Verwalten der Zugriffsschlüssel für IAM-Benutzer - AWS Identity and Access Management

Verwalten der Zugriffsschlüssel für IAM-Benutzer

Anmerkung

Wenn Sie diese Seite gefunden haben, weil Sie nach Informationen über die Produktwerbe-API für den Verkauf von Amazon-Produkten auf Ihrer Website suchen, schlagen Sie in der Product Advertising API 5.0 Dokumentation nach.

Zugriffsschlüssel sind langfristige Anmeldeinformationen für einen IAM-Benutzer oder die AWS-Konto -Stammbenutzer. Sie verwenden Zugriffsschlüssel, um programmgesteuerte Anforderungen an die AWS CLI oder AWS-API (direkt oder über das AWS SDK) zu signieren. Weitere Informationen dazu finden Sie unter Signieren von AWS API-Anforderungen im Allgemeine Amazon Web Services-Referenz.

Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE) und einem geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Ähnlich wie bei Benutzernamen und Passwörtern müssen Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zusammen verwenden, um Ihre Anfragen zu authentifizieren. Verwalten Sie Ihre Zugriffsschlüssel so sicher wie Ihren Benutzernamen und Ihr Passwort.

Wichtig

Geben Sie Ihre Zugriffsschlüssel nicht an Dritte weiter, auch nicht für die Suche nach Ihrer kanonischen Benutzer-ID. Dadurch kann eine Person permanenten Zugriff auf Ihr Konto erlangen.

Verwenden Sie in einem solchen Fall temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle von Zugriffsschlüsseln und deaktivieren Sie alle AWS-Konto -Stammbenutzer-Zugriffsschlüssel. Weitere Informationen finden Sie unter Bewährte Methoden für die Verwaltung von AWS-Zugriffsschlüsseln im Allgemeine Amazon Web Services-Referenz.

Wenn Sie dennoch langfristige Zugriffsschlüssel verwenden müssen, können Sie Ihre Zugriffsschlüssel (Zugriffsschlüssel-IDs und geheime Zugriffsschlüssel) erstellen, bearbeiten, anzeigen oder rotieren. Sie können maximal zwei Zugriffsschlüssel haben. Auf diese Weise können Sie die aktiven Schlüssel gemäß den bewährten Methoden rotieren.

Speichern Sie beim Erstellen eines Zugriffsschlüsselpaars die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort. Der geheime Zugriffsschlüssel ist nur verfügbar, wenn Sie ihn erstellen. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie den Zugriffsschlüssel löschen und einen neuen erstellen. Weitere Informationen finden Sie unter Zurücksetzen von verlorenen bzw. vergessenen Passwörtern und Zugriffsschlüsseln für AWS.

Erforderliche Berechtigungen

Um Zugriffsschlüssel für Ihren eigenen IAM-Benutzer zu erstellen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Um Zugriffsschlüssel für Ihren eigenen IAM-Benutzer zu rotieren, benötigen Sie die Berechtigungen von der folgenden Richtlinie:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Verwalten von Zugriffsschlüsseln (Konsole)

Sie können die AWS Management Console zur Verwaltung der Zugriffsschlüssel eines IAM-Benutzers verwenden.

So erstellen, ändern oder löschen Sie Ihre eigenen Zugriffsschlüssel eines IAM-Benutzers (Konsole)

  1. Verwenden Sie Ihre AWS-Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.

    Anmerkung

    Ihrer Bequemlichkeit halber verwendet die AWS-Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und die Konteninformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie Sign in to a different account (Bei anderem Konto anmelden) aus, neben der Schaltfläche, die zum Zurückkehren auf die Hauptanmeldeseite verwendet wird. Dort können Sie die AWS-Konto-ID oder Ihren Kontoalias eingeben, um auf die IAM-Benutzeranmeldeseite des Kontos weitergeleitet zu werden.

    Zum Abrufen Ihrer AWS-Konto-ID wenden Sie sich an Ihren Administrator.

  2. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann My Security Credentials (Meine Sicherheitsanmeldeinformationen) aus.

    
                  Link zu den "My Security Credentials (Meine Sicherheitsanmeldeinformationen)" in der AWS-Managementkonsole
  3. Erweitern Sie den Abschnitt Zugriffsschlüssel (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel).

  4. Führen Sie eine der folgenden Aktionen aus:

    • Um einen Zugriffsschlüssel zu erstellen, wählen Sie Neuen Zugriffsschlüssel erstellen. Wenn diese Funktion deaktiviert ist, müssen Sie einen der vorhandenen Schlüssel löschen, bevor Sie einen neuen erstellen können. Es wird eine Warnung angezeigt, dass Sie den geheimen Zugriffsschlüssel nur jetzt anzeigen oder herunterladen können. Um den Schlüssel zu kopieren, um ihn an einer anderen Stelle für die Aufbewahrung einzufügen, wählen Sie Zugriffsschlüssel anzeigen. Um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel in einer .csv-Dateien einem sicheren Ort auf Ihrem Computer zu speichern, wählen Sie Schlüsseldatei herunterladen.

    • Um einen aktiven Zugriffsschlüssel zu deaktivieren, wählen Sie Inaktiv machen.

    • Um einen inaktiven Zugriffsschlüssel erneut zu aktivieren, wählen Sie Make Active.

    • Um Ihren Zugriffsschlüssel zu löschen, wählen Sie Löschen. AWS empfiehlt, vorher den Schlüssel zu deaktivieren und zu testen, ob er nicht mehr verwendet wird. Wenn Sie die AWS Management Console verwenden, müssen Sie Ihren Schlüssel vor dem Löschen deaktivieren.

So erstellen, ändern oder löschen Sie die Zugriffsschlüssel eines anderen IAM-Benutzers (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie verwalten möchten, und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.

  4. Führen Sie im Bereich Access keys (Zugriffsschlüssel) einen der folgenden Schritte aus:

    • Um einen Zugriffsschlüssel zu erstellen, wählen Sie Create access key (Zugriffsschlüssel erstellen). Wählen Sie dann Download .csv file (CSV-Datei herunterladen), um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel in einer CSV-Datei auf dem Computer zu speichern. Speichern Sie die Datei an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Nachdem Sie die CSV-Datei heruntergeladen haben, klicken Sie auf Close (Schließen). Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofort verwenden.

    • Um einen aktiven Zugriffsschlüssel zu deaktivieren, wählen Sie Make inactive (Deaktivieren).

    • Um einen inaktiven Zugriffsschlüssel wieder zu aktivieren, wählen Sie Make active (Aktivieren).

    • Um Ihren Zugriffsschlüssel zu löschen, wählen Sie Löschen. AWS empfiehlt, vorher den Schlüssel zu deaktivieren und zu testen, ob er nicht mehr verwendet wird. Wenn Sie die AWS Management Console verwenden, müssen Sie Ihren Schlüssel vor dem Löschen deaktivieren.

So listen Sie die Zugriffsschlüssel für einen IAM-Benutzer auf (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen). Die Zugriffsschlüssel des Benutzers und der Status der einzelnen Schlüssel werden angezeigt.

    Anmerkung

    Nur die Zugriffsschlüssel-ID des Benutzers wird angezeigt. Der geheime Zugriffsschlüssel kann nur während der Erstellung des Schlüssels abgerufen werden.

So listen Sie die Zugriffsschlüssel-IDs für mehrere IAM-Benutzer auf (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Falls erforderlich, fügen Sie die Spalte Access key ID (Zugriffsschlüssel-ID) zur Tabelle der Benutzer hinzu, indem Sie die folgenden Schritte ausführen:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( 
                           Settings icon
                        ).

    2. Wählen Sie in der Spalte Manage Columns (Spalten verwalten) die Option Access key ID (Zugriffsschlüssel-ID).

    3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren.

  4. Die Spalte Access key ID (Zugriffsschlüssel-ID) enthält alle Zugriffsschlüssel-IDs, gefolgt vom Status, z. B. 23478207027842073230762374023 (Active) (23478207027842073230762374023 (Aktiv)) oder 22093740239670237024843420327 (Inactive) (22093740239670237024843420327 (Inaktiv)).

    Anhand dieser Informationen können Sie die Zugriffsschlüssel für Benutzer mit einem oder zwei Zugriffsschlüsseln anzeigen und kopieren. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte None (Keiner) angezeigt.

    Anmerkung

    Nur die Zugriffsschlüssel-ID des Benutzers und ihr Status werden angezeigt. Der geheime Zugriffsschlüssel kann nur während der Erstellung des Schlüssels abgerufen werden.

So ermitteln Sie IAM-Benutzer mit einem bestimmten Zugriffsschlüssel (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Kopieren oder geben Sie in das Suchfeld die Zugriffsschlüssel-ID des Benutzers ein, den Sie suchen möchten.

  4. Falls erforderlich, fügen Sie die Spalte Access key ID (Zugriffsschlüssel-ID) zur Tabelle der Benutzer hinzu, indem Sie die folgenden Schritte ausführen:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( 
                           Settings icon
                        ).

    2. Wählen Sie in der Spalte Manage Columns (Spalten verwalten) die Option Access key ID (Zugriffsschlüssel-ID).

    3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren, und vergewissern Sie sich, dass der gefilterte Benutzer Eigentümer des angegebenen Zugriffsschlüssels ist.

Verwalten von Zugriffsschlüsseln (AWS CLI)

Führen Sie zum Verwalten der Zugriffsschlüssel eines IAM-Benutzers mit der AWS CLI einen der folgenden Befehle aus.

Verwalten von Zugriffsschlüsseln (AWS-API)

Rufen Sie zum Verwalten der Zugriffsschlüssel eines IAM-Benutzers mit der AWS-API eine der folgenden Operationen auf.

Rotieren der Zugriffsschlüssel

Aus Sicherheitsgründen empfehlen wir, dass Sie als IAM-Benutzer regelmäßig Zugriffsschlüssel rotieren (ändern). Wenn Ihr Administrator Ihnen die entsprechenden Berechtigungen erteilt hat, können Sie Ihre eigenen Zugriffsschlüssel rotieren.

Administratoren: Weitere Informationen zum Erteilen von Berechtigungen für Ihre Benutzer zum Rotieren ihrer eigenen Zugriffsschlüssel finden Sie unter AWS: Ermöglicht es IAM-Benutzern, ihr eigenes Passwort sowie ihre eigenen Zugriffsschlüssel und öffentlichen SSH-Schlüssel auf der Seite „Meine Sicherheitsanmeldeinformationen“ zu verwalten.. Sie können auch eine Passwortrichtlinie für Ihr Konto einrichten, um zu verlangen, dass alle Ihre IAM-Benutzer regelmäßig ihre Passwörter rotieren. Sie können festlegen, wie oft sie diesen Vorgang ausführen müssen. Weitere Informationen finden Sie unter Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer.

Wichtig

Als bewährte Methode verwenden Sie nicht Ihre AWS-Konto -Stammbenutzer. Wenn Sie die AWS-Konto -Stammbenutzer-Anmeldeinformationen benutzen, sollten Sie diese ebenfalls regelmäßig rotieren. Die Richtlinie für das Passwort des Kontos gilt nicht für die Root-Benutzer-Anmeldeinformationen. IAM-Benutzer können keine Anmeldeinformationen für den AWS-Konto -Stammbenutzer verwalten, daher müssen Sie die Root-Benutzer-Anmeldeinformationen (nicht die eines Benutzers) verwenden, um die Root-Benutzer-Anmeldeinformationen zu ändern. Beachten Sie bitte, dass wir von der Verwendung des Root-Benutzers für die tagtägliche Arbeit in AWS abraten.

Rotieren von IAM-Zugriffsschlüsseln für Benutzer (Konsole)

Sie können Zugriffsschlüssel mit der AWS Management Console rotieren.

So rotieren Sie Zugriffsschlüssel für einen IAM-Benutzer, ohne Ihre Anwendungen zu unterbrechen (Konsole)

  1. Erstellen Sie einen zweiten, solange der erste Zugriffsschlüssel aktiv ist.

    1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

    2. Klicken Sie im Navigationsbereich auf Users.

    3. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen).

    4. Wählen Sie Create access key (Zugriffsschlüssel erstellen) und dann Download .csv file (CSV-Datei herunterladen), um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel in einer .csv-Datei auf dem Computer zu speichern. Speichern Sie die Datei an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen).

      Der neue Zugriffsschlüssel ist standardmäßig aktiv. Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

  2. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

  3. Stellen Sie fest, ob der erste Zugriffsschlüssel noch verwendet wird, indem Sie die Spalte Last used (Zuletzt verwendet) auf den ältesten Zugriffsschlüssel prüfen. Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

  4. Auch wenn der Wert in der Spalte Last used (Zuletzt verwendet) angibt, dass der alte Schlüssel zu keiner Zeit verwendet worden ist, empfehlen wir, den ersten Zugriffsschlüssel nicht sofort zu löschen. Wählen Sie stattdessen Make inaktive (Inaktiv setzen) aus, um den ersten Zugriffsschlüssel zu deaktivieren.

  5. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die unverändert den alten Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf die AWS-Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool finden, können Sie Make active (Aktiv setzen) auswählen, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zu Schritt 3 zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

  6. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel löschen:

    1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

    2. Klicken Sie im Navigationsbereich auf Users.

    3. Wählen Sie den Namen des gewünschten Benutzers und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen).

    4. Suchen Sie den zu löschenden Zugriffsschlüssel und wählen Sie die zugehörige X-Schaltfläche ganz rechts in der Zeile. Geben Sie die Zugriffsschlüssel-ID ein, um den Löschvorgang zu bestätigen, und wählen Sie dann Löschen.

So bestimmen Sie, wann Zugriffsschlüssel zu rotieren sind (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Falls erforderlich, fügen Sie die Spalte Access key age (Zugriffsschlüsselalter) zur Tabelle "Benutzer" hinzu, indem Sie die folgenden Schritte ausführen:

    1. Über der Tabelle auf der rechten Seite wählen Sie das Einstellungssymbol ( 
                              Settings icon
                           ).

    2. Wählen Sie unter Manage columns (Spalten verwalten) die Option Access key age (Zugriffsschlüsselalter).

    3. Klicken Sie auf Close (Schließen), um zur Liste der Benutzer zurückzukehren.

  4. Die Spalte Access key age (Zugriffsschlüsselalter) zeigt die Anzahl der Tage an, seit der älteste aktive Zugriffsschlüssel erstellt wurde. Anhand dieser Informationen können Sie die Benutzer suchen, deren Zugriffsschlüssel zu rotieren sind. Für Benutzer ohne Zugriffsschlüssel wird in der Spalte None (Keiner) angezeigt.

Rotieren von Zugriffsschlüsseln (AWS CLI)

Sie können Zugriffsschlüssel mit der AWS Command Line Interface rotieren.

So rotieren Sie Zugriffsschlüssel, ohne die Anwendungen zu unterbrechen (AWS CLI)

  1. Erstellen Sie einen zweiten, standardmäßig aktiven Zugriffsschlüssel, solange der erste Zugriffsschlüssel aktiv ist. Führen Sie den folgenden Befehl aus:

  2. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

  3. Stellen Sie mit folgendem Befehl fest, ob der erste Zugriffsschlüssel noch verwendet wird:

    Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

  4. Auch wenn der Schritt Schritt 3 angibt, dass der alte Schlüssel nicht verwendet wird, empfehlen wir, den ersten Zugriffsschlüssel nicht zu sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels mit dem folgenden Befehl auf Inactive:

  5. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die unverändert den alten Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf die AWS-Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool feststellen, können Sie den Status zurück zu Active wechseln, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zum Schritt Schritt 2 zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

  6. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel mit diesem Befehl löschen:

Weitere Informationen finden Sie unter:

Rotieren von Zugriffsschlüsseln (AWS-API)

Sie können Zugriffsschlüssel mit der AWS-API rotieren.

So rotieren Sie Zugriffsschlüssel, ohne die Anwendungen zu unterbrechen (AWS-API)

  1. Erstellen Sie einen zweiten, standardmäßig aktiven Zugriffsschlüssel, solange der erste Zugriffsschlüssel aktiv ist. Rufen Sie die folgende Operation auf:

    • CreateAccessKey

      Nun verfügt der Benutzer über zwei aktive Zugriffsschlüssel.

  2. Aktualisieren Sie alle Anwendungen und Tools, damit der neue Zugriffsschlüssel verwendet wird.

  3. Stellen Sie durch Aufrufen der folgendem Operation fest, ob der erste Zugriffsschlüssel noch verwendet wird:

    Es empfiehlt sich, einige Tage zu warten und dann den ältesten verwendeten Zugriffsschüssel zu prüfen, bevor Sie weitere Schritte unternehmen.

  4. Auch wenn der Schritt Schritt 3 angibt, dass der alte Schlüssel nicht verwendet wird, empfehlen wir, den ersten Zugriffsschlüssel nicht zu sofort löschen. Ändern Sie stattdessen den Status des ersten Zugriffsschlüssels in Inactive, indem Sie die Operation aufrufen:

  5. Verwenden Sie nur den neuen Zugriffsschlüssel, um zu bestätigen, dass Ihre Anwendungen funktionieren. Alle Anwendungen und Tools, die unverändert den alten Zugriffsschlüssel verwenden, funktionieren zu diesem Zeitpunkt nicht mehr, da sie keinen Zugriff mehr auf die AWS-Ressourcen haben. Wenn Sie so eine Anwendung oder so ein Tool feststellen, können Sie den Status zurück zu Active wechseln, um den ersten Zugriffsschlüssel zu reaktivieren. Kehren Sie dann zum Schritt Schritt 2 zurück und aktualisieren Sie diese Anwendung, damit sie den neuen Schlüssel verwendet.

  6. Nachdem Sie über einen gewissen Zeitraum sichergestellt haben, dass alle Anwendungen und Tools aktualisiert wurden, können Sie den ersten Zugriffsschlüssel durch Aufrufen dieser Operation löschen:

Weitere Informationen finden Sie unter:

Überwachen von Zugriffsschlüsseln

Sie können die AWS-Zugriffsschlüssel in Ihrem Code überprüfen, um festzustellen, ob die Schlüssel aus einem Konto stammen, das Sie besitzen. Sie können eine Zugriffsschlüssel-ID mit dem Befehl aws sts get-access-key-info AWS CLI oder der API-Operation GetAccessKeyInfo AWS übergeben.

Die API-Operationen AWS CLI und AWS geben die ID des AWS-Kontos zurück, zu dem der Zugriffsschlüssel gehört. Zugriffsschlüssel-IDs, die mit AKIA beginnen, sind langfristige Anmeldeinformationen für einen IAM -Benutzer oder AWS-Konto -Stammbenutzer. Zugriffsschlüssel-IDs, die mit ASIA beginnen, sind temporäre Anmeldeinformationen, die mithilfe von AWS STS-Operationen erstellt werden. Wenn das Konto in der Antwort Ihnen gehört, können Sie sich als Root-Benutzer anmelden und Ihre Root-Benutzer-Zugriffsschlüssel überprüfen. Anschließend können Sie einen Anmeldeinformationsbericht abrufen, um zu erfahren, welcher IAM-Benutzer die Schlüssel besitzt. Um festzustellen, wer die temporären Anmeldeinformationen für einen ASIA-Zugriffsschlüssel angefordert hat, zeigen Sie die AWS STS-Ereignisse in Ihren CloudTrail-Protokollen an.

Aus Sicherheitsgründen können Sie AWS CloudTrail-Protokolle überprüfen, um zu erfahren, wer eine Aktion in AWS ausgeführt hat. Sie können den sts:SourceIdentity-Bedingungsschlüssel in der Rollenvertrauensrichtlinie verwenden, damit Benutzer bei der Rollenübernahme eine Identität angeben müssen. Sie können beispielsweise verlangen, dass IAM-Benutzer ihren eigenen Benutzernamen als Quellenidentität angeben. Auf diese Weise können Sie feststellen, welcher Benutzer eine bestimmte Aktion in AWS ausgeführt hat. Weitere Informationen finden Sie unter sts:SourceIdentity.

Diese Operation gibt nicht den Status des Zugriffsschlüssels an. Der Schlüssel kann aktiv, inaktiv oder gelöscht sein. Aktive Schlüssel verfügen möglicherweise nicht über Berechtigungen zum Ausführen einer Operation. Die Bereitstellung eines gelöschten Zugriffsschlüssels gibt möglicherweise einen Fehler zurück, der besagt, dass der Schlüssel nicht vorhanden ist.