Verwalten von Passwörtern für IAM-Benutzer - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten von Passwörtern für IAM-Benutzer

IAM-Benutzer, die den AWS Management Console für die Arbeit mit AWS Ressourcen verwenden, benötigen ein Passwort, um sich anmelden zu können. Sie können ein Passwort für einen IAM-Benutzer in Ihrem AWS -Konto erstellen, ändern oder löschen.

Nachdem Sie einem Benutzer ein Passwort zugewiesen haben, kann sich der Benutzer AWS Management Console mit der Anmelde-URL für Ihr Konto anmelden, die wie folgt aussieht:

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Weitere Informationen darüber, wie sich IAM-Benutzer bei der anmelden AWS Management Console, finden Sie unter So melden Sie sich an AWS im AWS-Anmeldung Benutzerhandbuch.

Auch wenn Ihre Benutzer ihre eigenen Passwörter haben, benötigen Sie dennoch Berechtigungen für den Zugriff auf Ihre AWS -Ressourcen. Standardmäßig hat ein Benutzer keine Berechtigungen. Um Ihren Benutzern die erforderlichen Berechtigungen zu gewähren, weisen Sie ihnen oder den Gruppen, zu denen sie gehören, Richtlinien zu. Weitere Informationen zum Erstellen von Benutzern und Gruppen finden Sie unter IAM-Identitäten (Benutzer, Gruppen und Rollen). Weitere Informationen zum Verwenden von Richtlinien, um Berechtigungen festzulegen, finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer.

Sie können Benutzern die Berechtigung zuweisen, ihre eigenen Passwörter zu ändern. Weitere Informationen finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können. Weitere Informationen zum Zugriff auf die Anmeldeseite durch Benutzer finden Sie unter Anmelden bei AWS im AWS-Anmeldung -Benutzerhandbuch.

Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole)

Sie können den verwenden AWS Management Console , um Passwörter für Ihre IAM-Benutzer zu verwalten.

Wenn Benutzer Ihr Unternehmen verlassen oder keinen AWS Zugriff mehr benötigen, ist es wichtig, die von ihnen verwendeten Anmeldeinformationen zu finden und sicherzustellen, dass sie nicht mehr betriebsbereit sind. Im Idealfall löschen Sie die Anmeldeinformationen, wenn sie nicht mehr benötigt werden. Sie können sie immer zu einem späteren Zeitpunkt bei Bedarf neu erstellen. Zumindest sollten Sie die Anmeldeinformationen so ändern, dass die ehemaligen Benutzer keinen Zugriff mehr haben.

So fügen Sie ein Passwort für einen IAM-Benutzer hinzu (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie erstellen möchten.

  4. Wählen Sie die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) und wählen Sie dann unter Console sign-in (Konsolenanmeldung) die Option Enable console access (Konsolenzugriff aktivieren) aus.

  5. Wählen Sie unter Konsolenzugriff aktivieren für das Konsolenpasswort aus, ob IAM ein Passwort generieren oder ein benutzerdefiniertes Passwort erstellen soll:

    • Wenn IAM ein Passwort generieren soll, wählen Sie Automatisch generiertes Passwort.

    • Wenn ein benutzerdefiniertes Passwort erstellt werden soll, wählen Sie Custom password (Benutzerdefiniertes Passwort) aus und geben Sie das Passwort ein.

      Anmerkung

      Das von Ihnen erstellte Passwort muss den Passwortrichtlinie des Kontos entsprechen.

  6. Wenn der Benutzer bei der Anmeldung ein neues Passwort erstellen soll, wählen Sie User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen). Wählen Sie dann Konsolenzugriff aktivieren aus.

    Wichtig

    Wenn Sie die Option User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) auswählen, vergewissern Sie sich, dass der Benutzer die Berechtigung zum Ändern des Passworts hat. Weitere Informationen finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können.

  7. Um das Passwort anzuzeigen, sodass Sie es mit dem Benutzer teilen können, wählen Sie im Dialogfeld „Konsolenkennwort“ die Option „Anzeigen“.

    Wichtig

    Aus Sicherheitsgründen können Sie nach Ausführen dieses Schritts nicht auf das Passwort zugreifen, Sie können jedoch jederzeit ein neues Passwort erstellen.

So ändern Sie das Passwort für einen IAM-Benutzer (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie ändern möchten.

  4. Wählen Sie die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) und wählen Sie dann unter Console sign-in (Konsolenanmeldung) die Option Manage console access (Konsolenzugriff verwalten) aus.

  5. Wählen Sie unter Konsolenzugriff verwalten die Option Passwort zurücksetzen aus, falls diese Option noch nicht ausgewählt ist. Wenn der Konsolenzugriff deaktiviert ist, ist kein Passwort erforderlich.

  6. Wählen Sie für den Konsolenzugriff, ob IAM ein Passwort generieren oder ein benutzerdefiniertes Passwort erstellen soll:

    • Wenn IAM ein Passwort generieren soll, wählen Sie Automatisch generiertes Passwort.

    • Wenn ein benutzerdefiniertes Passwort erstellt werden soll, wählen Sie Custom password (Benutzerdefiniertes Passwort) aus und geben Sie das Passwort ein.

      Anmerkung

      Das von Ihnen erstellte Passwort muss der Passwortrichtlinie des Kontos entsprechen, sofern zurzeit eine festgelegt ist.

  7. Wenn der Benutzer bei der Anmeldung ein neues Passwort erstellen soll, wählen Sie User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen).

    Wichtig

    Wenn Sie die Option User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) auswählen, vergewissern Sie sich, dass der Benutzer die Berechtigung zum Ändern des Passworts hat. Weitere Informationen finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können.

  8. Um die aktiven Konsolensitzungen des Benutzers zu widerrufen, wählen Sie Aktive Konsolensitzungen widerrufen. Wählen Sie dann Apply (Anwenden).

    Wenn Sie aktive Konsolensitzungen für einen Benutzer widerrufen, fügt IAM dem Benutzer eine neue Inline-Richtlinie hinzu, die ihm alle Berechtigungen für alle Aktionen verweigert. Es beinhaltet eine Bedingung, die die Einschränkungen nur dann anwendet, wenn die Sitzung vor dem Zeitpunkt, zu dem Sie die Berechtigungen widerrufen, erstellt wurde, sowie etwa 30 Sekunden in der future. Wenn der Benutzer eine neue Sitzung erstellt, nachdem Sie die Berechtigungen widerrufen haben, gilt die Ablehnungsrichtlinie nicht für diesen Benutzer. Wenn ein Benutzer seine eigenen aktiven Konsolensitzungen mit dieser Methode widerruft, wird er sofort von der abgemeldet. AWS Management Console

    Wichtig

    Um aktive Konsolensitzungen für einen Benutzer erfolgreich zu widerrufen, benötigen Sie die PutUserPolicy entsprechende Benutzerberechtigung. Auf diese Weise können Sie die AWSRevokeOlderSessions Inline-Richtlinie an den Benutzer anhängen.

  9. Um das Passwort anzuzeigen, sodass Sie es mit dem Benutzer teilen können, wählen Sie im Dialogfeld „Konsolenkennwort“ die Option „Anzeigen“.

    Wichtig

    Aus Sicherheitsgründen können Sie nach Ausführen dieses Schritts nicht auf das Passwort zugreifen, Sie können jedoch jederzeit ein neues Passwort erstellen.

So löschen (deaktivieren) Sie das Passwort eines IAM-Benutzers (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie löschen möchten.

  4. Wählen Sie die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) und wählen Sie dann unter Console sign-in (Konsolenanmeldung) die Option Manage console access (Konsolenzugriff verwalten) aus.

  5. Wählen Sie unter Konsolenzugriff verwalten die Option Konsolenzugriff deaktivieren aus, falls diese Option noch nicht ausgewählt ist. Wenn der Konsolenzugriff deaktiviert ist, ist kein Passwort erforderlich.

  6. Um die aktiven Konsolensitzungen des Benutzers zu widerrufen, wählen Sie Aktive Konsolensitzungen widerrufen. Wählen Sie dann Zugriff deaktivieren.

    Wichtig

    Um aktive Konsolensitzungen für einen Benutzer erfolgreich zu widerrufen, benötigen Sie die PutUserPolicy entsprechende Benutzerberechtigung. Auf diese Weise können Sie die AWSRevokeOlderSessions Inline-Richtlinie an den Benutzer anhängen.

    Wenn Sie aktive Konsolensitzungen für einen Benutzer widerrufen, bettet IAM eine neue Inline-Richtlinie in den IAM-Benutzer ein, die alle Berechtigungen für alle Aktionen verweigert. Es beinhaltet eine Bedingung, die die Einschränkungen nur dann anwendet, wenn die Sitzung vor dem Zeitpunkt, zu dem Sie die Berechtigungen widerrufen, erstellt wurde, sowie etwa 30 Sekunden in der future. Wenn der Benutzer eine neue Sitzung erstellt, nachdem Sie die Berechtigungen widerrufen haben, gilt die Ablehnungsrichtlinie nicht für diesen Benutzer. Wenn ein Benutzer seine eigenen aktiven Konsolensitzungen mit dieser Methode widerruft, wird er sofort von der abgemeldet. AWS Management Console

Wichtig

Sie können verhindern, dass ein IAM-Benutzer auf die zugreift, AWS Management Console indem Sie sein Passwort entfernen. Dadurch wird verhindert, dass sie sich AWS Management Console mit ihren Anmeldeinformationen bei der anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Tools für Windows PowerShell, die AWS API oder die AWS Console Mobile Application.

Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (AWS CLI)

Sie können die AWS CLI API verwenden, um Passwörter für Ihre IAM-Benutzer zu verwalten.

So erstellen Sie ein Passwort (AWS CLI)
  1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: aws iam get-login-profile

  2. Führen Sie diesen Befehl aus, um ein Passwort zu erstellen: aws iam create-login-profile

So ändern Sie das Passwort eines Benutzers (AWS CLI)
  1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: aws iam get-login-profile

  2. Um ein Passwort zu ändern, führen Sie diesen Befehl aus: aws iam update-login-profile

So löschen (deaktivieren) Sie das Passwort eines Benutzers (AWS CLI)
  1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: aws iam get-login-profile

  2. (Optional) Um zu ermitteln, wann ein Passwort zuletzt verwendet wurde, führen Sie diesen Befehl aus: aws iam get-user

  3. Um ein Passwort zu löschen, führen Sie diesen Befehl aus: aws iam delete-login-profile

Wichtig

Wenn Sie das Passwort eines Benutzers löschen, kann sich dieser nicht mehr bei der AWS Management Console anmelden. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Funktionsaufrufen Tools für Windows PowerShell oder AWS API. Wenn Sie die AWS CLI Tools für Windows oder die AWS API verwenden PowerShell, um einen Benutzer aus Ihrem zu löschen AWS-Konto, müssen Sie zuerst das Passwort mithilfe dieses Vorgangs löschen. Weitere Informationen finden Sie unter Löschen eines IAM-Benutzers (AWS CLI).

Um die aktiven Konsolensitzungen eines Benutzers vor einer bestimmten Zeit zu widerrufen (AWS CLI)
  1. Um eine Inline-Richtlinie einzubetten, die die aktiven Konsolensitzungen eines IAM-Benutzers vor einem bestimmten Zeitpunkt widerruft, verwenden Sie die folgende Inline-Richtlinie und führen Sie diesen Befehl aus: aws iam put-user-policy

    Diese Inline-Richtlinie verweigert alle Berechtigungen und beinhaltet den Bedingungsschlüssel. aws: TokenIssue Zeit Sie widerruft die aktiven Konsolensitzungen des Benutzers vor dem in der Condition Inline-Richtlinie angegebenen Zeitpunkt. Ersetzen Sie den Wert des aws:TokenIssueTime Bedingungsschlüssels durch Ihren eigenen Wert.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Optional) Um die Namen der im IAM-Benutzer eingebetteten Inline-Richtlinien aufzulisten, führen Sie diesen Befehl aus: aws iam list-user-policies

  3. (Optional) Um die benannte Inline-Richtlinie anzuzeigen, die in den IAM-Benutzer eingebettet ist, führen Sie diesen Befehl aus: aws iam get-user-policy

Ein IAM-Benutzerkennwort (API) erstellen, ändern oder löschen AWS

Sie können die AWS API verwenden, um Passwörter für Ihre IAM-Benutzer zu verwalten.

Um ein Passwort (AWS API) zu erstellen
  1. (Optional) Rufen Sie diesen Vorgang auf, um festzustellen, ob ein Benutzer ein Passwort hat: GetLoginProfile

  2. Rufen Sie diesen Vorgang auf, um ein Passwort zu erstellen: CreateLoginProfile

Um das Passwort eines Benutzers zu ändern (AWS API)
  1. (Optional) Rufen Sie diesen Vorgang auf, um festzustellen, ob ein Benutzer ein Passwort hat: GetLoginProfile

  2. Rufen Sie diesen Vorgang auf, um ein Passwort zu ändern: UpdateLoginProfile

Um das Passwort (AWS API) eines Benutzers zu löschen (zu deaktivieren)
  1. (Optional) Um festzustellen, ob ein Benutzer ein Passwort hat, führen Sie diesen Befehl aus: GetLoginProfile

  2. (Optional) Um festzustellen, wann ein Passwort zuletzt verwendet wurde, führen Sie diesen Befehl aus: GetUser

  3. Führen Sie diesen Befehl aus, um ein Passwort zu löschen: DeleteLoginProfile

Wichtig

Wenn Sie das Passwort eines Benutzers löschen, kann sich dieser nicht mehr bei der AWS Management Console anmelden. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Funktionsaufrufen Tools für Windows PowerShell oder AWS API. Wenn Sie die AWS CLI Tools für Windows oder die AWS API verwenden PowerShell, um einen Benutzer aus Ihrem zu löschen AWS-Konto, müssen Sie zuerst das Passwort mithilfe dieses Vorgangs löschen. Weitere Informationen finden Sie unter Löschen eines IAM-Benutzers (AWS CLI).

Um die aktiven Konsolensitzungen eines Benutzers vor einem bestimmten Zeitpunkt zu widerrufen (AWS API)
  1. Um eine Inline-Richtlinie einzubetten, die die aktiven Konsolensitzungen eines IAM-Benutzers vor einem bestimmten Zeitpunkt widerruft, verwenden Sie die folgende Inline-Richtlinie und führen Sie diesen Befehl aus: PutUserPolicy

    Diese Inline-Richtlinie verweigert alle Berechtigungen und beinhaltet den aws: TokenIssue Zeit Bedingungsschlüssel. Sie widerruft die aktiven Konsolensitzungen des Benutzers vor dem in der Condition Inline-Richtlinie angegebenen Zeitpunkt. Ersetzen Sie den Wert des aws:TokenIssueTime Bedingungsschlüssels durch Ihren eigenen Wert.

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateLessThan": { "aws:TokenIssueTime": "2014-05-07T23:47:00Z" } } } }
  2. (Optional) Um die Namen der Inline-Richtlinien aufzulisten, die in den IAM-Benutzer eingebettet sind, führen Sie diesen Befehl aus: ListUserPolicies

  3. (Optional) Führen Sie den folgenden Befehl aus, um die benannte Inline-Richtlinie anzuzeigen, die in den IAM-Benutzer eingebettet ist: GetUserPolicy