Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Multi-Faktor-Authentifizierung (MFA) im Toolkit for Visual Studio
Die Multi-Faktor-Authentifizierung (MFA) bietet zusätzliche Sicherheit für Ihre AWS Konten. Bei MFA müssen Benutzer beim Zugriff auf AWS Websites oder Dienste Anmeldeinformationen und eine eindeutige Authentifizierung über einen AWS unterstützten MFA-Mechanismus angeben.
AWS unterstützt eine Reihe von virtuellen Geräten und Hardwaregeräten für die MFA-Authentifizierung. Im Folgenden finden Sie ein Beispiel für ein virtuelles MFA-Gerät, das über eine Smartphone-Anwendung aktiviert wird. Weitere Informationen zu MFA-Geräteoptionen finden Sie unter [Verwenden der Multi-Faktor-Authentifizierung (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) *IAM-Benutzerhandbuch*.
## Schritt 1: Eine IAM-Rolle erstellen, um den Zugriff an IAM-Benutzer zu delegieren
Im folgenden Verfahren wird beschrieben, wie Sie die Rollendelegierung für die Zuweisung von Berechtigungen an einen IAM-Benutzer einrichten. *Ausführliche Informationen zur Rollenverteilung finden Sie unter dem Thema [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im Benutzerhandbuch.AWS Identity and Access Management *
1. [Rufen Sie die IAM-Konsole unter /iam auf. https://console.aws.amazon.com](https://console.aws.amazon.com/iam)
1. **Wählen Sie in der Navigationsleiste **Rollen** und anschließend Rolle erstellen aus.**
1. Wählen Sie auf der Seite „**Rolle erstellen**“ die Option „**Anderes AWS Konto**“ aus.
1. Geben Sie Ihre erforderliche **Konto-ID** ein und markieren Sie das Kontrollkästchen **MFA erforderlich**.
**Anmerkung**
Um Ihre 12-stellige Kontonummer (ID) zu finden, rufen Sie die Navigationsleiste in der Konsole auf und wählen Sie dann **Support, Support** **Center** aus.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Hängen Sie bestehende Richtlinien an Ihre Rolle an oder erstellen Sie eine neue Richtlinie dafür. Die Richtlinien, die Sie auf dieser Seite auswählen, bestimmen, auf welche AWS Dienste der IAM-Benutzer mit dem Toolkit zugreifen kann.
1. Nachdem Sie die Richtlinien angehängt haben, wählen Sie **Weiter: Tags** für die Option, Ihrer Rolle IAM-Tags hinzuzufügen. Wählen Sie dann **Weiter: Überprüfen, um fortzufahren**.
1. Geben Sie auf der Seite **„Überprüfen**“ den erforderlichen **Rollennamen** ein (z. *B. die Toolkit-Rolle*). **Sie können auch eine optionale Rollenbeschreibung hinzufügen.**
1. Wählen Sie **Rolle erstellen** aus.
1. Wenn die Bestätigungsmeldung angezeigt wird (z. B. „Die **Rollen-Toolkit-Rolle** wurde erstellt“), wählen Sie den Namen der Rolle in der Nachricht aus.
1. Wählen Sie auf der **Übersichtsseite** das Kopiersymbol, um den **Rollen-ARN** zu kopieren und in eine Datei einzufügen. (Sie benötigen diesen ARN, wenn Sie den IAM-Benutzer so konfigurieren, dass er die Rolle übernimmt.)
## Schritt 2: Einen IAM-Benutzer erstellen, der die Berechtigungen der Rolle übernimmt
In diesem Schritt wird ein IAM-Benutzer ohne Berechtigungen erstellt, sodass eine Inline-Richtlinie hinzugefügt werden kann.
1. [Rufen Sie die IAM-Konsole unter /iam auf. https://console.aws.amazon.com](https://console.aws.amazon.com/iam)
1. **Wählen Sie in der Navigationsleiste **Benutzer** und dann Benutzer hinzufügen aus.**
1. Geben Sie auf der Seite „**Benutzer hinzufügen**“ den erforderlichen **Benutzernamen** ein (z. B. *Toolkit-Benutzer*) und aktivieren Sie das Kontrollkästchen **Programmatischer Zugriff**.
1. Wählen Sie **Weiter: Berechtigungen**, **Weiter: Stichwörter** und Weiter**: Überprüfen, um zu den nächsten** Seiten zu gelangen. Sie fügen zu diesem Zeitpunkt keine Berechtigungen hinzu, da der Benutzer die Berechtigungen der Rolle übernehmen wird.
1. Auf der **Überprüfungsseite** werden Sie darüber informiert, dass **dieser Benutzer keine Berechtigungen hat**. Wählen Sie **Create user** (Benutzer erstellen) aus.
1. Wählen Sie auf der Seite „**Erfolg**“ die Option „**.csv** herunterladen“, um die Datei herunterzuladen, die die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel enthält. (Sie benötigen beide, wenn Sie das Benutzerprofil in der Anmeldeinformationsdatei definieren.)
1. Klicken Sie auf **Schließen**.
## Schritt 3: Hinzufügen einer Richtlinie, damit der IAM-Benutzer die Rolle übernehmen kann
Mit dem folgenden Verfahren wird eine Inline-Richtlinie erstellt, die es dem Benutzer ermöglicht, die Rolle (und die Berechtigungen dieser Rolle) zu übernehmen.
1. Wählen Sie auf der Seite **Benutzer** der IAM-Konsole den IAM-Benutzer aus, den Sie gerade erstellt haben (z. B. *toolkit-user*).
1. **Wählen Sie auf der Seite „**Zusammenfassung**“ auf der Registerkarte „**Berechtigungen**“ die Option „Inline-Richtlinie hinzufügen“ aus.**
1. Wählen Sie auf der Seite **Richtlinie erstellen** die Option **Dienst auswählen aus**, geben Sie **STS** im Feld **Dienst suchen ein**, und wählen Sie dann **STS** aus den Ergebnissen aus.
1. Beginnen Sie mit der Eingabe des Begriffs für **Aktionen *AssumeRole***. Markieren **AssumeRole**Sie das Kontrollkästchen, wenn es angezeigt wird.
1. Stellen Sie sicher, dass im **Abschnitt Ressource** die Option **Spezifisch** ausgewählt ist, und klicken Sie auf **ARN hinzufügen**, um den Zugriff einzuschränken.
1. **Fügen Sie im Dialogfeld ARN (s)** hinzufügen unter **ARN für Rolle angeben** den ARN der Rolle hinzu, die Sie in Schritt 1 erstellt haben.
Nachdem Sie den ARN der Rolle hinzugefügt haben, werden das vertrauenswürdige Konto und der Rollenname, die dieser Rolle zugeordnet sind, **unter Konto** und **Rollenname mit Pfad** angezeigt.
1. Wählen Sie **Hinzufügen** aus.
1. Zurück auf der Seite **Richtlinie erstellen** wählen Sie **Anforderungsbedingungen angeben (optional)** aus, markieren Sie das Kontrollkästchen **MFA erforderlich** und wählen Sie dann zur Bestätigung **Schließen** aus.
1. Wählen Sie **Review policy** (Richtlinie überprüfen) aus.
1. Geben Sie auf der Seite **Richtlinie überprüfen** einen **Namen** für die Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.
Auf der Registerkarte „**Berechtigungen**“ wird die neue Inline-Richtlinie angezeigt, die direkt an den IAM-Benutzer angehängt ist.
## Schritt 4: Verwaltung eines virtuellen MFA-Geräts für den IAM-Benutzer
1. Laden Sie eine virtuelle MFA-Anwendung herunter und installieren Sie sie auf Ihrem Smartphone.
Eine Liste der unterstützten Anwendungen finden Sie auf der Ressourcenseite zur [Multi-Faktor-Authentifizierung](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
1. Wählen Sie in der IAM-Konsole in der Navigationsleiste **Benutzer** und dann den Benutzer aus, der eine Rolle annimmt (in diesem Fall *Toolkit-Benutzer*).
1. Wählen Sie auf der **Übersichtsseite** die Registerkarte **Sicherheitsanmeldedaten** und wählen Sie für **Zugewiesenes MFA-Gerät** die Option **Verwalten** aus.
1. **Wählen **Sie im Bereich MFA-Gerät verwalten** die Option **Virtuelles MFA-Gerät** und dann Weiter aus.**
1. Wählen **Sie im Bereich Virtuelles MFA-Gerät einrichten** die Option **QR-Code anzeigen** aus und scannen Sie dann den Code mit der virtuellen MFA-Anwendung, die Sie auf Ihrem Smartphone installiert haben.
1. Nachdem Sie den QR-Code gescannt haben, generiert die virtuelle MFA-Anwendung einmalige MFA-Codes. Geben Sie zwei aufeinanderfolgende MFA-Codes in **MFA-Code 1** und **MFA-Code** 2 ein.
1. Klicken Sie auf **Assign MFA (MFA zuordnen)**.
1. Kopieren Sie auf der Registerkarte **Sicherheitsanmeldeinformationen** für den Benutzer den ARN des neuen **zugewiesenen MFA-Geräts**.
Die ARN enthält Ihre 12-stellige Konto-ID und das Format ähnelt dem folgenden:`arn:aws:iam::123456789012:mfa/toolkit-user`. Sie benötigen diesen ARN, wenn Sie im nächsten Schritt das MFA-Profil definieren.
## Schritt 5: Profile erstellen, um MFA zuzulassen
Mit dem folgenden Verfahren werden die Profile erstellt, die MFA beim Zugriff auf AWS Dienste aus dem Toolkit for Visual Studio zulassen.
Die von Ihnen erstellten Profile enthalten drei Informationen, die Sie in den vorherigen Schritten kopiert und gespeichert haben:
+ Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel) für den IAM-Benutzer
+ ARN der Rolle, die Berechtigungen an den IAM-Benutzer delegiert
+ ARN des virtuellen MFA-Geräts, das dem IAM-Benutzer zugewiesen ist
Fügen Sie in der Datei AWS mit den gemeinsam genutzten Anmeldeinformationen oder dem SDK-Speicher, der Ihre AWS Anmeldeinformationen enthält, die folgenden Einträge hinzu:
```
[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user
```
In dem angegebenen Beispiel sind zwei Profile definiert:
+ `[toolkit-user]`Das Profil enthält den Zugriffsschlüssel und den geheimen Zugriffsschlüssel, die generiert und gespeichert wurden, als Sie den IAM-Benutzer in Schritt 2 erstellt haben.
+ `[mfa]`Das Profil definiert, wie die Multi-Faktor-Authentifizierung unterstützt wird. Es gibt drei Einträge:
◦`source_profile`: Gibt das Profil an, dessen Anmeldeinformationen verwendet werden, um die in dieser `role_arn` Einstellung angegebene Rolle in diesem Profil anzunehmen. In diesem Fall ist es das `toolkit-user` Profil.
◦`role_arn`: Gibt den Amazon-Ressourcennamen (ARN) der IAM-Rolle an, die Sie verwenden möchten, um mit diesem Profil angeforderte Operationen auszuführen. In diesem Fall ist es der ARN für die Rolle, die Sie in Schritt 1 erstellt haben.
◦`mfa_serial`: Gibt die Identifikations- oder Seriennummer des MFA-Geräts an, die der Benutzer verwenden muss, wenn er eine Rolle übernimmt. In diesem Fall ist es der ARN des virtuellen Geräts, das Sie in Schritt 3 eingerichtet haben.