Konto-Passwortrichtlinie für IAM-Benutzer festlegen - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konto-Passwortrichtlinie für IAM-Benutzer festlegen

Sie können in Ihrem AWS-Konto eine individuelle Passwortrichtlinie einrichten, um festzulegen, wie komplex IAM-Benutzerpasswörter sein müssen und wie oft sie ausgetauscht werden müssen. Wenn Sie keine benutzerdefinierte Passwortrichtlinie festlegen, müssen IAM-BenutzerPasswörter der AWS-StandardPasswortrichtlinie entsprechen. Weitere Informationen finden Sie unter Benutzerdefinierte Optionen für Passwortrichtlinien.

Einrichten einer Passwortrichtlinie

Die IAM-Passwortrichtlinie gilt nicht für das Root-Benutzer des AWS-Kontos-Passwort oder die IAM-Benutzerzugriffsschlüssel. Wenn ein Passwort abläuft, kann sich der IAM-Benutzer nicht bei der AWS Management Console anmelden, kann aber weiterhin seine Zugriffsschlüssel verwenden.

Wenn Sie eine Passwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen darin wirksam, sobald die Benutzer ihre Passwörter ändern. Einige Einstellungen werden jedoch sofort wirksam. Zum Beispiel:

  • Wenn sich die Anforderungen für die Mindestlänge oder Zeichenanforderungen ändern, werden diese Einstellungen bei der nächsten Änderung eines Passworts umgesetzt. Benutzer müssen ihre vorhandenen Passwörter nicht ändern, auch wenn diese nicht den Anforderungen der aktualisierten Passwortrichtlinie entsprechen.

  • Wenn Sie einen Ablaufzeitraum für Passwörter festlegen, wird dieser sofort umgesetzt. Beispiel: Sie legen einen Passwort-Ablaufzeitraum von 90 Tagen fest. In diesem Fall läuft das Passwort für alle IAM-Benutzer ab, deren bestehendes Passwort älter als 90 Tage ist. Diese Benutzer müssen ihr Passwort bei der nächsten Anmeldung ändern.

Sie können keine „Lockout-Richtlinie“ erstellen, um einen Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen aus dem Konto zu sperren. Zur Erhöhung der Sicherheit empfehlen wir Ihnen, eine starke Passwortrichtlinie mit Multi-Factor-Authentication (MFA) zu kombinieren. Weitere Informationen zu MFA finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM.

Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (Benutzer oder Rolle) ihre KontoPasswortrichtlinie anzeigen oder bearbeiten kann. Sie können die folgenden Passwortrichtlinienaktionen in eine IAM-Richtlinie aufnehmen:

  • iam:GetAccountPasswordPolicy – Ermöglicht der Entität das Anzeigen der Passwortrichtlinie für ihr Konto

  • iam:DeleteAccountPasswordPolicy – Ermöglicht der Entität, die benutzerdefinierte Passwortrichtlinie für ihr Konto zu löschen und zur StandardPasswortrichtlinie zurückzukehren

  • iam:UpdateAccountPasswordPolicy – Ermöglicht der Entität das Erstellen oder Ändern der benutzerdefinierten Passwortrichtlinie für ihr Konto

Die folgende Richtlinie ermöglicht den vollständigen Zugriff zum Anzeigen und Bearbeiten der KontoPasswortrichtlinie. Informationen zum Erstellen einer IAM-Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

Informationen zu den Berechtigungen, die ein IAM-Benutzer zum Ändern seines eigenen Passworts benötigt, finden Sie unter IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern.

Standard-Passwortrichtlinie

Wenn ein Administrator keine benutzerdefinierte Passwortrichtlinie feststellt, müssen IAM-BenutzerPasswörter der AWS-StandardPasswortrichtlinie entsprechen.

Die StandardPasswortrichtlinie setzt die folgenden Bedingungen durch:

  • Mindestpasswortlänge von 8 Zeichen und eine Maximallänge von 128 Zeichen

  • Mindestens drei der folgenden Zeichenarten: Großbuchstaben, Kleinbuchstaben, Zahlen und die Symbole ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Es darf nicht identisch mit Ihrem AWS-Konto-Namen oder Ihrer E-Mail-Adresse sein

  • Passwort niemals ablaufen lassen

Benutzerdefinierte Optionen für Passwortrichtlinien

Wenn Sie eine benutzerdefinierte Passwortrichtlinie für Ihr Konto konfigurieren, können Sie die folgenden Bedingungen festlegen:

  • Passwort-Mindestlänge – Sie können mindestens 6 Zeichen und maximal 128 Zeichen angeben.

  • Passwortstärke – Sie können jedes der folgenden Kontrollkästchen aktivieren, um die Stärke Ihrer IAM-Benutzerpasswörter festzulegen:

    • Erfordern mindestens einen Großbuchstaben aus dem lateinischen Alphabet (A–Z)

    • Erfordern mindestens einen Kleinbuchstaben aus dem lateinischen Alphabet (a–z)

    • Mindestens eine Zahl

    • Erfordert mindestens ein nicht alphanumerisches Zeichen ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Passwortablauf aktivieren – Sie können für die Gültigkeitsdauer von IAM-Benutzerpasswörtern mindestens 1 und maximal 1 095 Tage auswählen, die Passwörter nach ihrer Erstellung gültig sein sollen. Wenn Sie beispielsweise einen Ablaufzeitraum von 90 Tagen angeben, wirkt sich dies sofort auf alle Ihre Benutzer aus. Für Benutzer mit Passwörtern, die älter als 90 Tage sind, müssen sie, wenn sie sich nach der Änderung bei der Konsole anmelden, ein neues Passwort festlegen. Benutzer mit Passwörtern, die älter als 75 bis 89 Tage sind, erhalten eine AWS Management Console-Warnung vor dem Ablauf des Passworts. IAM-Benutzer können ihr Passwort jederzeit ändern, wenn sie über eine entsprechende Berechtigung verfügen. Der Ablaufzeitraum beginnt von vorn, sobald ein neues Passwort festgelegt wird. Ein IAM-Benutzer kann immer nur ein gültiges Passwort gleichzeitig haben.

  • Password expiration requires administrator reset (Passwortablauf erfordert Zurücksetzung durch Administrator) – Wählen Sie diese Option, um zu verhindern, dass IAM-Benutzer mithilfe von AWS Management Console ihre eigenen Passwörter nach Ablauf des Passworts aktualisieren. Stellen Sie vor dem Aktivieren dieser Option sicher, dass für das AWS-Konto mehr als ein Benutzer mit Administratorberechtigungen (also mit der Berechtigung zum Zurücksetzen von IAM-Benutzerpasswörtern) existiert. Administratoren mit iam:UpdateLoginProfile-Berechtigung können IAM-Benutzer-Passwörter zurücksetzen. IAM-Benutzer mit iam:ChangePassword-Berechtigung und aktive Zugriffsschlüssel können ihr eigenes IAM-Benutzer-Konsolenpasswort programmgesteuert zurücksetzen. Wenn Sie dieses Kontrollkästchen deaktivieren, müssen IAM-Benutzer mit abgelaufenen Passwörtern trotzdem ein neues Passwort festlegen, bevor sie auf die AWS Management Console zugreifen können.

  • Benutzern erlauben, ihr eigenes Passwort zu ändern – Sie können allen IAM-Benutzern in Ihrem Konto die Berechtigung gewähren ihr eigenes Passwort zu ändern. Dadurch erhalten Benutzer Zugriff auf die iam:ChangePassword-Aktion nur für ihren Benutzer und auf die iam:GetAccountPasswordPolicy-Aktion. Mit dieser Option wird nicht jedem Benutzer eine Berechtigungsrichtlinie zugewiesen. Stattdessen wendet IAM die Berechtigungen auf Kontoebene für alle Benutzer an. Sie können alternativ auch nur ausgewählten Benutzern die Berechtigung zum Verwalten ihrer eigenen Passwörter gewähren. Deaktivieren Sie hierzu dieses Kontrollkästchen. Weitere Informationen dazu, wie Sie mithilfe von Richtlinien steuern, welche Benutzer Passwörter verwalten können, finden Sie unter IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern.

  • Wiederverwendung von Passwörtern verhindern – Sie können verhindern, dass IAM-Benutzer eine bestimmte Anzahl an zuvor verwendeten Passwörtern wiederverwenden. Sie können eine Mindestanzahl von 1 und eine maximale Anzahl von 24 vorherigen Passwörtern angeben, die nicht wiederholt werden können.

So legen Sie eine Passwortrichtlinie fest (Konsole)

Sie können benutzerdefinierte Passwortrichtlinien auf der AWS Management Console erstellen, ändern oder löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM-Benutzer, die nach dieser Richtlinienänderung erstellt werden, und für vorhandene IAM-Benutzer, wenn diese ihre Passwörter ändern.

IAM console
  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie Custom (Benutzerdefiniert), um eine benutzerdefinierte Passwortrichtlinie zu verwenden.

  6. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.

  7. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Passwortanforderungen für IAM-Benutzer aktualisiert wurden.

So ändern Sie eine Passwortrichtlinie (Konsole)

Sie können benutzerdefinierte Passwortrichtlinien auf der AWS Management Console erstellen, ändern oder löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM-Benutzer, die nach dieser Richtlinienänderung erstellt werden, und für vorhandene IAM-Benutzer, wenn diese ihre Passwörter ändern.

IAM console
  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.

  6. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Passwortanforderungen für IAM-Benutzer aktualisiert wurden.

So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)

Sie können benutzerdefinierte Passwortrichtlinien auf der AWS Management Console erstellen, ändern oder löschen. Änderungen an der Passwortrichtlinie gelten für neue IAM-Benutzer, die nach dieser Richtlinienänderung erstellt werden, und für vorhandene IAM-Benutzer, wenn diese ihre Passwörter ändern.

IAM console
  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  5. Wählen Sie IAM default (IAM-Standard), um die benutzerdefinierte Passwortrichtlinie zu löschen, und wählen Sie Save changes (Änderungen speichern).

  6. Bestätigen Sie, dass Sie die IAM-Standardrichtlinie für Passwörter festlegen möchten, indem Sie Set default (Benutzerdefiniert festlegen) wählen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Passwortrichtlinie auf den IAM-Standard eingestellt ist.

Einrichten einer Passwortrichtlinie (AWS CLI)

Sie können AWS Command Line Interface verwenden, um eine Passwortrichtlinie festzulegen.

So verwalten Sie die Passwortrichtlinie für das benutzerdefinierte Konto über AWS CLI

Führen Sie die folgenden Befehle aus:

Einrichten einer Passwortrichtlinie (AWS-API)

Sie können AWS-API-Operationen verwenden, um eine Passwortrichtlinie festzulegen.

So verwalten Sie die Passwortrichtlinie für benutzerdefinierte Konten über die AWS-API

Rufen Sie die folgenden Operationen auf: