

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Amazon DocumentDB DocumentDB-Benutzer verwalten
<a name="security.managing-users"></a>

In Amazon DocumentDB authentifizieren sich Benutzer bei einem Cluster in Verbindung mit einem Passwort. Jeder Cluster verfügt über primäre Anmeldeinformationen, die bei der Clustererstellung festgelegt werden.

**Anmerkung**  
 Allen neuen Benutzern, die vor dem **26. März 2020** erstellt wurden, wurden die `dbAdminAnyDatabase`-, `readWriteAnyDatabase`- und `clusterAdmin`-Rollen erteilt. Es wird empfohlen, alle Benutzer neu zu bewerten und die Rollen nach Bedarf zu ändern, um die geringstmöglichen Berechtigungen für alle Benutzer in Ihren Clustern zu erzwingen.   
Weitere Informationen finden Sie unter [Datenbankzugriff mithilfe der rollenbasierten Zugriffskontrolle](role_based_access_control.md). 

## Primär und Benutzer `serviceadmin`
<a name="security.managing-users-master"></a>

Ein neu erstellter Amazon DocumentDB-Cluster hat zwei Benutzer: den Hauptbenutzer und den `serviceadmin` Benutzer.

Der *Hauptbenutzer* ist ein einzelner, privilegierter Benutzer, der administrative Aufgaben ausführen und zusätzliche Benutzer mit Rollen erstellen kann. Wenn Sie sich zum ersten Mal mit einem Amazon DocumentDB-Cluster verbinden, müssen Sie sich mit den primären Anmeldeinformationen authentifizieren. Der Hauptbenutzer erhält diese Administratorberechtigungen für einen Amazon DocumentDB-Cluster, wenn dieser Cluster erstellt wird, und ihm wird die Rolle von `root` zugewiesen.

Der `serviceadmin`-Benutzer wird implizit beim Erstellen des Clusters erstellt. Jeder Amazon DocumentDB-Cluster hat einen `serviceadmin` Benutzer, AWS der die Möglichkeit bietet, Ihren Cluster zu verwalten. Sie können sich mit `serviceadmin` nicht anmelden, den Benutzer löschen oder umbenennen, sein Passwort ändern oder die Berechtigungen ändern. Jeder Versuch, das zu tun, führt zu einem Fehler.

**Anmerkung**  
Die primären `serviceadmin` Benutzer und Benutzer für einen Amazon DocumentDB-Cluster können nicht gelöscht werden, und die Rolle des `root` Hauptbenutzers kann nicht entzogen werden.  
Wenn Sie Ihr primäres Benutzerkennwort vergessen haben, können Sie es mit dem AWS-Managementkonsole oder dem zurücksetzen. AWS CLI

## Zusätzliche Benutzer erstellen
<a name="security.managing-users-creating"></a>

Nachdem Sie sich als Hauptbenutzer (oder als beliebiger Benutzer mit dieser Rolle`createUser`) verbunden haben, können Sie einen neuen Benutzer erstellen, wie unten gezeigt.

```
db.createUser(
    {
        user: "sample-user-1",
        pwd: "password123",
        roles: 
            [{"db":"admin", "role":"dbAdminAnyDatabase" }]
    }
)
```

Um Benutzerdetails anzuzeigen, können Sie den Befehl `show users` wie folgt verwenden. Sie können Benutzer zusätzlich mit dem Befehl `dropUser` entfernen. Weitere Informationen finden Sie unter [Allgemeine Befehle](role_based_access_control.md#role_based_access_control-common_commands).

```
show users
{ 
    "_id" : "serviceadmin",
    "user" : "serviceadmin",
    "db" : "admin",
    "roles" : [
    	{
            "role" : "root",
            "db" : "admin"
        }
    ]
},

{ 
    "_id" : "myPrimaryUser",
    "user" : "myPrimaryUser",
    "db" : "admin",
    "roles" : [
    	{
            "role" : "root",
            "db" : "admin"
        }
    ]
},

{
    "_id" : "sample-user-1",
    "user" : "sample-user-1",
    "db" : "admin",
    "roles" : [
    	{
            "role" : "dbAdminAnyDatabase",
            "db" : "admin"
    	}
    ]
}
```

Im obigen Beispiel wird der neue Benutzer `sample-user-1` der `admin`-Datenbank zugewiesen. Dies ist bei einem neuen Benutzer immer der Fall. Amazon DocumentDB hat nicht das Konzept einer `authenticationDatabase` und daher wird die gesamte Authentifizierung im Kontext der `admin` Datenbank durchgeführt.

Wenn Sie beim Erstellen von Benutzern das `db` Feld bei der Angabe der Rolle weglassen, ordnet Amazon DocumentDB die Rolle implizit der Datenbank zu, für die die Verbindung hergestellt wird. Wenn Ihre Verbindung beispielsweise für die Datenbank `sample-database` hergestellt wird und Sie den folgenden Befehl ausführen, wird der Benutzer `sample-user-2` in der Datenbank `admin` erstellt und verfügt über `readWrite`-Berechtigungen für die Datenbank `sample-database`.

```
db.createUser(
    {
        user: "sample-user-2", 
        pwd: "password123", 
        roles: 
            ["readWrite"]
    }
)
```

Wenn Sie Benutzer mit Rollen erstellen, die über alle Datenbanken hinweg erfasst sind (z. B. `readInAnyDatabase`), müssen Sie sich beim Erstellen des Benutzers entweder im Kontext der `admin`-Datenbank befinden oder beim Erstellen des Benutzers explizit die Datenbank für die Rolle angeben.

Um den Kontext Ihrer Datenbank zu wechseln, können Sie den folgenden Befehl verwenden.

```
use admin
```

Weitere Informationen zur rollenbasierten Zugriffssteuerung und zum Erzwingen geringstmöglicher Berechtigungen unter den Benutzern im Cluster finden Sie unter [Datenbankzugriff mithilfe der rollenbasierten Zugriffskontrolle](role_based_access_control.md). 

## Automatisch rotierende Passwörter für Amazon DocumentDB
<a name="security.managing-users-rotating-passwords"></a>

Mit AWS Secrets Manager können Sie hartcodierte Anmeldeinformationen in Ihrem Code (einschließlich Kennwörtern) durch einen API-Aufruf an Secrets Manager ersetzen, um das Geheimnis programmgesteuert abzurufen. Dadurch wird sichergestellt, dass das Secret nicht kompromittiert werden kann, wenn jemand Ihren Code durchsucht, da es sich gar nicht dort befindet. Außerdem können Sie Secrets Manager so konfigurieren, dass er das Secret automatisch nach einem von Ihnen festgelegten Zeitplan rotiert. So können Sie Secrets mit langer Einsatzdauer durch Secrets mit kurzer Einsatzdauer ersetzen und damit das Risiko einer Kompromittierung erheblich verringern.

Mit Secrets Manager können Sie Ihre Amazon DocumentDB-Passwörter (d. h. *Secrets*) mithilfe einer von Secrets Manager AWS Lambda bereitgestellten Funktion automatisch rotieren.

Weitere Informationen AWS Secrets Manager zur systemeigenen Integration mit Amazon DocumentDB finden Sie im Folgenden:
+ [Blog: So wechseln Sie Amazon DocumentDB- und Amazon Redshift Redshift-Anmeldeinformationen in Secrets Manager AWS](https://aws.amazon.com/blogs/security/how-to-rotate-amazon-documentdb-and-amazon-redshift-credentials-in-aws-secrets-manager/)
+ [Was ist AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS Secrets Manager Geheimnisse rotieren](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets-documentdb.html)
+ [Amazon DocumentDB DocumentDB-Anmeldeinformationen in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html#reference_secret_json_structure_docdb)