Ändern von Berechtigungen für einen IAM-Benutzer

Sie können die Berechtigungen für einen IAM-Benutzer in Ihrem ändern, AWS-Konto indem Sie dessen Gruppenmitgliedschaften ändern, die Berechtigungen eines vorhandenen Benutzers kopieren, Richtlinien direkt an einen Benutzer anhängen oder indem Sie eine Berechtigungsgrenze festlegen. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die ein Benutzer haben kann. Bei Berechtigungsgrenzen handelt es sich um eine erweiterte Funktion. AWS

Weitere Informationen über die erforderlichen Berechtigungen, um die Berechtigungen eines Benutzers zu bearbeiten, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Anzeigen des Benutzerzugriffs

Bevor Sie die Berechtigungen für einen Benutzer ändern, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff.

Generieren einer Richtlinie basierend auf der Zugriffsaktivität eines Benutzers

Manchmal können Sie einer IAM-Entität (Benutzer oder Rolle) Berechtigungen erteilen, die über das hinausgehen, was diese benötigen. Um Ihnen beim Verfeinern der Berechtigungen zu helfen, können Sie eine IAM-Richtlinie generieren, die auf der Zugriffsaktivität für eine Entity basiert. IAM Access Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Entität in dem von Ihnen angegebenen Zeitraum verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit definierten Berechtigungen zu erstellen und sie dann an die IAM-Rolle anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die der Benutzer oder die Rolle benötigt, um mit AWS Ressourcen für Ihren speziellen Anwendungsfall zu interagieren. Weitere Informationen finden Sie unter Richtliniengenerierung für IAM Access Analyzer.

Hinzufügen von Berechtigungen für einem Benutzer (Konsole)

IAM bietet drei Möglichkeiten zum Hinzufügen von Berechtigungsrichtlinien zu einem Benutzer:

• Hinzufügen des IAM-Benutzers zu einer IAM-Gruppe – Machen Sie den Benutzer zum Mitglied einer Gruppe. Die Richtlinien der Gruppe werden dem Benutzer zugeordnet.

• Kopieren von Berechtigungen von vorhandenen IAM-Benutzern – Kopieren Sie alle Gruppenmitgliedschaften, angefügte verwaltete Richtlinien, eingebundene Richtlinien sowie vorhandene Berechtigungsgrenzen des Quellbenutzers.

• Anfügen von Richtlinien direkt zu IAM-Benutzern – Fügen Sie eine verwaltete Richtlinie direkt an den Benutzer an. Um die Verwaltung von Berechtigungen zu vereinfachen, ordnen Sie Ihre Richtlinien einer Gruppe zu und machen die IAM-Benutzer zu Mitgliedern der entsprechenden Gruppen.

Wichtig

Wenn der Benutzer über eine Berechtigungsgrenze verfügt, können Sie dem Benutzer nicht mehr Berechtigungen zuweisen, als durch die Berechtigungsgrenze zugelassen sind.

So fügen Sie Berechtigungen durch Hinzufügen des IAM-Benutzers zu einer Gruppe hinzu

Wenn Sie einen IAM-Benutzer zu einer IAM-Gruppe hinzufügen, werden die Berechtigungen des Benutzers sofort mit den für die Gruppe definierten Berechtigungen aktualisiert.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Users list (Liste der Benutzer) den Namen des IAM-Benutzer aus.

5. Wählen Sie die Registerkarte Gruppen aus, um die Liste der Gruppen anzuzeigen, zu denen der aktuelle Benutzer gehört.

6. Wählen Sie Benutzer zu Gruppen hinzufügen aus.

7. Aktivieren Sie das Kontrollkästchen für jede Gruppe, der der Benutzer beitreten soll. Die Liste enthält die Gruppennamen und Richtlinien, die dem Benutzer zugewiesen werden, wenn er Mitglied der Gruppe wird.

8. (Optional) Sie können Gruppe erstellen auswählen, um eine neue Gruppe zu definieren. Dies ist nützlich, wenn Sie den Benutzer zu einer Gruppe hinzufügen möchten, der andere Richtlinien als den vorhandenen Gruppen zugeordnet sind:

   1. Geben Sie auf der neuen Registerkarte für User group Name (Benutzergruppenname) den Namen für Ihre neue Gruppe ein.

      Anmerkung

      Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente. Gruppennamen können eine Kombination aus bis zu 128 Buchstaben, Ziffern und die folgenden Zeichen enthalten: (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. Sie können beispielsweise nicht zwei Gruppen mit dem Namen TESTGRUPPE und testgruppe erstellen.

   2. Aktivieren Sie ein oder mehrere Kontrollkästchen für die verwalteten Richtlinien, die Sie der Gruppe anfügen möchten. Sie können auch anhand von Create policy (Richtlinie erstellen) eine neue verwaltete Richtlinie erstellen. Wenn Sie auf diese Weise vorgehen möchten, kehren Sie zu dieser Browser-Registerkarte oder zu diesem Fenster zurück. Wenn die neue Richtlinie erstellt wurde, wählen Sie erst Refresh (Aktualisieren) und dann die neue Richtlinie aus, die Sie Ihrer Gruppe anfügen möchten. Weitere Informationen finden Sie unter Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren.

   3. Wählen Sie Create user group (Benutzergruppe erstellen).

   4. Kehren Sie zur ursprünglichen Registerkarte zurück und aktualisieren Sie die Liste der Gruppen. Aktivieren Sie dann das Kontrollkästchen für Ihre neue Gruppe.

9. Wählen Sie Benutzer zu Gruppe(n) hinzufügen aus.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Benutzer zu den von Ihnen angegebenen Gruppen hinzugefügt wurde.

So fügen Sie Berechtigungen durch Kopieren von einem anderen IAM-Benutzer hinzu

Wenn Sie einem IAM-Benutzer Berechtigungen durch Kopieren von Berechtigungen hinzufügen, kopiert IAM alle Gruppenmitgliedschaften, angefügten verwalteten Richtlinien, Inline-Richtlinien und alle vorhandenen Berechtigungsgrenzen des angegebenen Benutzers und wendet sie sofort auf den aktuell ausgewählten Benutzer an.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Users list (Liste der Benutzer) den Namen des IAM-Benutzer aus.

5. Wählen Sie auf der Registerkarte Berechtigungen die Option Berechtigungen hinzufügen aus.

6. Wählen Sie auf der Seite Berechtigungen hinzufügen die Option Berechtigungen kopieren aus. In der Liste werden verfügbare IAM-Benutzer zusammen mit ihren Gruppenmitgliedschaften und den angefügten Richtlinien angezeigt.

7. Aktivieren Sie das Ankreuzfeld neben dem Benutzer, dessen Berechtigungen Sie kopieren möchten.

8. Wählen Sie Next (Weiter) aus, um eine Liste der Änderungen für den Benutzer anzuzeigen. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungen vom von Ihnen angegebenen IAM-Benutzer kopiert wurden.

So fügen Sie Berechtigungen hinzu, indem Sie Richtlinien direkt an den IAM-Benutzer anfügen

Sie können eine verwaltete Richtlinie direkt an einen IAM-Benutzer anfügen. Die aktualisierten Berechtigungen werden sofort übernommen.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Users list (Liste der Benutzer) den Namen des IAM-Benutzer aus.

5. Wählen Sie auf der Registerkarte Berechtigungen die Option Berechtigungen hinzufügen aus.

6. Wählen Sie auf der Seite Berechtigungen hinzufügen die Option Richtlinien direkt anfügen aus. In der Liste Berechtigungsrichtlinien werden die verfügbaren Richtlinien zusammen mit ihren Richtlinientypen und den angefügten Entitäten angezeigt.

7. Wählen Sie das Optionsfeld neben dem Richtliniennamen aus, den Sie anfügen möchten.

8. Wählen Sie Next (Weiter) aus, um eine Liste der Änderungen für den Benutzer anzuzeigen. Wählen Sie dann Add permissions (Berechtigungen hinzufügen).

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Richtlinie dem von Ihnen angegebenen IAM-Benutzer hinzugefügt wurde.

So legen Sie die Berechtigungsgrenze für einen IAM-Benutzer fest

Eine Berechtigungsgrenze ist eine erweiterte Funktion zur Verwaltung von Berechtigungen AWS , mit der die maximalen Berechtigungen festgelegt werden, die ein IAM-Benutzer haben kann. Durch das Festlegen einer Berechtigungsgrenze werden die Berechtigungen des IAM-Benutzers sofort auf diese Grenze beschränkt, unabhängig von den anderen gewährten Berechtigungen.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Liste Benutzer den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenzen Sie ändern möchten.

5. Wählen Sie die Registerkarte Berechtigungen. Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Sie Set permissions boundary (Berechtigungsgrenze festlegen).

6. Wählen Sie auf der Seite Berechtigungsgrenze festlegen unter Berechtigungsrichtlinien die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

7. Wählen Sie Set boundary (Grenze festlegen).

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungsgrenze hinzugefügt wurde.

Ändern von Berechtigungen für einen Benutzer (Konsole)

IAM ermöglicht Ihnen, die Berechtigungen, die einem Benutzer zugeordnet sind, auf folgende Weise zu ändern:

• Bearbeiten einer Berechtigungsrichtlinie – Bearbeiten einer Inline-Richtlinie des Benutzers, der eingebundenen Richtlinie der Gruppe des Benutzers, oder bearbeiten einer verwalteten Richtlinie, die dem Benutzer direkt oder aus einer Gruppe angefügt wird. Wenn der Benutzer eine Berechtigungsgrenze hat, können Sie nicht mehr Berechtigungen bereitstellen, als von der Richtlinie, die als Berechtigungsgrenze des Benutzers verwendet wurde, erlaubt ist.

• Ändern der Berechtigungsgrenze – Ändern Sie die Richtlinie, die als Berechtigungsgrenze für den Benutzer verwendet wird. Dadurch können die maximalen Berechtigungen, die ein Benutzer haben kann, erweitert oder eingeschränkt werden.

Bearbeiten einer Berechtigungsrichtlinie, die einem Benutzer hinzugefügt wurde

Durch das Ändern der Berechtigungen wird der Zugriff des Benutzers sofort aktualisiert.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Liste Benutzer den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenzen Sie ändern möchten.

5. Wählen Sie die Registerkarte Berechtigungen. Öffnen Sie bei Bedarf den Abschnitt Berechtigungsgrenze.

6. Wählen Sie den Namen der Richtlinie, die Sie bearbeiten möchten, um Details zur Richtlinie anzuzeigen. Wählen Sie die Registerkarte Angefügte Entitäten aus, um andere Entitäten (IAM-Benutzer, -Gruppen und -Rollen) anzuzeigen, die möglicherweise betroffen sind, wenn Sie die Richtlinie bearbeiten.

7. Wählen Sie die Registerkarte Permissions (Berechtigungen) und überprüfen Sie die Berechtigungen, die durch die Richtlinie erteilt werden. Um Änderungen an den Berechtigungen vorzunehmen, wählen Sie Bearbeiten aus.

8. Bearbeiten Sie die Richtlinie und lösen Sie alle Empfehlungen zur policy validation (Richtlinienvalidierung). Weitere Informationen finden Sie unter IAM-Richtlinien bearbeiten.

9. Wählen Sie Weiter, überprüfen Sie die Richtlinienzusammenfassung und wählen Sie dann Änderungen speichern aus.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Richtlinie aktualisiert wurde.

So ändern Sie die Berechtigungsgrenze für einen Benutzer

Durch das Ändern einer Berechtigungsgrenze wird der Zugriff des Benutzers sofort aktualisiert.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Liste Benutzer den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenzen Sie ändern möchten.

5. Wählen Sie die Registerkarte Berechtigungen. Falls erforderlich, öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Change boundary (Grenze ändern).

6. Wählen Sie die Richtlinie aus, die Sie für die Berechtigungsgrenze verwenden möchten.

7. Wählen Sie Set boundary (Grenze festlegen).

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungsgrenze geändert wurde.

So entfernen Sie eine Berechtigungsrichtlinie von einem Benutzer (Konsole)

Durch das Entfernen einer Berechtigungsrichtlinie wird der Zugriff des Benutzers sofort aktualisiert.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie den Namen des Benutzers, dessen Berechtigungsrichtlinien Sie entfernen möchten.

5. Wählen Sie die Registerkarte Berechtigungen.

6. Wenn Sie Berechtigungen entfernen möchten, indem Sie eine vorhandene Richtlinie entfernen, sehen Sie sich die Spalte Angefügt über an, um zu verstehen, wie der Benutzer diese Richtlinie erhält, bevor Sie Entfernen auswählen, um die Richtlinie zu entfernen:

   • Erfolgt die Anwendung der Richtlinie wegen einer Gruppenmitgliedschaft, wird mit Remove (Entfernen) der Benutzer aus der Gruppe entfernt. Denken Sie daran, dass einer Gruppe möglicherweise mehrere Richtlinien angefügt wurden. Wenn Sie einen Benutzer aus einer Gruppe entfernen, verliert er den Zugriff auf alle Richtlinien, die ihm über die Gruppenmitgliedschaft zugewiesen wurden.

   • Wenn die Richtlinie eine direkt zum Benutzer angefügte verwaltete Richtlinie ist, wird durch die Auswahl von Remove (Entfernen) die Richtlinie vom Benutzer getrennt. Dies hat keine Auswirkungen auf die Richtlinie selbst oder eine andere Entität, zu der die Richtlinie angefügt ist.

   • Wenn es sich bei der Richtlinie um eine eingebettete Inline-Richtlinie handelt, wird die Richtlinie durch die Auswahl von Entfernen aus IAM entfernt. Inlinerichtlinien, die direkt einem Benutzer angefügt werden, sind nur für diesen Benutzer vorhanden.

Wenn die Richtlinie dem Benutzer über eine Gruppenmitgliedschaft gewährt wurde, zeigt die Konsole eine Statusmeldung an, die Sie darüber informiert, dass der IAM-Benutzer aus der IAM-Gruppe entfernt wurde. Wenn die Richtlinie direkt angefügt oder eingebunden ist, informiert Sie die Statusmeldung darüber, dass die Richtlinie entfernt wurde.

So entfernen Sie die Berechtigungsgrenze eines Benutzers (Konsole)

Durch das Entfernen der Berechtigungsgrenze wird der Zugriff des Benutzers sofort aktualisiert.

IAM console

1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

4. Wählen Sie in der Liste Benutzer den Namen des IAM-Benutzers aus, dessen Berechtigungsgrenze Sie entfernen möchten.

5. Wählen Sie die Registerkarte Berechtigungen. Öffnen Sie bei Bedarf den Abschnitt Berechtigungsgrenze.

6. Wählen Sie Change boundary (Grenze ändern). Um zu bestätigen, dass Sie die Berechtigungsgrenze entfernen möchten, wählen Sie im Bestätigungsdialogfeld Grenze entfernen aus.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass die Berechtigungsgrenze entfernt wurde.

Berechtigungen (AWS CLI oder AWS API) eines Benutzers hinzufügen und entfernen

Um Berechtigungen programmgesteuert hinzuzufügen oder zu entfernen, müssen Sie die Gruppenmitgliedschaften hinzufügen oder entfernen, die verwaltete Richtlinien zuordnen bzw. diese Zuordnung aufheben oder die Inlinerichtlinien hinzufügen oder löschen. Weitere Informationen finden Sie unter den folgenden Themen:

• Bearbeiten von Benutzern in IAM-Gruppen

• Hinzufügen und Entfernen von IAM-Identitätsberechtigungen