Einen IAM Benutzer entfernen oder deaktivieren - AWS Identitäts- und Zugriffsverwaltung
Voraussetzung — IAM Benutzerzugriff anzeigenEinen IAM Benutzer (Konsole) entfernenEinen IAM Benutzer löschen (AWS CLI)Deaktivieren eines Benutzers IAM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen IAM Benutzer entfernen oder deaktivieren

Bewährte Methoden empfehlen, dass Sie ungenutzte IAM Benutzer aus Ihrem entfernen AWS-Konto. Wenn Sie die IAM Benutzeranmeldeinformationen für die future Verwendung behalten möchten, können Sie den Benutzerzugriff deaktivieren, anstatt sie aus dem Konto zu löschen. Weitere Informationen finden Sie unter Deaktivieren eines Benutzers IAM.

Voraussetzung — IAM Benutzerzugriff anzeigen

Bevor Sie einen Benutzer entfernen, überprüfen Sie seine letzten Service-Level-Aktivitäten. Dadurch wird verhindert, dass einem Auftraggeber (Person oder Anwendung) ein noch verwendender Zugriff entzogen wird. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen.

Einen IAM Benutzer (Konsole) entfernen

Wenn Sie den verwenden AWS Management Console , um einen IAM Benutzer zu entfernen, IAM werden automatisch die folgenden zugehörigen Informationen gelöscht:

  • Die IAM Benutzer-ID

  • Alle Gruppenmitgliedschaften, d. h. der IAM Benutzer wird aus allen Gruppen entfernt, denen er IAM angehörte

  • Jedes dem Benutzer zugeordnete Passwort IAM

  • Alle Zugangsschlüssel, die dem IAM Benutzer gehören

  • Alle eingebundenen Richtlinien, die mit dem IAM Benutzer integriert sind (Richtlinien, die dem IAM Benutzer mithilfe von Gruppenberechtigungen zugewiesen wurden, sind hiervon nicht betroffen)

    Anmerkung

    IAMentfernt alle verwalteten Richtlinien, die dem IAM Benutzer zugeordnet sind, wenn Sie den Benutzer löschen, löscht jedoch keine verwalteten Richtlinien.

  • Jedes zugehörige MFA Gerät

Um einen IAM Benutzer zu entfernen (Konsole)

IAM console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS -Anmelde-Benutzerhandbuch beschrieben.

  2. Wählen Sie auf der Startseite der Konsole den IAM Dienst aus.

  3. Wählen Sie im Navigationsbereich Users (Benutzer) aus und aktivieren Sie dann das Kontrollkästchen neben dem IAM Benutzernamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.

  4. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

  5. Geben Sie im Bestätigungsdialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Löschen.

In der Konsole wird eine Statusmeldung angezeigt, dass der IAM Benutzer gelöscht wurde.

Einen IAM Benutzer löschen (AWS CLI)

Im AWS Management Console Gegensatz zu müssen Sie beim Löschen eines IAM Benutzers mit dem AWS CLI die dem IAM Benutzer zugewiesenen Elemente manuell löschen. Dieser Vorgang veranschaulicht den Prozess.

Um einen IAM Benutzer aus Ihrem AWS-Konto (AWS CLI) zu löschen

  1. Löschen Sie das Passwort des Benutzers, sofern vorhanden.

    aws iam delete-login-profile

  2. Löschen Sie die Zugriffsschlüssel des Benutzers, wenn der Benutzer über solche verfügt.

    aws iam list-access-keys (zum Auflisten der Zugriffsschlüssel des Benutzers) und aws iam delete-access-key

  3. Löschen Sie das Signaturzertifikat des Benutzers. Beachten Sie, dass einmal gelöschte Sicherheitsanmeldeinformationen nicht wiederhergestellt werden können. Dieser Vorgang ist endgültig.

    aws iam list-signing-certificates (zum Auflisten der Signaturzertifikate des Benutzers) und aws iam delete-signing-certificate

  4. Löschen Sie den SSH öffentlichen Schlüssel des Benutzers, falls der Benutzer ihn besitzt.

    aws iam list-ssh-public-keys(um die SSH öffentlichen Schlüssel des Benutzers aufzulisten) und aws iam delete-ssh-public-key

  5. Löschen Sie die Git-Anmeldeinformationen des Benutzers.

    aws iam list-service-specific-credentials (zum Auflisten der Git-Anmeldeinformationen des Benutzers) und aws iam delete-service-specific-credential

  6. Deaktivieren des Multi-Faktor-Authentifizierungsgeräts (MFA) des Benutzers, falls der Benutzer eines besitzt.

    aws iam list-mfa-devices(um die MFA Geräte des Benutzers aufzulisten), aws iam deactivate-mfa-device (um das Gerät zu deaktivieren) und aws iam delete-virtual-mfa-device (um ein virtuelles MFA Gerät dauerhaft zu löschen)

  7. Löschen Sie die eingebundenen Richtlinien des Benutzers.

    aws iam list-user-policies (zum Auflisten der eingebundenen Richtlinien des Benutzers) und aws iam delete-user-policy (zum Löschen der Richtlinie)

  8. Heben Sie die Verknüpfung aller verwalteten Richtlinien mit dem Benutzer auf.

    aws iam list-attached-user-policies (zum Auflisten der verwalteten Richtlinien, die dem Benutzer zugeordnet sind) und aws iam detach-user-policy (zum Aufheben der Verknüpfung der Richtlinien)

  9. Entfernen Sie den Benutzer aus allen IAM Gruppen.

    aws iam list-groups-for-user(um die IAM Gruppen aufzulisten, zu denen der Benutzer gehört) und aws iam remove-user-from-group

  10. Löschen Sie den Benutzer.

    aws iam delete-user

Deaktivieren eines Benutzers IAM

Möglicherweise müssen Sie IAM Benutzer deaktivieren, während sie sich vorübergehend nicht in Ihrem Unternehmen befinden. Sie können ihre IAM Benutzeranmeldeinformationen beibehalten und trotzdem ihre AWS -Zugriffe sperren.

Um einen Benutzer zu deaktivieren, erstellen Sie eine Richtlinie und fügen Sie sie hinzu, um dem Benutzer den Zugriff auf AWS zu verweigern. Sie können den Zugriff des Benutzers später wiederherstellen.

Im Folgenden finden Sie zwei Beispiele für Verweigerungsrichtlinien, die Sie einem Benutzer zuordnen können, um ihm den Zugriff zu verweigern.

Die folgende Richtlinie beinhaltet keine zeitliche Begrenzung. Sie müssen die Richtlinie entfernen, um den Zugriff des Benutzers wiederherzustellen.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

Die folgende Richtlinie beinhaltet eine Bedingung, die die Richtlinie am 24. Dezember 2024 um 23:59 Uhr (UTC) startet und am 28. Februar 2025 um 23:59 Uhr beendet (UTC).

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}