Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer

Sie können eine benutzerdefinierte Passwortrichtlinie für Sie einrichten AWS-Konto , um Komplexitätsanforderungen und obligatorische Rotationsperioden für die Passwörter Ihrer IAM-Benutzer festzulegen. Wenn Sie keine benutzerdefinierte Kennwortrichtlinie festlegen, müssen IAM-Benutzerkennwörter der AWS Standard-Passwortrichtlinie entsprechen. Weitere Informationen finden Sie unter Benutzerdefinierte Optionen für Passwortrichtlinien.

Einrichten einer Passwortrichtlinie

Die IAM-Passwortrichtlinie gilt nicht für das Root-Benutzer des AWS-Kontos Passwort oder die IAM-Benutzerzugriffsschlüssel. Wenn ein Passwort abläuft, kann sich der IAM-Benutzer nicht bei dem anmelden, AWS Management Console sondern seine Zugangsschlüssel weiterhin verwenden.

Wenn Sie eine Passwortrichtlinie erstellen oder ändern, werden die meisten Einstellungen darin wirksam, sobald die Benutzer ihre Passwörter ändern. Einige Einstellungen werden jedoch sofort wirksam. Zum Beispiel:

  • Wenn sich die Anforderungen für die Mindestlänge oder Zeichenanforderungen ändern, werden diese Einstellungen bei der nächsten Änderung eines Passworts umgesetzt. Benutzer müssen ihre vorhandenen Passwörter nicht ändern, auch wenn diese nicht den Anforderungen der aktualisierten Passwortrichtlinie entsprechen.

  • Wenn Sie einen Ablaufzeitraum für Passwörter festlegen, wird dieser sofort umgesetzt. Beispiel: Sie legen einen Passwort-Ablaufzeitraum von 90 Tagen fest. In diesem Fall läuft das Passwort für alle IAM-Benutzer ab, deren bestehendes Passwort älter als 90 Tage ist. Diese Benutzer müssen ihr Passwort bei der nächsten Anmeldung ändern.

Sie können keine „Lockout-Richtlinie“ erstellen, um einen Benutzer nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen aus dem Konto zu sperren. Zur Erhöhung der Sicherheit empfehlen wir Ihnen, eine starke Passwortrichtlinie mit Multi-Factor-Authentication (MFA) zu kombinieren. Weitere Informationen zu MFA finden Sie unter Verwendung der Multi-Faktor-Authentifizierung (MFA) in AWS.

Zum Festlegen einer Passwortrichtlinie erforderliche Berechtigungen

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (Benutzer oder Rolle) ihre KontoPasswortrichtlinie anzeigen oder bearbeiten kann. Sie können die folgenden Passwortrichtlinienaktionen in eine IAM-Richtlinie aufnehmen:

  • iam:GetAccountPasswordPolicy – Ermöglicht der Entität das Anzeigen der Passwortrichtlinie für ihr Konto

  • iam:DeleteAccountPasswordPolicy – Ermöglicht der Entität, die benutzerdefinierte Passwortrichtlinie für ihr Konto zu löschen und zur StandardPasswortrichtlinie zurückzukehren

  • iam:UpdateAccountPasswordPolicy – Ermöglicht der Entität das Erstellen oder Ändern der benutzerdefinierten Passwortrichtlinie für ihr Konto

Die folgende Richtlinie ermöglicht den vollständigen Zugriff zum Anzeigen und Bearbeiten der KontoPasswortrichtlinie. Informationen zum Erstellen einer IAM-Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessPasswordPolicy", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:DeleteAccountPasswordPolicy", "iam:UpdateAccountPasswordPolicy" ], "Resource": "*" } ] }

Informationen zu den Berechtigungen, die ein IAM-Benutzer zum Ändern seines eigenen Passworts benötigt, finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können.

Standard-Passwortrichtlinie

Wenn ein Administrator keine benutzerdefinierte Kennwortrichtlinie festlegt, müssen die IAM-Benutzerkennwörter der AWS Standard-Passwortrichtlinie entsprechen.

Die StandardPasswortrichtlinie setzt die folgenden Bedingungen durch:

  • Mindestpasswortlänge von 8 Zeichen und eine Maximallänge von 128 Zeichen

  • Mindestens drei der folgenden Zeichenarten: Großbuchstaben, Kleinbuchstaben, Zahlen und die Symbole ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Sie müssen nicht mit Ihrem AWS-Konto Namen oder Ihrer E-Mail-Adresse identisch sein

  • Passwort niemals ablaufen lassen

Benutzerdefinierte Optionen für Passwortrichtlinien

Wenn Sie eine benutzerdefinierte Passwortrichtlinie für Ihr Konto konfigurieren, können Sie die folgenden Bedingungen festlegen:

  • Passwort-Mindestlänge – Sie können mindestens 6 Zeichen und maximal 128 Zeichen angeben.

  • Passwortstärke – Sie können eines der folgenden Kontrollkästchen aktivieren, um die Stärke Ihrer IAM-BenutzerPasswörter zu definieren:

    • Erfordern mindestens einen Großbuchstaben aus dem lateinischen Alphabet (A–Z)

    • Erfordern mindestens einen Kleinbuchstaben aus dem lateinischen Alphabet (a–z)

    • Mindestens eine Zahl

    • Erfordert mindestens ein nicht alphanumerisches Zeichen ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Passwortablauf aktivieren – Sie können für die Gültigkeitsdauer von IAM-Benutzerpasswörtern mindestens 1 und maximal 1 095 Tage auswählen, die Passwörter nach ihrer Erstellung gültig sein sollen. Wenn Sie beispielsweise einen Ablaufzeitraum von 90 Tagen angeben, wirkt sich dies sofort auf alle Ihre Benutzer aus. Für Benutzer mit Passwörtern, die älter als 90 Tage sind, müssen sie, wenn sie sich nach der Änderung bei der Konsole anmelden, ein neues Passwort festlegen. Benutzer mit Passwörtern, die zwischen 75 und 89 Tage alt sind, erhalten eine AWS Management Console Warnung, dass ihr Passwort abläuft. IAM-Benutzer können ihr Passwort jederzeit ändern, wenn sie über eine entsprechende Berechtigung verfügen. Der Ablaufzeitraum beginnt von vorn, sobald ein neues Passwort festgelegt wird. Ein IAM-Benutzer kann immer nur ein gültiges Passwort gleichzeitig haben.

  • Für den Ablauf des Kennworts ist ein Zurücksetzen durch den Administrator erforderlich — Wählen Sie diese Option, um AWS Management Console zu verhindern, dass IAM-Benutzer nach Ablauf des Kennworts ihre eigenen Passwörter aktualisieren. Stellen Sie vor dem Aktivieren dieser Option sicher, dass für das AWS-Konto mehr als ein Benutzer mit Administratorberechtigungen (also mit der Berechtigung zum Zurücksetzen von IAM-Benutzerpasswörtern) existiert. Administratoren mit iam:UpdateLoginProfile-Berechtigung können IAM-Benutzer-Passwörter zurücksetzen. IAM-Benutzer mit iam:ChangePassword-Berechtigung und aktive Zugriffsschlüssel können ihr eigenes IAM-Benutzer-Konsolenpasswort programmgesteuert zurücksetzen. Wenn Sie dieses Kontrollkästchen deaktivieren, müssen IAM-Benutzer mit abgelaufenen Passwörtern dennoch ein neues Passwort festlegen, bevor sie auf die AWS Management Console.

  • Benutzern erlauben, ihr eigenes Passwort zu ändern – Sie können allen IAM-Benutzern in Ihrem Konto die Berechtigung gewähren ihr eigenes Passwort zu ändern. Dadurch erhalten Benutzer Zugriff auf die iam:ChangePassword-Aktion nur für ihren Benutzer und auf die iam:GetAccountPasswordPolicy-Aktion. Mit dieser Option wird nicht jedem Benutzer eine Berechtigungsrichtlinie zugewiesen. Stattdessen wendet IAM die Berechtigungen auf Kontoebene für alle Benutzer an. Sie können alternativ auch nur ausgewählten Benutzern die Berechtigung zum Verwalten ihrer eigenen Passwörter gewähren. Deaktivieren Sie dazu dieses Kontrollkästchen. Weitere Informationen dazu, wie Sie mithilfe von Richtlinien steuern, welche Benutzer Passwörter verwalten können, finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können.

  • Wiederverwendung von Passwörtern verhindern – Sie können verhindern, dass IAM-Benutzer eine bestimmte Anzahl an zuvor verwendeten Passwörtern wiederverwenden. Sie können eine Mindestanzahl von 1 und eine maximale Anzahl von 24 vorherigen Passwörtern angeben, die nicht wiederholt werden können.

Einrichten einer Passwortrichtlinie (Konsole)

Sie können die verwenden, AWS Management Console um eine benutzerdefinierte Kennwortrichtlinie zu erstellen, zu ändern oder zu löschen.

So erstellen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  3. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  4. Wählen Sie Custom (Benutzerdefiniert), um eine benutzerdefinierte Passwortrichtlinie zu verwenden.

  5. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.

  6. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

So ändern Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  3. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  4. Wählen Sie die Optionen aus, die Sie auf Ihre Passwortrichtlinie anwenden möchten, und wählen Sie Änderungen speichern.

  5. Bestätigen Sie, dass Sie die Richtlinie für benutzerdefinierte Passwörter festlegen möchten, indem Sie Set custom (Benutzerdefiniert festlegen) wählen.

So löschen Sie eine benutzerdefinierte Passwortrichtlinie (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  3. Wählen Sie im Abschnitt Password policy (Passwortrichtlinie) die Option Edit (Bearbeiten) aus.

  4. Wählen Sie IAM default (IAM-Standard), um die benutzerdefinierte Passwortrichtlinie zu löschen, und wählen Sie Save changes (Änderungen speichern).

  5. Bestätigen Sie, dass Sie die IAM-Standardrichtlinie für Passwörter festlegen möchten, indem Sie Set default (Benutzerdefiniert festlegen) wählen.

Einrichten einer Passwortrichtlinie (AWS CLI)

Sie können den verwenden AWS Command Line Interface , um eine Passwortrichtlinie festzulegen.

Um die Passwortrichtlinie für benutzerdefinierte Konten über das zu verwalten AWS CLI

Führen Sie die folgenden Befehle aus:

Einrichtung einer Passwortrichtlinie (AWS API)

Sie können AWS API-Operationen verwenden, um eine Passwortrichtlinie festzulegen.

Um die Passwortrichtlinie für benutzerdefinierte Konten über die AWS API zu verwalten

Rufen Sie die folgenden Operationen auf: