Sicherheitsüberlegungen Verbundidentität Multifaktor-Authentifizierung (MFA)Programmgesteuerter Zugriff Alternativen zu Langzeit-Zugriffsschlüsseln Zugreigen auf AWS mit Ihren AWS-Anmeldeinformationen

AWS-Sicherheitsanmeldeinformationen

Wenn Sie mit AWS interagieren, geben Sie Ihre AWS-Sicherheitsanmeldeinformationen an, um zu überprüfen, wer Sie sind und ob Sie die Zugriffsberechtigung für die Ressourcen haben, die Sie anfordern. AWS verwendet die Sicherheitsanmeldeinformationen zur Authentifizierung und Autorisierung Ihrer Anforderungen.

Wenn Sie z. B. eine geschützte Datei aus einem Amazon Simple Storage Service (Amazon S3)-Bucket herunterladen möchten, müssen Ihre Anmeldeinformationen diesen Zugriff erlauben. Wenn aus Ihren Anmeldeinformationen nicht hervorgeht, dass Sie zum Herunterladen der Datei berechtigt sind, lehnt AWS Ihre Anforderung ab. Ihre AWS-Sicherheitsanmeldeinformationen sind jedoch nicht erforderlich, um eine Datei in einem öffentlich freigegebenen Amazon-S3-Bucket herunterzuladen.

Es gibt verschiedene Arten von Benutzern in AWS. Alle AWS-Benutzer haben Sicherheitsanmeldeinformationen. Es gibt den Kontoinhaber (Root-Benutzer), Benutzer im AWS IAM Identity Center, Verbundbenutzer und IAM-Benutzer.

Benutzer verfügen entweder über langfristige oder temporäre Sicherheitsanmeldeinformationen. Root-Benutzer, IAM-Benutzer und Zugriffsschlüssel haben langfristige Sicherheitsanmeldeinformationen, die nicht ablaufen. Um langfristige Anmeldeinformationen zu schützen, müssen Prozesse zur Verwaltung von Zugriffsschlüsseln, zum Ändern von Passwörtern und zum Aktivieren von MFA vorhanden sein.

IAM-Rollen, Benutzer im AWS IAM Identity Center und Verbundbenutzer haben temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen laufen nach einem definierten Zeitraum ab oder wenn der Benutzer seine Sitzung beendet. Temporäre Anmeldeinformationen funktionieren fast genauso wie die langfristigen Anmeldeinformationen, mit folgenden Unterschieden:

Temporäre Sicherheitsanmeldeinformationen sind über einen kurzen Zeitraum gültig, wie der Name schon sagt. Sie können mit einer Gültigkeitsdauer von wenigen Minuten bis mehrere Stunden konfiguriert werden. Nachdem die Anmeldeinformationen abgelaufen sind, erkennt AWS sie nicht mehr an und verweigert den Zugriff von API-Anforderungen, die mit diesen Anmeldeinformationen gestellt werden.
Temporäre Sicherheitsanmeldeinformationen werden nicht mit dem Benutzer gespeichert, sondern auf Anforderung des Benutzers dynamisch generiert und bereitgestellt. Wenn (oder sogar bevor) die temporären Anmeldeinformationen ablaufen, kann der Benutzer neue Anmeldeinformationen anfordern, solange der anfordernde Benutzer weiterhin dazu berechtigt ist.

Daher haben temporäre Anmeldeinformationen die folgenden Vorteile gegenüber langfristigen Anmeldeinformationen:

Sie müssen keine langfristigen AWS-Sicherheitsanmeldeinformationen mit einer Anwendung verteilen oder einbetten.
Sie können Benutzern den Zugriff auf Ihre AWS-Ressourcen erteilen, ohne eine AWS-Identität für sie definieren zu müssen. Temporäre Anmeldeinformationen sind die Grundlage für Rollen und den Identitätsverbund.
Die temporären Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie aktualisieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können die Gültigkeit der Anmeldeinformationen bis zu einem bestimmten Höchstwert festlegen.

Sicherheitsüberlegungen

Wir empfehlen, die folgenden Informationen zu berücksichtigen, wenn Sie die Datenschutzvorkehrungen für Ihre AWS-Konto festlegen:

Wenn Sie ein AWS-Konto erstellen, wird der Root-Benutzer des Kontos erstellt. Diese Anmeldeinformationen des Root-Benutzers (Kontoinhabers) ermöglichen vollständigen Zugriff auf alle Ressourcen des Kontos. Die erste Aufgabe, die Sie mit dem Root-Benutzer ausführen, besteht darin, einem anderen Benutzer Administratorberechtigungen für Ihr AWS-Konto zu gewähren, damit Sie die Nutzung des Root-Benutzers minimieren.
Sie können keine IAM-Richtlinien verwenden, um dem Root-Benutzer den Zugriff auf Ressourcen explizit zu verweigern. Sie können nur eine Service-Kontrollrichtlinie (SCP) von AWS Organizations verwenden, um die Berechtigungen des Stammbenutzers zu beschränken.
Wenn Sie Ihr Root-Benutzer-Passwort vergessen oder verlieren, müssen Sie Zugriff auf die mit Ihrem Konto verknüpfte E-Mail-Adresse haben, um es zurücksetzen zu können.
Wenn Sie Ihre Root-Benutzer-Zugangsschlüssel verlieren, müssen Sie sich in Ihrem Konto als Root-Benutzer anmelden können, um neue zu erstellen.
Verwenden Sie Ihren Root-Benutzer nicht für alltägliche Aufgaben. Verwenden Sie ihn nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.
Sicherheitsanmeldeinformationen gelten jeweils für ein Konto. Wenn Sie Zugriff auf mehrere AWS-Konten haben, verfügen Sie über separate Anmeldeinformationen für jedes Konto.
Richtlinien legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Gruppe auf welchen AWS-Ressourcen und unter welchen Bedingungen ausführen kann. Mit Richtlinien können Sie den Zugriff auf AWS-Services und auf Ressourcen in Ihrem AWS-Konto sicher steuern. Wenn Sie Berechtigungen als Reaktion auf ein Sicherheitsereignis ändern oder widerrufen müssen, löschen oder ändern Sie die Richtlinien, anstatt Änderungen direkt an der Identität vorzunehmen.
Stellen Sie sicher, dass Sie die Anmeldeinformationen für Ihren Emergency-Access-IAM-Benutzer und alle Zugriffsschlüssel, die Sie für den programmatischen Zugriff erstellt haben, an einem sicheren Ort speichern. Wenn Sie Ihre Zugriffsschlüssel verlieren, müssen Sie sich in Ihrem Konto anmelden, um neue zu erstellen.
Es wird dringend empfohlen, temporäre Anmeldeinformationen zu verwenden, die von IAM-Rollen und Verbundbenutzern bereitgestellt werden, anstelle der langfristigen Anmeldeinformationen, die von IAM-Benutzern und Zugriffsschlüsseln bereitgestellt werden.

Verbundidentität

Verbundidentitäten sind Benutzer mit externen Identitäten, denen temporäre AWS-Anmeldeinformationen genehmigt wurden, mit denen sie auf sichere AWS-Konto-Ressourcen zugreifen können. Externe Identitäten können vom Identitätsspeicher eines Unternehmens (z. B. LDAP oder Windows Active Directory) oder von einem Drittanbieter (z. B. Login bei Amazon, Facebook oder Google) stammen. Verbundidentitäten melden sich nicht im AWS Management Console- oder AWS-Zugriffsportal an.

Um Verbundidentitäten die Anmeldung bei AWS zu ermöglichen, müssen Sie eine benutzerdefinierte URL erstellen, die https://signin.aws.amazon.com/federation enthält. Weitere Informationen finden Sie unter Aktivieren des benutzerdefinierten Identity-Broker-Zugriffs auf die AWS Konsole.

Weitere Informationen zu Verbundidentitäten finden Sie unter Identitätsanbieter und Verbund.

Multifaktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene für Benutzer, die auf Ihr AWS-Konto zugreifen können. Für zusätzliche Sicherheit empfehlen wir, dass Sie MFA für die Root-Benutzer des AWS-Kontos-Anmeldeinformationen und alle IAM-Benutzer anfordern. Weitere Informationen finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS.

Wenn Sie MFA aktivieren und sich bei Ihrem AWS-Konto anmelden, werden Sie aufgefordert, Ihren Anmeldeinformationen einzugeben sowie eine Antwort, die von einem MFA-Gerät generiert wird, z. B. ein Code, eine Berührung oder Tippen oder ein biometrischer Scan. Wenn Sie MFA hinzufügen, sind Ihre AWS-Konto-Einstellungen und Ressourcen noch sicherer.

Standardmäßig ist MFA nicht aktiviert. Sie können MFA-Geräte für den Root-Benutzer des AWS-Kontos aktivieren und verwalten, indem Sie die Seite Sicherheitsanmeldeinformationen oder das IAM-Dashboard in der AWS Management Console aufrufen. Weitere Informationen zum Aktivieren der MFA für IAM-Benutzer finden Sie unter Aktivieren von MFA-Geräten für Benutzer in AWS.

Weitere Informationen zur Anmeldung mithilfe von Multifaktor-Authentifizierung-(MFA)-Geräten finden Sie unter Verwenden von MFA-Geräten auf Ihrer IAM-Anmeldeseite.

Programmgesteuerter Zugriff

Sie stellen Ihre AWS-Zugriffsschlüssel bereit, um programmgesteuerte Aufrufe an AWS zu tätigen oder AWS Command Line Interface oder AWS Tools for PowerShell zu verwenden. Wir empfehlen, möglichst temporäre Zugriffsschlüssel zu verwenden.

Wenn Sie einen langfristigen Zugriffsschlüssel erstellen, erstellen Sie die Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE) und den geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) als Set. Der geheime Zugriffsschlüssel ist nur zum Zeitpunkt seiner Erstellung zum Download verfügbar. Wenn Sie den geheimen Zugriffsschlüssel nicht herunterladen oder ihn verlieren, müssen Sie einen neuen erstellen.

In vielen Fällen benötigen Sie keine langfristigen Zugriffsschlüssel, die nie ablaufen (wie es bei IAM-Benutzern der Fall ist, wenn Sie Zugriffsschlüssel erstellen). Erstellen Sie stattdessen IAM-Rollen und generieren Sie temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen enthalten eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel, aber sie enthalten auch ein Sicherheitstoken, das angibt, wann die Anmeldeinformationen ablaufen. Nachdem sie abgelaufen sind, sind sie nicht mehr gültig.

Zugriffsschlüssel-IDs, die mit AKIA beginnen, sind langfristige Zugriffsschlüssel für einen IAM-Benutzer oder einen AWS-Konto-Root-Benutzer. Zugriffsschlüssel-IDs, die mit ASIA beginnen, sind temporäre Zugriffsschlüssel für Anmeldeinformationen, die Sie mit AWS STS-Operationen erstellen.

Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS Management Console mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf AWS zugreift:

Wählen Sie eine der folgenden Optionen aus, um den Benutzern programmgesteuerten Zugriff zu gewähren.

Welcher Benutzer benötigt programmgesteuerten Zugriff?	Bis	Von
Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden)	Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen zur AWS CLI finden Sie unter Konfigurieren der AWS CLI für die Verwendung von AWS IAM Identity Center im AWS Command Line Interface-Benutzerhandbuch. Informationen zu AWS-SDKs, Tools und AWS-APIs finden Sie unter IAM-Identity-Center-Authentifizierung im Referenzhandbuch zu AWS-SDKs und Tools.
IAM	Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.	Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch.
IAM	(Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen zur AWS CLI finden Sie unter Authentifizierung mit IAM-Benutzer-Anmeldeinformationen im AWS Command Line Interface-Benutzerhandbuch. Informationen zu AWS-SDKs und Tools finden Sie unter Authentifizierung mit langfristigen Anmeldeinformationen im Referenzhandbuch zu AWS-SDKs und Tools. Informationen zu AWS-APIs finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

Welcher Benutzer benötigt programmgesteuerten Zugriff?

Bis

Von

Mitarbeiteridentität

(Benutzer, die in IAM Identity Center verwaltet werden)

Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Informationen zur AWS CLI finden Sie unter Konfigurieren der AWS CLI für die Verwendung von AWS IAM Identity Center im AWS Command Line Interface-Benutzerhandbuch.
Informationen zu AWS-SDKs, Tools und AWS-APIs finden Sie unter IAM-Identity-Center-Authentifizierung im Referenzhandbuch zu AWS-SDKs und Tools.

IAM

Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch.

IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Informationen zur AWS CLI finden Sie unter Authentifizierung mit IAM-Benutzer-Anmeldeinformationen im AWS Command Line Interface-Benutzerhandbuch.
Informationen zu AWS-SDKs und Tools finden Sie unter Authentifizierung mit langfristigen Anmeldeinformationen im Referenzhandbuch zu AWS-SDKs und Tools.
Informationen zu AWS-APIs finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

Alternativen zu Langzeit-Zugriffsschlüsseln

Für viele gängige Anwendungsfälle gibt es Alternativen zu langfristigen Zugriffsschlüsseln. Beachten Sie Folgendes, um die Sicherheit Ihres Kontos zu verbessern.

Betten Sie keine langfristigen Zugriffsschlüssel und geheimen Zugriffsschlüssel in Ihren Anwendungscode oder in ein Code-Repository ein – Verwenden Sie stattdessen AWS Secrets Manager oder eine andere Lösung zur Verwaltung von Geheimnissen, damit Sie Schlüssel nicht im Klartext fest codieren müssen. Die Anwendung oder der Client kann dann bei Bedarf Geheimnisse abrufen. Weitere Informationen finden Sie unter Was ist AWS Secrets Manager? im AWS Secrets Manager-Benutzerhandbuch.

Verwenden Sie nach Möglichkeit IAM-Rollen, um temporäre Sicherheitsanmeldeinformationen zu generieren – Verwenden Sie nach Möglichkeit immer Mechanismen, um temporäre Sicherheitsanmeldeinformationen auszugeben, anstatt langfristige Zugriffsschlüssel. Temporäre Sicherheitsanmeldeinformationen sind sicherer, da sie nicht beim Benutzer gespeichert, sondern dynamisch generiert und dem Benutzer auf Anfrage bereitgestellt werden. Temporäre Sicherheitsanmeldeinformationen haben eine begrenzte Lebensdauer, sodass Sie sie nicht verwalten oder aktualisieren müssen. Zu den Mechanismen, die temporäre Zugriffsschlüssel bereitstellen, gehören IAM-Rollen oder die Authentifizierung eines IAM-Identity-Center-Benutzers. Für Maschinen, die außerhalb von AWS ausgeführt werden, können Sie AWS Identity and Access Management Roles Anywhere verwenden.
Verwenden Sie Alternativen zu langfristigen Zugriffsschlüsseln für die AWS Command Line Interface (AWS CLI) oder die aws-shell – Zu den Alternativen gehören die folgenden.
- AWS CloudShell ist eine Browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS Management Console starten können. Sie können AWS CLI-Befehle gegen AWS-Services über Ihre bevorzugte Shell (Bash, Powershell oder Z-Shell) ausführen. Wenn Sie dies tun, müssen Sie keine Befehlszeilentools herunterladen oder installieren. Weitere Informationen finden Sie unter Was ist AWS CloudShell? im AWS CloudShell-Benutzerhandbuch.
- AWS CLI-Version-2-Integration mit AWS IAM Identity Center (IAM Identity Center). Sie können Benutzer authentifizieren und kurzfristige Anmeldeinformationen bereitstellen, um AWS CLI-Befehle auszuführen. Weitere Informationen hierzu finden Sie unter Integrieren von AWS CLI mit IAM Identity Center im AWS IAM Identity Center-Benutzerhandbuch und Konfigurieren von AWS CLI für die Verwendung von IAM Identity Center im AWS Command Line Interface-Benutzerhandbuch.
Erstellen Sie keine langfristigen Zugriffsschlüssel für menschliche Benutzer, die Zugriff auf Anwendungen oder AWS-Services benötigen – IAM Identity Center kann temporäre Anmeldeinformationen für Ihre externen IdP-Benutzer generieren, um auf AWS-Services zuzugreifen. Dadurch entfällt die Notwendigkeit, langfristige Anmeldeinformationen in IAM zu erstellen und zu verwalten. Erstellen Sie im IAM Identity Center eine IAM-Identity-Center-Berechtigungsgruppe, die den externen IdP-Benutzern Zugriff gewährt. Weisen Sie dann eine Gruppe aus dem IAM Identity Center dem Berechtigungssatz in der ausgewählten AWS-Konten. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center, Verbinden mit Ihrem externen Identitätsanbieter und Berechtigungssätze im AWS IAM Identity Center-Benutzerhandbuch.
Speichern Sie keine langfristigen Zugriffsschlüssel innerhalb eines AWS-Rechen-Service – Weisen Sie stattdessen den Rechenressourcen eine IAM-Rolle zu. Dadurch werden automatisch temporäre Anmeldeinformationen bereitgestellt, um Zugriff zu gewähren. Wenn Sie beispielsweise ein Instance-Profil erstellen, das an eine Amazon-EC2-Instance angefügt ist, können Sie der Instance eine AWS-Rolle zuweisen und sie für alle ihre Anwendungen bereitstellen. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der Amazon-EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen zu erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden.

Zugreigen auf AWS mit Ihren AWS-Anmeldeinformationen

AWS erfordert unterschiedliche Arten von Sicherheitsanmeldeinformationen, je nachdem, wie Sie auf AWS zugreifen und welche Art von AWS-Benutzer Sie sind. So verwenden Sie beispielsweise Anmeldeinformationen für die AWS Management Console, während Sie Zugriffsschlüssel verwenden, um programmgesteuerte Aufrufe an AWS zu tätigen. Außerdem hat jede von Ihnen verwendete Identität, ob nun ein Konto-Root-Benutzer, einAWS Identity and Access Management (IAM)-Benutzer, ein AWS IAM Identity Center-Benutzer oder eine Verbundidentität, eindeutige Anmeldeinformationen innerhalb von AWS.

Schrittweise Anleitungen zur Anmeldung in AWS je nach Benutzertyp finden Sie unter So melden Sie sich in AWS an im AWSAnmeldeleitfaden für Benutzer.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sicherheit

AWS Richtlinien für Sicherheitsprüfungen