Erstellen eines IAM-Benutzers in Ihrem AWS-Konto - AWS Identity and Access Management

Erstellen eines IAM-Benutzers in Ihrem AWS-Konto

Wichtig

Bewährte Methoden von IAM empfehlen, dass Sie für menschliche Benutzer erfordern, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen, anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu nutzen.

Anmerkung

Wenn Sie diese Seite gefunden haben, weil Sie nach Informationen über die Produktwerbe-API für den Verkauf von Amazon-Produkten auf Ihrer Website suchen, schlagen Sie in der Product Advertising API 5.0 Dokumentation nach.

Wenn Sie von der IAM-Konsole zu dieser Seite weitergeleitet wurden, ist es möglich, dass in Ihrem Konto kein IAM-Benutzer vorhanden ist, auch wenn Sie angemeldet sind. Sie sind möglicherweise als Root-Benutzer des AWS-Kontos oder mit temporären Anmeldeinformationen angemeldet. Weitere Informationen zu diesen IAM-Rollen finden Sie unter IAM-Identitäten (Benutzer, Gruppen und Rollen).

Der Prozess, einen Benutzer anzulegen und ihm die Durchführung von Arbeitsaufgaben zu ermöglichen, besteht aus den folgenden Schritten:

  1. Erstellen Sie den Benutzer im Dialogfeld AWS Management Console, die AWS CLI oder Tools for Windows PowerShell oder mit einem AWS-API-Operation. Wenn Sie den Benutzer in der AWS Management Console erstellen, werden die Schritte 1–4 abhängig von Ihren Einstellungen automatisch durchgeführt. Wenn Sie Benutzer programmgesteuert erstellen, müssen Sie diese Schritte einzeln ausführen.

  2. Erstellen Sie Anmeldeinformationen für den Benutzer, je nach Art des für den Benutzer erforderlichen Zugriffs:

    • Rnable console access (Konsolenzugriff entfernen) – optional Wenn der Benutzer auf die AWS Management Console zugreifen muss, erstellen Sie ein Passwort für den Benutzer. Die Deaktivierung des Konsolenzugriffs für einen Benutzer verhindert, dass er sich mit seinem Benutzernamen und Passwort bei der AWS Management Console anmeldet. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen.

    Tipp

    Erstellen Sie nur die Anmeldeinformationen, die der Benutzer braucht. Beispielsweise sind für einen Benutzer, der nur über die AWS Management Console zugreift, keine Zugriffsschlüssel zu erstellen.

  3. Erteilen Sie dem Benutzer die zum Ausführen der erforderlichen Aufgaben notwendigen Berechtigungen, indem Sie den Benutzer zu einer oder mehreren Gruppen hinzufügen. Sie können auch Berechtigungen erteilen, indem Sie Ihre Berechtigungsrichtlinien direkt dem Benutzer hinzufügen. Allerdings empfehlen wir stattdessen, dass Sie Ihre Benutzer Gruppen zuordnen und die Berechtigungen anhand von zu diesen Gruppen angefügten Richtlinien verwalten. Sie können auch eine Berechtigungsgrenze verwenden, um die Berechtigungen von Benutzern zu begrenzen, obwohl dies nicht üblich ist.

  4. (Optional) Fügen Sie dem Benutzer Metadaten durch Anfügen von Tags hinzu. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen.

  5. Teilen Sie dem Benutzer die erforderlichen Anmeldeinformationen mit. Dies umfasst das Passwort und die Konsolen-URL für die Anmelde-Website des Kontos, auf der der Benutzer diese Anmeldeinformationen eingeben muss. Weitere Informationen finden Sie unter Wie sich IAM-Benutzer anmelden in AWS.

  6. (Optional) Konfigurieren Sie die Multifaktor-Authentifizierung (MFA) für den Benutzer. MFA erfordert, dass der Benutzer bei jeder Anmeldung bei der AWS Management Console einen Einmalcode angeben muss.

  7. (Optional) Geben Sie den Benutzern Berechtigungen zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. (Standardmäßig verfügen die Benutzer nicht über Berechtigungen zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen.) Weitere Informationen finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können.

Weitere Informationen zu den Berechtigungen, die Sie zum Erstellen eines Benutzers benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Erstellen von IAM-Benutzern (Konsole)

Sie können die AWS Management Console zum Erstellen eines IAM-Benutzers verwenden.

So erstellen Sie einen IAM-Benutzer (Konsole)
  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Console Home (Konsolen-Startseite) den IAM-Service aus.

  3. Wählen Sie im Navigationsbereich Users (Benutzer) und dann Add users (Benutzer hinzufügen) aus.

  4. Geben Sie auf der Seite Specify user details (Benutzerdetails angeben) unter User details (Benutzerdetails) in das Feld User name (Benutzername) den Namen für den neuen Benutzer ein. Dies ist der Anmeldename für AWS.

    Anmerkung

    Anzahl und Größe von IAM-Ressourcen in einem AWS-Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und AWS STS-Kontingente. Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (_) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. So können Sie beispielsweise keine zwei Gruppen mit Namen TESTBENUTZER und testbenutzer erstellen. Wenn ein Benutzername in einer Richtlinie oder als Teil eines ARN verwendet wird, ist die Groß-/Kleinschreibung des Namens zu beachten. Wenn Kunden in der Konsole ein Benutzername angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Benutzernamens nicht beachtet.

  5. Wählen Sie Benutzerzugriff auf die AWS Management Console gewähren) – optional. Dadurch werden Anmeldeinformationen für die AWS Management Console für den neuen Benutzer erstellt.

    Sie werden gefragt, ob Sie einer Person Zugriff auf die Konsole gewähren. Wir empfehlen, dass Sie Benutzer in IAM Identity Center und nicht in IAM erstellen.

    • Um zur Erstellung des Benutzers in IAM Identity Center zu wechseln, wählen Sie Specify a user in Identity Center (Benutzer in Identity Center angeben) aus.

      Wenn Sie IAM Identity Center nicht aktiviert haben, gelangen Sie durch Auswahl dieser Option zur Serviceseite in der Konsole, auf der Sie den Service aktivieren können. Einzelheiten zu diesem Verfahren finden Sie unter https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html im AWS IAM Identity Center-Benutzerhandbuch.

      Wenn Sie IAM Identity Center aktiviert haben, gelangen Sie durch Auswahl dieser Option zur Seite Specify user details (Benutzerdetails angeben) in IAM Identity Center. Einzelheiten zu diesem Verfahren finden Sie unter https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html im AWS IAM Identity Center-Benutzerhandbuch.

    • Wenn Sie IAM Identity Center nicht verwenden können, wählen Sie I want to create an IAM user (Ich möchte einen IAM-Benutzer erstellen) aus und fahren Sie mit diesem Verfahren fort.

    1. Wählen Sie für Console password (Konsolenpasswort) eine der nachstehenden Optionen aus:

      • Autogenerated password (Automatisch generiertes Passwort) – Jeder Benutzer erhält ein zufallsgeneriertes Passwort, das die Kontopasswortrichtlinie erfüllt. Sie können das Passwort auf der Seite Retrieve passwort (Passwort abrufen) ansehen oder herunterladen.

      • Custom password (Benutzerdefiniertes Passwort) – Jedem Benutzer wird das von Ihnen in das Feld eingegebene Passwort zugewiesen.

    2. (Optional) Users must create a new password at next sign-in (recommended) (Benutzer müssen bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen)) ist standardmäßig ausgewählt, um sicherzustellen, dass der Benutzer gezwungen ist, sein Passwort bei der ersten Anmeldung zu ändern.

      Anmerkung

      Wenn ein Administrator die Kontopasswortrichtlinie Allow users to change their own password (Benutzer dürfen ihr eigenes Kennwort ändern) aktiviert hat, bewirkt dieses Kontrollkästchen nichts. Andernfalls wird automatisch eine verwaltete AWS-Richtlinie mit dem Namen IAMUserChangePassword an die neuen Benutzer angehängt. Die Richtlinie gewährt ihnen die Erlaubnis, ihre eigenen Passwörter zu ändern.

  6. Klicken Sie auf Next (Weiter).

  7. Geben Sie auf der Seite Set permissions (Berechtigungen festlegen) an, wie Sie die Berechtigungen für diesen Benutzer zuweisen möchten. Wählen Sie eine der folgenden drei Optionen aus:

    • Add user to group (Benutzer zur Gruppe hinzufügen) – Wählen Sie diese Option, wenn Sie die Benutzer einer oder mehreren Gruppen zuordnen möchten, die bereits über Berechtigungsrichtlinien verfügen. IAM zeigt eine Liste der Gruppen in Ihrem Konto an, zusammen mit ihren angefügten Richtlinien. Sie können eine oder mehrere vorhandene Gruppen auswählen oder Create group (Gruppe erstellen) auswählen, um eine neue Gruppe zu erstellen. Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer.

    • Copy permissions (Berechtigungen kopieren) – Wählen Sie diese Option aus, um alle Gruppenmitgliedschaften, angefügten verwalteten Richtlinien und Inlinerichtlinien sowie alle vorhandenen Berechtigungsgrenzen von einem bestehenden Benutzer auf den neuen Benutzer zu kopieren. IAM zeigt eine Liste der Benutzer in Ihrem Konto an. Wählen Sie den Benutzer aus, dessen Berechtigungen am besten mit den Anforderungen Ihres neuen Benutzers übereinstimmen.

    • Attach policies directly (Richtlinien direkt anhängen) – Wählen Sie diese Option, um eine Liste der von AWS verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto anzuzeigen. Wählen Sie die Richtlinien aus, die Sie dem Benutzer anfhängen möchten, oder wählen Sie Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine neue Richtlinie zu erstellen. Weitere Informationen finden Sie im Schritt 4 der Anleitung Erstellen von IAM-Richtlinien. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie dem Benutzer hinzuzufügen.

      Tipp

      Ordnen Sie Ihre Richtlinien nach Möglichkeit einer Gruppe zu und machen die Benutzer zu Mitgliedern der entsprechenden Gruppen.

  8. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature.

    Öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Sie Use a permissions boundary to control the maximum permissions (Eine Berechtigungsgrenze verwenden, um die maximalen Berechtigungen zu steuern) aus. IAM zeigte eine Liste der von AWS-verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto an. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen Sie Create policy (Richtlinie erstellen) aus, um eine neue Registerkarte im Browser zu öffnen und eine neue Richtlinie zu erstellen. Weitere Informationen finden Sie im Schritt 4 der Anleitung Erstellen von IAM-Richtlinien. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.

  9. Klicken Sie auf Next (Weiter).

  10. (Optional) Auf der Seite Review and create (Überprüfen und erstellen) wählen Sie unter Tags (Tags) die Option Add new tag (Neues Tag hinzufügen), um dem Benutzer Metadaten hinzuzufügen, indem Sie Tags als Schlüssel-Wert-Paare anhängen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen.

  11. Überprüfen Sie alle Auswahlen, die Sie bis zu diesem Punkt getroffen haben. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

  12. Rufen Sie auf der Seite Retrieve password (Passwort abrufen) das dem Benutzer zugewiesene Passwort ab:

    • Wählen Sie neben dem Passwort die Option Show (Anzeigen) aus, um das Passwort des Benutzers anzuzeigen, sodass Sie es manuell aufzeichnen können.

    • Wählen Sie Download .csv (CSV-Datei herunterladen) aus, um die Anmeldeinformationen des Benutzers als CSV-Datei herunterzuladen, die Sie an einem sicheren Ort speichern können.

  13. Wählen Sie Email sign-in instructions (E-Mail-Anmeldeanweisungen) aus. Dadurch wird Ihr lokaler E-Mail-Client aufgerufen und sie können den E-Mail-Entwurf anpassen und an den Benutzer senden. Die E-Mail-Vorlage enthält die folgenden Details für jeden Benutzer:

    • Benutzername

    • URL der Anmelde-Website des Kontos. Verwenden Sie das folgende Beispiel und ersetzen Sie dabei die richtige Konto-ID-Nummer oder den Konto-Alias:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console
    Wichtig

    Das Passwort des Benutzers ist nicht in der generierten E-Mail enthalten. Sie müssen dem Benutzer das Passwort in einer Form zukommen lassen, die den Sicherheitsrichtlinien Ihres Unternehmens entspricht.

  14. Falls der Benutzer auch Zugriffsschlüssel benötigt, finden Sie weitere Informationen unter Verwalten der Zugriffsschlüssel für IAM-Benutzer.

Erstellen von IAM-Benutzern (AWS CLI)

Sie können die AWS CLI zum Erstellen eines IAM-Benutzers verwenden.

So erstellen Sie einen IAM-Benutzer (AWS CLI)
  1. Erstellen eines Benutzers.

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Sie müssen dem Benutzer auch die URL der Anmelde-Seite Ihres Kontos mitteilen.

  3. (Optional) Geben Sie dem Benutzer programmgesteuerten Zugriff. Hierfür sind Zugriffsschlüssel erforderlich.

    • aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • IAM-API: CreateAccessKey

      Wichtig

      Dies ist die einzige Gelegenheit, die geheimen Zugriffsschlüssel anzuzeigen oder herunterzuladen, und Sie müssen Ihren Benutzern diese Informationen bereitstellen, damit sie die AWS-API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.

  4. Fügen Sie den Benutzer zu einer oder mehreren Gruppen hinzu. Zu den von Ihnen angegebenen Gruppen sollten die Richtlinien angefügt sein, die dem Benutzer die entsprechenden Berechtigungen erteilen.

  5. (Optional) Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen des Benutzers definiert. Hinweis: Zur Verwaltung der Benutzerberechtigungen empfehlen wir, den Benutzer zu einer Gruppe hinzuzufügen und zur Gruppe eine Richtlinie anzufügen, anstatt sie direkt dem Benutzer anzufügen.

  6. (Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu. Weitere Informationen finden Sie unter Verwalten von Tags auf IAM-Benutzer (AWS CLI- oder AWS-API).

  7. (Optional) Erteilen Sie dem Benutzer die Berechtigung zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. Weitere Informationen finden Sie unter AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite „Meine Sicherheitsanmeldeinformationen“ zu verwalten.

Erstellen von IAM-Benutzern (AWS-API)

Sie können die AWS-API zum Erstellen eines IAM-Benutzers verwenden.

So erstellen Sie einen IAM-Benutzer mit der (AWS-API)
  1. Erstellen eines Benutzers.

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Sie müssen dem Benutzer auch die URL der Anmelde-Seite Ihres Kontos mitteilen.

  3. (Optional) Geben Sie dem Benutzer programmgesteuerten Zugriff. Hierfür sind Zugriffsschlüssel erforderlich.

    • CreateAccessKey

      Wichtig

      Dies ist die einzige Gelegenheit, die geheimen Zugriffsschlüssel anzuzeigen oder herunterzuladen, und Sie müssen Ihren Benutzern diese Informationen bereitstellen, damit sie die AWS-API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.

  4. Fügen Sie den Benutzer zu einer oder mehreren Gruppen hinzu. Zu den von Ihnen angegebenen Gruppen sollten die Richtlinien angefügt sein, die dem Benutzer die entsprechenden Berechtigungen erteilen.

  5. (Optional) Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen des Benutzers definiert. Hinweis: Zur Verwaltung der Benutzerberechtigungen empfehlen wir, den Benutzer zu einer Gruppe hinzuzufügen und zur Gruppe eine Richtlinie anzufügen, anstatt sie direkt dem Benutzer anzufügen.

  6. (Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu. Weitere Informationen finden Sie unter Verwalten von Tags auf IAM-Benutzer (AWS CLI- oder AWS-API).

  7. (Optional) Erteilen Sie dem Benutzer die Berechtigung zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. Weitere Informationen finden Sie unter AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite „Meine Sicherheitsanmeldeinformationen“ zu verwalten.