Verwalten der Zugriffsschlüssel für IAM-Benutzer

Wichtig

Als bewährte Methode empfiehlt es sich, temporäre Sicherheitsanmeldeinformationen (z. B. IAM-Rollen) zu verwenden, anstatt langfristige Anmeldeinformationen wie Zugriffsschlüssel zu erstellen. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die Alternativen zu Langzeit-Zugriffsschlüsseln.

Zugriffsschlüssel sind langfristige Anmeldeinformationen für einen IAM-Benutzer oder Root-Benutzer des AWS-Kontos. Sie können Zugriffsschlüssel verwenden, um programmgesteuerte Anforderungen an die AWS CLI oder API zu signieren AWS (direkt oder mit dem AWS SDK). Weitere Informationen finden Sie unter Signieren von AWS API-Anforderungen.

Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE) und einem geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Sie müssen die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zusammen verwenden, um Ihre Anforderungen zu authentifizieren.

Speichern Sie beim Erstellen eines Zugriffsschlüsselpaars die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort. Der geheime Zugriffsschlüssel ist nur zu dem Zeitpunkt verfügbar, an dem Sie ihn erstellen. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie den Zugriffsschlüssel löschen und einen neuen erstellen. Weitere Details finden Sie unter Zurücksetzen von verlorenen bzw. vergessenen Passwörtern und Zugriffsschlüsseln für AWS.

Sie können maximal zwei Zugriffsschlüssel pro Benutzer besitzen.

Wichtig

Verwalten Sie Ihre Zugriffsschlüssel auf sichere Weise. Geben Sie Ihre Zugangsschlüssel nicht an Unbefugte weiter, auch nicht, um Ihre Kontokennungen zu finden. Wenn Sie dies tun, gewähren Sie anderen Personen möglicherweise den permanenten Zugriff auf Ihr Konto.

In den folgenden Themen werden die Verwaltungsaufgaben im Zusammenhang mit Zugriffsschlüsseln detailliert beschrieben.

Erforderliche Berechtigungen zum Verwalten von Zugriffsschlüsseln

Anmerkung

iam:TagUser ist eine optionale Berechtigung zum Hinzufügen und Bearbeiten von Beschreibungen für den Zugriffsschlüssel. Weitere Informationen finden Sie unter Markieren von IAM-Benutzern.

Um Zugriffsschlüssel für Ihren eigenen IAM-Benutzer zu erstellen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Um Zugriffsschlüssel für Ihren eigenen IAM-Benutzer zu aktualisieren, müssen Sie über die Berechtigungen der folgenden Richtlinie verfügen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Verwalten von Zugriffsschlüsseln (Konsole)

Sie können die verwenden AWS Management Console , um die Zugriffsschlüssel eines IAM-Benutzers zu verwalten.

So erstellen, ändern oder löschen Sie Ihre eigenen Zugriffsschlüssel (Konsole)

1. Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.

   Anmerkung

   Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu speichern. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Melden Sie sich bei einem anderen Konto an Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, der auf die IAM-Benutzeranmeldeseite für Ihr Konto umgeleitet werden soll.

   Um Ihre AWS-Konto -ID zu erhalten, wenden Sie sich an Ihren Administrator.

2. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann Security Credentials (Sicherheitsanmeldeinformationen) aus.

   

Führen Sie eine der folgenden Aktionen aus:

So erstellen Sie einen Zugriffsschlüssel

1. Wählen Sie im Abschnitt Access keys (Zugriffsschlüssel) Create access key (Zugriffsschlüssel erstellen). Wenn Sie bereits über zwei Zugriffsschlüssel verfügen, ist diese Schaltfläche deaktiviert und Sie müssen einen Zugriffsschlüssel löschen, bevor Sie einen neuen erstellen können.

2. Wählen Sie auf der Seite Access key best practices & alternatives (Bewährte Methoden und Alternativen zu Zugriffsschlüsseln) Ihren Anwendungsfall aus, um mehr über zusätzliche Optionen zu erfahren, mit denen Sie die Erstellung eines langfristigen Zugriffsschlüssels vermeiden können. Wenn Sie feststellen, dass für Ihren Anwendungsfall immer noch ein Zugriffsschlüssel erforderlich ist, wählen Sie Other (Andere) und dann Next (Weiter).

3. (Optional) Legen Sie einen Beschreibungs-Tag-Wert für den Zugriffsschlüssel fest. Dadurch wird Ihrem IAM-Benutzer ein Tag-Schlüssel/Wert-Paar hinzugefügt. Auf diese Weise können Sie Zugriffsschlüssel leichter identifizieren und aktualisieren. Der Tag-Schlüssel ist auf die Zugriffsschlüssel-ID festgelegt. Der Tag-Wert ist auf die von Ihnen angegebene Beschreibung des Zugriffsschlüssels festgelegt. Wenn Sie fertig sind, wählen Sie Create access key (Zugriffsschlüssel erstellen) aus.

4. Wählen Sie auf der Seite Retrieve access keys (Zugriffsschlüssel abrufen) entweder Show (Anzeigen), um den Wert des geheimen Zugriffsschlüssels Ihres Benutzers anzuzeigen, oder Download .csv file (CSV-Datei herunterladen). Das ist Ihre einzige Gelegenheit, Ihren geheimen Zugriffsschlüssel zu speichern. Nachdem Sie Ihren geheimen Zugriffsschlüssel an einem sicheren Ort gespeichert haben, wählen Sie Done (Fertig) aus.

So deaktivieren Sie einen Zugriffsschlüssel

• Suchen Sie im Abschnitt Access keys (Zugriffsschlüssel) nach dem Schlüssel, den Sie deaktivieren möchten, und wählen Sie dann Actions (Aktionen) und anschließend Deactivate (Deaktivieren). Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Deaktivieren aus. Ein deaktivierter Zugriffsschlüssel wird noch immer auf das Limit von zwei Zugriffsschlüsseln angerechnet.

So aktivieren Sie einen Zugriffsschlüssel

• Suchen Sie im Abschnitt Access keys (Zugriffsschlüssel) nach dem Schlüssel, den Sie aktivieren möchten, und wählen Sie dann Actions (Aktionen) und anschließend Activate (Aktivieren).

So löschen Sie einen Zugriffsschlüssel, den Sie nicht mehr benötigen

• Suchen Sie im Abschnitt Access keys (Zugriffsschlüssel) nach dem Schlüssel, den Sie löschen möchten, und wählen Sie dann Actions (Aktionen) und anschließend Delete (Löschen). Folgen Sie den Anweisungen im Dialogfeld, um zuerst zu Deactivate (Deaktivieren) und dann den Löschvorgang zu bestätigen. Sie sollten sich vergewissern, dass der Zugriffsschlüssel wirklich nicht mehr verwendet wird, bevor Sie ihn endgültig löschen.

So erstellen, ändern oder löschen Sie die Zugriffsschlüssel eines anderen IAM-Benutzers (Konsole)

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie verwalten möchten, und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen).

4. Führen Sie im Bereich Access keys (Zugriffsschlüssel) einen der folgenden Schritte aus:

   • Um einen Zugriffsschlüssel zu erstellen, wählen Sie Create access key (Zugriffsschlüssel erstellen). Wenn diese Schaltfläche deaktiviert ist, müssen Sie einen der vorhandenen Schlüssel löschen, bevor Sie einen neuen erstellen können. Sehen Sie sich auf der Seite Access key best practices & alternatives (Bewährte Methoden und Alternativen zu Zugriffsschlüsseln) die wichtigsten bewährten Methoden und Alternativen an. Wählen Sie Ihren Anwendungsfall aus, um mehr über zusätzliche Optionen zu erfahren, mit denen Sie die Erstellung eines langfristigen Zugriffsschlüssels vermeiden können. Wenn Sie feststellen, dass für Ihren Anwendungsfall immer noch ein Zugriffsschlüssel erforderlich ist, wählen Sie Other (Andere) und dann Next (Weiter). Wählen Sie auf der Seite Retrieve access keys (Zugriffsschlüssel abrufen) Show (Anzeigen), um den Wert des geheimen Zugriffsschlüssels Ihres Benutzers anzuzeigen. Um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel in einer .csv-Dateien einem sicheren Ort auf Ihrem Computer zu speichern, wählen Sie die Schaltfläche Download .csv file (CSV-Datei herunterladen). Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Ihr Benutzer kann es sofort verwenden.

   • Um einen aktiven Zugriffsschlüssel zu deaktivieren, wählen Sie Actions (Aktionen) und dann Deactivate (Deaktivieren).

   • Um einen inaktiven Zugriffsschlüssel zu aktivieren, wählen Sie Actions (Aktionen) und dann Activate (Aktivieren).

   • Um Ihren Zugriffsschlüssel zu löschen, wählen Sie Actions (Aktionen) und dann Delete (Löschen). Folgen Sie den Anweisungen im Dialog, um zuerst zu deaktivieren und dann den Löschvorgang zu bestätigen. AWS empfiehlt, vorher den Schlüssel zu deaktivieren und zu testen, ob er nicht mehr verwendet wird. Wenn Sie die verwenden AWS Management Console, müssen Sie Ihren Schlüssel deaktivieren, bevor Sie ihn löschen.

So listen Sie die Zugriffsschlüssel für einen IAM-Benutzer auf (Konsole)

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen). Im Abschnitt Access keys (Zugriffsschlüssel) werden die Zugriffsschlüssel des Benutzers und der Status der einzelnen Schlüssel angezeigt.

   Anmerkung

   Nur die Zugriffsschlüssel-ID des Benutzers wird angezeigt. Der geheime Zugriffsschlüssel kann nur während der Erstellung des Schlüssels abgerufen werden.

So listen Sie die Zugriffsschlüssel-IDs für mehrere IAM-Benutzer auf (Konsole)

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Falls erforderlich, fügen Sie die Spalte Access key ID (Zugriffsschlüssel-ID) zur Tabelle der Benutzer hinzu, indem Sie die folgenden Schritte ausführen:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( ).

   2. Wählen Sie in der Spalte Manage Columns (Spalten verwalten) die Option Access key ID (Zugriffsschlüssel-ID).

   3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren.

4. Die Spalte Access key ID (Zugriffsschlüssel-ID) enthält alle Zugriffsschlüssel-IDs, gefolgt vom Status, z. B. 23478207027842073230762374023 (Active) (23478207027842073230762374023 (Aktiv)) oder 22093740239670237024843420327 (Inactive) (22093740239670237024843420327 (Inaktiv)).

   Anhand dieser Informationen können Sie die Zugriffsschlüssel für Benutzer mit einem oder zwei Zugriffsschlüsseln anzeigen und kopieren. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte None (Keiner) angezeigt.

   Anmerkung

   Nur die Zugriffsschlüssel-ID des Benutzers und ihr Status werden angezeigt. Der geheime Zugriffsschlüssel kann nur während der Erstellung des Schlüssels abgerufen werden.

So ermitteln Sie IAM-Benutzer mit einem bestimmten Zugriffsschlüssel (Konsole)

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Kopieren oder geben Sie in das Suchfeld die Zugriffsschlüssel-ID des Benutzers ein, den Sie suchen möchten.

4. Falls erforderlich, fügen Sie die Spalte Access key ID (Zugriffsschlüssel-ID) zur Tabelle der Benutzer hinzu, indem Sie die folgenden Schritte ausführen:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( ).

   2. Wählen Sie in der Spalte Manage Columns (Spalten verwalten) die Option Access key ID (Zugriffsschlüssel-ID).

   3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren, und vergewissern Sie sich, dass der gefilterte Benutzer Eigentümer des angegebenen Zugriffsschlüssels ist.

Verwalten von Zugriffsschlüsseln (AWS CLI)

Führen Sie die folgenden Befehle aus AWS CLI, um die IAM-Benutzerzugriffsschlüssel über die zu verwalten.

• Zum Erstellen eines Zugriffsschlüssels: aws iam create-access-key

• So aktivieren oder deaktivieren Sie einen Zugriffsschlüssel: aws iam update-access-key

• Zum Auflisten der Zugriffsschlüssel eines Benutzers: aws iam list-access-keys

• Zur Feststellung, wann ein Zugriffsschlüssel zuletzt genutzt wurde: aws iam get-access-key-last-used

• Zum Löschen eines Zugriffsschlüssels: aws iam delete-access-key

Verwalten von Zugriffsschlüsseln (AWS API)

Rufen Sie die folgenden Operationen auf, um die Zugriffsschlüssel eines IAM AWS -Benutzers über die API zu verwalten.

• Zum Erstellen eines Zugriffsschlüssels: CreateAccessKey

• So aktivieren oder deaktivieren Sie einen Zugriffsschlüssel: UpdateAccessKey

• Zum Auflisten der Zugriffsschlüssel eines Benutzers: ListAccessKeys

• Zur Feststellung, wann ein Zugriffsschlüssel zuletzt genutzt wurde: GetAccessKeyLastUsed

• Zum Löschen eines Zugriffsschlüssels: DeleteAccessKey

Aktualisierung der Zugriffsschlüssel

Als bewährte Sicherheitsmethode empfehlen wir Ihnen, die IAM-Benutzerzugriffsschlüssel bei Bedarf zu aktualisieren, beispielsweise wenn ein Mitarbeiter Ihr Unternehmen verlässt. IAM-Benutzer können ihre eigenen Zugriffsschlüssel aktualisieren, wenn ihnen die erforderlichen Berechtigungen gewährt wurden.

Weitere Informationen zum Gewähren von Berechtigungen für IAM-Benutzer zum Aktualisieren ihrer eigenen Zugriffsschlüssel finden Sie unter AWS: Ermöglicht es IAM-Benutzern, ihr eigenes Passwort, ihre eigenen Zugriffsschlüssel und öffentlichen SSH-Schlüssel auf der Seite Sicherheitsanmeldeinformationen zu verwalten. Sie können auch eine Passwortrichtlinie auf Ihr Konto anwenden, um zu verlangen, dass alle Ihre IAM-Benutzer ihre Passwörter regelmäßig aktualisieren und festlegen, wie oft sie dies tun müssen. Weitere Informationen finden Sie unter Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer.

Themen

• Aktualisieren von Zugriffsschlüsseln für IAM-Benutzer (Konsole)
• Aktualisieren der Zugriffsschlüssel (AWS CLI)
• Aktualisieren von Zugriffsschlüsseln (AWS API)

Aktualisieren von Zugriffsschlüsseln für IAM-Benutzer (Konsole)

Sie können Zugriffsschlüssel über die AWS Management Console aktualisieren.

So aktualisieren Sie Zugriffsschlüssel für einen IAM-Benutzer, ohne Ihre Anwendungen zu unterbrechen (Konsole)

1. Erstellen Sie einen zweiten, solange der erste Zugriffsschlüssel aktiv ist.

   1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

   2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

   3. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen).

   4. Wählen Sie im Abschnitt Access keys (Zugriffsschlüssel) Create access key (Zugriffsschlüssel erstellen). Wählen Sie auf der Seite Access key best practices & alternatives (Bewährte Methoden und Alternativen zu Zugriffsschlüsseln) die Option Other (Andere) und anschließend Next (Weiter) aus.

   5. (Optional) Legen Sie einen Beschreibungs-Tag-Wert für den Zugriffsschlüssel fest, um diesem IAM-Benutzer ein Tag-Schlüssel-Wert-Paar hinzuzufügen. Auf diese Weise können Sie Zugriffsschlüssel leichter identifizieren und aktualisieren. Der Tag-Schlüssel ist auf die Zugriffsschlüssel-ID festgelegt. Der Tag-Wert ist auf die von Ihnen angegebene Beschreibung des Zugriffsschlüssels festgelegt. Wenn Sie fertig sind, wählen Sie Create access key (Zugriffsschlüssel erstellen) aus.

   6. Wählen Sie auf der Seite Retrieve access keys (Zugriffsschlüssel abrufen) entweder Show (Anzeigen), um den Wert des geheimen Zugriffsschlüssels Ihres Benutzers anzuzeigen, oder Download .csv file (CSV-Datei herunterladen). Das ist Ihre einzige Gelegenheit, Ihren geheimen Zugriffsschlüssel zu speichern. Nachdem Sie Ihren geheimen Zugriffsschlüssel an einem sicheren Ort gespeichert haben, wählen Sie Done (Fertig) aus.

      Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Ihr Benutzer kann es sofort verwenden. Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

2. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

3. Stellen Sie fest, ob der erste Zugriffsschlüssel noch verwendet wird, indem Sie die Informationen Last used (Zuletzt verwendet) für den ältesten Zugriffsschlüssel prüfen. Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

4. Auch wenn der Wert in den Informationen Last used (Zuletzt verwendet) angibt, dass der alte Schlüssel zu keiner Zeit verwendet worden ist, empfehlen wir, den ersten Zugriffsschlüssel nicht sofort zu löschen. Wählen Sie stattdessen Actions (Aktionen) und dann Deactivate (Deaktivieren) aus, um den ersten Zugriffsschlüssel zu deaktivieren.

5. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die weiterhin den ursprünglichen Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf - AWS Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool finden, können Sie den ersten Zugriffsschlüssel reaktivieren. Kehren Sie dann zu Schritt 3 zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

6. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel löschen:

   1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

   2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

   3. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen).

   4. Suchen Sie im Abschnitt Access keys (Zugriffsschlüssel) nach dem Zugriffsschlüssel, den Sie löschen möchten, und wählen Sie dann Actions (Aktionen) und anschließend Delete (Löschen). Folgen Sie den Anweisungen im Dialogfeld, um zuerst zu Deactivate (Deaktivieren) und dann den Löschvorgang zu bestätigen.

So stellen Sie fest, welche Zugriffsschlüssel aktualisiert oder gelöscht werden müssen (Konsole)

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Falls erforderlich, fügen Sie die Spalte Access key age (Zugriffsschlüsselalter) zur Tabelle "Benutzer" hinzu, indem Sie die folgenden Schritte ausführen:

   1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( ).

   2. Wählen Sie unter Manage columns (Spalten verwalten) die Option Access key age (Zugriffsschlüsselalter).

   3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren.

4. Die Spalte Access key age (Zugriffsschlüsselalter) zeigt die Anzahl der Tage an, seit der älteste aktive Zugriffsschlüssel erstellt wurde. Mithilfe dieser Informationen können Sie Benutzer mit Zugriffsschlüsseln finden, die möglicherweise aktualisiert oder gelöscht werden müssen. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte None (Keiner) angezeigt.

Aktualisieren der Zugriffsschlüssel (AWS CLI)

Sie können Zugriffsschlüssel über den AWS Command Line Interface aktualisieren.

So aktualisieren Sie Zugriffsschlüssel, ohne Ihre Anwendungen zu unterbrechen (AWS CLI)

1. Erstellen Sie einen zweiten, standardmäßig aktiven Zugriffsschlüssel, solange der erste Zugriffsschlüssel aktiv ist. Führen Sie den folgenden Befehl aus:

   • aws iam create-access-key

     Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

2. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

3. Stellen Sie mit folgendem Befehl fest, ob der erste Zugriffsschlüssel noch verwendet wird:

   • aws iam get-access-key-last-used

   Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

4. Auch wenn der Schritt Schritt 3 angibt, dass der alte Schlüssel nicht verwendet wird, empfehlen wir, den ersten Zugriffsschlüssel nicht zu sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels mit dem folgenden Befehl auf Inactive:

   • aws iam update-access-key

5. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die weiterhin den ursprünglichen Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf - AWS Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool feststellen, können Sie den Status zurück zu Active wechseln, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zum Schritt Schritt 2 zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

6. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel mit diesem Befehl löschen:

   • aws iam delete-access-key

Aktualisieren von Zugriffsschlüsseln (AWS API)

Sie können Zugriffsschlüssel mithilfe der AWS -API aktualisieren.

So aktualisieren Sie Zugriffsschlüssel, ohne Ihre Anwendungen zu unterbrechen (AWS API)

1. Erstellen Sie einen zweiten, standardmäßig aktiven Zugriffsschlüssel, solange der erste Zugriffsschlüssel aktiv ist. Rufen Sie die folgende Operation auf:

   • CreateAccessKey

     Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

2. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

3. Stellen Sie durch Aufrufen der folgendem Operation fest, ob der erste Zugriffsschlüssel noch verwendet wird:

   • GetAccessKeyLastUsed

   Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

4. Auch wenn der Schritt Schritt 3 angibt, dass der alte Schlüssel nicht verwendet wird, empfehlen wir, den ersten Zugriffsschlüssel nicht zu sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels in Inactive, indem Sie die Operation aufrufen:

   • UpdateAccessKey

5. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die weiterhin den ursprünglichen Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf - AWS Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool feststellen, können Sie den Status zurück zu Active wechseln, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zum Schritt Schritt 2 zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

6. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel durch Aufrufen dieser Operation löschen:

   • DeleteAccessKey

Zugriffsschlüssel sichern

Jeder, der über Ihre Zugriffsschlüssel verfügt, hat die gleiche Zugriffsebene auf Ihre - AWS Ressourcen wie Sie. Folglich AWS ist in erheblichem Umfang, um Ihre Zugriffsschlüssel zu schützen, und sollten Sie im Einklang mit unserem Modell der geteilten Verantwortung auch dies tun.

Erweitern Sie die folgenden Abschnitte, um Anleitungen zum Schutz Ihrer Zugriffsschlüssel zu erhalten.

Anmerkung

Ihre Organisation hat unter Umständen andere Sicherheitsanforderungen und -richtlinien als die in diesem Thema beschriebenen. Die hier gemachten Vorschläge dienen lediglich als allgemeine Orientierungshilfe.

Root-Benutzer des AWS-Kontos Zugriffsschlüssel entfernen (oder nicht generieren)

Eine der besten Methoden, Ihr Konto zu schützen, besteht darin, für Ihr Root-Benutzer des AWS-Kontos gar keinen Zugriffsschlüssel zu verwenden. Sofern Sie nicht über Root-Benutzer-Zugriffsschlüssel verfügen müssen (was selten vorkommt), ist es am besten, diese nicht zu generieren. Erstellen Sie stattdessen einen administrativen Benutzer in AWS IAM Identity Center für tägliche administrative Aufgaben. Informationen zum Erstellen eines administrativen Benutzers in IAM Identity Center finden Sie unter Erste Schritte im IAM-Identity-Center-Benutzerhandbuch.

Wenn Sie bereits über Root-Benutzer-Zugriffsschlüssel für Ihr Konto verfügen, empfehlen wir Folgendes: Suchen Sie in Ihren Anwendungen nach Stellen, an denen Sie derzeit Zugriffsschlüssel verwenden (falls vorhanden), und ersetzen Sie die Root-Benutzer-Zugriffsschlüssel durch IAM-Benutzerzugriffsschlüssel. Deaktivieren und entfernen Sie dann die Root-Benutzer-Zugriffsschlüssel. Weitere Informationen zum Aktualisieren der Zugriffsschlüsseln finden Sie unter Aktualisierung der Zugriffsschlüssel

Verwenden Sie temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle von Langzeit-Zugriffsschlüsseln

In vielen Fällen benötigen Sie keine langfristigen Zugriffsschlüssel, die nie ablaufen (wie es bei IAM-Benutzern der Fall ist). Erstellen Sie stattdessen IAM-Rollen und generieren Sie temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, enthalten aber auch ein Sicherheits-Token, das angibt, wann die Anmeldeinformationen ablaufen.

Langzeit-Zugriffsschlüssel, wie etwa solche für IAM-Benutzer und -Root-Benutzer, bleiben so lange gültig, bis Sie sie manuell widerrufen. Temporäre Sicherheitsanmeldeinformationen, die über IAM-Rollen und andere Funktionen des abgerufen werden, AWS Security Token Service laufen jedoch nach kurzer Zeit ab. Verwenden Sie temporäre Sicherheitsanmeldeinformationen, um das Risiko für den Fall zu verringern, dass Anmeldeinformationen versehentlich kompromittiert werden.

Verwenden Sie eine IAM-Rolle und temporäre Sicherheitsanmeldeinformationen in den folgenden Szenarien:

• Sie haben eine Anwendung oder AWS CLI Skripte, die auf einer Amazon EC2 ausgeführt werden. Verwenden Sie Zugriffsschlüssel nicht direkt in Ihrer Anwendung. Übergeben Sie keine Zugriffsschlüssel an die Anwendung, betten Sie sie nicht in die Anwendung ein und lassen Sie die Anwendung keine Zugriffsschlüssel beliebiger Quellen lesen. Definieren Sie stattdessen eine IAM-Rolle mit entsprechenden Berechtigungen für Ihre Anwendung und starten Sie die Amazon Elastic Compute Cloud (Amazon EC2)-Instance mit Rollen für EC2. Dadurch wird der Amazon-EC2-Instance eine IAM-Rolle zugeordnet. Durch diese Vorgehensweise erhält die Anwendung auch temporäre Sicherheitsanmeldeinformationen, die sie wiederum für programmgesteuerte Aufrufe an AWS verwenden kann. Die AWS -SDKs und die AWS Command Line Interface (AWS CLI) können temporäre Anmeldeinformationen automatisch von der Rolle abrufen.

• Sie müssen kontenübergreifenden Zugriff gewähren. Verwenden Sie eine IAM-Rolle zum Einrichten von Vertrauensstellungen zwischen Konten und erteilen Sie Benutzern in einem Konto eingeschränkte Zugriffsberechtigungen für das vertrauenswürdige Konto. Weitere Informationen finden Sie unter Tutorial: Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollen.

• Sie verfügen über eine mobile App. Betten Sie keine Zugriffsschlüssel in die App ein, auch nicht in verschlüsselten Speichern. Verwenden Sie stattdessen Amazon Cognito zum Verwalten der Benutzeridentitäten in Ihrer App. Dieser Service ermöglicht Ihnen die Authentifizierung von Benutzern, die Login with Amazon, Facebook, Google oder einen beliebigen OpenID Connect (OIDC)-kompatiblen Identitätsanbieter nutzen. Anschließend können Sie den Anmeldeinformationsanbieter von Amazon Cognito verwenden, um Anmeldeinformationen zu verwalten, die Ihre App für Anforderungen an AWS nutzt.

• Sie möchten einen Verbund in herstellen AWS und Ihre Organisation unterstützt SAML 2.0. Falls Ihre Organisation über einen Identitätsanbieter verfügt, der SAML 2.0 unterstützt, konfigurieren Sie den Anbieter für SAML. Sie können SAML verwenden, um Authentifizierungsinformationen mit auszutauschen AWS und einen Satz temporärer Sicherheitsanmeldeinformationen zurückzuerhalten. Weitere Informationen finden Sie unter SAML 2.0-Verbund.

• Sie möchten einen Verbund mit herstellen AWS und Ihre Organisation verfügt über einen On-Premises-Identitätsspeicher. Wenn Benutzer sich innerhalb Ihrer Organisation authentifizieren können, können Sie eine Anwendung schreiben, die ihnen temporäre Sicherheitsanmeldeinformationen für den Zugriff auf - AWS Ressourcen ausstellen kann. Weitere Informationen finden Sie unter Aktivieren des benutzerdefinierten Identity-Broker-Zugriffs auf die AWS Konsole.

Anmerkung

Verwenden Sie eine Amazon EC2-Instance mit einer Anwendung, die programmatischen Zugriff auf - AWS Ressourcen erfordert? Falls ja, verwenden Sie IAM-Rollen für EC2.

IAM-Benutzerzugriffsschlüssel richtig verwalten

Wenn Sie Zugriffsschlüssel für den programmgesteuerten Zugriff auf erstellen müssen AWS, erstellen Sie sie für IAM-Benutzer und gewähren Sie den Benutzern nur die Berechtigungen, die sie benötigen.

Beachten Sie diese Vorsichtsmaßnahmen, um die Zugriffsschlüssel von IAM-Benutzern zu schützen:

• Betten Sie Zugriffsschlüssel nicht direkt in den Code ein. Die AWS -SDKs und AWS -Befehlszeilen-Tools ermöglichen es Ihnen, Zugriffsschlüssel an bekannten Speicherorten abzulegen, sodass Sie sie nicht als Code behalten müssen.

  Legen Sie Zugriffsschlüssel an einem der folgenden Orte ab:

  • Die Datei mit den AWS Anmeldeinformationen. Die AWS SDKs und verwenden AWS CLI automatisch die Anmeldeinformationen, die Sie in der Datei mit den AWS Anmeldeinformationen speichern.

    Informationen zur Verwendung der AWS Anmeldeinformationsdatei finden Sie in der Dokumentation für Ihr SDK. Beispiele hierfür sind das Festlegen von AWS Anmeldeinformationen und deren Region im -AWS SDK for Java Entwicklerhandbuch und Konfigurations- und Anmeldeinformationsdateien im AWS Command Line Interface -Benutzerhandbuch.

    Um Anmeldeinformationen für die AWS SDK for .NET und die zu speichern AWS Tools for Windows PowerShell, empfehlen wir Ihnen, den -SDK-Speicher zu verwenden. Weitere Informationen finden Sie unter Verwenden des SDK-Speichers im AWS SDK for .NET -Entwicklerhandbuch.

  • Umgebungsvariablen. Wählen Sie in einem System mit mehreren Mandanten Benutzerumgebungsvariablen und keine Systemumgebungsvariablen aus.

    Weitere Informationen zur Verwendung von Umgebungsvariablen zum Speichern von Anmeldeinformationen finden Sie unter Umgebungsvariablen im AWS Command Line Interface -Benutzerhandbuch.

• Verwenden Sie unterschiedliche Zugriffsschlüssel für unterschiedliche Anwendungen. Wenn Sie dies tun, können Sie die Berechtigungen isolieren und die Zugriffsschlüssel für einzelne Anwendungen widerrufen, wenn ein Zugriffsschlüssel kompromittiert wurde. Mit separaten Zugriffsschlüsseln für verschiedene Anwendungen werden auch eindeutige Einträge in AWS CloudTrail-Protokolldateien generiert. Mit dieser Konfiguration können Sie leichter feststellen, welche Anwendung bestimmte Aktionen ausgeführt hat.

• Aktualisieren Sie die Zugriffsschlüssel bei Bedarf. Wenn das Risiko besteht, dass der Zugriffsschlüssel kompromittiert werden könnte, aktualisieren Sie den Zugriffsschlüssel und löschen Sie den vorherigen Zugriffsschlüssel. Details hierzu finden Sie unter Aktualisierung der Zugriffsschlüssel

• Entfernen Sie nicht verwendete Zugriffsschlüssel. Wenn ein Benutzer Ihre Organisation verlässt, entfernen Sie den entsprechenden IAM-Benutzer, damit dieser nicht mehr auf Ihre Ressourcen zugreifen kann. Um herauszufinden, wann ein Zugriffsschlüssel zuletzt verwendet wurde, verwenden Sie die GetAccessKeyLastUsed-API (AWS CLI Befehl: aws iam get-access-key-last-used).

• Verwenden Sie temporäre Anmeldeinformationen und konfigurieren Sie die Multi-Faktor-Authentifizierung für Ihre sensibelsten API-Vorgänge. Mit IAM-Richtlinien können Sie angeben, welche API-Operationen ein Benutzer aufrufen darf. In einigen Fällen möchten Sie möglicherweise die zusätzliche Sicherheit der Authentifizierung von Benutzern mit AWS MFA, bevor Sie ihnen erlauben, besonders sensible Aktionen durchzuführen. Sie verfügen beispielsweise über eine Richtlinie, die dem Benutzer gestattet, die Amazon EC2 Aktionen RunInstances, DescribeInstances und StopInstances auszuführen. Möglicherweise möchten Sie jedoch eine destruktive Aktion wie einschränken TerminateInstances und sicherstellen, dass Benutzer diese Aktion nur ausführen können, wenn sie sich bei einem AWS MFA-Gerät authentifizieren. Weitere Informationen finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs.

Zugriff auf die mobile App über AWS Zugriffsschlüssel

Mit der AWS mobilen App können Sie auf eine begrenzte Anzahl von AWS Services und Funktionen zugreifen. Mit der mobilen App können Sie auch unterwegs auf Vorfälle reagieren. Unter AWS Console Mobile Application können Sie die App herunterladen und weitere Informationen erhalten.

Sie können sich mit Ihrem Konsolenpasswort oder Ihren Zugriffsschlüsseln bei der mobilen App anmelden. Verwenden Sie als bewährte Methode keine Stammbenutzer-Zugriffsschlüssel. Stattdessen empfehlen wir dringend, dass Sie zusätzlich zur Verwendung eines Passworts oder einer biometrischen Sperre auf Ihrem Mobilgerät einen IAM-Benutzer erstellen, der speziell für die Verwaltung von AWS Ressourcen mithilfe der mobilen App bestimmt ist. Wenn Sie Ihr Mobilgerät verlieren, können Sie den Zugriff des IAM-Benutzers entfernen.

So melden Sie sich mit Zugriffsschlüsseln an (mobile App)

1. Öffnen Sie die App auf Ihrem mobilen Gerät.

2. Wenn Sie dem Gerät zum ersten Mal eine Identität hinzufügen, wählen Sie Identität hinzufügen und dann Zugriffsschlüssel aus.

   Wenn Sie sich bereits mit einer anderen Identität angemeldet haben, wählen Sie das Menüsymbol und dann Identität wechseln aus. Wählen Sie dann Als andere Identität anmelden und dann Zugriffsschlüssel aus.

3. Geben Sie auf der Seite Zugriffsschlüssel Ihre Informationen ein:

   • Zugriffsschlüssel-ID: Geben Sie Ihre Zugriffsschlüssel-ID ein.

   • Geheimer Zugriffsschlüssel: Geben Sie Ihren geheimen Zugriffsschlüssel ein.

   • Identitätsname: Geben Sie den Namen der Identität ein, der in der mobilen App angezeigt wird. Dieser muss nicht mit Ihrem IAM-Benutzernamen übereinstimmen.

   • Identitäts-PIN: Erstellen Sie eine persönliche Identifizierungsnummer (PIN), die Sie bei zukünftigen Anmeldungen verwenden.

     Anmerkung

     Wenn Sie die Biometrie für die AWS mobile App aktivieren, werden Sie aufgefordert, Ihren Fingerabdruck oder Ihre Gesichtserkennung zur Überprüfung anstelle der PIN zu verwenden. Wenn die Biometrie fehlschlägt, werden Sie möglicherweise stattdessen zur Eingabe der PIN aufgefordert.

4. Wählen Sie Überprüfen und Hinzufügen von Schlüsseln.

   Sie können nun über die mobile App auf eine ausgewählte Gruppe Ihrer Ressourcen zugreifen.

Ähnliche Informationen

Die folgenden Themen enthalten Anleitungen zur Einrichtung der - AWS SDKs und der AWS CLI zur Verwendung von Zugriffsschlüsseln:

• Festlegen von AWS Anmeldeinformationen und Region im -AWS SDK for Java Entwicklerhandbuch

• Verwendung des SDK-Speichers im AWS SDK for .NET -Entwicklerhandbuch

• Bereitstellung von Anmeldeinformationen für das SDK im AWS SDK for PHP -Entwicklerhandbuch

• Konfiguration in der Boto 3 (AWS SDK für Python)-Dokumentation

• Verwendung von AWS -Anmeldeinformationen im AWS Tools for Windows PowerShell -Benutzerhandbuch

• Konfigurations- und Anmeldeinformationsdateien im AWS Command Line Interface -Benutzerhandbuch

• Gewährung des Zugriffs mithilfe einer IAM-Rolle im AWS SDK for .NET -Entwicklerhandbuch

• Konfigurieren von IAM-Rollen für Amazon EC2 in der AWS SDK for Java 2.x

Überwachen von Zugriffsschlüsseln

Sie können die AWS Zugriffsschlüssel in Ihrem Code überprüfen, um festzustellen, ob die Schlüssel von einem Konto stammen, das Sie besitzen. Sie können eine Zugriffsschlüssel-ID mit dem -aws sts get-access-key-info AWS CLI Befehl oder der GetAccessKeyInfo AWS -API-Operation übergeben.

Die AWS API-Operationen AWS CLI und geben die ID des zurück, AWS-Konto zu dem der Zugriffsschlüssel gehört. Zugriffsschlüssel-IDs, die mit AKIA beginnen, sind langfristige Anmeldeinformationen für einen IAM-Benutzer oder Root-Benutzer des AWS-Kontos. Zugriffsschlüssel-IDs, die mit beginnen, ASIA sind temporäre Anmeldeinformationen, die mithilfe von - AWS STS Operationen erstellt werden. Wenn das Konto in der Antwort Ihnen gehört, können Sie sich als Stammbenutzer anmelden und Ihre Stammbenutzer-Zugriffsschlüssel überprüfen. Anschließend können Sie einen Anmeldeinformationsbericht abrufen, um zu erfahren, welcher IAM-Benutzer die Schlüssel besitzt. Um zu erfahren, wer die temporären Anmeldeinformationen für einen ASIA Zugriffsschlüssel angefordert hat, zeigen Sie die AWS STS Ereignisse in Ihren - CloudTrail Protokollen an.

Aus Sicherheitsgründen können Sie -AWS CloudTrail Protokolle überprüfen, um zu erfahren, wer eine Aktion in ausgeführt hat AWS. Sie können den sts:SourceIdentity-Bedingungsschlüssel in der Rollenvertrauensrichtlinie verwenden, damit Benutzer einen Sitzungsnamen angeben müssen, wenn sie eine Rolle übernehmen. Sie können beispielsweise verlangen, dass IAM-Benutzer ihren eigenen Benutzernamen als Sitzungsnamen angeben. Auf diese Weise können Sie feststellen, welcher Benutzer eine bestimmte Aktion in AWS ausgeführt hat. Weitere Informationen finden Sie unter sts:SourceIdentity.

Diese Operation gibt nicht den Status des Zugriffsschlüssels an. Der Schlüssel kann aktiv, inaktiv oder gelöscht sein. Aktive Schlüssel verfügen möglicherweise nicht über Berechtigungen zum Ausführen einer Operation. Die Bereitstellung eines gelöschten Zugriffsschlüssels gibt möglicherweise einen Fehler zurück, der besagt, dass der Schlüssel nicht vorhanden ist.