IAM-Identitäten (Benutzer, Gruppen und Rollen) - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Identitäten (Benutzer, Gruppen und Rollen)

Tipp

Haben Sie Probleme mit der Anmeldung bei AWS? Stellen Sie sicher, dass Sie sich auf der richtigen Anmeldeseite.

  • Um sich als Root-Benutzer des AWS-Kontos (Kontobesitzer) anzumelden, verwenden Sie die Anmeldeinformationen, die Sie bei der Erstellung des AWS-Kontos eingerichtet haben.

  • Zum Anmelden als IAM-Benutzer verwenden Sie die Anmeldeinformationen, die Ihnen Ihr Kontoadministrator zur Anmeldung in AWS gegeben hat.

  • Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

    Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter Anmelden beim AWS-Zugangsportal im AWS-Anmeldung Benutzerhandbuch zu.

Tutorials zur Anmeldung finden Sie unter So melden Sie sich in AWS an im AWS-Anmeldung-Benutzerhandbuch.

Anmerkung

Wenn Sie Support anfordern möchten, verwenden Sie nicht den Feedback-Link auf dieser Seite. Feedback, das Sie eingeben, geht an das AWS-Documentation-Team, nicht an den AWS-Support. Wählen Sie stattdessen oben auf dieser Seite den Link Kontakt aus. Dort finden Sie Links zu Ressourcen, mit denen Sie die Unterstützung erhalten, die Sie benötigen.

Der Root-Benutzer des AWS-Kontos oder ein administrativer Benutzer für das Konto kann IAM-Identitäten erstellen. Eine IAM-Identität ermöglicht den Zugriff auf ein AWS-Konto. Eine IAM-Benutzergruppe ist eine Sammlung von IAM-Benutzern, die als eine Einheit verwaltet werden. Eine IAM-Identität stellt einen menschlichen Benutzer oder einen programmgesteuerten Workload dar, der authentifiziert und anschließend zur Durchführung von Aktionen in AWS autorisiert werden kann. Jede IAM-Identität kann einer oder mehreren Richtlinien zugeordnet werden. Richtlinien legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Gruppe auf welchen AWS-Ressourcen und unter welchen Bedingungen ausführen kann.

AWS-Konto-Root-Benutzer

Wenn Sie ein AWS-Konto neu erstellen, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden.

Wichtig

Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.

IAM-Benutzer

Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmten Berechtigungen für eine einzelne Person oder eine einzelne Anwendung. Wenn möglich, empfehlen die bewährten Methoden, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die Alternativen zu Langzeit-Zugriffsschlüsseln. Wenn Sie bestimmte Anwendungsfälle haben, die Zugriffsschlüssel erfordern, empfehlen wir Ihnen, die Zugriffsschlüssel bei Bedarf zu aktualisieren. Weitere Informationen finden Sie unter Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern. Informationen zum Hinzufügen von IAM-Benutzern zu Ihrem AWS-Konto finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto.

Anmerkung

Im Sinne bewährter Sicherheitsmethoden wird empfohlen, den Zugriff auf Ihre Ressourcen über einen Identitätsverbund zu ermöglichen, anstatt IAM-Benutzer zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.

IAM-Benutzergruppen

Eine IAM-Gruppe ist eine Identität, die eine Sammlung von IAM-Benutzern angibt. Sie können sich nicht mit einer Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie können beispielsweise eine Gruppe mit dem Namen IAMPublishers erstellen und dieser Gruppe die für Workloads üblichen Berechtigungen zuweisen.

IAM-Rollen

Eine IAM-Rolle ist eine Identität in Ihrem AWS-Konto mit spezifischen Berechtigungen. Es ähnelt einem IAM-Benutzer, ist jedoch keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM-Rolle in der AWS Management Console übernehmen, indem Sie Rollen wechseln. Sie können eine Rolle annehmen, indem Sie eine AWS CLI oder AWS-API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter Verwenden von IAM-Rollen.

IAM-Rollen mit temporären Anmeldeinformationen werden in folgenden Situationen verwendet:

  • Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter Erstellen von Rollen für externe Identitätsanbieter im IAM-Benutzerhandbuch. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center-Benutzerhandbuch.

  • Temporäre IAM-Benutzerberechtigungen – Ein IAM-Benutzer oder eine -Rolle kann eine IAM-Rolle übernehmen, um vorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.

  • Kontoübergreifender Zugriff – Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigen Prinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. In einigen AWS-Services können Sie jedoch eine Richtlinie direkt an eine Ressource anfügen (anstatt eine Rolle als Proxy zu verwenden). Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für kontenübergreifenden Zugriff finden Sie unter Kontoübergreifender Zugriff auf Ressourcen in IAM.

  • Serviceübergreifender Zugriff – Einige AWS-Services verwenden Features in anderen AWS-Services. Wenn Sie beispielsweise einen Aufruf in einem Service tätigen, führt dieser Service häufig Anwendungen in Amazon EC2 aus oder speichert Objekte in Amazon S3. Ein Service kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.

    • Prinzipalberechtigungen – Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle zum Ausführen von Aktionen in AWS verwenden, gelten Sie als Prinzipal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FAS verwendet die Berechtigungen des Prinzipals, der einen AWS-Service aufruft, in Kombination mit der Anforderung an den AWS-Service, Anforderungen an nachgelagerte Services zu stellen. FAS-Anforderungen werden nur dann gestellt, wenn ein Dienst eine Anforderung erhält, die Interaktionen mit anderen AWS-Services oder Ressourcen erfordert, um abgeschlossen werden zu können. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien für FAS-Anfragen finden Sie unter Zugriffssitzungen weiterleiten.

    • Servicerolle – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

    • Serviceverknüpfte Rolle – Eine serviceverknüpfte Rolle ist ein Typ von Servicerolle, die mit einem AWS-Service verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem AWS-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverbundene Rollen anzeigen, aber nicht bearbeiten.

  • Anwendungen in Amazon EC2 – Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Temporäre Anmeldeinformationen in IAM

Als bewährte Methode sollten Sie temporäre Anmeldeinformationen sowohl für menschliche Benutzer als auch für Workloads verwenden. Temporäre Anmeldeinformationen werden hauptsächlich mit IAM-Rollen verwendet, es gibt aber auch andere Verwendungsmöglichkeiten. Sie können temporäre Anmeldeinformationen mit eingeschränkteren Berechtigungen als Ihr standardmäßiger IAM-Benutzer anfordern. Dadurch wird verhindert, dass Sie versehentlich Aufgaben ausführen, die den eingeschränkteren Berechtigungen zufolge nicht zulässig sind. Ein Vorteil der temporären Anmeldeinformationen besteht darin, dass sie automatisch nach einem bestimmten Zeitraum ablaufen. Sie kontrollieren die Gültigkeitsdauer der Anmeldeinformationen.

Wann sollten IAM-Identity-Center-Benutzer verwendet werden?

Wir empfehlen allen menschlichen Benutzern, mithilfe von IAM Identity Center auf AWS-Ressourcen zugreifen zu können. IAM Identity Center ermöglicht erhebliche Verbesserungen gegenüber dem Zugriff auf AWS-Ressourcen als IAM-Benutzer. IAM Identity Center bietet Folgendes:

  • Zentraler Satz von Identitäten und Zuweisungen

  • Zugriff auf Konten in einer gesamten AWS-Organisation

  • Verbindung zu Ihrem bestehenden Identitätsanbieter

  • Temporäre Anmeldeinformationen

  • Multi-Faktor-Authentifizierung (MFA)

  • Self-Service-MFA-Konfiguration für Endbenutzer

  • Administrative Durchsetzung der Verwendung von MFA

  • Single Sign-On (SSO)-Zugriff auf alle AWS-Konto-Berechtigungen

Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center-Benutzerhandbuch.

Erstellen eines IAM-Benutzers (anstatt eine Rolle)

Wir empfehlen, IAM-Benutzer nur für Anwendungsfälle zu verwenden, die von Verbundbenutzern nicht unterstützt werden. Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, die IAM-Rollen nicht verwenden können – Sie könnten einen Workload von einem Speicherort ausführen, der auf AWS zugreifen muss. In manchen Situationen können Sie keine IAM-Rollen verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für WordPress-Plugins. Verwenden Sie in diesen Situationen langfristige IAM-Benutzerzugriffsschlüssel für diesen Workload, um sich bei AWS zu authentifizieren.

  • AWS-Clients von Drittanbietern – Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, z. B. AWS-Clients von Drittanbietern oder Anbieter, die nicht in AWS gehostet werden, verwenden Sie langfristige IAM-Benutzerzugriffsschlüssel.

  • AWS CodeCommit-Zugriff – Wenn Sie CodeCommit zum Speichern Ihres Codes verwenden, können Sie einen IAM-Benutzer mit SSH-Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, damit CodeCommit sich bei Ihren Repositorys authentifiziert. Wir empfehlen Ihnen, dies zusätzlich zu einem Benutzer im IAM Identity Center für die normale Authentifizierung zu verwenden. Benutzer im IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder für Ihre Cloud-Anwendungen haben. Um Benutzern den Zugriff auf Ihre CodeCommit-Repositories zu ermöglichen, ohne IAM-Benutzer zu konfigurieren, können Sie das Dienstprogramm git-remote-codecommit konfigurieren. Weitere Informationen über IAM und CodeCommit finden Sie unter Verwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS-Zugriffsschlüssel. Weitere Informationen zur Konfiguration des git-remote-codecommit-Dienstprogramms finden Sie unter Verbinden mit AWS CodeCommit-Repositories mit rotierenden Anmeldeinformationen im AWS CodeCommit-Benutzerhandbuch.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) – In einer Situation, in der Sie Benutzer im IAM Identity Center nicht verwenden können, z. B. zu Testzwecken für die Cassandra-Kompatibilität, können Sie einen IAM-Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer im IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder für Ihre Cloud-Anwendungen haben. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen für die Verbindung zu Amazon Keyspaces mithilfe einer IAM-Rolle und des SigV4-Plugins im Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch.

  • Notfallzugriff – In einer Situation, in der Sie keinen Zugriff auf Ihren Identitätsanbieter haben und in Ihrem AWS-Konto Maßnahmen ergreifen müssen. Die Einrichtung von IAM-Benutzern für den Notfallzugriff kann Teil Ihres Resilienzplans sein. Wir empfehlen Ihnen, die Anmeldeinformationen für den Notfallbenutzer genau zu kontrollieren und sie mit Multi-Faktor-Authentifizierung (MFA) zu sichern.

Erstellen einer IAM-Rolle (anstatt eines Benutzers)

Erstellen Sie in folgenden Fällen eine IAM-Rolle:

Sie erstellen eine Anwendung, die auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance ausgeführt wird, und diese Anwendung sendet Anforderungen an AWS.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und die Benutzer-Anmeldeinformationen an die Anwendung zu übermitteln oder die Anmeldeinformationen in die Anwendung einzubetten. Erstellen Sie stattdessen eine IAM-Rolle, die Sie an die EC2-Instance anfügen, um den auf der Instance ausgeführten Anwendungen temporäre Sicherheitsanmeldeinformationen bereitzustellen. Wenn eine Anwendung diese Anmeldeinformationen in AWS verwendet, kann sie alle Operationen ausführen, die durch die Richtlinien zugelassen werden, die der Rolle angefügt sind. Details hierzu finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

Sie erstellen eine Anwendung, die auf einem Mobiltelefon ausgeführt wird und Anforderungen an AWS sendet.

Wir raten davon ab, einen IAM-Benutzer zu erstellen und den Zugriffsschlüssel des Benutzers mit der Anwendung zu verteilen. Verwenden Sie stattdessen einen Identitätsanbieter wie Login with Amazon, Amazon Cognito, Facebook oder Google, um Benutzer zu authentifizieren und die Benutzer einer IAM-Rolle zuzuordnen. Die Anwendung kann die Rolle verwenden, um temporäre Sicherheitsanmeldeinformationen zu erhalten, die über die Richtlinien verfügen, die den Berechtigungen entsprechend zur Rolle angefügt sind. Weitere Informationen finden Sie hier:

Benutzer in Ihrem Unternehmen sind in Ihrem Unternehmensnetzwerk authentifiziert und möchten in der Lage sein, AWS zu verwenden, ohne sich erneut anmelden zu müssen – das heißt, Sie möchten, dass Sie mit AWS Verbundbenutzer sind.

Wir raten davon ab, IAM-Benutzer zu erstellen. Konfigurieren Sie stattdessen eine Verbund-Beziehung zwischen dem Identitätssystem Ihres Unternehmens und AWS. Es gibt zwei Methoden dafür:

Vergleich von Anmeldeinformationen für Root-Benutzer des AWS-Kontos und Anmeldeinformationen für IAM-Benutzer

Der Root-Benutzer ist der Besitzer des Kontos und wird erstellt, wenn das AWS-Konto erstellt wird. Andere Benutzertypen, einschließlich IAM-Benutzer, und AWS IAM Identity Center-Benutzer werden vom Root-Benutzer oder einem Administrator für das Konto erstellt. Alle AWS-Benutzer haben Sicherheitsanmeldeinformationen.

Anmeldeinformationen des Stammbenutzers

Diese Anmeldeinformationen des Kontoinhabers ermöglichen vollständigen Zugriff auf alle Ressourcen des Kontos. Sie können keine IAM-Richtlinien verwenden, um dem Root-Benutzer den Zugriff auf Ressourcen explizit zu verweigern. Sie können nur eine Service-Kontrollrichtlinie (SCP) von AWS Organizations verwenden, um die Berechtigungen des Root-Benutzers eines Mitgliedskontos zu beschränken. Aus diesem Grund empfehlen wir Ihnen, im IAM Identity Center einen Administratorbenutzer zu erstellen, den Sie für alltägliche AWS-Aufgaben verwenden können. Sichern Sie dann die Anmeldeinformationen des Root-Benutzers und verwenden Sie sie nur für die wenigen Aufgaben der Konto- und Service-Verwaltung, für die Sie sich als Root-Benutzer anmelden müssen. Eine Liste dieser Aufgaben finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern. Informationen zum Einrichten eines Administrators für den täglichen Gebrauch in IAM Identity Center finden Sie unter Erste Schritte im IAM-Identity-Center-Benutzerhandbuch.

IAM-Anmeldeinformationen

Ein IAM-Benutzer ist eine Entität, die Sie in AWS erstellen und die die Person oder den Service darstellt, die den IAM-Benutzer zur Interaktion mit AWS-Ressourcen verwendet. Bei diesen Benutzern handelt es sich um Identitäten innerhalb Ihres AWS-Konto, die über bestimmte benutzerdefinierte Berechtigungen verfügen. Sie können beispielsweise IAM-Benutzer erstellen und ihnen Berechtigungen zum Erstellen eines Verzeichnisses im IAM Identity Center gewähren. IAM-Benutzer verfügen über langfristige Anmeldeinformationen, die sie für den Zugriff auf AWS über die AWS Management Console oder programmgesteuert über die AWS CLI- oder AWS-APIs verwenden können. Eine Schritt-für-Schritt-Anleitung für die Anmeldung von IAM-Benutzern bei der AWS Management Console finden Sie unter Sign in to the AWS Management Console as an IAM user im Benutzerhandbuch zur AWS-Anmeldung.

Im Allgemeinen empfehlen wir, das Erstellen von IAM-Benutzern zu vermeiden, da diese über langfristige Anmeldeinformationen wie einen Benutzernamen und ein Kennwort verfügen. Fordern Sie stattdessen menschliche Benutzer auf, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um einen Verbundzugriff auf AWS-Konten zu ermöglichen, indem Sie IAM-Rollen übernehmen, die temporäre Anmeldeinformationen bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Sie können Ihre Benutzeridentitäten mit IAM Identity Center verwalten oder Zugriffsberechtigungen für Benutzeridentitäten in IAM Identity Center von einem externen Identitätsanbieter verwalten. Weitere Informationen finden Sie unter Was ist IAM Identity Center? im IAM-Identity-Center-Benutzerhandbuch.