Einen IAM Benutzer löschen oder deaktivieren

Sie können einen IAM Benutzer aus Ihrem löschen, AWS-Konto wenn dieser Benutzer Ihr Unternehmen verlässt. Wenn der Benutzer vorübergehend nicht da ist, können Sie den Zugriff des Benutzers deaktivieren, anstatt ihn wie in Deaktivierung eines Benutzers IAM beschrieben aus dem Konto zu löschen.

Voraussetzung — Benutzerzugriff anzeigen

Bevor Sie einen Benutzer löschen, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinern Sie die Berechtigungen in AWS unter Verwendung der zuletzt abgerufenen Informationen.

Löschen eines IAM Benutzers (Konsole)

Wenn Sie den verwenden, AWS Management Console um einen IAM Benutzer zu löschen, IAM werden automatisch die folgenden Informationen für Sie gelöscht:

• Der Benutzer

• Alle Mitgliedschaften in Benutzergruppen — das heißt, der Benutzer wird aus allen IAM Benutzergruppen entfernt, in denen er Mitglied war

• Alle Passwörter des Benutzers

• Alle Zugriffsschlüssel des Benutzers

• Alle eingebundenen Richtlinien, die mit dem Benutzer integriert sind (Richtlinien, die einem Benutzer über Gruppenberechtigungen zugewiesen wurden, sind hiervon nicht betroffen)

  Anmerkung

  IAMentfernt alle verwalteten Richtlinien, die dem Benutzer zugeordnet sind, wenn Sie den Benutzer löschen, löscht jedoch keine verwalteten Richtlinien.

• Jedes zugehörige MFA Gerät

Um einen IAM Benutzer zu löschen (Konsole)

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Users (Benutzer) aus und aktivieren Sie dann das Kontrollkästchen neben dem Benutzernamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.

3. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

4. Geben Sie im Bestätigungsdialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Löschen.

Einen IAM Benutzer löschen (AWS CLI)

Im AWS Management Console Gegensatz zu müssen Sie beim Löschen eines Benutzers mit dem AWS CLI die dem Benutzer zugewiesenen Elemente manuell löschen. Dieser Vorgang veranschaulicht den Prozess.

So löschen Sie einen Benutzer aus dem Konto (AWS CLI)

1. Löschen Sie das Passwort des Benutzers, sofern vorhanden.

   aws iam delete-login-profile

2. Löschen Sie die Zugriffsschlüssel des Benutzers, wenn der Benutzer über solche verfügt.

   aws iam list-access-keys (zum Auflisten der Zugriffsschlüssel des Benutzers) und aws iam delete-access-key

3. Löschen Sie das Signaturzertifikat des Benutzers. Beachten Sie, dass einmal gelöschte Sicherheitsanmeldeinformationen nicht wiederhergestellt werden können. Dieser Vorgang ist endgültig.

   aws iam list-signing-certificates (zum Auflisten der Signaturzertifikate des Benutzers) und aws iam delete-signing-certificate

4. Löschen Sie den SSH öffentlichen Schlüssel des Benutzers, falls der Benutzer über ihn verfügt.

   aws iam list-ssh-public-keys(um die SSH öffentlichen Schlüssel des Benutzers aufzulisten) und aws iam delete-ssh-public-key

5. Löschen Sie die Git-Anmeldeinformationen des Benutzers.

   aws iam list-service-specific-credentials (zum Auflisten der Git-Anmeldeinformationen des Benutzers) und aws iam delete-service-specific-credential

6. Deaktivieren Sie das Multi-Faktor-Authentifizierungsgerät (MFA) des Benutzers, falls der Benutzer eines besitzt.

   aws iam list-mfa-devices(um die MFA Geräte des Benutzers aufzulisten), aws iam deactivate-mfa-device (um das Gerät zu deaktivieren) und aws iam delete-virtual-mfa-device (um ein virtuelles MFA Gerät dauerhaft zu löschen)

7. Löschen Sie die eingebundenen Richtlinien des Benutzers.

   aws iam list-user-policies (zum Auflisten der eingebundenen Richtlinien des Benutzers) und aws iam delete-user-policy (zum Löschen der Richtlinie)

8. Heben Sie die Verknüpfung aller verwalteten Richtlinien mit dem Benutzer auf.

   aws iam list-attached-user-policies (zum Auflisten der verwalteten Richtlinien, die dem Benutzer zugeordnet sind) und aws iam detach-user-policy (zum Aufheben der Verknüpfung der Richtlinien)

9. Entfernen Sie den Benutzer aus allen Gruppen.

   aws iam list-groups-for-user (zum Auflisten der Gruppen, denen der Benutzer angehört) und aws iam remove-user-from-group

10. Löschen Sie den Benutzer.

    aws iam delete-user

Deaktivierung eines Benutzers IAM

Möglicherweise müssen Sie einen IAM Benutzer deaktivieren, während er vorübergehend nicht in Ihrem Unternehmen ist. Sie können ihre IAM Benutzeranmeldedaten unverändert lassen und ihnen trotzdem AWS den Zugriff sperren.

Um einen Benutzer zu deaktivieren, erstellen Sie eine Richtlinie und fügen Sie sie hinzu, um dem Benutzer den Zugriff auf AWS zu verweigern. Sie können den Zugriff des Benutzers später wiederherstellen.

Im Folgenden finden Sie zwei Beispiele für Verweigerungsrichtlinien, die Sie einem Benutzer zuordnen können, um ihm den Zugriff zu verweigern.

Die folgende Richtlinie beinhaltet keine zeitliche Begrenzung. Sie müssen die Richtlinie entfernen, um den Zugriff des Benutzers wiederherzustellen.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

Die folgende Richtlinie beinhaltet eine Bedingung, dass die Richtlinie am 24. Dezember 2024 um 23:59 Uhr (UTC) beginnt und am 28. Februar 2025 um 23:59 Uhr (UTC) endet.

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}