Einrichten einer Passwortrichtlinie Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen Standard-Passwortrichtlinie Benutzerdefinierte Optionen für Passwortrichtlinien Einrichten einer Passwortrichtlinie (Konsole)Einrichten einer Passwortrichtlinie (AWS CLI)Einrichten einer Passwortrichtlinie (AWS API)

Legen Sie eine Kontokennwortrichtlinie für IAM Benutzer fest

Sie können eine benutzerdefinierte Passwortrichtlinie für Sie einrichten AWS-Konto , um die Komplexitätsanforderungen und die obligatorischen Rotationsperioden für die Passwörter Ihrer IAM Benutzer festzulegen. Wenn Sie keine benutzerdefinierte Kennwortrichtlinie festlegen, müssen IAM Benutzerkennwörter der AWS Standard-Passwortrichtlinie entsprechen. Weitere Informationen finden Sie unter Benutzerdefinierte Optionen für Passwortrichtlinien.

Themen

Einrichten einer Passwortrichtlinie
Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen
Standard-Passwortrichtlinie
Benutzerdefinierte Optionen für Passwortrichtlinien
Einrichten einer Passwortrichtlinie (Konsole)
Einrichten einer Passwortrichtlinie (AWS CLI)
Einrichten einer Passwortrichtlinie (AWS API)

Einrichten einer Passwortrichtlinie

Die IAM Passwortrichtlinie gilt nicht für das Root-Benutzer des AWS-Kontos Passwort oder die IAM Benutzerzugriffsschlüssel. Wenn ein Passwort abläuft, kann sich der IAM Benutzer nicht bei dem anmelden, AWS Management Console sondern seine Zugangsschlüssel weiterhin verwenden.

Wenn Sie eine Passwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen darin wirksam, sobald die Benutzer ihre Passwörter ändern. Einige Einstellungen werden jedoch sofort wirksam. Zum Beispiel:

Wenn sich die Anforderungen für die Mindestlänge oder Zeichenanforderungen ändern, werden diese Einstellungen bei der nächsten Änderung eines Passworts umgesetzt. Benutzer müssen ihre vorhandenen Passwörter nicht ändern, auch wenn diese nicht den Anforderungen der aktualisierten Passwortrichtlinie entsprechen.
Wenn Sie einen Ablaufzeitraum für Passwörter festlegen, wird dieser sofort umgesetzt. Beispiel: Sie legen einen Passwort-Ablaufzeitraum von 90 Tagen fest. In diesem Fall läuft das Passwort für alle IAM Benutzer ab, deren vorhandenes Passwort älter als 90 Tage ist. Diese Benutzer müssen ihr Passwort bei der nächsten Anmeldung ändern.

Sie können keine „Lockout-Richtlinie“ erstellen, um einen Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen aus dem Konto zu sperren. Um die Sicherheit zu erhöhen, empfehlen wir, eine sichere Passwortrichtlinie mit einer Multi-Faktor-Authentifizierung (MFA) zu kombinieren. Weitere Informationen zu finden Sie MFA unterAWS Multi-Faktor-Authentifizierung in IAM.

Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (Benutzer oder Rolle) ihre Kontokennwortrichtlinie einsehen oder bearbeiten kann. Sie können die folgenden Aktionen für Kennwortrichtlinien in eine IAM Richtlinie aufnehmen:

iam:GetAccountPasswordPolicy – Ermöglicht der Entität das Anzeigen der Passwortrichtlinie für ihr Konto
iam:DeleteAccountPasswordPolicy – Ermöglicht der Entität, die benutzerdefinierte Passwortrichtlinie für ihr Konto zu löschen und zur StandardPasswortrichtlinie zurückzukehren
iam:UpdateAccountPasswordPolicy – Ermöglicht der Entität das Erstellen oder Ändern der benutzerdefinierten Passwortrichtlinie für ihr Konto

Die folgende Richtlinie ermöglicht den vollständigen Zugriff zum Anzeigen und Bearbeiten der KontoPasswortrichtlinie. Informationen zum Erstellen einer IAM Richtlinie mithilfe dieses JSON Beispieldokuments finden Sie unterRichtlinien mit dem JSON Editor erstellen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Informationen zu den Berechtigungen, die ein IAM Benutzer benötigt, um sein eigenes Passwort zu ändern, finden Sie unterIAMErlauben Sie Benutzern, ihre eigenen Passwörter zu ändern.

Standard-Passwortrichtlinie

Wenn ein Administrator keine benutzerdefinierte Kennwortrichtlinie festlegt, müssen IAM Benutzerkennwörter der AWS Standardkennwortrichtlinie entsprechen.

Die StandardPasswortrichtlinie setzt die folgenden Bedingungen durch:

Mindestpasswortlänge von 8 Zeichen und eine Maximallänge von 128 Zeichen
Mindestens drei der folgenden Zeichenarten: Großbuchstaben, Kleinbuchstaben, Zahlen und die Symbole ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
darf nicht mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse identisch sein
Passwort niemals ablaufen lassen

Benutzerdefinierte Optionen für Passwortrichtlinien

Wenn Sie eine benutzerdefinierte Passwortrichtlinie für Ihr Konto konfigurieren, können Sie die folgenden Bedingungen festlegen:

Passwort-Mindestlänge – Sie können mindestens 6 Zeichen und maximal 128 Zeichen angeben.
Passwortstärke — Sie können eines der folgenden Kontrollkästchen aktivieren, um die Stärke Ihrer IAM Benutzerkennwörter zu definieren:
- Erfordern mindestens einen Großbuchstaben aus dem lateinischen Alphabet (A–Z)
- Erfordern mindestens einen Kleinbuchstaben aus dem lateinischen Alphabet (a–z)
- Mindestens eine Zahl
- Erfordert mindestens ein nicht alphanumerisches Zeichen ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
Ablauf des Kennworts aktivieren — Sie können festlegen, dass IAM Benutzerkennwörter mindestens 1 und maximal 1.095 Tage gültig sind, nachdem sie festgelegt wurden. Wenn Sie beispielsweise einen Ablaufzeitraum von 90 Tagen angeben, wirkt sich dies sofort auf alle Ihre Benutzer aus. Für Benutzer mit Passwörtern, die älter als 90 Tage sind, müssen sie, wenn sie sich nach der Änderung bei der Konsole anmelden, ein neues Passwort festlegen. Benutzer mit Passwörtern, die zwischen 75 und 89 Tage alt sind, erhalten eine AWS Management Console Warnung, dass ihr Passwort abläuft. IAMBenutzer können ihr Passwort jederzeit ändern, wenn sie dazu berechtigt sind. Der Ablaufzeitraum beginnt von vorn, sobald ein neues Passwort festgelegt wird. Ein IAM Benutzer kann jeweils nur über ein gültiges Passwort verfügen.
Für den Ablauf des Kennworts ist ein Zurücksetzen durch den Administrator erforderlich — Wählen Sie diese Option, AWS Management Console um zu verhindern, dass IAM Benutzer nach Ablauf des Kennworts ihre eigenen Passwörter aktualisieren. Bevor Sie diese Option auswählen, stellen Sie sicher, dass mehr als ein Benutzer über Administratorrechte zum Zurücksetzen von IAM Benutzerkennwörtern AWS-Konto verfügt. Administratoren mit entsprechender iam:UpdateLoginProfile Berechtigung können IAM Benutzerkennwörter zurücksetzen. IAMBenutzer mit entsprechenden iam:ChangePassword Berechtigungen und aktiven Zugriffsschlüsseln können ihr eigenes IAM Benutzerkonsolenpasswort programmgesteuert zurücksetzen. Wenn Sie dieses Kontrollkästchen deaktivieren, müssen IAM Benutzer mit abgelaufenen Kennwörtern dennoch ein neues Kennwort festlegen, bevor sie auf das zugreifen können. AWS Management Console
Benutzern erlauben, ihr eigenes Passwort zu ändern — Sie können allen IAM Benutzern in Ihrem Konto erlauben, ihr eigenes Passwort zu ändern. Dadurch erhalten Benutzer Zugriff auf die iam:ChangePassword-Aktion nur für ihren Benutzer und auf die iam:GetAccountPasswordPolicy-Aktion. Mit dieser Option wird nicht jedem Benutzer eine Berechtigungsrichtlinie zugewiesen. IAMWendet stattdessen die Berechtigungen auf Kontoebene für alle Benutzer an. Sie können alternativ auch nur ausgewählten Benutzern die Berechtigung zum Verwalten ihrer eigenen Passwörter gewähren. Deaktivieren Sie dazu dieses Kontrollkästchen. Weitere Informationen dazu, wie Sie mithilfe von Richtlinien steuern, welche Benutzer Passwörter verwalten können, finden Sie unter IAMErlauben Sie Benutzern, ihre eigenen Passwörter zu ändern.
Wiederverwendung von Passwörtern verhindern — Sie können verhindern, dass IAM Benutzer eine bestimmte Anzahl früherer Passwörter wiederverwenden. Sie können eine Mindestanzahl von 1 und eine maximale Anzahl von 24 vorherigen Passwörtern angeben, die nicht wiederholt werden können.

Einrichten einer Passwortrichtlinie (Konsole)

Sie können die verwenden, AWS Management Console um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, zu ändern oder zu löschen.

So erstellen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).
Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.
Wählen Sie Custom (Benutzerdefiniert), um eine benutzerdefinierte Passwortrichtlinie zu verwenden.
Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.
Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

So ändern Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).
Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.
Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.
Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).
Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.
Wählen Sie IAMStandard, um die benutzerdefinierte Kennwortrichtlinie zu löschen, und wählen Sie Änderungen speichern aus.
Bestätigen Sie, dass Sie die IAM Standard-Passwortrichtlinie festlegen möchten, indem Sie Als Standard festlegen wählen.

Einrichten einer Passwortrichtlinie (AWS CLI)

Sie können den verwenden AWS Command Line Interface , um eine Passwortrichtlinie festzulegen.

Um die Passwortrichtlinie für benutzerdefinierte Konten über das zu verwalten AWS CLI

Führen Sie die folgenden Befehle aus:

So erstellen oder ändern Sie die Richtlinie für benutzerdefinierte Passwörter: aws iam update-account-password-policy
So zeigen Sie die Passwortrichtlinie an: aws iam get-account-password-policy
So löschen Sie die Richtlinie für benutzerdefinierte Passwörter: aws iam delete-account-password-policy

Einrichten einer Passwortrichtlinie (AWS API)

Sie können AWS API Operationen verwenden, um eine Kennwortrichtlinie festzulegen.

Um die Kennwortrichtlinie für benutzerdefinierte Konten über den AWS API

Rufen Sie die folgenden Operationen auf:

So erstellen oder ändern Sie die Richtlinie für benutzerdefinierte Passwörter: UpdateAccountPasswordPolicy
So zeigen Sie die Passwortrichtlinie an: GetAccountPasswordPolicy
So löschen Sie die Richtlinie für benutzerdefinierte Passwörter: DeleteAccountPasswordPolicy

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Passwörter verwalten

Benutzerkennwörter verwalten