Dienstspezifische Anmeldeinformationen für IAM-Benutzer - AWS Identitäts- und Zugriffsverwaltung
Rotierende dienstspezifische AnmeldeinformationenÜberwachung dienstspezifischer Anmeldeinformationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dienstspezifische Anmeldeinformationen für IAM-Benutzer

Dienstspezifische Anmeldeinformationen sind spezielle Authentifizierungsmechanismen, die für bestimmte Dienste entwickelt wurden. AWS Diese Anmeldeinformationen bieten im Vergleich zu AWS Standardanmeldedaten eine vereinfachte Authentifizierung und sind auf die Authentifizierungsanforderungen einzelner AWS Dienste zugeschnitten. Im Gegensatz zu Zugriffsschlüsseln, die für mehrere AWS Dienste verwendet werden können, sind dienstspezifische Anmeldeinformationen nur für den Dienst konzipiert, für den sie erstellt wurden. Dieser gezielte Ansatz erhöht die Sicherheit, indem der Umfang der Anmeldeinformationen begrenzt wird.

Dienstspezifische Anmeldeinformationen bestehen in der Regel aus einem Paar aus Benutzername und Passwort oder aus speziellen API-Schlüsseln, die entsprechend den Anforderungen des jeweiligen Dienstes formatiert sind. Wenn Sie dienstspezifische Anmeldeinformationen erstellen, sind diese standardmäßig aktiv und können sofort verwendet werden. Sie können pro IAM-Benutzer maximal zwei Sätze von dienstspezifischen Anmeldeinformationen für jeden unterstützten Dienst haben. Dieses Limit ermöglicht es Ihnen, einen aktiven Satz beizubehalten und bei Bedarf zu einem neuen Satz zu wechseln. AWS unterstützt derzeit dienstspezifische Anmeldeinformationen für die folgenden Dienste:

Rotierende dienstspezifische Anmeldeinformationen

Aus Sicherheitsgründen empfiehlt es sich, dienstspezifische Anmeldeinformationen regelmäßig zu wechseln. Gehen Sie wie folgt vor, um Anmeldeinformationen zu rotieren, ohne Ihre Anwendungen zu unterbrechen:

  1. Erstellen Sie einen zweiten Satz dienstspezifischer Anmeldeinformationen für denselben Dienst und denselben IAM-Benutzer

  2. Aktualisieren Sie alle Anwendungen, sodass sie die neuen Anmeldeinformationen verwenden, und stellen Sie sicher, dass sie ordnungsgemäß funktionieren

  3. Ändern Sie den Status der ursprünglichen Anmeldeinformationen auf „Inaktiv“

  4. Stellen Sie sicher, dass alle Anwendungen weiterhin ordnungsgemäß funktionieren

  5. Löschen Sie die inaktiven dienstspezifischen Anmeldeinformationen, wenn Sie sicher sind, dass sie nicht mehr benötigt werden

Überwachung dienstspezifischer Anmeldeinformationen

Sie können AWS CloudTrail damit die Verwendung dienstspezifischer Anmeldeinformationen in Ihrem AWS Konto überwachen. Um CloudTrail Ereignisse im Zusammenhang mit der Verwendung dienstspezifischer Anmeldeinformationen einzusehen, überprüfen Sie die CloudTrail Protokolle auf Ereignisse des Dienstes, für den die Anmeldeinformationen verwendet werden. Weitere Informationen finden Sie unter Protokollierung von IAM- und AWS STS API-Aufrufen mit AWS CloudTrail.

Um zusätzliche Sicherheit zu gewährleisten, sollten Sie CloudWatch Alarme einrichten, die Sie über bestimmte Muster bei der Verwendung von Anmeldeinformationen informieren, die auf unbefugten Zugriff oder andere Sicherheitsbedenken hinweisen könnten. Weitere Informationen finden Sie unter Überwachen von CloudTrail Protokolldateien mit Amazon CloudWatch Logs im AWS CloudTrail Benutzerhandbuch.

Die folgenden Themen enthalten Informationen zu dienstspezifischen Anmeldeinformationen.

Themen