Generiert von Berichten zu Anmeldeinformationen für Ihr AWS-Konto - AWS Identitäts- und Zugriffsverwaltung
Erforderliche BerechtigungenErläuterung des BerichtsformatsAbrufen von Berichten zu Anmeldeinformationen (Konsole)Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)Abrufen von Berichten zu Anmeldeinformationen (AWS -API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generiert von Berichten zu Anmeldeinformationen für Ihr AWS-Konto

Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Sie können einen Anmeldeinformationsbericht über die AWS-ManagementkonsoleAWS SDKsBefehlszeilentools oder die IAM-API abrufen.

Berichte zu Anmeldeinformationen können zu Audit- und Compliance-Zwecken verwendet werden. Anhand des Berichts können Sie prüfen, wie sich die Lebensdaueranforderungen von Anmeldeinformationen wie Passwort und Zugriffsschlüssel-Aktualisierung auswirken. Stellen Sie den Bericht einem externen Prüfer bereit oder gewähren Sie einem Prüfer die notwendigen Berechtigungen zum Herunterladen des Berichts.

Bei Bedarf können Sie alle vier Stunden einen Bericht zu Anmeldeinformationen erstellen. Wenn Sie einen Bericht anfordern, prüft IAM zunächst, ob innerhalb der letzten vier Stunden ein Bericht für den generiert AWS-Konto wurde. Wenn innerhalb dieses Zeitraums bereits ein Bericht erstellt wurde, wird dieser heruntergeladen. Wenn der aktuelle Bericht für das Konto älter ist als vier Stunden oder wenn noch keine Berichte für das Konto vorliegen, erstellt IAM einen neuen Bericht und lädt diesen herunter.

Erforderliche Berechtigungen

Die folgenden Berechtigungen werden zum Erstellen und Herunterladen von Berichten benötigt:

  • So erstellen Sie einen Bericht zu Anmeldeinformationen: iam:GenerateCredentialReport

  • So laden Sie den Bericht herunter: iam:GetCredentialReport

Erläuterung des Berichtsformats

Berichte zu Anmeldeinformationen liegen im CSV-Format vor. Sie können CSV-Dateien zur Analyse mit einer Tabellensoftware öffnen oder eine eigene Anwendung erstellen, um die CSV-Dateien programmgesteuert auszulesen und benutzerdefinierte Analysen auszuführen.

Die CSV-Datei enthält die folgenden Spalten:

user

Der Anzeigename des Benutzers

arn

Der Amazon-Ressourcenname (ARN) des Benutzers. Weitere Informationen zu finden Sie ARNs unterICH BIN ARNs.

user_creation_time

Erstellungsdatum und -uhrzeit des Benutzers im ISO-8601-Format.

password_enabled

Wenn der Benutzer ein Passwort besitzt, ist dieser Wert TRUE, andernfalls FALSE. Dieser Wert ist FALSE für neue Mitgliedskonten, die als Teil Ihrer Organisation erstellt wurden, da sie standardmäßig keine Root-Benutzeranmeldeinformationen haben.

password_last_used

Datum und Uhrzeit der letzten Verwendung des Kennworts des Benutzers Root-Benutzer des AWS-Kontos oder zur Anmeldung auf einer AWS Website im Datums-/Uhrzeitformat nach ISO 8601. AWS Websites, die den Zeitpunkt der letzten Anmeldung eines Benutzers erfassen AWS-Managementkonsole, sind die AWS Diskussionsforen und der AWS Marketplace. Wenn ein Passwort innerhalb von 5 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet.

  • Der Wert in diesem Feld ist in folgenden Fällen no_information:

    • Das Passwort des Benutzers wurde noch nie verwendet.

    • Dem Passwort sind keine Anmeldedaten zugeordnet. Das ist beispielsweise der Fall, wenn das Passwort eines Benutzers nach Beginn der Erfassung dieser Informationen am 20. Oktober 2014 in IAM noch nicht verwendet wurde.

  • Der Wert in diesem Feld ist N/A (nicht anwendbar), wenn der Benutzer nicht über ein Passwort verfügt.

Wichtig

Aufgrund eines Serviceproblems werden zwischen dem 3. Mai 2018, 22:50 Uhr PDT, und dem 23. Mai 2018, 14:08 Uhr PDT, verwendete Passwörter nicht als zuletzt verwendetes Passwort gemeldet. Dies wirkt sich auf das Datum der letzten Anmeldung aus, das in der IAM-Konsole angezeigt wird, und auf das Datum, an dem das Passwort zuletzt verwendet wurde, im Bericht über die IAM-Anmeldeinformationen, die vom API-Vorgang zurückgegeben werden. GetUser Wenn Benutzer sich in dieser Zeit angemeldet haben, wird als letztes Verwendungsdatum des Passworts das Datum angegeben, an dem der Benutzer sich das letzte Mal vor dem 3. Mai 2018 angemeldet hat. Für Benutzer, die sich nach dem 23. Mai 2018, 14:08 Uhr PDT, angemeldet haben, wird das richtige letzte Passwortverwendungsdatum zurückgegeben.

Wenn Sie Informationen zum zuletzt verwendeten Passwort verwenden, um ungenutzte Anmeldeinformationen für das Löschen zu identifizieren, z. B. wenn Sie Benutzer löschen, bei denen Sie sich AWS in den letzten 90 Tagen nicht angemeldet haben, empfehlen wir Ihnen, Ihr Testfenster so anzupassen, dass es auch Daten nach dem 23. Mai 2018 berücksichtigt. Wenn Ihre Benutzer Zugriffstasten für den AWS programmgesteuerten Zugriff verwenden, können Sie alternativ auf die Informationen zum zuletzt verwendeten Zugriffsschlüssel zurückgreifen, da diese für alle Daten korrekt sind.

password_last_changed

Datum und Uhrzeit der letzten Passwortänderung im ISO-8601-Format. Wenn der Benutzer nicht über ein Passwort verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

password_next_rotation

Wenn das Konto über eine Passwortrichtlinie verfügt, die eine Passwortrotation erfordert, enthält dieses Feld das Datum und die Uhrzeit im ISO 8601-Format, zu dem/der der Benutzer ein neues Passwort festlegen muss. Der Wert für AWS-Konto (Stamm) ist immer. not_supported

mfa_active

Wenn ein Multi-Factor Authentication-Gerät (MFA-Gerät) für den Benutzer aktiviert wurde, ist dieser Wert TRUE, andernfalls FALSE.

access_key_1_active

Wenn der Benutzer über einen Zugriffsschlüssel verfügt und der Status des Zugriffsschlüssels Active ist, ist dieser Wert TRUE, andernfalls FALSE. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

access_key_1_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem der Zugriffsschlüssel des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über einen aktiven Zugriffsschlüssel verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar). Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

access_key_1_last_used_date

Datum und Uhrzeit im ISO 8601-Format, an dem der Zugriffsschlüssel des Benutzers zuletzt für eine AWS -API-Anforderung verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen Zugriffsschlüssel.

  • Der Zugriffsschlüssel wurde noch nie verwendet.

  • Der Zugriffsschlüssel wurde seit Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 noch nicht verwendet.

access_key_1_last_used_region

Die AWS -Region, in der der Zugriffsschlüssel zuletzt verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen Zugriffsschlüssel.

  • Der Zugriffsschlüssel wurde noch nie verwendet.

  • Der Zugriffsschlüssel wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

  • Der zuletzt verwendete Service ist nicht regionsspezifisch, z. B. Amazon S3.

access_key_1_last_used_service

Der AWS Dienst, auf den zuletzt mit dem Zugriffsschlüssel zugegriffen wurde. Der Wert in diesem Feld verwendet den Namespace des Service, z. B. für Amazon S3 und s3 für Amazon. ec2 EC2 Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen Zugriffsschlüssel.

  • Der Zugriffsschlüssel wurde noch nie verwendet.

  • Der Zugriffsschlüssel wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

access_key_2_active

Wenn der Benutzer über einen zweiten Zugriffsschlüssel verfügt und der Status des zweiten Zugriffsschlüssels Active ist, ist dieser Wert TRUE, andernfalls FALSE. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

Anmerkung

Benutzer können über bis zu zwei Zugriffsschlüssel verfügen, um die Rotation zu vereinfachen, indem sie zuerst den Schlüssel aktualisieren und dann den vorherigen Schlüssel löschen. Weitere Informationen zum Aktualisieren der Zugriffsschlüssel finden Sie unter Zugriffsschlüssel aktualisieren

access_key_2_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem der zweite Zugriffsschlüssel des Benutzers erstellt oder zuletzt aktualisiert wurde. Wenn der Benutzer nicht über einen zweiten aktiven Zugriffsschlüssel verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar). Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

access_key_2_last_used_date

Datum und Uhrzeit im Datums-/Uhrzeitformat nach ISO 8601, zu dem der zweite Zugriffsschlüssel des Benutzers zuletzt zum Signieren einer API-Anfrage verwendet wurde. AWS Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer.

Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.

  • Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.

  • Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

access_key_2_last_used_region

Die AWS -Region, in der der zweite Zugriffsschlüssel des Benutzers zuletzt verwendet wurde. Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer. Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.

  • Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.

  • Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

  • Der zuletzt verwendete Service ist nicht regionsspezifisch, z. B. Amazon S3.

access_key_2_last_used_service

Der AWS Dienst, auf den zuletzt mit dem zweiten Zugriffsschlüssel des Benutzers zugegriffen wurde. Der Wert in diesem Feld verwendet den Namespace des Service, z. B. für Amazon S3 und s3 für Amazon. ec2 EC2 Wenn ein Zugriffsschlüssel innerhalb von 15 Minuten mehrfach verwendet wird, wird in diesem Feld nur die erste Verwendung aufgezeichnet. Gilt sowohl für den Root-Benutzer des Kontos als auch für IAM-Benutzer. Der Wert in diesem Feld ist in folgenden Fällen N/A (nicht anwendbar):

  • Der Benutzer verfügt nicht über einen zweiten Zugriffsschlüssel.

  • Der zweite Zugriffschlüssel des Benutzers wurde noch nie verwendet.

  • Der zweite Zugriffsschlüssel des Benutzers wurde zuletzt vor Beginn der Erfassung dieser Informationen in IAM am 22. April 2015 verwendet.

cert_1_active

Wenn der Benutzer über ein X.509-Signaturzertifikat verfügt und der Status des Zertifikats Active ist, ist dieser Wert TRUE, andernfalls FALSE.

cert_1_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem das Signaturzertifikat des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über ein aktives Signaturzertifikat verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

cert_2_active

Wenn der Benutzer über ein zweites X.509-Signaturzertifikat verfügt und der Status des Zertifikats Active ist, ist dieser Wert TRUE, andernfalls FALSE.

Anmerkung

Benutzer können für einen einfacheren Zertifikataustausch über bis zu zwei X.509-Signaturzertifikate verfügen.

cert_2_last_rotated

Datum und Uhrzeit im ISO 8601-Format, an dem das zweite Signaturzertifikat des Benutzers erstellt oder zuletzt geändert wurde. Wenn der Benutzer nicht über ein zweites aktives Signaturzertifikat verfügt, ist der Wert in diesem Feld N/A (nicht anwendbar).

additional_credentials als_info

Wenn der Benutzer über mehr als zwei Zugriffsschlüssel oder Zertifikate verfügt, gibt dieser Wert die Anzahl der zusätzlichen Zugriffsschlüssel oder Zertifikate und die Aktionen an, mit denen Sie die mit dem Benutzer verknüpften Zugriffsschlüssel oder Zertifikate auflisten können.

Abrufen von Berichten zu Anmeldeinformationen (Konsole)

Sie können den verwenden AWS-Managementkonsole , um einen Bericht mit Anmeldeinformationen als Datei mit kommagetrennten Werten (CSV) herunterzuladen.

So laden Sie einen Bericht zu Anmeldeinformationen herunter (Konsole)

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Klicken Sie im Navigationsbereich auf Credential report (Anmeldeinformationsbericht).

  3. Wählen Sie Download Report (Bericht herunterladen).

Abrufen von Berichten zu Anmeldeinformationen (AWS CLI)

So laden Sie einen Bericht zu Anmeldedaten herunter (AWS CLI)

  1. Generieren Sie einen Bericht über Anmeldeinformationen. AWS speichert einen einzelnen Bericht. Wenn ein Bericht vorhanden ist, überschreibt das Generieren eines Berichts für Anmeldeinformationen den vorherigen Bericht. aws iam generate-credential-report

  2. Zeigen Sie den letzten Bericht an, der generiert wurde: aws iam get-credential-report

Abrufen von Berichten zu Anmeldeinformationen (AWS -API)

Um einen Bericht über Anmeldeinformationen (AWS API) herunterzuladen

  1. Generieren Sie einen Bericht über Anmeldeinformationen. AWS speichert einen einzelnen Bericht. Wenn ein Bericht vorhanden ist, überschreibt das Generieren eines Berichts für Anmeldeinformationen den vorherigen Bericht. GenerateCredentialReport

  2. Zeigen Sie den letzten Bericht an, der generiert wurde: GetCredentialReport