IAM-Identitäten (Benutzer, Gruppen und Rollen) - AWS Identity and Access Management
AWS-Konto-Root-BenutzerIAM-BenutzerIAM-BenutzergruppenIAM-RollenTemporäre Anmeldeinformationen in IAMWann sollten IAM-Identity-Center-Benutzer verwendet werden?Erstellen eines IAM-Benutzers (anstatt eine Rolle)Erstellen einer IAM-Rolle (anstatt eines Benutzers)

IAM-Identitäten (Benutzer, Gruppen und Rollen)

Tipp

Haben Sie Probleme mit der Anmeldung bei AWS? Stellen Sie sicher, dass Sie sich auf der richtigen Anmeldeseite.

  • Um sich als Root-Benutzer des AWS-Kontos (Kontobesitzer) anzumelden, verwenden Sie die Anmeldeinformationen, die Sie bei der Erstellung des AWS-Kontos eingerichtet haben.

  • Zum Anmelden als IAM-Benutzer verwenden Sie die Anmeldeinformationen, die Ihnen Ihr Kontoadministrator zur Anmeldung in AWS gegeben hat.

  • Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

    Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter Anmelden beim AWS-Zugangsportal im Benutzerhandbuch zu AWS-Anmeldung.

Tutorials zur Anmeldung finden Sie unter So melden Sie sich in AWS an im AWS-Anmeldung-Benutzerhandbuch.

Anmerkung

Wenn Sie Support anfordern möchten, verwenden Sie nicht den Feedback-Link auf dieser Seite. Feedback, das Sie eingeben, geht an das AWS-Documentation-Team, nicht an den AWS-Support. Wählen Sie stattdessen oben auf dieser Seite den Link Kontakt aus. Dort finden Sie Links zu Ressourcen, mit denen Sie die Unterstützung erhalten, die Sie benötigen.

Der Root-Benutzer des AWS-Kontos oder ein administrativer Benutzer für das Konto kann IAM-Identitäten erstellen. Eine IAM-Identität ermöglicht den Zugriff auf ein AWS-Konto. Eine IAM-Benutzergruppe ist eine Sammlung von IAM-Benutzern, die als eine Einheit verwaltet werden. Eine IAM-Identität stellt einen menschlichen Benutzer oder einen programmgesteuerten Workload dar, der authentifiziert und anschließend zur Durchführung von Aktionen in AWS autorisiert werden kann. Jede IAM-Identität kann einer oder mehreren Richtlinien zugeordnet werden. Richtlinien legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Gruppe auf welchen AWS-Ressourcen und unter welchen Bedingungen ausführen kann.

AWS-Konto-Root-Benutzer

Wenn Sie ein AWS-Konto neu erstellen, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden.

Wichtig

Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern in der AWS Account Management-Referenz.

IAM-Benutzer

Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmten Berechtigungen für eine einzelne Person oder eine einzelne Anwendung. Wenn möglich, empfehlen die bewährten Methoden, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben. Bei speziellen Anwendungsfällen, die langfristige Anmeldeinformationen mit IAM-Benutzern erfordern, empfehlen wir jedoch, die Zugriffsschlüssel zu rotieren. Weitere Informationen finden Sie unter Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern. Informationen zum Hinzufügen von IAM-Benutzern zu Ihrem AWS-Konto finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto.

IAM-Benutzergruppen

Eine IAM-Gruppe ist eine Identität, die eine Sammlung von IAM-Benutzern angibt. Sie können sich nicht mit einer Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie können beispielsweise eine Gruppe mit dem Namen IAMPublishers erstellen und dieser Gruppe die für Workloads üblichen Berechtigungen zuweisen.

IAM-Rollen

Eine IAM-Rolle ist eine Identität in Ihrem AWS-Konto mit spezifischen Berechtigungen. Sie ist einem IAM-Benutzer vergleichbar, ist aber nicht mit einer bestimmten Person verknüpft. Sie können vorübergehend eine IAM-Rolle in der AWS Management Console übernehmen, indem Sie Rollen wechseln. Sie können eine Rolle annehmen, indem Sie eine AWS CLI oder AWS-API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen.

IAM-Rollen mit temporären Anmeldeinformationen werden in folgenden Situationen verwendet:

  • Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wenn eine Verbundidentität authentifiziert wird, wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.

  • Temporäre IAM-Benutzerberechtigungen – Ein IAM-Benutzer oder eine -Rolle kann eine IAM-Rolle übernehmen, um vorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.

  • Kontenübergreifender Zugriff – Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigen Prinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. In einigen AWS-Services können Sie jedoch eine Richtlinie direkt an eine Ressource anfügen (anstatt eine Rolle als Proxy zu verwenden). Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für kontenübergreifenden Zugriff finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.

  • Serviceübergreifender Zugriff – Einige AWS-Services verwenden Features in anderen AWS-Services. Wenn Sie beispielsweise einen Aufruf in einem Service tätigen, führt dieser Service häufig Anwendungen in Amazon EC2 aus oder speichert Objekte in Amazon S3. Ein Service kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.

    • Prinzipalberechtigungen – Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle zum Ausführen von Aktionen in AWS verwenden, gelten Sie als Prinzipal. Richtlinien gewähren einem Prinzipal Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Informationen dazu, ob eine Aktion zusätzliche abhängige Aktionen in einer Richtlinie erfordert, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für die Identitäts- und Zugangsverwaltung von AWS in der Service-Autorisierungs-Referenz.

    • Servicerolle – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

    • Serviceverknüpfte Rolle – Eine serviceverknüpfte Rolle ist ein Typ von Servicerolle, die mit einem AWS-Service verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem AWS-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

  • Anwendungen in Amazon EC2 – Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Temporäre Anmeldeinformationen in IAM

Als bewährte Methode sollten Sie temporäre Anmeldeinformationen sowohl für menschliche Benutzer als auch für Workloads verwenden. Temporäre Anmeldeinformationen werden hauptsächlich mit IAM-Rollen verwendet, es gibt aber auch andere Verwendungsmöglichkeiten. Sie können temporäre Anmeldeinformationen mit eingeschränkteren Berechtigungen als Ihr standardmäßiger IAM-Benutzer anfordern. Dadurch wird verhindert, dass Sie versehentlich Aufgaben ausführen, die den eingeschränkteren Berechtigungen zufolge nicht zulässig sind. Ein Vorteil der temporären Anmeldeinformationen besteht darin, dass sie automatisch nach einem bestimmten Zeitraum ablaufen. Sie kontrollieren die Gültigkeitsdauer der Anmeldeinformationen.

Wann sollten IAM-Identity-Center-Benutzer verwendet werden?

Wir empfehlen allen menschlichen Benutzern, mithilfe von IAM Identity Center auf AWS-Ressourcen zugreifen zu können. IAM Identity Center ermöglicht erhebliche Verbesserungen gegenüber dem Zugriff auf AWS-Ressourcen als IAM-Benutzer. IAM Identity Center bietet Folgendes:

  • Zentraler Satz von Identitäten und Zuweisungen

  • Zugriff auf Konten in einer gesamten AWS-Organisation

  • Verbindung zu Ihrem bestehenden Identitätsanbieter

  • Temporäre Anmeldeinformationen

  • Multifaktor-Authentifizierung (MFA)

  • Self-Service-MFA-Konfiguration für Endbenutzer

  • Administrative Durchsetzung der Verwendung von MFA

  • Single Sign-On (SSO)-Zugriff auf alle AWS-Konto-Berechtigungen

Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.

Erstellen eines IAM-Benutzers (anstatt eine Rolle)

Wir empfehlen, IAM-Benutzer nur für Anwendungsfälle zu verwenden, die von Verbundbenutzern nicht unterstützt werden. Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, die IAM-Rollen nicht verwenden können – Sie könnten einen Workload von einem Speicherort ausführen, der auf AWS zugreifen muss. In manchen Situationen können Sie keine IAM-Rollen verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für WordPress-Plugins. Verwenden Sie in diesen Situationen langfristige IAM-Benutzerzugriffsschlüssel für diesen Workload, um sich bei AWS zu authentifizieren.

  • AWS-Clients von Drittanbietern – Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, z. B. AWS-Clients von Drittanbietern oder Anbieter, die nicht auf AWS gehostet werden, verwenden Sie langfristige IAM-Benutzerzugriffsschlüssel.

  • AWS CodeCommit-Zugriff – Wenn Sie CodeCommit zum Speichern Ihres Codes verwenden, können Sie einen IAM-Benutzer mit SSH-Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, damit CodeCommit sich bei Ihren Repositorys authentifiziert. Wir empfehlen Ihnen, dies zusätzlich zu einem Benutzer im IAM Identity Center für die normale Authentifizierung zu verwenden. Benutzer im IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder für Ihre Cloud-Anwendungen haben. Um Benutzern den Zugriff auf Ihre CodeCommit-Repositories zu ermöglichen, ohne IAM-Benutzer zu konfigurieren, können Sie das Dienstprogramm git-remote-codecommit konfigurieren. Weitere Informationen über IAM und CodeCommit finden Sie unter Verwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS-Zugriffsschlüssel. Weitere Informationen zur Konfiguration des git-remote-codecommit-Dienstprogramms finden Sie unter Verbinden mit AWS CodeCommit-Repositories mit rotierenden Anmeldeinformationen im AWS CodeCommit-Benutzerhandbuch.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) – In einer Situation, in der Sie Benutzer im IAM Identity Center nicht verwenden können, z. B. zu Testzwecken für die Cassandra-Kompatibilität, können Sie einen IAM-Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer im IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder für Ihre Cloud-Anwendungen haben. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen für die Verbindung zu Amazon Keyspaces mithilfe einer IAM-Rolle und des SigV4-Plugins im Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch.

  • Notfallzugriff – In einer Situation, in der Sie nicht auf Ihren Identitätsanbieter zugreifen können und in Ihrem AWS-Konto Maßnahmen ergreifen müssen. Die Einrichtung von IAM-Benutzern für den Notfallzugriff kann Teil Ihres Resilienzplans sein. Wir empfehlen Ihnen, die Anmeldeinformationen für den Notfallbenutzer genau zu kontrollieren und sie mit Multi-Faktor-Authentifizierung (MFA) zu sichern.

Erstellen einer IAM-Rolle (anstatt eines Benutzers)

Erstellen Sie in folgenden Fällen eine IAM-Rolle:

Sie erstellen eine Anwendung, die auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance ausgeführt wird, und diese Anwendung sendet Anforderungen an AWS.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und die Benutzer-Anmeldeinformationen an die Anwendung zu übermitteln oder die Anmeldeinformationen in die Anwendung einzubetten. Erstellen Sie stattdessen eine IAM-Rolle, die Sie an die EC2-Instance anfügen, um den auf der Instance ausgeführten Anwendungen temporäre Sicherheitsanmeldeinformationen bereitzustellen. Wenn eine Anwendung diese Anmeldeinformationen in AWS verwendet, kann sie alle Operationen ausführen, die durch die Richtlinien zugelassen werden, die der Rolle angefügt sind. Details hierzu finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

Sie erstellen eine Anwendung, die auf einem Mobiltelefon ausgeführt wird und Anforderungen an AWS sendet.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und den Zugriffsschlüssel des Benutzers mit der Anwendung zu verteilen. Verwenden Sie stattdessen einen Identitätsanbieter wie Login with Amazon, Amazon Cognito, Facebook oder Google, um Benutzer zu authentifizieren und die Benutzer einer IAM-Rolle zuzuordnen. Die Anwendung kann die Rolle verwenden, um temporäre Sicherheitsanmeldeinformationen zu erhalten, die über die Richtlinien verfügen, die den Berechtigungen entsprechend zur Rolle angefügt sind. Weitere Informationen finden Sie hier:

Benutzer in Ihrem Unternehmen sind in Ihrem Unternehmensnetzwerk authentifiziert und möchten in der Lage sein, AWS zu verwenden, ohne sich erneut anmelden zu müssen – das heißt, Sie möchten, dass Sie mit AWS Verbundbenutzer sind.

Wir raten davon ab, IAM-Benutzer zu erstellen. Konfigurieren Sie stattdessen eine Verbund-Beziehung zwischen dem Identitätssystem Ihres Unternehmens und AWS. Es gibt zwei Methoden dafür: