**Diese Dokumentation bezieht sich AWS CLI nur auf Version 1 von.**

Wir haben die end-of-support bevorstehende AWS CLI Version 1 angekündigt. Wir empfehlen Ihnen, auf die AWS CLI Version 2 zu migrieren. Termine, zusätzliche Details und Informationen zur Migration finden Sie in der [Ankündigung](https://aws.amazon.com/blogs/developer/cli-v1-maintenance-mode-announcement/). Dokumentation zu Version 2 von finden Sie im [Benutzerhandbuch für Version 2. AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Authentifizierungs- und Zugangsdaten für die AWS CLI
<a name="cli-chap-authentication"></a>

Sie müssen bei der Entwicklung mit AWS Diensten festlegen AWS , wie sich das AWS CLI authentifiziert. Wählen Sie eine der folgenden Optionen AWS CLI, um Anmeldeinformationen für den programmatischen Zugriff auf zu konfigurieren. Die Optionen sind in der Reihenfolge aufgeführt, in der sie empfohlen werden.


****  

| Authentifizierungstyp | Zweck | Anleitungen | 
| --- | --- | --- | 
| Kurzfristige Anmeldeinformationen für IAM-Benutzer | Verwenden Sie kurzfristige Anmeldeinformationen für IAM-Benutzer, die sicherer als langfristige Anmeldeinformationen sind. Wenn Ihre Anmeldeinformationen kompromittiert werden, können sie nur für einen begrenzten Zeitraum verwendet werden, bevor sie ablaufen. | [Authentifizierung mit kurzfristigen Zugangsdaten für den AWS CLI](cli-authentication-short-term.md) | 
| Benutzer von IAM auf einer Amazon-EC2-Instance  | Verwenden Sie Metadaten einer Amazon-EC2-Instance, um mithilfe der Rolle, die der Amazon-EC2-Instance zugewiesen ist, temporäre Anmeldeinformationen abzufragen. | [Verwendung von Amazon EC2 EC2-Instance-Metadaten als Anmeldeinformationen in der AWS CLI](cli-configure-metadata.md) | 
| Übernehmen von Rollen für Berechtigungen | Kombinieren Sie eine andere Anmeldeinformationsmethode und übernehmen Sie eine Rolle für den temporären Zugriff auf AWS-Services , auf die Ihr Benutzer möglicherweise keinen Zugriff hat. | [Verwenden einer IAM-Rolle in der AWS CLI](cli-configure-role.md) | 
| Langfristige Anmeldeinformationen für IAM-Benutzer | (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen ohne Ablaufdatum. | [Authentifizierung mit IAM-Benutzeranmeldedaten für AWS CLI](cli-authentication-user.md) | 
| Externe Speicherung für Unternehmensbenutzer von IAM  | (Nicht empfohlen) Sie kombinieren mit einer anderen Anmeldeinformationsmethode, speichern die Anmeldeinformationswerte jedoch an einem Ort außerhalb der AWS CLI. Diese Methode ist nur so sicher wie der externe Ort, an dem die Anmeldeinformationen gespeichert werden. | [Beschaffung von Referenzen mit einem externen Prozess in der AWS CLI](cli-configure-sourcing-external.md) | 

## Vorrang der Konfiguration und der Anmeldeinformationen
<a name="cli-chap-authentication-precedence"></a>

Anmeldeinformationen und Konfigurationseinstellungen befinden sich an mehreren Stellen, z. B. in den System- oder Benutzerumgebungsvariablen, in lokalen AWS Konfigurationsdateien oder werden explizit in der Befehlszeile als Parameter deklariert. Bestimmte Speicherorte haben Vorrang vor anderen. Die AWS CLI -Anmeldeinformationen und Konfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

1. **[Befehlszeilenoptionen](cli-configure-options.md)** – überschreiben Einstellungen an jedem anderen Speicherort, z. B. die Parameter `--region`, `--output` und `--profile`.

1. **[Umgebungsvariablen](cli-configure-envvars.md)** – Sie können Werte in den Umgebungsvariablen Ihres Systems speichern.

1. **[Rolle übernehmen](cli-configure-role.md)** – übernehmen Sie die Berechtigungen einer IAM-Rolle durch die Konfiguration oder den Befehl [https://docs.aws.amazon.com/cli/v1/reference/sts/assume-role.html](https://docs.aws.amazon.com/cli/v1/reference/sts/assume-role.html).

1. **[Rolle mit Webidentität übernehmen](cli-configure-role.md)** – übernehmen Sie die Berechtigungen einer IAM-Rolle mit Webidentität durch die Konfiguration oder den Befehl [https://docs.aws.amazon.com/cli/v1/reference/sts/assume-role-with-web-identity.html](https://docs.aws.amazon.com/cli/v1/reference/sts/assume-role-with-web-identity.html).

1. **[Anmeldeinformationsdatei](cli-configure-files.md)** – die Dateien `credentials` und `config` werden aktualisiert, wenn Sie den Befehl `aws configure` ausführen. Die Datei `credentials` befindet sich in `~/.aws/credentials` unter Linux und in macOS oder in `C:\Users\USERNAME\.aws\credentials` unter Windows.

1. **[Benutzerdefinierter Prozess](cli-configure-sourcing-external.md)** – rufen Sie Ihre Anmeldeinformationen von einer externen Quelle ab.

1. **[Konfigurationsdatei](cli-configure-files.md)** – die Dateien `credentials` und `config` werden aktualisiert, wenn Sie den Befehl `aws configure` ausführen. Die Datei `config` befindet sich in `~/.aws/config` unter Linux und in macOS oder in `C:\Users\USERNAME\.aws\config` unter Windows.

1. **[Container Anmeldeinformationen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html)** Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Container-Service-(Amazon-ECS)-Aufgabendefinitionen verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für die Container dieser Aufgabe zur Verfügung. Weitere Informationen finden Sie unter [IAM-Rollen für Aufgaben](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html) im *Entwicklerhandbuch zum Amazon Elastic Container Service*.

1. **[Amazon-EC2-Instance-Profil-Anmeldeinformationen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)** – Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Compute-Cloud(Amazon-EC2)-Instances verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für den Code zur Verfügung, der in dieser Instance ausgeführt wird. Die Anmeldeinformationen werden über den Amazon-EC2-Metadaten-Service bereitgestellt. Weitere Informationen finden Sie unter [IAM-Rollen für Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) im *Amazon-EC2-Benutzerhandbuch* und unter [Verwenden von Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) im *IAM-Benutzerhandbuch*.

## Weitere Themen in diesem Abschnitt
<a name="cli-chap-authentication-topics"></a>
+ [Authentifizierung mit kurzfristigen Zugangsdaten für den AWS CLI](cli-authentication-short-term.md)
+ [Verwenden einer IAM-Rolle in der AWS CLI](cli-configure-role.md)
+ [Authentifizierung mit IAM-Benutzeranmeldedaten für AWS CLI](cli-authentication-user.md)
+ [Verwendung von Amazon EC2 EC2-Instance-Metadaten als Anmeldeinformationen in der AWS CLI](cli-configure-metadata.md)
+ [Beschaffung von Referenzen mit einem externen Prozess in der AWS CLI](cli-configure-sourcing-external.md)

# Authentifizierung mit kurzfristigen Zugangsdaten für den AWS CLI
<a name="cli-authentication-short-term"></a>

Wir empfehlen, Ihr SDK oder Tool so zu konfigurieren, dass die [Authentifizierung von IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html) mit Optionen für die verlängerte Sitzungsdauer verwendet wird. Sie können jedoch temporäre Anmeldeinformationen, die im AWS Access Portal verfügbar sind, kopieren und verwenden. Wenn diese Anmeldeinformationen ablaufen, müssen neue kopiert werden. Sie können die temporären Anmeldeinformationen in einem Profil verwenden oder sie als Werte für Systemeigenschaften und Umgebungsvariablen verwenden.

1. [Melden Sie sich beim AWS Access-Portal](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html) an.

1. Folgen Sie [diesen Anweisungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html), um die Anmeldeinformationen für die IAM-Rolle aus dem AWS Zugriffsportal zu kopieren.

   1. Wählen Sie für Schritt 2 der verlinkten Anleitung das AWS Konto und den Namen der IAM-Rolle aus, die den Zugriff für Ihre Entwicklungsanforderungen gewähren. Diese Rolle hat normalerweise einen Namen wie **PowerUserAccess**oder **Developer**. 

   1. Wählen Sie für Schritt 4 die Option **Profil zu Ihrer AWS -Anmeldeinformationsdatei hinzufügen** aus und kopieren Sie den Inhalt. 

1. Erstellen oder öffnen Sie die freigegebene `credentials`-Datei. Diese Datei befindet sich in Linux- und macOS-Systemen im Pfad `~/.aws/credentials` und unter Windows im Pfad `%USERPROFILE%\.aws\credentials`. Weitere Informationen finden Sie unter [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md). 

1. Fügen Sie der freigegebenen `credentials`-Datei den folgenden Text hinzu. Ersetzen Sie die Beispielwerte durch die kopierten Anmeldeinformationen. 

   ```
   [default] 
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE 
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
   ```

1. Fügen Sie der freigegebenen `config`-Datei Ihre bevorzugte Standardregion und Ihr bevorzugtes Standardformat hinzu. 

   ```
   [default]
   region=us-west-2
   output=json
   
   [profile user1]
   region=us-east-1
   output=text
   ```

Wenn das SDK einen Service-Client erstellt, greift es auf diese temporären Anmeldeinformationen zu und verwendet sie für jede Anfrage. Die in Schritt 2a ausgewählten Einstellungen für die IAM-Rolle bestimmen, [wie lange die temporären Anmeldeinformationen gültig sind](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html). Die maximale Dauer beträgt zwölf Stunden.

Wiederholen Sie diese Schritte jedes Mal, wenn Ihre Anmeldeinformationen ablaufen.

# Verwenden einer IAM-Rolle in der AWS CLI
<a name="cli-configure-role"></a>

Eine [AWS Identity and Access Management (IAM-) Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist ein Autorisierungstool, mit dem ein Benutzer zusätzliche (oder andere) Berechtigungen oder Berechtigungen zum Ausführen von Aktionen in einem anderen AWS Konto erhält. 

**Topics**
+ [Voraussetzungen](#cli-role-prereqs)
+ [Überblick über die Verwendung von IAM-Rollen](#cli-role-overview)
+ [Konfigurieren und Verwenden einer Rolle](#cli-role-prepare)
+ [Verwenden von Multi-Factor Authentication (MFA)](#cli-configure-role-mfa)
+ [Kontenübergreifende Rollen und externe ID](#cli-configure-role-xaccount)
+ [Angeben eines Rollensitzungsnamens für eine einfachere Prüfung](#cli-configure-role-session-name)
+ [Übernehmen einer Rolle mit Web-Identität](#cli-configure-role-oidc)
+ [Anmeldeinformationen aus dem Cache löschen](#cli-configure-role-cache)

## Voraussetzungen
<a name="cli-role-prereqs"></a>

Wenn Sie diese `iam`-Befehle verwenden möchten, müssen Sie die AWS CLI installieren und konfigurieren. Dazu gehört die Einrichtung eines konfigurierten Profils, da davon ausgegangen wird, dass eine Rolle mit einer anderen Methode für Anmeldeinformationen kombiniert wird. Weitere Informationen finden Sie unter [Installation, Aktualisierung und Deinstallation der AWS CLI](cli-chap-install.md). 

## Überblick über die Verwendung von IAM-Rollen
<a name="cli-role-overview"></a>

Sie können AWS Command Line Interface (AWS CLI) für die Verwendung einer IAM-Rolle konfigurieren, indem Sie ein Profil für die Rolle in der `~/.aws/config` Datei definieren. 

Im folgenden Beispiel sehen Sie ein Rollenprofil namens `marketingadmin`. Wenn Sie Befehle mit ausführen `--profile marketingadmin` (oder sie mit der [AWS\$1PROFILE Umgebungsvariablen](cli-configure-envvars.md) angeben), AWS CLI verwendet der die in einem separaten Profil definierten Anmeldeinformationen, `user1` um die Rolle mit dem Amazon-Ressourcennamen (ARN) anzunehmen`arn:aws:iam::123456789012:role/marketingadminrole`. Sie können alle Operationen ausführen, die gemäß den der Rolle zugewiesenen Berechtigungen zulässig sind.

```
[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
source_profile = user1
```

Sie können dann ein `source_profile` angeben, das auf ein separates benanntes Profil zeigt, welches Benutzer-Anmeldeinformationen mit der Berechtigung zur Verwendung der Rolle enthält. Im vorherigen Beispiel verwendet das Profil `marketingadmin` die Anmeldeinformationen im Profil `user1`. Wenn Sie angeben, dass ein AWS CLI Befehl das Profil verwenden soll`marketingadmin`, sucht das AWS CLI automatisch nach den Anmeldeinformationen für das verknüpfte `user1` Profil und verwendet sie, um temporäre Anmeldeinformationen für die angegebene IAM-Rolle anzufordern. Die CLI verwendet die [sts: AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) -Operation im Hintergrund, um dies zu erreichen. Diese temporären Anmeldeinformationen werden dann verwendet, um den angeforderten AWS CLI -Befehl ausführen. Der angegebenen Rolle müssen IAM-Berechtigungsrichtlinien angehängt sein, die die Ausführung des angeforderten AWS CLI Befehls ermöglichen.

Um einen AWS CLI Befehl in einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance oder einem Amazon Elastic Container Service (Amazon ECS) -Container auszuführen, können Sie eine IAM-Rolle verwenden, die dem Instance-Profil oder dem Container zugewiesen ist. Wenn Sie kein Profil angeben oder keine Umgebungsvariablen festlegen, wird diese Rolle direkt verwendet. So müssen Sie keine Langzeit-Zugriffsschlüssel in Ihren Instances speichern. Sie können diese Instance- oder Container-Rollen auch verwenden, um Anmeldeinformationen für eine andere Rolle abzurufen. Zu diesem Zweck verwenden Sie `credential_source` (anstelle von `source_profile`), um anzugeben, wie die Anmeldeinformationen zu finden sind. Das Attribut `credential_source` unterstützt die folgenden Werte:
+ `Environment` – Um die Quell-Anmeldeinformationen aus Umgebungsvariablen abzurufen.
+ `Ec2InstanceMetadata` – Verwendet die IAM-Rolle, die dem Amazon-EC2-Instance-Profil zugeordnet ist.
+ `EcsContainer` – Verwendet die IAM-Rolle, die dem Amazon-ECS-Container zugeordnet ist.

Das folgende Beispiel zeigt dieselbe `marketingadminrole`-Rolle, die durch Referenzieren eines Amazon-EC2-Instance-Profils verwendet wurde.

```
[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata
```

Wenn Sie eine Rolle aufrufen, stehen Ihnen zusätzliche Optionen zur Verfügung, die Sie anfordern können, z. B. die Verwendung einer Multifaktor-Authentifizierung und einer externen ID (die von Drittanbietern für den Zugriff auf die Ressourcen ihrer Kunden verwendet wird). Sie können auch eindeutige Namen für Rollensitzungen angeben, die einfacher in Protokollen geprüft werden können. AWS CloudTrail 

## Konfigurieren und Verwenden einer Rolle
<a name="cli-role-prepare"></a>

Wenn Sie Befehle mit einem Profil ausführen, das eine IAM-Rolle angibt, AWS CLI verwendet das die Anmeldeinformationen des Quellprofils, um AWS -Security-Token-Service (AWS STS) aufzurufen und temporäre Anmeldeinformationen für die angegebene Rolle anzufordern. Der Benutzer im Quellprofil muss über die Berechtigung zum Aufrufen von `sts:assume-role` für die Rolle im angegebenen Profil verfügen. Die Rolle muss über eine Vertrauensstellung verfügen, die es dem Benutzer im Quellprofil ermöglicht, die Rolle zu übernehmen. Der Prozess des Abrufens mit anschließendem Verwenden von temporären Anmeldeinformationen für eine Rolle wird oft als *Annehmen der Rolle* bezeichnet.

Sie können mit den Berechtigungen in IAM eine Rolle erstellen, die Benutzer annehmen sollen, indem Sie die Anweisungen unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *AWS Identity and Access Management -Benutzerhandbuch* befolgen. Wenn die Rolle und der -Benutzer des Quellprofils im selben Konto vorhanden sind, können Sie beim Konfigurieren der Vertrauensstellung der Rolle Ihre eigene Konto-ID eingeben.

Nachdem Sie die Rolle erstellt haben, ändern Sie die Vertrauensstellung, um die Übernahme durch den -Benutzer zuzulassen. 

Im folgenden Beispiel sehen Sie eine Vertrauensrichtlinie, die Sie einer Rolle anfügen könnten. Mit dieser Richtlinie kann die Rolle von jedem Benutzer im Konto 123456789012 angenommen werden, ***falls*** der Administrator des Kontos dem Benutzer explizit die Berechtigung `sts:AssumeRole` erteilt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Die Vertrauensrichtlinie selbst gewährt keine Berechtigungen. Der Administrator des Kontos muss die Berechtigung zur Übernahme der Rolle an einzelne Benutzer delegieren, indem eine Richtlinie mit den entsprechenden Berechtigungen angefügt wird. Das folgende Beispiel zeigt eine Richtlinie, die Sie einem Benutzer anfügen können und mit der der Benutzer nur die Rolle `marketingadminrole` annehmen kann. Weitere Informationen, wie Sie einem Benutzer Zugriff erteilen können, damit dieser eine Rolle annehmen kann, finden Sie im Abschnitt [Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::123456789012:role/marketingadminrole"
    }
  ]
}
```

------

Der Benutzer benötigt keine zusätzlichen Berechtigungen, um die AWS CLI Befehle mithilfe des Rollenprofils auszuführen. Die Berechtigungen zum Ausführen des Befehls entstammen aus den der *Rolle* angefügten Berechtigungen. Sie fügen der Rolle Berechtigungsrichtlinien hinzu, um anzugeben, welche Aktionen für welche AWS Ressourcen ausgeführt werden können. Weitere Informationen zum Anfügen von Berechtigungen zu einer Rolle (funktioniert wie bei einem Benutzer) finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.

Nachdem Sie nun das Rollenprofil, die Rollenberechtigungen, die Rollen-Vertrauensstellung und die Benutzerberechtigungen konfiguriert haben, können Sie die Rolle an der Befehlszeile verwenden, indem Sie die Option `--profile` aufrufen. Beispiel: Der folgende Befehl ruft den Amazon-S3-Befehl `ls` mit den Berechtigungen auf, die an die `marketingadmin`-Rolle angefügt sind, wie im Beispiel zu Beginn dieses Themas angegeben.

```
$ aws s3 ls --profile marketingadmin
```

Um die Rolle für mehrere Aufrufe zu verwenden, können Sie die Umgebungsvariable `AWS_PROFILE` für die aktuelle Sitzung über die Befehlszeile festlegen. Da die Umgebungsvariable definiert ist, müssen Sie die Option `--profile` nicht bei jedem Befehl angeben. 

**Linux oder macOS**

```
$ export AWS_PROFILE=marketingadmin
```

**Windows**

```
C:\> setx AWS_PROFILE marketingadmin
```

Weitere Informationen zum Konfigurieren von Benutzern und Rollen finden Sie unter [IAM-Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) und unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id-roles.html) im *IAM-Benutzerhandbuch*.

## Verwenden von Multi-Factor Authentication (MFA)
<a name="cli-configure-role-mfa"></a>

Zur Erhöhung der Sicherheit können Sie festlegen, dass die Benutzer einen von einem Multifaktor-Authentifizierungsgerät (MFA), einem U2F-Gerät oder einen von einer mobilen App generierten einmaligen Schlüssel bereitstellen müssen, wenn sie versuchen, einen Aufruf mit dem Rollenprofil zu senden.

Zunächst können Sie die Vertrauensstellung für die IAM-Rolle so ändern, dass eine MFA erforderlich ist. Dadurch wird verhindert, dass Benutzer die Rolle verwenden, ohne sich zuerst mithilfe von MFA zu authentifizieren. Ein Beispiel finden Sie im folgenden Code in der Zeile `Condition`. Diese Richtlinie ermöglicht es dem Benutzer namens `anika`, die Rolle zu übernehmen, an die die Richtlinie angefügt ist, allerdings nur, wenn die Authentifizierung mithilfe von MFA erfolgt. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::123456789012:user/anika" },
      "Action": "sts:AssumeRole",
      "Condition": { "Bool": { "aws:multifactorAuthPresent": true } }
    }
  ]
}
```

------

Fügen Sie als Nächstes dem Rollenprofil, das den ARN vom MFA-Gerät des Benutzers angibt, eine Zeile hinzu. In den folgenden Einträgen der Beispieldatei `config` verwenden zwei Rollenprofile die Zugriffsschlüssel für den Benutzer `anika`, um temporäre Anmeldeinformationen für die Rolle `cli-role` anzufordern. Der Benutzer `anika` hat die Berechtigung, die Rolle zu übernehmen. Sie wird ihm von der Vertrauensrichtlinie der Rolle erteilt.

```
[profile role-without-mfa]
region = us-west-2
role_arn= arn:aws:iam::128716708097:role/cli-role
source_profile=cli-user

[profile role-with-mfa]
region = us-west-2
role_arn= arn:aws:iam::128716708097:role/cli-role
source_profile = cli-user
mfa_serial = arn:aws:iam::128716708097:mfa/cli-user

[profile cli-user]
region = us-west-2
output = json
```

Die Einstellung `mfa_serial` kann einen ARN (wie gezeigt) oder die Seriennummer eines Hardware-MFA-Tokens annehmen.

Das erste Profil, `role-without-mfa`, erfordert keine MFA. Da bei dem vorherigen Beispiel die an die Rolle angefügte Vertrauensrichtlinie eine MFA erfordert, schlägt jeder Versuch, einen Befehl mit diesem Profil auszuführen, fehl.

```
$ aws iam list-users --profile role-without-mfa

An error occurred (AccessDenied) when calling the AssumeRole operation: Access denied
```

Der zweite Profileintrag, `role-with-mfa`, gibt ein MFA-Gerät an, das verwendet werden soll. Wenn der Benutzer versucht, einen AWS CLI Befehl mit diesem Profil auszuführen, AWS CLI fordert er den Benutzer auf, das vom MFA-Gerät bereitgestellte Einmalkennwort (OTP) einzugeben. Wenn die MFA-Authentifizierung erfolgreich ist, führt der Befehl den angeforderten Vorgang aus. Das Einmalkennwort wird nicht auf dem Bildschirm angezeigt.

```
$ aws iam list-users --profile role-with-mfa
Enter MFA code for arn:aws:iam::123456789012:mfa/cli-user:
{
    "Users": [
        {
            ...
```

## Kontenübergreifende Rollen und externe ID
<a name="cli-configure-role-xaccount"></a>

Sie können -Benutzern ermöglichen, Rollen zu verwenden, die zu verschiedenen Konten gehören, indem Sie kontenübergreifende Rollen konfigurieren. Während der Erstellung der Rolle legen Sie den Rollentyp auf **Ein anderes AWS -Konto** fest, wie in [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) beschrieben. Wählen Sie optional **Require MFA (MFA erforderlich)** aus. Die Option **Require MFA (MFA erforderlich)** konfiguriert die zutreffende Bedingung in der Vertrauensstellung wie unter [Verwenden von Multi-Factor Authentication (MFA)](#cli-configure-role-mfa) beschrieben.

Wenn Sie eine [externe ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) verwenden, um besser zu kontrollieren, wer eine kontenübergreifende Rolle verwenden kann, müssen Sie auch den Parameter `external_id` zum Rollenprofil hinzufügen. Normalerweise verwenden Sie dieses nur, wenn das andere Konto von einer Person außerhalb Ihres Unternehmens kontrolliert wird.

```
[profile crossaccountrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
mfa_serial = arn:aws:iam::123456789012:mfa/saanvi
external_id = 123456
```

## Angeben eines Rollensitzungsnamens für eine einfachere Prüfung
<a name="cli-configure-role-session-name"></a>

Wenn viele Personen eine Rolle gemeinsam nutzen, wird die Prüfung zu einer größeren Herausforderung. Sie möchten jede aufgerufene Operation mit der Person verknüpfen, die diese Aktion aufgerufen hat. Wenn die Person jedoch eine Rolle verwendet, ist die Annahme der Rolle durch die Person eine vom Aufrufen einer Operation getrennte Aktion und Sie müssen die beiden manuell korrelieren.

Sie können dies vereinfachen, indem Sie eindeutige Rollensitzungsnamen angeben, wenn Benutzer eine Rolle annehmen. Dazu fügen Sie jedem benannten Profil in der Datei `config`, die eine Rolle angibt, einen `role_session_name`-Parameter hinzu. Der Wert `role_session_name` wird an die Operation `AssumeRole` übergeben und wird Teil des ARN für die Rollensitzung. Es ist auch in den AWS CloudTrail Protokollen für alle protokollierten Vorgänge enthalten.

Sie können beispielsweise folgendermaßen ein rollenbasiertes Profil erstellen. 

```
[profile namedsessionrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
role_session_name = Session_Maria_Garcia
```

Dies führt dazu, dass die Rollensitzung den folgenden ARN hat.

```
arn:aws:iam::234567890123:assumed-role/SomeRole/Session_Maria_Garcia
```

Außerdem enthalten alle AWS CloudTrail Protokolle den Namen der Rollensitzung in den für jeden Vorgang erfassten Informationen.

## Übernehmen einer Rolle mit Web-Identität
<a name="cli-configure-role-oidc"></a>

Sie können ein Profil so konfigurieren, dass es angibt, dass sie mithilfe von [Web Identity Federation und Open ID Connect (OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)) eine Rolle übernehmen AWS CLI sollen. Wenn Sie dies in einem Profil angeben, führt der AWS CLI automatisch den entsprechenden AWS STS `AssumeRoleWithWebIdentity` Anruf für Sie durch.

**Anmerkung**  
Wenn Sie ein Profil angeben, das eine IAM-Rolle verwendet, werden die AWS CLI entsprechenden Aufrufe ausgeführt, um temporäre Anmeldeinformationen abzurufen. Diese Anmeldeinformationen werden in `~/.aws/cli/cache` gespeichert. Nachfolgende AWS CLI Befehle, die dasselbe Profil angeben, verwenden die zwischengespeicherten temporären Anmeldeinformationen, bis sie ablaufen. Zu diesem Zeitpunkt werden die AWS CLI Anmeldeinformationen automatisch aktualisiert.

Um mithilfe des Web-Identitätsverbunds temporäre Anmeldeinformationen abzurufen und zu verwenden, können Sie die folgenden Konfigurationswerte in einem freigegebenen Profil angeben.

[role\$1arn](#cli-configure-role)  
Gibt den ARN der Rolle an, die angenommen werden soll.

web\$1identity\$1token\$1file  
Gibt den Pfad zu einer Datei an, die ein OAuth 2.0-Zugriffstoken oder ein OpenID Connect-ID-Token enthält, das vom Identitätsanbieter bereitgestellt wird. Die AWS CLI lädt diese Datei und übergibt den Inhalt als `WebIdentityToken`-Argument an die Operation `AssumeRoleWithWebIdentity`.

[role\$1session\$1name](#cli-configure-role-session-name)  
Gibt einen optionalen Namen an, der auf diese Rollenübernahme-Sitzung angewendet wird.

Unten finden Sie eine Beispielkonfiguration für den mindestens erforderlichen Umfang einer Konfiguration für eine angenommene Rolle mit Web-Identitätsprofil.

```
# In ~/.aws/config

[profile web-identity]
role_arn=arn:aws:iam:123456789012:role/RoleNameToAssume
web_identity_token_file=/path/to/a/token
```

Sie können diese Konfiguration auch mithilfe von [Umgebungsvariablen](cli-configure-envvars.md) bereitstellen.

AWS\$1ROLE\$1ARN  
Der ARN der zu übernehmenden Rolle

AWS\$1WEB\$1IDENTITY\$1TOKEN-DATEI  
Der Pfad zur Datei mit dem Web-Identitäts-Token.

AWS\$1ROLE\$1SITZUNGSNAME  
Der Name für diese Sitzung der Rollenübernahme.

**Anmerkung**  
Diese Umgebungsvariablen gelten derzeit nur für die Anbieter für Rollenübernahme mit Web-Identität. Sie gelten nicht für die allgemeine Konfiguration für einen Anbieter für Rollenübernahme.

## Anmeldeinformationen aus dem Cache löschen
<a name="cli-configure-role-cache"></a>

Wenn Sie eine Rolle verwenden, werden die temporären Anmeldeinformationen lokal AWS CLI zwischengespeichert, bis sie ablaufen. Wenn Sie das nächste Mal versuchen, sie zu verwenden, wird AWS CLI versucht, sie in Ihrem Namen zu erneuern. 

Wenn die temporären Anmeldeinformationen Ihrer Rolle [widerrufen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html) werden, werden sie nicht automatisch erneuert und Versuche, sie zu verwenden, schlagen fehl. Sie können den Cache jedoch löschen, um das Abrufen neuer Anmeldeinformationen AWS CLI zu erzwingen.

**Linux oder macOS**

```
$ rm -r ~/.aws/cli/cache
```

**Windows**

```
C:\> del /s /q %UserProfile%\.aws\cli\cache
```

# Authentifizierung mit IAM-Benutzeranmeldedaten für AWS CLI
<a name="cli-authentication-user"></a>

**Warnung**  
Um Sicherheitsrisiken zu vermeiden, sollten Sie IAM-Benutzer nicht zur Authentifizierung verwenden, wenn Sie speziell entwickelte Software entwickeln oder mit echten Daten arbeiten. Verwenden Sie stattdessen den Verbund mit einem Identitätsanbieter wie [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

Dieser Abschnitt erklärt, wie die grundlegende Einstellungen mit einem IAM-Benutzer konfiguriert werden. Dazu gehören Ihre Sicherheitsanmeldeinformationen unter Verwendung der Dateien `config` und `credentials`. 

**Contents**
+ [Schritt 1: Erstellen Ihres IAM-Benutzers](#cli-authentication-user-create)
+ [Schritt 2: Abrufen Ihrer Zugriffsschlüssel](#cli-authentication-user-get)
+ [Schritt 3: Konfigurieren Sie AWS CLI](#cli-authentication-user-configure.title)
  + [Verwenden von `aws configure`](#cli-authentication-user-configure-wizard)

## Schritt 1: Erstellen Ihres IAM-Benutzers
<a name="cli-authentication-user-create"></a>

Erstellen Sie Ihren IAM-Benutzer, indem Sie das Verfahren [Erstellen von IAM-Benutzern (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) im *IAM-Benutzerhandbuch* befolgen. 
+ Wählen Sie unter **Berechtigung-Optionen** mit der Option **Direktes Anfügen von Richtlinien** aus, wie Sie diesem Benutzer Berechtigungen zuweisen möchten.
+ Die meisten SDK-Tutorials zum Thema „Erste Schritte“ verwenden den Amazon-S3-Service als Beispiel. Wenn Sie Ihrer Anwendung Vollzugriff auf Amazon S3 gewähren möchten, wählen Sie die `AmazonS3FullAccess`-Richtlinie zum Anfügen an diesen Benutzer aus.

## Schritt 2: Abrufen Ihrer Zugriffsschlüssel
<a name="cli-authentication-user-get"></a>

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich der IAM-Konsole **Benutzer** und dann den **`User name`** des Benutzers aus, den Sie zuvor erstellt haben. 

1. Wählen Sie auf der Seite des Benutzers die Seite **Sicherheitsanmeldeinformationen** aus. Wählen Sie dann unter **Zugriffsschlüssel** die Option **Zugriffsschlüssel erstellen** aus.

1.  Wählen Sie für **Zugriffsschlüssel erstellen – Schritt 1** die Option **Befehlszeilenschnittstelle (CLI)** aus.

1. Geben Sie für **Zugriffsschlüssel erstellen – Schritt 2** ein optionales Tag ein und wählen Sie **Weiter** aus. 

1. Wählen Sie unter **Zugriffsschlüssel erstellen – Schritt 3** die Option **CSV-Datei herunterladen** aus, um eine `.csv`-Datei mit dem Zugriffsschlüssel und dem geheimen Zugriffsschlüssel Ihres IAM-Benutzers zu speichern. Sie benötigen diese Informationen später wieder.

1. Wählen Sie Done (Fertig).

## Schritt 3: Konfigurieren Sie AWS CLI
<a name="cli-authentication-user-configure.title"></a>

Für den allgemeinen Gebrauch AWS CLI benötigt er die folgenden Informationen:
+ Zugriffsschlüssel-ID
+ Geheimer Zugriffsschlüssel
+ AWS Region
+ Ausgabeformat

Die AWS CLI speichert diese Informationen in einem *Profil* (einer Sammlung von Einstellungen), das `default` in der `credentials` Datei benannt ist. Standardmäßig werden die Informationen in diesem Profil verwendet, wenn Sie einen AWS CLI Befehl ausführen, der nicht explizit ein zu verwendendes Profil angibt. Weitere Informationen zur `credentials`-Datei finden Sie unter [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md).

Verwenden Sie eines der folgenden Verfahren AWS CLI, um das zu konfigurieren:

**Topics**
+ [Verwenden von `aws configure`](#cli-authentication-user-configure-wizard)

### Verwenden von `aws configure`
<a name="cli-authentication-user-configure-wizard"></a>

Für den allgemeinen Gebrauch ist der `aws configure` Befehl der schnellste Weg, Ihre AWS CLI Installation einzurichten. Dieser Konfigurationsassistent fordert Sie auf, alle Informationen einzugeben, die Sie für die ersten Schritte benötigen. Sofern mit der `--profile` Option nicht anders angegeben, AWS CLI speichert der diese Informationen im `default` Profil.

Im folgenden Beispiel wird ein `default`-Profil anhand von Beispielwerten konfiguriert. Ersetzen Sie sie durch eigene Werte, wie in den folgenden Abschnitten beschrieben.

```
$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
```

Im folgenden Beispiel wird ein Profil mit dem Namen `userprod` anhand von Beispielwerten konfiguriert. Ersetzen Sie sie durch eigene Werte, wie in den folgenden Abschnitten beschrieben.

```
$ aws configure --profile userprod
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
```

# Verwendung von Amazon EC2 EC2-Instance-Metadaten als Anmeldeinformationen in der AWS CLI
<a name="cli-configure-metadata"></a>

Wenn Sie die AWS CLI von einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance aus ausführen, können Sie die Bereitstellung von Anmeldeinformationen für Ihre Befehle vereinfachen. Jede Amazon-EC2-Instance enthält Metadaten, die die AWS CLI direkt in Bezug auf temporäre Anmeldeinformationen abfragen kann. Wenn der Instance eine IAM-Rolle zugewiesen wird, ruft sie die Anmeldeinformationen AWS CLI automatisch und sicher aus den Instance-Metadaten ab. 

Verwenden Sie die Umgebungsvariable [AWS\$1EC2\$1METADATA\$1DISABLED](cli-configure-envvars.md#envvars-list-AWS_EC2_METADATA_DISABLED), um diesen Dienst zu deaktivieren.

**Topics**
+ [Voraussetzungen](#cli-configure-metadata-prereqs)
+ [Konfigurieren eines Profils für Amazon-EC2-Metadaten](#cli-configure-metadata-configure)

## Voraussetzungen
<a name="cli-configure-metadata-prereqs"></a>

Um Amazon EC2 EC2-Anmeldeinformationen mit dem zu verwenden AWS CLI, müssen Sie Folgendes ausführen:
+ Installieren und Konfigurieren der AWS CLI. Weitere Informationen erhalten Sie unter [Installation, Aktualisierung und Deinstallation der AWS CLI](cli-chap-install.md) und [Authentifizierungs- und Zugangsdaten für die AWS CLI](cli-chap-authentication.md).
+ Sie verstehen Konfigurationsdateien und benannte Profile. Weitere Informationen finden Sie unter [Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI](cli-configure-files.md). 
+ Sie haben eine AWS Identity and Access Management (IAM-) Rolle erstellt, die Zugriff auf die benötigten Ressourcen hat, und diese Rolle der Amazon EC2 EC2-Instance zugewiesen, wenn Sie sie starten. *Weitere Informationen finden Sie unter [IAM-Richtlinien für Amazon EC2 im Amazon EC2 EC2-Benutzerhandbuch](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html) *und Granting* [Applications That Run on Amazon EC2 EC2-Instances Access to AWS Resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.html) im IAM-Benutzerhandbuch.*

## Konfigurieren eines Profils für Amazon-EC2-Metadaten
<a name="cli-configure-metadata-configure"></a>

Um anzugeben, dass Sie die im Hosting-Amazon-EC2-Instance-Profil verfügbaren Anmeldeinformationen verwenden möchten, verwenden Sie die folgende Syntax in einem benannten Profil in Ihrer Konfigurationsdatei. Weitere Anweisungen finden Sie in den folgenden Schritten. 

```
[profile profilename]
role_arn = arn:aws:iam::123456789012:role/rolename
credential_source = Ec2InstanceMetadata
region = region
```

1. Erstellen Sie ein Profil in Ihrer Konfigurationsdatei.

   ```
   [profile profilename]
   ```

1. Fügen Sie Ihre IAM-Arn-Rolle hinzu, die Zugriff auf die erforderlichen Ressourcen hat.

   ```
   role_arn = arn:aws:iam::123456789012:role/rolename
   ```

1. Geben Sie `Ec2InstanceMetadata` als Quelle für die Anmeldeinformationen an.

   ```
   credential_source = Ec2InstanceMetadata
   ```

1. Legen Sie Ihre Region fest.

   ```
   region = region
   ```

**Beispiel**

Das folgende Beispiel übernimmt die Rolle *`marketingadminrole`* und verwendet die Region `us-west-2` in einem Instance-Profil von Amazon-EC2 mit dem Namen `marketingadmin`.

```
[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata
region = us-west-2
```

# Beschaffung von Referenzen mit einem externen Prozess in der AWS CLI
<a name="cli-configure-sourcing-external"></a>

**Warnung**  
In diesem Thema wird die Beschaffung von Anmeldeinformationen von einem externen Prozess erläutert. Dies könnte ein Sicherheitsrisiko darstellen, wenn der Befehl zum Generieren der Anmeldeinformationen nicht zulässigen Prozessen oder Benutzern zugänglich wird. Wir empfehlen Ihnen, die unterstützten, sicheren Alternativen zu verwenden, die von AWS CLI und bereitgestellt werden, um das Risiko AWS zu verringern, dass Ihre Anmeldeinformationen kompromittiert werden. Sorgen Sie dafür, dass Sie die `config`-Datei und alle zugehörigen Dateien und Tools vor einer Offenlegung sichern.  
Stellen Sie sicher, dass Ihr benutzerdefiniertes Anmeldeinformationstool keine geheimen Informationen speichert, `StdErr` da es solche Informationen erfassen und protokollieren AWS CLI kann, wodurch sie möglicherweise unbefugten Benutzern zugänglich gemacht werden. SDKs 

Wenn Sie über eine Methode zum Generieren oder Nachschlagen von Anmeldeinformationen verfügen, die nicht direkt von der unterstützt wird AWS CLI, können Sie die AWS CLI so konfigurieren, dass sie verwendet wird, indem Sie die `credential_process` Einstellung in der `config` Datei konfigurieren. 

Beispielsweise könnten Sie einen etwa wie folgt aussehenden Eintrag in die `config`-Datei aufnehmen.

```
[profile developer]
credential_process = /opt/bin/awscreds-custom --username helen
```

**Syntax**  
Um diese Zeichenfolge auf eine Weise zu erstellen, die mit jedem Betriebssystem kompatibel ist, gehen Sie nach den folgenden Regeln vor:
+ Wenn der Pfad oder Dateiname ein Leerzeichen enthält, umgeben Sie den vollständigen Pfad und Dateinamen mit doppelten Anführungszeichen („ “). Pfad und Dateiname dürfen nur aus folgenden Zeichen bestehen: A-Z a-z 0-9 – \$1. Leerzeichen
+ Wenn ein Parametername oder ein Parameterwert ein Leerzeichen enthält, umgeben Sie dieses Element mit doppelten Anführungszeichen („ “). Umgeben Sie dabei nur den Namen oder den Wert, nicht beides.
+ Fügen Sie keine Umgebungsvariablen in die Zeichenfolgen ein. Sie können beispielsweise nicht `$HOME` oder `%USERPROFILE%` einschließen.
+ Geben Sie den Basisordner nicht als `~` an. Sie müssen den vollständigen Pfad angeben.

**Beispiel für Windows**

```
credential_process = "C:\Path\To\credentials.cmd" parameterWithoutSpaces "parameter with spaces"
```

**Beispiel für Linux oder macOS**

```
credential_process = "/Users/Dave/path/to/credentials.sh" parameterWithoutSpaces "parameter with spaces"
```

**Erwartete Ausgabe des Anmeldeinformationsprogramms**

Der AWS CLI führt den Befehl wie im Profil angegeben aus und liest dann Daten von`STDOUT`. Der von Ihnen angegebene Befehl muss eine JSON-Ausgabe in `STDOUT` generieren, die der folgenden Syntax entspricht.

```
{
  "Version": 1,
  "AccessKeyId": "an AWS access key",
  "SecretAccessKey": "your AWS secret access key",
  "SessionToken": "the AWS session token for temporary credentials", 
  "Expiration": "ISO8601 timestamp when the credentials expire"
}
```

**Anmerkung**  
Derzeit muss der `Version`-Schlüssel auf `1` gesetzt sein. Im Laufe der Zeit kann ein höherer Wert erforderlich sein, wenn sich die Struktur weiterentwickelt.

Der `Expiration` Schlüssel ist ein [ISO8601](https://en.wikipedia.org/wiki/ISO_8601)formatierter Zeitstempel. Wenn der `Expiration`-Schlüssel nicht in der Ausgabe des Tools vorhanden ist, geht die CLI davon aus, dass es sich bei den Anmeldeinformationen um langfristige Anmeldeinformationen handelt, die nicht aktualisiert werden. Andernfalls werden die Anmeldeinformationen als temporäre Anmeldeinformationen angesehen und automatisch aktualisiert, indem der Befehl `credential_process` vor ihrem Ablauf erneut ausgeführt wird.

**Anmerkung**  
Der speichert AWS CLI ***keine*** externen Prozessanmeldedaten im Cache, so wie er es bei Rollenübernahmen tut. Wenn Caching erforderlich ist, müssen Sie dies im externen Prozess implementieren.

Der externe Prozess kann einen Rückgabecode ungleich Null zurückgeben, um anzuzeigen, dass beim Abrufen der Anmeldeinformationen ein Fehler aufgetreten ist.