Erstellen eines IAM-Benutzers in Ihrem AWS-Konto - AWS Identity and Access Management

Erstellen eines IAM-Benutzers in Ihrem AWS-Konto

Sie können in Ihrem AWS-Konto einen oder mehrere IAM-Benutzer erstellen. Sie möchten ggf. einen IAM-Benutzer erstellen, wenn ein neuer Mitarbeiter in Ihr Team eintritt, oder wenn Sie eine neue Anwendung erstellen, API-Aufrufe an AWS durchführen muss.

Wichtig

Wenn Sie diese Seite gefunden haben, weil Sie nach Informationen über die Produktwerbe-API für den Verkauf von Amazon-Produkten auf Ihrer Website suchen, schlagen Sie in der Product Advertising API 5.0 Dokumentation nach.

Wenn Sie von der IAM-Konsole zu dieser Seite weitergeleitet wurden, ist es möglich, dass in Ihrem Konto kein IAM-Benutzer vorhanden ist, auch wenn Sie angemeldet sind. Sie sind möglicherweise als Stammbenutzer des AWS-Kontos oder mit temporären Anmeldeinformationen angemeldet. Weitere Informationen zu diesen IAM-Rollen finden Sie unter IAM-Identitäten (Benutzer, Gruppen und Rollen).

Der Prozess, einen Benutzer anzulegen und ihm die Durchführung von Arbeitsaufgaben zu ermöglichen, besteht aus den folgenden Schritten:

  1. Legen Sie den Benutzer in der AWS Management Console, der AWS CLI, in Tools für Windows PowerShell oder über eine AWS API-Operation an. Wenn Sie den Benutzer in der AWS Management Console erstellen, werden die Schritte 1 – 4 abhängig von Ihren Einstellungen automatisch durchgeführt. Wenn Sie Benutzer programmgesteuert erstellen, müssen Sie diese Schritte einzeln ausführen.

  2. Erstellen Sie Anmeldeinformationen für den Benutzer, je nach Art des für den Benutzer erforderlichen Zugriffs:

    • Programmgesteuerter Zugriff: Der IAM-Benutzer muss möglicherweise API-Aufrufe durchführen, die AWS CLI bzw. Tools für Windows PowerShell verwenden. In diesem Fall erstellen Sie einen Zugriffsschlüssel (eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel) für diesen Benutzer.

    • AWS Management Console-Zugriff: Wenn der Benutzer auf die AWS Management Console zugreifen muss, erstellen Sie ein Passwort für den Benutzer.

    Als bewährte Methode erstellen Sie nur die Anmeldeinformationen, die der Benutzer benötigt. Beispielsweise sind für einen Benutzer, der nur über die AWS Management Console zugreift, keine Zugriffsschlüssel zu erstellen.

  3. Erteilen Sie dem Benutzer die zum Ausführen der erforderlichen Aufgaben notwendigen Berechtigungen, indem Sie den Benutzer zu einer oder mehreren Gruppen hinzufügen. Sie können auch Berechtigungen erteilen, indem Sie Ihre Berechtigungsrichtlinien direkt dem Benutzer hinzufügen. Allerdings empfehlen wir stattdessen, dass Sie Ihre Benutzer Gruppen zuordnen und die Berechtigungen anhand von zu diesen Gruppen angefügten Richtlinien verwalten. Sie können auch eine Berechtigungsgrenze verwenden, um die Berechtigungen von Benutzern zu begrenzen, obwohl dies nicht üblich ist.

  4. (Optional) Fügen Sie dem Benutzer Metadaten durch Anfügen von Tags hinzu. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von Benutzern und Rollen in IAM.

  5. Teilen Sie dem Benutzer die erforderlichen Anmeldeinformationen mit. Dies umfasst das Passwort und die Konsolen-URL für die Anmelde-Website des Kontos, auf der der Benutzer diese Anmeldeinformationen eingeben muss. Weitere Informationen finden Sie unter Wie sich IAM-Benutzer bei AWS anmelden.

  6. (Optional) Konfigurieren Sie die Multifaktor-Authentifizierung (MFA) für den Benutzer. MFA erfordert, dass der Benutzer bei jeder Anmeldung bei der AWS Management Console einen Einmalcode angeben muss.

  7. (Optional) Geben Sie den Benutzern Berechtigungen zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. (Standardmäßig verfügen die Benutzer nicht über Berechtigungen zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen.) Weitere Informationen finden Sie unter Zulassen, dass IAM-Benutzer ihr eigenes Passwort ändern können.

Weitere Informationen zu den Berechtigungen, die Sie zum Erstellen eines Benutzers benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Erstellen von IAM-Benutzern (Konsole)

Sie können die AWS Management Console zum Erstellen eines IAM-Benutzers verwenden.

So erstellen Sie einzelne oder mehrere IAM-Benutzer (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Users (Benutzer) und dann Add User (Benutzer hinzufügen) aus.

  3. Geben Sie den Benutzernamen für den neuen Benutzer an. Dies ist der Anmeldename für AWS. Wenn Sie mehrere Benutzer gleichzeitig hinzufügen möchten, klicken Sie für jeden hinzuzufügenden Benutzer auf Add another user (Einen weiteren Benutzer hinzufügen) und geben Sie die Benutzernamen ein. Sie können bis zu 10 Benutzer gleichzeitig hinzufügen.

    Anmerkung

    Anzahl und Größe der IAM-Ressourcen in einem AWS-Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und STS-Kontingente. Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (_) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. So können Sie beispielsweise keine zwei Gruppen mit Namen TESTBENUTZER und testbenutzer erstellen.

  4. Wählen Sie die Zugriffsart für diese Gruppe von Benutzern aus. Sie können den programmgesteuerten Zugriff, den Zugriff auf die AWS Management Console oder beides auswählen.

    • Wählen Sie Programmatic access (Programmzugriff) aus, wenn der Benutzer auf die API, AWS CLI oder Tools für Windows PowerShell zugreifen muss. Dadurch wird ein Zugriffsschlüssel für jeden neuen Benutzer erstellt. Sie können die Zugriffsschlüssel auf der Seite Final anzeigen oder herunterladen.

    • Wählen Sie AWS Management Console access (Konsolenzugriff) aus, wenn der Benutzer auf die AWS Management Console zugreifen muss. Dadurch wird ein Passwort für jeden neuen Benutzer erstellt.

    1. Wählen Sie für Console password (Konsolenpasswort) eine der nachstehenden Optionen aus:

      • Autogenerated password (Automatisch generiertes Passwort). Jeder Benutzer erhält ein zufallsgeneriertes Passwort, das die Kontopasswortrichtlinie (falls vorhanden) erfüllt. Sie können die Passwörter auf der Seite Final ansehen oder herunterladen.

      • Custom password. Jedem Benutzer wird das von Ihnen in das Feld eingegebene Passwort zugewiesen.

    2. (Optional) Wir empfehlen, dass Sie Require password reset (Zurücksetzen des Passworts erfordern) auswählen, um sicherzustellen, dass die Benutzer ihr Passwort ändern, wenn sie sich das erste Mal anmelden.

      Anmerkung

      Wenn Sie die kontoübergreifende Einstellung der Passwortrichtlinie Allow users to change their own password (Erlauben, dass Benutzer ihr eigenes Passwort ändern) nicht aktiviert haben, wird durch die Auswahl von Require password reset (Passwort-Rücksetzung erforderlich) automatisch eine von AWS verwaltete Richtlinie mit dem Namen IAMUserChangePassword zu den neuen Benutzern angefügt, damit sie die Berechtigung zum Ändern ihrer Passwörter erhalten.

  5. Wählen Sie Next: Permissions aus.

  6. Geben Sie auf der Seite Set permissions (Berechtigungen festlegen) an, wie Sie die Berechtigungen zu dieser Gruppe von neuen Benutzern zuweisen möchten. Wählen Sie eine der folgenden drei Optionen aus:

    • Add user to group (Benutzer zur Gruppe hinzufügen). Wählen Sie diese Option, wenn Sie die Benutzer einer oder mehreren Gruppen zuordnen möchten, die bereits über Berechtigungsrichtlinien verfügen. IAM zeigt eine Liste der Gruppen in Ihrem Konto mit den zugehörigen Richtlinien an. Sie können eine oder mehrere vorhandene Gruppen auswählen oder auf Create group (Gruppe erstellen) klicken, um eine neue Gruppe zu erstellen. Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer.

    • Copy permissions from existing user (Kopieren von Berechtigungen von vorhandenen Benutzern). Wählen Sie diese Option aus, um alle Gruppenmitgliedschaften, angefügten verwalteten Richtlinien und Inline-Richtlinien sowie alle vorhandenen Berechtigungsgrenzen von einem bestehenden Benutzer auf die neuen Benutzer zu kopieren. IAM zeigt eine Liste der Benutzer in Ihrem Konto an. Wählen Sie den Benutzer aus, dessen Berechtigungen am besten mit den Anforderungen der neuen Benutzer übereinstimmen.

    • Attach existing policies to user directly (Anfügen von vorhandenen Richtlinien direkt zu Benutzern). Wählen Sie diese Option, um eine Liste der von AWS verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto anzuzeigen. Wählen Sie die Richtlinien aus, die Sie den neuen Benutzern anfügen möchten, oder klicken Sie auf Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie im Schritt 4 der Anleitung Erstellen von IAM-Richtlinien (Konsole). Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie dem neuen Benutzer hinzuzufügen. Als bewährte Methode empfehlen wir, dass Sie stattdessen Ihre Richtlinien einer Gruppe anfügen und die Benutzer diesen Gruppen zuordnen.

  7. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist eine erweiterte Funktion.

    Öffnen Sie den Abschnitt Set permissions boundary (Berechtigungsgrenze setzen) und wählen Sie Use a permissions boundary to control the maximum user permissions (Berechtigungsgrenze verwenden, um die maximalen Benutzerberechtigungen zu steuern). IAM zeigt eine Liste der von AWS verwalteten und von Kunden verwalteten Richtlinien in Ihrem Konto an. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie im Schritt 4 der Anleitung Erstellen von IAM-Richtlinien (Konsole). Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.

  8. Wählen Sie Weiter: Tags aus.

  9. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von Benutzern und Rollen in IAM.

  10. Wählen Sie Next: Review (Weiter: Prüfen) aus, um alle bis zu diesem Punkt gewählten Optionen anzuzeigen. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

  11. Um die Zugriffsschlüssel der Benutzer (Zugriffsschlüssel-IDs und geheime Zugriffsschlüssel) anzuzeigen, klicken Sie auf Show (Anzeigen) neben dem jeweiligen Passwort und dem Zugriffsschlüssel, die Sie anzeigen möchten. Zum Speichern der Zugriffsschlüssel wählen Sie Download.csv (csv herunterladen) aus. Legen Sie die Datei an einem sicheren Speicherort ab.

    Wichtig

    Dies ist die einzige Gelegenheit, die geheimen Zugriffsschlüssel anzuzeigen oder herunterzuladen, und Sie müssen Ihren Benutzern diese Informationen bereitstellen, damit sie die AWS-API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.

  12. Teilen Sie jedem Benutzer seine Anmeldeinformationen mit. Auf der letzten Seite können Sie neben jedem Benutzer auf Send email (E-Mail versenden)klicken. Dadurch wird Ihr lokaler E-Mail-Client aufgerufen und sie können den E-Mail-Entwurf anpassen und senden. Die E-Mail-Vorlage enthält die folgenden Details für jeden Benutzer:

    • Benutzername

    • URL der Anmelde-Website des Kontos. Verwenden Sie das folgende Beispiel und ersetzen Sie dabei die richtige Konto-ID-Nummer oder den Konto-Alias:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    Weitere Informationen finden Sie unter Wie sich IAM-Benutzer bei AWS anmelden.

    Wichtig

    Das Passwort des Benutzers ist nicht in der generierten E-Mail enthalten. Sie müssen dem Benutzer das Passwort den Sicherheitsrichtlinien Ihrer Organisation entsprechend zukommen lassen.

Erstellen von IAM-Benutzern (AWS CLI)

Sie können die AWS CLI zum Erstellen eines IAM-Benutzers verwenden.

So erstellen Sie einen IAM-Benutzer (AWS CLI)

  1. Erstellen eines Benutzers.

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Sie müssen dem Benutzer auch die URL der Anmelde-Seite Ihres Kontos mitteilen.

  3. (Optional) Geben Sie dem Benutzer programmgesteuerten Zugriff. Hierfür sind Zugriffsschlüssel erforderlich.

    • aws iam create-access-key

    • Tools für Windows PowerShell: New-IAMAccessKey

    • IAM-API: CreateAccessKey

      Wichtig

      Dies ist die einzige Gelegenheit, die geheimen Zugriffsschlüssel anzuzeigen oder herunterzuladen, und Sie müssen Ihren Benutzern diese Informationen bereitstellen, damit sie die AWS-API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.

  4. Fügen Sie den Benutzer zu einer oder mehreren Gruppen hinzu. Zu den von Ihnen angegebenen Gruppen sollten die Richtlinien angefügt sein, die dem Benutzer die entsprechenden Berechtigungen erteilen.

  5. (Optional) Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen des Benutzers definiert. Hinweis: Zur Verwaltung der Benutzerberechtigungen empfehlen wir, den Benutzer zu einer Gruppe hinzuzufügen und zur Gruppe eine Richtlinie anzufügen, anstatt sie direkt dem Benutzer anzufügen.

  6. (Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu. Weitere Informationen finden Sie unter Verwalten von Tags für IAM-Entitäten (AWS CLI oder AWS-API).

  7. (Optional) Erteilen Sie dem Benutzer die Berechtigung zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. Weitere Informationen finden Sie unter AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite „Meine Sicherheitsanmeldeinformationen“ zu verwalten.

Erstellen von IAM-Benutzern (AWS-API)

Sie können die AWS-API zum Erstellen eines IAM-Benutzers verwenden.

So erstellen Sie einen IAM-Benutzer mit der AWS-API

  1. Erstellen eines Benutzers.

  2. (Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Sie müssen dem Benutzer auch die URL der Anmelde-Seite Ihres Kontos mitteilen.

  3. (Optional) Geben Sie dem Benutzer programmgesteuerten Zugriff. Hierfür sind Zugriffsschlüssel erforderlich.

    • CreateAccessKey

      Wichtig

      Dies ist die einzige Gelegenheit, die geheimen Zugriffsschlüssel anzuzeigen oder herunterzuladen, und Sie müssen Ihren Benutzern diese Informationen bereitstellen, damit sie die AWS-API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.

  4. Fügen Sie den Benutzer zu einer oder mehreren Gruppen hinzu. Zu den von Ihnen angegebenen Gruppen sollten die Richtlinien angefügt sein, die dem Benutzer die entsprechenden Berechtigungen erteilen.

  5. (Optional) Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen des Benutzers definiert. Hinweis: Zur Verwaltung der Benutzerberechtigungen empfehlen wir, den Benutzer zu einer Gruppe hinzuzufügen und zur Gruppe eine Richtlinie anzufügen, anstatt sie direkt dem Benutzer anzufügen.

  6. (Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu. Weitere Informationen finden Sie unter Verwalten von Tags für IAM-Entitäten (AWS CLI oder AWS-API).

  7. (Optional) Erteilen Sie dem Benutzer die Berechtigung zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. Weitere Informationen finden Sie unter AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite „Meine Sicherheitsanmeldeinformationen“ zu verwalten.