Verwalten von IAM-Benutzern

Anmerkung

Fordern Sie als bewährte Methode menschliche Benutzer auf, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen Wenn Sie die bewährten Methoden befolgen, verwalten Sie keine IAM-Benutzer und -Gruppen. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS verwaltet und können als Verbundidentität auf AWS-Ressourcen zugreifen. Eine Verbundidentität ist ein Benutzer aus dem Benutzerverzeichnis Ihres Unternehmens, ein Web Identity Provider, der AWS Directory Service, das Identity-Center-Verzeichnis oder jeder Benutzer, der mit Anmeldeinformationen, die über eine Identitätsquelle bereitgestellt werden, auf AWS zugreift. Verbundidentitäten verwenden die von ihrem Identitätsanbieter definierten Gruppen. Wenn Sie AWS IAM Identity Center verwenden, finden Sie im AWS IAM Identity Center-Benutzerhandbuch unter Identitäten in IAM Identity Center verwalten Informationen zum Erstellen von Benutzern und Gruppen in IAM Identity Center.

Amazon Web Services bietet mehrere Tools zum Verwalten von IAM-Benutzern in Ihrem AWS-Konto. Sie können die IAM-Benutzer in Ihrem Konto oder in einer Gruppe auflisten, oder alle Gruppen, in denen ein Benutzer Mitglied ist. Sie können den Pfad eines IAM-Benutzers umbenennen oder ändern. Wenn Sie dazu übergehen, Verbundidentitäten anstelle von IAM-Benutzern zu verwenden, können Sie einen IAM-Benutzer aus Ihrem AWS-Konto löschen oder den Benutzer deaktivieren.

Weitere Informationen zum Hinzufügen, Ändern oder Entfernen von verwalteten Richtlinien für einen IAM-Benutzer finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer. Weitere Informationen zum Verwalten von Inline-Richtlinien für IAM-Benutzer finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen, Bearbeiten von IAM-Richtlinien und Löschen von IAM-Richtlinien. Es hat sich bewährt, verwaltete Richtlinien anstelle von eingebundenen Richtlinien zu verwenden. Die AWS-verwalteten Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit. Beachten Sie, dass AWS-verwaltete Richtlinien möglicherweise keine Berechtigungen mit den geringsten Berechtigungen für Ihre spezifischen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Daher empfehlen wir Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die spezifisch auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter Von AWS-verwaltete Richtlinien. Weitere Informationen über verwaltete AWS-Richtlinien, die für bestimmte Arbeitsfunktionen konzipiert sind, finden Sie unter AWS Von verwaltete Richtlinien für Auftragsfunktionen.

Weitere Informationen zum Validieren von IAM-Richtlinien finden Sie unter Validieren von IAM-Richtlinien.

Tipp

IAM Access Analyzer kann die Services und Aktionen analysieren, die Ihre IAM-Rollen verwenden, und generiert dann eine fein abgestimmte Richtlinie, die Sie verwenden können. Nachdem Sie jede generierte Richtlinie getestet haben, können Sie die Richtlinie in Ihrer Produktionsumgebung bereitstellen. Dadurch wird sichergestellt, dass Sie nur die erforderlichen Berechtigungen für Ihre Workloads gewähren. Weitere Informationen zur Richtlinienerstellung finden Sie unter IAM-Access-Analyzer-Richtlinienerstellung.

Weitere Informationen zum Verwalten von IAM-Benutzerpasswörtern finden Sie unter Verwalten von Passwörtern für IAM-Benutzer,

Anzeigen des Benutzerzugriffs

Bevor Sie einen Benutzer löschen, sollten Sie seine kürzliche Service-Level-Aktivität überprüfen. Das ist wichtig, da Sie keinem Auftraggeber (Person oder Anwendung) einen noch verwendeten Zugriff entziehen möchten. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff finden Sie unter Verfeinerung der Berechtigungen in AWS anhand der Informationen über den letzten Zugriff.

Auflisten von IAM-Benutzern

Sie können die IAM-Benutzer in Ihrem AWS-Konto oder in einer bestimmten IAM-Gruppe sowie alle Gruppen, denen ein Benutzer angehört, auflisten. Weitere Informationen zu den Berechtigungen, die Sie zum Auflisten von Benutzern benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

So listen Sie alle Benutzer im Konto auf

• AWS Management Console: Wählen Sie im Navigationsbereich Benutzer. In der Konsole werden die Benutzer in Ihrem AWS-Konto angezeigt.

• AWS CLI: aws iam list-users

• AWS-API: ListUsers

So listen Sie die Benutzer in einer bestimmten Gruppe auf

• AWS Management Console: Wählen Sie im Navigationsbereich Benutzergruppen, den Namen der Gruppe und anschließend die Registerkarte Benutzer.

• AWS CLI: aws iam get-group

• AWS-API: GetGroup

So listen Sie alle Gruppen auf, denen ein Benutzer angehört

• AWS Management Console: Wählen Sie im Navigationsbereich Benutzer, den Benutzernamen und anschließend die Registerkarte Gruppen.

• AWS CLI: aws iam list-groups-for-user

• AWS-API: ListGroupsForUser

Umbenennen eines IAM-Benutzers

Um den Namen oder Pfad eines Benutzers zu ändern, müssen Sie die AWS CLI-, Tools for Windows PowerShell- oder AWS-API verwenden. In der Konsole gibt es keine Möglichkeit zum Umbenennen eines Benutzers. Weitere Informationen zu den Berechtigungen, die Sie zum Umbenennen eines Benutzers benötigen, finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen.

Wenn Sie den Namen oder den Pfad eines Benutzers ändern, geschieht Folgendes:

• Alle Richtlinien, die dem Benutzer zugewiesen sind, verbleiben bei ihm unter dem neuen Namen.

• Der Benutzer verbleibt unter dem neuen Namen in den gleichen Gruppen.

• Die eindeutige ID des Benutzers bleibt unverändert. Weitere Informationen zu eindeutigen IDs finden Sie unter Eindeutige Bezeichner.

• Die Ressourcen- oder Rollenrichtlinien, die auf den Benutzer als Auftraggeber verweisen (dem Benutzer wird Zugriff gewährt), werden automatisch mit dem neuen Namen oder Pfad aktualisiert. Beispiel: Die warteschlangenbasierten Richtlinien in Amazon SQS oder die ressourcenbasierten Richtlinien in Amazon S3 werden automatisch mit dem neuen Namen und Pfad aktualisiert.

In IAM werden die Richtlinien, die auf den Benutzer als Ressource verweisen, nicht automatisch mit dem neuen Namen oder Pfad aktualisiert. Dies müssen Sie manuell vornehmen. Beispiel: Dem Benutzer Richard ist eine Richtlinie zugewiesen, mit der er seine Sicherheitsanmeldeinformationen verwalten kann. Wenn ein Administrator Richard in Rich umbenennt, muss er auch die Richtlinie aktualisieren, um die Ressource von dieser Zeichenfolge:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

in diese zu ändern:

arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Dies gilt auch, wenn ein Administrator den Pfad ändert. Der Administrator muss die Richtlinie aktualisieren, damit der neue Pfad für den Benutzer wiedergegeben wird.

So benennen Sie einen Benutzer um

• AWS CLI: aws iam update-user

• AWS-API: UpdateUser

Löschen eines IAM-Benutzers

Sie könnten einen IAM-Benutzer aus Ihrem AWS-Konto-Konto löschen, wenn dieser Benutzer aus Ihrem Unternehmen ausscheidet. Wenn der Benutzer vorübergehend nicht da ist, können Sie den Zugriff des Benutzers deaktivieren, anstatt ihn wie in Deaktivieren eines IAM-Benutzers beschrieben aus dem Konto zu löschen.

Themen

• Löschen eines IAM-Benutzers (Konsole)
• Löschen eines IAM-Benutzers (AWS CLI)

Löschen eines IAM-Benutzers (Konsole)

Wenn Sie einen IAM-Benutzer über die AWS Management Console löschen, werden im IAM die folgenden Informationen automatisch für Sie gelöscht:

• Der Benutzer

• Sämtliche Gruppenmitgliedschaften, d. h. der Benutzer wird aus allen IAM-Gruppen entfernt, denen er angehörte

• Alle Passwörter des Benutzers

• Alle Zugriffsschlüssel des Benutzers

• Alle eingebundenen Richtlinien, die mit dem Benutzer integriert sind (Richtlinien, die einem Benutzer über Gruppenberechtigungen zugewiesen wurden, sind hiervon nicht betroffen)

  Anmerkung

  IAM entfernt alle verwalteten Richtlinien, die dem Benutzer zugeordnet sind, wenn Sie den Benutzer löschen, löscht jedoch keine verwalteten Richtlinien.

• Alle zugehörigen MFA-Geräte

So löschen Sie einen IAM-Benutzer (Konsole)

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Users (Benutzer) aus und aktivieren Sie dann das Kontrollkästchen neben dem Benutzernamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.

3. Wählen Sie oben auf der Seite Delete role (Rolle löschen).

4. Geben Sie im Bestätigungsdialogfeld den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Löschen.

Löschen eines IAM-Benutzers (AWS CLI)

Im Unterschied zur AWS Management Console müssen Sie beim Löschen eines Benutzers mit der AWS CLI die dem Benutzer zugeordneten Elemente manuell löschen. Dieser Vorgang veranschaulicht den Prozess.

So löschen Sie einen Benutzer aus dem Konto (AWS CLI)

1. Löschen Sie das Passwort des Benutzers, sofern vorhanden.

   aws iam delete-login-profile

2. Löschen Sie die Zugriffsschlüssel des Benutzers, wenn der Benutzer über solche verfügt.

   aws iam list-access-keys (zum Auflisten der Zugriffsschlüssel des Benutzers) und aws iam delete-access-key

3. Löschen Sie das Signaturzertifikat des Benutzers. Beachten Sie, dass einmal gelöschte Sicherheitsanmeldeinformationen nicht wiederhergestellt werden können. Dieser Vorgang ist endgültig.

   aws iam list-signing-certificates (zum Auflisten der Signaturzertifikate des Benutzers) und aws iam delete-signing-certificate

4. Löschen Sie den öffentlichen SSH-Schlüssel des Benutzers, wenn der Benutzer über diesen verfügt.

   aws iam list-ssh-public-keys (zum Auflisten der öffentlichen SSH-Schlüssel des Benutzers) und aws iam delete-ssh-public-key

5. Löschen Sie die Git-Anmeldeinformationen des Benutzers.

   aws iam list-service-specific-credentials (zum Auflisten der Git-Anmeldeinformationen des Benutzers) und aws iam delete-service-specific-credential

6. Deaktivieren Sie die Multi-Factor Authentication (MFA), wenn für den Benutzer eine solche verwendet wird.

   aws iam list-mfa-devices (zum Auflisten der MFA-Geräte des Benutzers aws iam deactivate-mfa-device (zum Deaktivieren des Geräts) und aws iam delete-virtual-mfa-device (zum dauerhaften Löschen eines virtuellen MFA-Geräts)

7. Löschen Sie die eingebundenen Richtlinien des Benutzers.

   aws iam list-user-policies (zum Auflisten der eingebundenen Richtlinien des Benutzers) und aws iam delete-user-policy (zum Löschen der Richtlinie)

8. Heben Sie die Verknüpfung aller verwalteten Richtlinien mit dem Benutzer auf.

   aws iam list-attached-user-policies (zum Auflisten der verwalteten Richtlinien, die dem Benutzer zugeordnet sind) und aws iam detach-user-policy (zum Aufheben der Verknüpfung der Richtlinien)

9. Entfernen Sie den Benutzer aus allen Gruppen.

   aws iam list-groups-for-user (zum Auflisten der Gruppen, denen der Benutzer angehört) und aws iam remove-user-from-group

10. Löschen Sie den Benutzer.

    aws iam delete-user

Deaktivieren eines IAM-Benutzers

Möglicherweise müssen Sie IAM-Benutzer deaktivieren, während sie sich vorübergehend nicht in Ihrem Unternehmen befinden. Sie können ihre IAM-Benutzeranmeldeinformationen beibehalten und trotzdem ihre AWS-Zugriffe sperren.

Um einen Benutzer zu deaktivieren, erstellen Sie eine Richtlinie und fügen Sie sie hinzu, um dem Benutzer den Zugriff auf AWS zu verweigern. Sie können den Zugriff des Benutzers später wiederherstellen.

Im Folgenden finden Sie zwei Beispiele für Verweigerungsrichtlinien, die Sie einem Benutzer zuordnen können, um ihm den Zugriff zu verweigern.

Die folgende Richtlinie beinhaltet keine zeitliche Begrenzung. Sie müssen die Richtlinie entfernen, um den Zugriff des Benutzers wiederherzustellen.

{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

Die folgende Richtlinie beinhaltet eine Bedingung, die die Richtlinie am 24. Dezember 2024 um 23:59 Uhr (UTC) startet und am 28. Februar 2025 um 23:59 Uhr (UTC) beendet.

{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}