Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto - AWS Identitäts- und Zugriffsverwaltung
Erforderliche BerechtigungenErläuterung des BerichtsformatsAbrufen von Berichten zu Anmeldeinformationen (Konsole)Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)Abrufen von Berichten zu Anmeldeinformationen (AWS-API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto

Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Sie können Berichte zu Anmeldeinformationen über die AWS Management Console, die AWS-SDKs und Befehlszeilen-Tools oder die IAM-API abrufen.

Berichte zu Anmeldeinformationen können zu Audit- und Compliance-Zwecken verwendet werden. Anhand des Berichts können Sie prüfen, wie sich die Lebensdaueranforderungen von Anmeldeinformationen wie Passwort und Zugriffsschlüssel-Aktualisierung auswirken. Stellen Sie den Bericht einem externen Prüfer bereit oder gewähren Sie einem Prüfer die notwendigen Berechtigungen zum Herunterladen des Berichts.

Bei Bedarf können Sie alle vier Stunden einen Bericht zu Anmeldeinformationen erstellen. Wenn Sie einen Bericht anfordern, prüft IAM zunächst, ob innerhalb der letzten vier Stunden bereits ein Bericht für das AWS-Konto erstellt wurde. Wenn innerhalb dieses Zeitraums bereits ein Bericht erstellt wurde, wird dieser heruntergeladen. Wenn der aktuelle Bericht für das Konto älter ist als vier Stunden oder wenn noch keine Berichte für das Konto vorliegen, erstellt IAM einen neuen Bericht und lädt diesen herunter.

Erforderliche Berechtigungen

Die folgenden Berechtigungen werden zum Erstellen und Herunterladen von Berichten benötigt:

  • So erstellen Sie einen Bericht zu Anmeldeinformationen: iam:GenerateCredentialReport

  • So laden Sie den Bericht herunter: iam:GetCredentialReport

Erläuterung des Berichtsformats

Berichte zu Anmeldeinformationen liegen im CSV-Format vor. Sie können CSV-Dateien zur Analyse mit einer Tabellensoftware öffnen oder eine eigene Anwendung erstellen, um die CSV-Dateien programmgesteuert auszulesen und benutzerdefinierte Analysen auszuführen.

Die CSV-Datei enthält die folgenden Spalten:

user

Der Anzeigename des Benutzers

arn

Der Amazon-Ressourcenname (ARN) des Benutzers. Weitere Informationen zu ARNs finden Sie unter IAM-ARNs.

user_creation_time

Erstellungsdatum und -uhrzeit des Benutzers im ISO-8601-Format.

password_enabled

Wenn der Benutzer ein Passwort besitzt, ist dieser Wert TRUE, Andernfalls ist er FALSE. Der Wert für Root-Benutzer des AWS-Kontos ist immer not_supported.

password_last_used

Datum und Uhrzeit im ISO 8601 Datum/Uhrzeit-Format, wann das Passwort des Root-Benutzer des AWS-Kontoss oder Benutzers zuletzt für die Anmeldung bei einer AWS-Website verwendet wurde. AWS-Websites, die die letzte Anmeldezeit eines Benutzers erfassen, sind die AWS Management Console, die AWS-Diskussionsforen und der AWS Marketplace. Wenn ein Passwort innerhalb von 5 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.

  • Der Wert in diesem Feld ist in folgenden Fällen no_information:

    • Das Passwort des Benutzers wurde noch nie verwendet.

    • Dem Passwort sind keine Anmeldedaten zugeordnet. Das ist beispielsweise der Fall, wenn das Passwort eines Benutzers nach Beginn der Erfassung dieser Informationen am 20. Oktober 2014 in IAM noch nicht verwendet wurde.

  • Der Wert in diesem Feld ist N/A (nicht anwendbar), wenn der Benutzer nicht über ein Passwort verfügt.

Wichtig

Aufgrund eines Serviceproblems werden zwischen dem 3. Mai 2018, 22:50 Uhr PDT, und dem 23. Mai 2018, 14:08 Uhr PDT, verwendete Passwörter nicht als zuletzt verwendetes Passwort gemeldet. Dies betrifft die in der IAM-Konsole angezeigten last sign-in-Termine und die letzten Verwendungstermine von Passwörtern im IAM-Bericht mit Anmeldeinformationen, die von der API-Operation GetUser zurückgegeben werden. Wenn Benutzer sich in dieser Zeit angemeldet haben, wird als letztes Verwendungsdatum des Passworts das Datum angegeben, an dem der Benutzer sich das letzte Mal vor dem 3. Mai 2018 angemeldet hat. Für Benutzer, die sich nach dem 23. Mai 2018, 14:08 Uhr PDT, angemeldet haben, wird das richtige letzte Passwortverwendungsdatum zurückgegeben.

Wenn Sie die Information über das zuletzt verwendete Passwort verwenden, um ungenutzte Anmeldedaten für die Löschung zu identifizieren, z. B. um Benutzer zu löschen, die sich in den letzten 90 Tagen nicht bei AWS angemeldet haben, empfehlen wir Ihnen, Ihr Auswertungsfenster so anzupassen, dass es Daten nach dem 23. Mai 2018 umfasst. Wenn Ihre Benutzer Zugriffsschlüssel verwenden, um programmatisch auf AWS zuzugreifen, können Sie alternativ auf die Informationen zum zuletzt verwendeten Zugriffsschlüssel verweisen, da diese für alle Daten genau sind.

password_last_changed

Datum und Uhrzeit der letzten Passwortänderung im ISO-8601-Format. Wenn der Benutzer nicht über ein Passwort verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar). Der Wert des AWS-Konto (Root) ist immer not_supported.

password_next_rotation

Wenn das Konto über eine Passwortrichtlinie verfügt, die eine Passwortrotation erfordert, enthält dieses Feld das Datum und die Uhrzeit im ISO 8601-Format, zu dem/der der Benutzer ein neues Passwort festlegen muss. Der Wert des AWS-Konto (Root) ist immer not_supported.

mfa_active

Wenn ein Multi-Factor Authentication-Gerät (MFA-Gerät) für den Benutzer aktiviert wurde, ist dieser Wert TRUE, andernfalls FALSE.

access_key_1_active

Wenn der Benutzer über einen Zugriffsschlüssel verfügt und der Status des Zugriffsschlüssels Active ist, ist dieser Wert TRUE, andernfalls FALSE.

access_key_1_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem der Zugriffsschlüssel des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über einen aktiven Zugriffsschlüssel verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

access_key_1_last_used_date

Datum und Uhrzeit im ISO 8601-Format, an dem der Zugriffsschlüssel des Benutzers zuletzt für eine AWS-API-Anforderung verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen Zugriffsschlüssel.

  • Der Zugriffsschlüssel wurde noch nie verwendet.

  • Der Zugriffsschlüssel wurde seit Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 noch nicht verwendet.

access_key_1_last_used_region

Die AWS-Region, in der der Zugriffsschlüssel zuletzt verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen Zugriffsschlüssel.

  • Der Zugriffsschlüssel wurde noch nie verwendet.

  • Der Zugriffsschlüssel wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

  • Der zuletzt verwendete Service ist nicht regionsspezifisch, z. B. Amazon S3.

access_key_1_last_used_service

Der AWS-Service, auf den zuletzt mit dem Zugriffsschlüssel zugegriffen wurde. Für den Wert in diesem Feld wird der s3Namespace des Services verwendet, z. B. für Amazon S3; und ec2 für Amazon EC2. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen Zugriffsschlüssel.

  • Der Zugriffsschlüssel wurde noch nie verwendet.

  • Der Zugriffsschlüssel wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

access_key_2_active

Wenn der Benutzer über einen zweiten Zugriffsschlüssel verfügt und der Status des zweiten Zugriffsschlüssels Active ist, ist dieser Wert TRUE, andernfalls FALSE.

Anmerkung

Benutzer können über bis zu zwei Zugriffsschlüssel verfügen, um die Rotation zu vereinfachen, indem sie zuerst den Schlüssel aktualisieren und dann den vorherigen Schlüssel löschen. Weitere Informationen zum Aktualisieren der Zugriffsschlüssel finden Sie unter Aktualisierung der Zugriffsschlüssel

access_key_2_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem der zweite Zugriffsschlüssel des Benutzers erstellt oder zuletzt aktualisiert wurde. Wenn der Benutzer nicht über einen zweiten aktiven Zugriffsschlüssel verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

access_key_2_last_used_date

Datum und Uhrzeit im ISO 8601-Format, an dem der zweite Zugriffsschlüssel des Benutzers zuletzt für eine AWS-API-Anforderung verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.

  • Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.

  • Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

access_key_2_last_used_region

Die AWS-Region, in der der zweite Zugriffsschlüssel des Benutzers zuletzt verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.

  • Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.

  • Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

  • Der zuletzt verwendete Service ist nicht regionsspezifisch, z. B. Amazon S3.

access_key_2_last_used_service

Der AWS-Service, auf den zuletzt mit dem zweiten Zugriffsschlüssel des Benutzers zugegriffen wurde. Für den Wert in diesem Feld wird der s3Namespace des Services verwendet, z. B. für Amazon S3; und ec2 für Amazon EC2. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.

  • Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.

  • Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

cert_1_active

Wenn der Benutzer über ein X.509-Signaturzertifikat verfügt und der Status des Zertifikats Active ist, ist dieser Wert TRUE, andernfalls FALSE.

cert_1_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem das Signaturzertifikat des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über ein aktives Signaturzertifikat verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

cert_2_active

Wenn der Benutzer über ein zweites X.509-Signaturzertifikat verfügt und der Status des Zertifikats Active ist, ist dieser Wert TRUE, andernfalls FALSE.

Anmerkung

Benutzer können für einen einfacheren Zertifikataustausch über bis zu zwei X.509-Signaturzertifikate verfügen.

cert_2_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem das zweite Signaturzertifikat des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über ein zweites aktives Signaturzertifikat verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

Abrufen von Berichten zu Anmeldeinformationen (Konsole)

Sie können die AWS Management Console verwenden, um einen Bericht zu Anmeldeinformationen als CSV-Datei herunterzuladen.

So laden Sie einen Bericht zu Anmeldeinformationen herunter (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Credential report (Anmeldeinformationsbericht).

  3. Wählen Sie Download Report (Bericht herunterladen).

Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)

So laden Sie einen Bericht zu Anmeldedaten herunter (AWS CLI)

  1. Generieren Sie einen Anmeldedatenbericht. AWS speichert einen einzelnen Bericht. Wenn ein Bericht vorhanden ist, überschreibt das Generieren eines Berichts für Anmeldeinformationen den vorherigen Bericht. aws iam generate-credential-report

  2. Zeigen Sie den letzten Bericht an, der generiert wurde: aws iam get-credential-report

Abrufen von Berichten zu Anmeldeinformationen (AWS-API)

So laden Sie einen Bericht über Anmeldeinformationen herunter (AWS-API)

  1. Generieren Sie einen Anmeldedatenbericht. AWS speichert einen einzelnen Bericht. Wenn ein Bericht vorhanden ist, überschreibt das Generieren eines Berichts für Anmeldeinformationen den vorherigen Bericht. GenerateCredentialReport

  2. Zeigen Sie den letzten Bericht an, der generiert wurde: GetCredentialReport