IAM-Benutzer - AWS Identitäts- und Zugriffsverwaltung
Wie AWS identifiziert man einen IAM-BenutzerIAM-Benutzer und AnmeldeinformationenIAM-Benutzer und BerechtigungenIAM-Benutzer und KontenIAM-Benutzer als Servicekonten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Benutzer

Wichtig

Bewährte IAM-Methoden empfehlen, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um mit temporären Anmeldeinformationen zuzugreifen AWS , anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu verwenden.

Ein AWS Identity and Access Management (IAM-) Benutzer ist eine Entität, in der Sie erstellen. AWS Der IAM-Benutzer steht für den menschlichen Benutzer oder die Arbeitslast, mit dem der IAM-Benutzer interagiert. AWS Ein Benutzer AWS besteht aus einem Namen und Anmeldeinformationen.

Ein IAM-Benutzer mit Administratorberechtigungen ist nicht dasselbe wie der Root-Benutzer des AWS-Kontos. Weitere Informationen zum Stammbenutzer finden Sie unter Root-Benutzer des AWS-Kontos.

Wie AWS identifiziert man einen IAM-Benutzer

Bei der Erstellung eines IAM-Benutzers erstellt IAM die folgenden Elemente zum Identifizieren dieses Benutzers:

  • Einen „Anzeigename“ für den IAM-Benutzer. Dies ist der Name, den Sie beim Erstellen des IAM-Benutzers angegeben haben, z. B. Richard oder Anaya. Diese Namen werden in der AWS Management Console angezeigt.

  • Ein Amazon-Ressourcenname (ARN) für den IAM-Benutzer. Sie verwenden den ARN, wenn Sie den IAM-Benutzer in allen Bereichen eindeutig identifizieren müssen. AWS Sie können z. B. einen ARN verwenden, um den IAM-Benutzer als Principal in einer IAM-Richtlinie für einen Amazon-S3-Bucket festzulegen. Ein ARN für einen IAM-Benutzer könnte folgendes Format aufweisen:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Eine eindeutige ID für den IAM-Benutzer. Diese ID wird nur zurückgegeben, wenn Sie die API oder Tools für Windows PowerShell verwenden oder AWS CLI um den IAM-Benutzer zu erstellen. Sie sehen diese ID nicht in der Konsole.

Weitere Informationen zu diesen IDs finden Sie unter IAM-IDs.

IAM-Benutzer und Anmeldeinformationen

Sie können je nach AWS den IAM-Benutzeranmeldedaten auf unterschiedliche Weise darauf zugreifen:

  • Konsolenpasswort: Ein Passwort, das der IAM-Benutzer eingeben kann, um sich bei interaktiven Sitzungen wie der AWS Management Console anzumelden. Wenn Sie das Passwort (Konsolenzugriff) für einen IAM-Benutzer deaktivieren, kann er sich nicht AWS Management Console mit seinen Anmeldeinformationen anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen.

  • Zugriffsschlüssel: Werden verwendet, um programmatische Aufrufe an AWS zu tätigen. Es gibt jedoch sicherere Alternativen, die Sie in Betracht ziehen sollten, bevor Sie Zugriffsschlüssel für IAM-Benutzer erstellen. Weitere Informationen finden Sie unter Überlegungen und Alternativen für Schlüssel für den langfristigen Zugriff in der Allgemeine AWS-Referenz. Wenn der IAM-Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den AWS CLI Zugriff über Tools für Windows PowerShell, AWS API oder die AWS Console Mobile Application.

  • SSH-Schlüssel zur Verwendung mit CodeCommit: Ein öffentlicher SSH-Schlüssel im OpenSSH-Format, mit dem sich authentifizieren kann. CodeCommit

  • Serverzertifikate: SSL/TLS-Zertifikate, mit denen Sie sich bei einigen Diensten authentifizieren können. AWS Wir empfehlen Ihnen, AWS Certificate Manager (ACM) für die Bereitstellung, Verwaltung und Bereitstellung Ihrer Serverzertifikate zu verwenden. Verwenden Sie IAM nur für die Unterstützung von HTTPS-Verbindungen in einer Region, die nicht von ACM unterstützt wird. Informationen darüber, welche Regionen ACM unterstützen, finden Sie unter AWS Certificate Manager -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.

Sie können die richtigen Anmeldeinformationen für Ihren IAM-Benutzer wählen. Wenn Sie die AWS Management Console verwenden, um einen IAM-Benutzer zu erstellen, müssen Sie mindestens ein Konsolenpasswort oder Zugriffsschlüssel eingeben. Standardmäßig hat ein brandneuer IAM-Benutzer, der mit der AWS CLI oder AWS API erstellt wurde, keinerlei Anmeldeinformationen. Sie müssen die Art der Anmeldeinformationen für einen IAM-Benutzer je nach dem Anwendungsfall erstellen.

Sie haben die folgenden Optionen zum Verwalten von Passwörtern, Zugriffsschlüsseln und Multi-Faktor-Authentifizierung (MFA)-Geräten:

  • Verwalten von Passwörtern für Ihre IAM-Benutzer. Erstellen und ändern Sie die Passwörter, die Zugriff auf die AWS Management Console ermöglichen. Legen Sie eine Passwortrichtlinie fest, um eine Mindest-Passwortkomplexität zu erzwingen. Ermöglichen Sie Benutzern, ihre eigenen Passwörter zu ändern.

  • Verwalten der Zugriffsschlüssel für Ihre IAM-Benutzer. Erstellen und aktualisieren Sie Zugriffsschlüssel für den programmgesteuerten Zugriff auf die Ressourcen in Ihrem Konto.

  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den IAM-Benutzer. Als bewährte Methode empfehlen wir, dass Sie Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer in Ihrem Konto benötigen. Bei MFA müssen Anwender zwei Formen der Identifikation bereitstellen: Zuerst geben sie die Anmeldedaten an, die Teil ihrer Benutzeridentität sind (ein Passwort oder Zugriffsschlüssel). Darüber hinaus bieten sie einen temporären Zahlencode, der auf einem Hardwaregerät oder durch eine Anwendung auf einem Smartphone oder Tablet generiert wird.

  • Suchen von ungenutzten Passwörtern und Zugriffsschlüsseln. Jeder, der ein Passwort oder Zugangsschlüssel für Ihr Konto oder einen IAM-Benutzer in Ihrem Konto hat, hat Zugriff auf Ihre AWS Ressourcen. Als bewährte Sicherheitsmethode empfiehlt es sich, Passwörter und Zugriffsschlüssel zu entfernen, wenn die Benutzer diese nicht mehr benötigen.

  • Herunterladen eines Berichts zu Anmeldeinformationen für Ihr Konto. Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle IAM-Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Für Passwörter und Zugriffsschlüssel zeigt der Bericht an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde.

IAM-Benutzer und Berechtigungen

Standardmäßig besitzt ein neuer IAM-Benutzer überhaupt keine Berechtigungen. Sie sind nicht berechtigt, AWS Operationen durchzuführen oder auf AWS Ressourcen zuzugreifen. Ein Vorteil, über einzelne IAM-Benutzer zu verfügen, besteht darin, dass Sie jedem Benutzer individuell Berechtigungen zuweisen können. Möglicherweise weisen Sie einigen Benutzern Administratorberechtigungen zu, die dann Ihre AWS Ressourcen verwalten und sogar andere IAM-Benutzer erstellen und verwalten können. In den meisten Fällen möchten Sie die Berechtigungen eines Benutzers jedoch auf die Aufgaben (AWS Aktionen oder Operationen) und Ressourcen beschränken, die für den Job benötigt werden.

Angenommen, wir haben einen Benutzer namens Diego. Wenn Sie IAM-Benutzer Diego erstellen, weisen Sie ihm auch Berechtigungen zu, die es ihm ermöglichen, eine bestimmte Amazon-EC2-Instance zu starten und Informationen aus einer Tabelle in einer Amazon-RDS-Datenbank zu lesen (GET). Weitere Informationen dazu, wie Sie Benutzer erstellen und ihnen erstmalige Anmeldeinformationen und Berechtigungen gewähren, finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto. Anweisungen zum Ändern der Berechtigungen für vorhandene Benutzer finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer. Anweisungen zum Ändern des Passworts oder der Zugriffsschlüssel des Benutzers finden Sie unter Benutzerpasswörter verwalten in AWS und Verwalten der Zugriffsschlüssel für IAM-Benutzer.

Sie können Ihren IAM-Benutzern auch eine Berechtigungsgrenze hinzufügen. Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie mithilfe AWS verwalteter Richtlinien die maximalen Berechtigungen einschränken können, die eine identitätsbasierte Richtlinie einem IAM-Benutzer oder einer IAM-Rolle gewähren kann. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in IAM.

IAM-Benutzer und Konten

Jeder IAM-Benutzer kann nur einem einzigen AWS-Konto zugeordnet sein. Da IAM-Benutzer in Ihrem System definiert sind AWS-Konto, müssen Sie für sie keine Zahlungsmethode hinterlegt haben. AWS Jede AWS Aktivität, die von IAM-Benutzern in Ihrem Konto ausgeführt wird, wird Ihrem Konto in Rechnung gestellt.

Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente.

IAM-Benutzer als Servicekonten

Ein IAM-Benutzer ist eine Ressource in IAM, der Anmeldeinformationen und Berechtigungen zugeordnet sind. Ein IAM-Benutzer kann eine Person oder eine Anwendung darstellen, die ihre Anmeldeinformationen für AWS -Anforderungen verwendet. Dies wird in der Regel als Servicekonto bezeichnet. Falls Sie die langfristigen Anmeldeinformationen eines IAM-Benutzers in Ihrer Anwendung verwenden möchten, betten Sie keine Zugriffsschlüssel direkt in den Anwendungscode ein. Die AWS SDKs und die AWS Command Line Interface ermöglichen es Ihnen, Zugriffsschlüssel an bekannten Orten zu platzieren, sodass Sie sie nicht im Code speichern müssen. Weitere Informationen finden Sie unter Manage IAM User Access Keys Properly (Ordnungsgemäßes Verwalten von IAM-Benutzerzugriffsschlüsseln) in der Allgemeine AWS-Referenz. Alternativ und als bewährte Methode können Sie temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle langfristiger Zugriffsschlüssel verwenden.