Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstelle einen IAM Benutzer in deinem AWS-Konto
Wichtig
IAMBewährte Methoden empfehlen, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um mit temporären Anmeldeinformationen zuzugreifen AWS , anstatt IAM Benutzer mit langfristigen Anmeldeinformationen zu verwenden.
Anmerkung
Wenn Sie auf diese Seite gestoßen sind, weil Sie nach Informationen zur Produktwerbung suchen, API um Amazon-Produkte auf Ihrer Website zu verkaufen, finden Sie weitere Informationen in der Produktwerbung API 5.0-Dokumentation
Wenn Sie über die IAM Konsole auf diese Seite gelangt sind, ist es möglich, dass Ihr Konto keine IAM Benutzer enthält, obwohl Sie angemeldet sind. Sie sind möglicherweise als Root-Benutzer des AWS-Kontos oder mit temporären Anmeldeinformationen angemeldet. Weitere Informationen zu diesen IAM Identitäten finden Sie unterIAMIdentitäten (Benutzer, Benutzergruppen und Rollen).
Der Prozess, einen Benutzer anzulegen und ihm die Durchführung von Arbeitsaufgaben zu ermöglichen, besteht aus den folgenden Schritten:
-
Erstellen Sie den Benutzer in den AWS CLI Tools für Windows PowerShell oder mithilfe einer AWS API Operation. AWS Management Console Wenn Sie den Benutzer in der erstellen AWS Management Console, werden die Schritte 1—4 automatisch ausgeführt, je nachdem, was Sie ausgewählt haben. Wenn Sie Benutzer programmgesteuert erstellen, müssen Sie diese Schritte einzeln ausführen.
-
Erstellen Sie Anmeldeinformationen für den Benutzer, je nach Art des für den Benutzer erforderlichen Zugriffs:
-
Konsolenzugriff aktivieren — optional: Wenn der Benutzer auf die zugreifen muss AWS Management Console, erstellen Sie ein Passwort für den Benutzer. Die Deaktivierung des Konsolenzugriffs für einen Benutzer verhindert, dass er sich mit seinem Benutzernamen und Passwort bei der AWS Management Console anmeldet. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen.
Tipp
Erstellen Sie nur die Anmeldeinformationen, die der Benutzer braucht. Erstellen Sie beispielsweise für einen Benutzer, der Zugriff nur über die benötigt AWS Management Console, keine Zugriffsschlüssel.
-
-
Erteilen Sie dem Benutzer die zum Ausführen der erforderlichen Aufgaben notwendigen Berechtigungen, indem Sie den Benutzer zu einer oder mehreren Gruppen hinzufügen. Sie können auch Berechtigungen erteilen, indem Sie Ihre Berechtigungsrichtlinien direkt dem Benutzer hinzufügen. Allerdings empfehlen wir stattdessen, dass Sie Ihre Benutzer Gruppen zuordnen und die Berechtigungen anhand von zu diesen Gruppen angefügten Richtlinien verwalten. Sie können auch eine Berechtigungsgrenze verwenden, um die Berechtigungen von Benutzern zu begrenzen, obwohl dies nicht üblich ist.
-
(Optional) Fügen Sie dem Benutzer Metadaten durch Anfügen von Tags hinzu. Weitere Hinweise zur Verwendung von Tags in IAM finden Sie unterTags für AWS Identity and Access Management Ressourcen.
-
Teilen Sie dem Benutzer die erforderlichen Anmeldeinformationen mit. Dazu gehören das Passwort und die Konsole URL für die Kontoanmeldeseite, auf der der Benutzer diese Anmeldeinformationen eingibt. Weitere Informationen finden Sie unter So melden sich IAM-Benutzer an AWS.
-
(Optional) Konfigurieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Benutzer. MFAverlangt, dass der Benutzer bei jeder Anmeldung einen one-time-use Code AWS Management Console eingibt.
-
(Optional) Geben Sie den Benutzern Berechtigungen zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. (Standardmäßig verfügen die Benutzer nicht über Berechtigungen zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen.) Weitere Informationen finden Sie unter IAMErlauben Sie Benutzern, ihre eigenen Passwörter zu ändern.
Weitere Informationen zu den Berechtigungen, die Sie zum Erstellen eines Benutzers benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.
Themen
Erstellen von IAM-Benutzern (Konsole)
Sie können das verwenden AWS Management Console , um IAM Benutzer zu erstellen.
Um einen IAM Benutzer zu erstellen (Konsole)
-
Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.
-
Wählen Sie auf der Startseite der Konsole den IAM Dienst aus.
-
Wählen Sie im Navigationsbereich Benutzer und dann Benutzer erstellen aus.
-
Geben Sie auf der Seite Specify user details (Benutzerdetails angeben) unter User details (Benutzerdetails) in das Feld User name (Benutzername) den Namen für den neuen Benutzer ein. Dies ist der Anmeldename für AWS.
Anmerkung
Die Anzahl und Größe der IAM Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAMund AWS STS Kontingente. Benutzernamen können eine Kombination aus bis zu 64 Buchstaben, Ziffern und den folgenden Zeichen enthalten: Plus (+), Gleichheitszeichen (=), Komma (,), Punkt (.), at-Zeichen (@), Unterstrich (_) und Bindestrich (-). Namen müssen innerhalb eines Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. Sie können beispielsweise nicht zwei Benutzer mit dem Namen TESTUSERund Testuser erstellen. Wenn ein Benutzername in einer Richtlinie oder als Teil einer verwendet wirdARN, unterscheidet der Name zwischen Groß- und Kleinschreibung. Wenn Kunden in der Konsole ein Benutzername angezeigt wird, beispielsweise während des Anmeldevorgangs, wird die Groß-/Kleinschreibung des Benutzernamens nicht beachtet.
-
Wählen Sie Benutzerzugriff auf bereitstellen aus — AWS Management Console optional. Dadurch werden AWS Management Console Anmeldeinformationen für den neuen Benutzer generiert.
Sie werden gefragt, ob Sie einer Person Zugriff auf die Konsole gewähren. Wir empfehlen Ihnen, Benutzer in IAM Identity Center zu erstellen, anstattIAM.
-
Um zur Erstellung des Benutzers in IAM Identity Center zu wechseln, wählen Sie In Identity Center einen Benutzer angeben aus.
Wenn Sie IAM Identity Center nicht aktiviert haben, gelangen Sie bei Auswahl dieser Option zur Serviceseite in der Konsole, auf der Sie den Dienst aktivieren können. Einzelheiten zu diesem Verfahren finden Sie im AWS IAM Identity Center Benutzerhandbuch unter Erste Schritte mit häufigen Aufgaben in IAM Identity Center
Wenn Sie IAM Identity Center aktiviert haben, gelangen Sie bei Auswahl dieser Option zur Seite „Benutzerdetails angeben“ in IAM Identity Center. Einzelheiten zu diesem Verfahren finden Sie im Benutzerhandbuch unter AWS IAM Identity Center Benutzer hinzufügen
-
Wenn Sie IAM Identity Center nicht verwenden können, wählen Sie Ich möchte einen IAM Benutzer erstellen und fahren Sie mit diesem Verfahren fort.
-
Wählen Sie für Console password (Konsolenpasswort) eine der nachstehenden Optionen aus:
-
Autogenerated password (Automatisch generiertes Passwort) – Jeder Benutzer erhält ein zufallsgeneriertes Passwort, das die Kontopasswortrichtlinie erfüllt. Sie können das Passwort auf der Seite Retrieve passwort (Passwort abrufen) ansehen oder herunterladen.
-
Custom password (Benutzerdefiniertes Passwort) – Jedem Benutzer wird das von Ihnen in das Feld eingegebene Passwort zugewiesen.
-
-
(Optional) Users must create a new password at next sign-in (recommended) (Benutzer müssen bei der nächsten Anmeldung ein neues Passwort erstellen (empfohlen)) ist standardmäßig ausgewählt, um sicherzustellen, dass der Benutzer gezwungen ist, sein Passwort bei der ersten Anmeldung zu ändern.
Anmerkung
Wenn ein Administrator die Kontopasswortrichtlinie Allow users to change their own password (Benutzer dürfen ihr eigenes Kennwort ändern)
aktiviert hat, bewirkt dieses Kontrollkästchen nichts. Andernfalls wird automatisch eine verwaltete AWS -Richtlinie mit dem Namen IAMUserChangePassword
an die neuen Benutzer angehängt. Die Richtlinie gewährt ihnen die Erlaubnis, ihre eigenen Passwörter zu ändern.
-
-
Klicken Sie auf Weiter.
-
Geben Sie auf der Seite Set permissions (Berechtigungen festlegen) an, wie Sie die Berechtigungen für diesen Benutzer zuweisen möchten. Wählen Sie eine der folgenden drei Optionen aus:
-
Add user to group (Benutzer zur Gruppe hinzufügen) – Wählen Sie diese Option, wenn Sie die Benutzer einer oder mehreren Gruppen zuordnen möchten, die bereits über Berechtigungsrichtlinien verfügen. IAMzeigt eine Liste der Gruppen in Ihrem Konto zusammen mit den zugehörigen Richtlinien an. Sie können eine oder mehrere vorhandene Gruppen auswählen oder Create group (Gruppe erstellen) auswählen, um eine neue Gruppe zu erstellen. Weitere Informationen finden Sie unter Berechtigungen für einen IAM Benutzer ändern.
-
Copy permissions (Berechtigungen kopieren) – Wählen Sie diese Option aus, um alle Gruppenmitgliedschaften, angefügten verwalteten Richtlinien und Inlinerichtlinien sowie alle vorhandenen Berechtigungsgrenzen von einem bestehenden Benutzer auf den neuen Benutzer zu kopieren. IAMzeigt eine Liste der Benutzer in Ihrem Konto an. Wählen Sie den Benutzer aus, dessen Berechtigungen am besten mit den Anforderungen Ihres neuen Benutzers übereinstimmen.
-
Richtlinien direkt anhängen — Wählen Sie diese Option, um eine Liste der AWS verwalteten und vom Kunden verwalteten Richtlinien in Ihrem Konto anzuzeigen. Wählen Sie die Richtlinien aus, die Sie dem Benutzer anfhängen möchten, oder wählen Sie Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine neue Richtlinie zu erstellen. Weitere Informationen finden Sie im Schritt 4 der Anleitung Erstellen von IAM-Richtlinien. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie dem Benutzer hinzuzufügen.
Tipp
Ordnen Sie Ihre Richtlinien nach Möglichkeit einer Gruppe zu und machen die Benutzer zu Mitgliedern der entsprechenden Gruppen.
-
-
(Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature.
Öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Sie Use a permissions boundary to control the maximum permissions (Eine Berechtigungsgrenze verwenden, um die maximalen Berechtigungen zu steuern) aus. IAMzeigt eine Liste der AWS verwalteten und vom Kunden verwalteten Policen in Ihrem Konto an. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen Sie Create policy (Richtlinie erstellen) aus, um eine neue Registerkarte im Browser zu öffnen und eine neue Richtlinie zu erstellen. Weitere Informationen finden Sie im Schritt 4 der Anleitung Erstellen von IAM-Richtlinien. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.
-
Klicken Sie auf Weiter.
-
(Optional) Auf der Seite Review and create (Überprüfen und erstellen) wählen Sie unter Tags (Tags) die Option Add new tag (Neues Tag hinzufügen), um dem Benutzer Metadaten hinzuzufügen, indem Sie Tags als Schlüssel-Wert-Paare anhängen. Weitere Informationen zur Verwendung von Stichwörtern in IAM finden Sie unterTags für AWS Identity and Access Management Ressourcen.
-
Überprüfen Sie alle Auswahlen, die Sie bis zu diesem Punkt getroffen haben. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.
-
Rufen Sie auf der Seite Retrieve password (Passwort abrufen) das dem Benutzer zugewiesene Passwort ab:
-
Wählen Sie neben dem Passwort die Option Show (Anzeigen) aus, um das Passwort des Benutzers anzuzeigen, sodass Sie es manuell aufzeichnen können.
-
Wählen Sie Download .csv (CSV-Datei herunterladen) aus, um die Anmeldeinformationen des Benutzers als CSV-Datei herunterzuladen, die Sie an einem sicheren Ort speichern können.
-
-
Wählen Sie Email sign-in instructions (E-Mail-Anmeldeanweisungen) aus. Dadurch wird Ihr lokaler E-Mail-Client aufgerufen und sie können den E-Mail-Entwurf anpassen und an den Benutzer senden. Die E-Mail-Vorlage enthält die folgenden Details für jeden Benutzer:
-
Benutzername
-
URLzur Anmeldeseite für das Konto. Verwenden Sie das folgende Beispiel und ersetzen Sie dabei die richtige Konto-ID-Nummer oder den Konto-Alias:
https://
AWS-account-ID
oralias
.signin.aws.amazon.com/console
Wichtig
Das Passwort des Benutzers ist nicht in der generierten E-Mail enthalten. Sie müssen dem Benutzer das Passwort in einer Form zukommen lassen, die den Sicherheitsrichtlinien Ihres Unternehmens entspricht.
-
Falls der Benutzer auch Zugangsschlüssel für den programmatischen Zugriff benötigt, finden Sie weitere Informationen unter. Zugangsschlüssel für IAM Benutzer verwalten
IAMBenutzer erstellen ()AWS CLI
Sie können den verwenden AWS CLI , um einen IAM Benutzer zu erstellen.
So erstellen Sie einen IAM-Benutzer (AWS CLI)
-
Erstellen eines Benutzers.
-
(Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Sie müssen dem Benutzer auch die Anmeldeseite URL Ihres Kontos geben.
-
(Optional) Geben Sie dem Benutzer programmgesteuerten Zugriff. Hierfür sind Zugriffsschlüssel erforderlich.
-
Tools für Windows PowerShell: Neu - IAMAccessKey
-
IAM API: CreateAccessKey
Wichtig
Dies ist Ihre einzige Möglichkeit, die geheimen Zugriffsschlüssel einzusehen oder herunterzuladen, und Sie müssen diese Informationen Ihren Benutzern zur Verfügung stellen, bevor sie die verwenden können AWS API. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.
-
Fügen Sie den Benutzer zu einer oder mehreren Gruppen hinzu. Zu den von Ihnen angegebenen Gruppen sollten die Richtlinien angefügt sein, die dem Benutzer die entsprechenden Berechtigungen erteilen.
-
(Optional) Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen des Benutzers definiert. Hinweis: Zur Verwaltung der Benutzerberechtigungen empfehlen wir, den Benutzer zu einer Gruppe hinzuzufügen und zur Gruppe eine Richtlinie anzufügen, anstatt sie direkt dem Benutzer anzufügen.
-
(Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu. Weitere Informationen finden Sie unter Stichwörter für IAM Benutzer verwalten (AWS CLI oder AWS API).
-
(Optional) Erteilen Sie dem Benutzer die Berechtigung zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. Weitere Informationen finden Sie unter AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.
IAMBenutzer erstellen ()AWS API
Sie können den verwenden AWS API, um einen IAM Benutzer zu erstellen.
Um einen IAM Benutzer aus dem (AWS API) zu erstellen
-
Erstellen eines Benutzers.
-
(Optional) Geben Sie dem Benutzer Zugriff auf die AWS Management Console. Hierfür ist ein Passwort erforderlich. Sie müssen dem Benutzer auch die Anmeldeseite URL Ihres Kontos geben.
-
(Optional) Geben Sie dem Benutzer programmgesteuerten Zugriff. Hierfür sind Zugriffsschlüssel erforderlich.
-
Wichtig
Dies ist Ihre einzige Möglichkeit, die geheimen Zugangsschlüssel einzusehen oder herunterzuladen, und Sie müssen diese Informationen Ihren Benutzern zur Verfügung stellen, bevor sie die AWS API verwenden können. Speichern Sie die neue Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel des Benutzers an einem sicheren Speicherort. Sie haben nach diesem Schritt keinen Zugriff mehr auf die geheimen Zugriffsschlüssel.
-
-
Fügen Sie den Benutzer zu einer oder mehreren Gruppen hinzu. Zu den von Ihnen angegebenen Gruppen sollten die Richtlinien angefügt sein, die dem Benutzer die entsprechenden Berechtigungen erteilen.
-
(Optional) Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen des Benutzers definiert. Hinweis: Zur Verwaltung der Benutzerberechtigungen empfehlen wir, den Benutzer zu einer Gruppe hinzuzufügen und zur Gruppe eine Richtlinie anzufügen, anstatt sie direkt dem Benutzer anzufügen.
-
(Optional) Fügen Sie dem Benutzer benutzerdefinierte Attribute durch Zuweisen von Tags hinzu. Weitere Informationen finden Sie unter Stichwörter für IAM Benutzer verwalten (AWS CLI oder AWS API).
-
(Optional) Erteilen Sie dem Benutzer die Berechtigung zum Verwalten ihrer eigenen Sicherheitsanmeldeinformationen. Weitere Informationen finden Sie unter AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.