell (Bash, Powershell oder Z-Shell) ausführen. Wenn Sie dies tun, müssen Sie keine Befehlszeilentools herunterladen oder installieren. Weitere Informationen finden Sie unter [Was ist AWS CloudShell?](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) im *AWS CloudShell -Benutzerhandbuch*.
+ **Erstellen Sie keine langfristigen Zugriffsschlüssel für menschliche Benutzer, die Zugriff auf Anwendungen benötigen, oder AWS-Services —** IAM Identity Center kann temporäre Zugangsdaten für den Zugriff Ihrer externen IdP-Benutzer generieren. AWS-Services Dadurch entfällt die Notwendigkeit, langfristige Anmeldeinformationen in IAM zu erstellen und zu verwalten. Erstellen Sie im IAM Identity Center eine IAM-Identity-Center-Berechtigungsgruppe, die den externen IdP-Benutzern Zugriff gewährt. Weisen Sie dann dem Berechtigungssatz in der ausgewählten Gruppe eine Gruppe aus dem IAM Identity Center zu. AWS-Konten Weitere Informationen finden Sie unter [Was ist AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html), [Connect zu Ihrem externen Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) herstellen und [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) im *AWS IAM Identity Center Benutzerhandbuch*. 
+ **Speichern Sie langfristige Zugriffsschlüssel nicht innerhalb eines AWS Rechendienstes, sondern weisen** Sie Computing-Ressourcen eine IAM-Rolle zu. Dadurch werden automatisch temporäre Anmeldeinformationen bereitgestellt, um Zugriff zu gewähren. Wenn Sie beispielsweise ein Instance-Profil erstellen, das an eine Amazon EC2 EC2-Instance angehängt ist, können Sie der Instance eine AWS Rolle zuweisen und sie für alle ihre Anwendungen verfügbar machen. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der Amazon-EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen zu erhalten. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).