Wie sich IAM-Benutzer bei AWS anmelden - AWS Identity and Access Management

Wie sich IAM-Benutzer bei AWS anmelden

Um sich als AWS Management Console-Benutzer an der IAM anzumelden, müssen Sie zusätzlich zu Ihrem Benutzernamen und Ihrem Passwort Ihre Konto-ID oder einen Kontoalias angeben. Wenn der Administrator den IAM-Benutzer in der Konsole erstellt hat, muss er Ihnen die Anmeldeinformationen zugesendet haben, darunter den Benutzernamen und die URL der Kontoanmeldeseite, die die Konto-ID oder den Kontoalias enthält.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
Tipp

Um ein Lesezeichen für die Anmeldeseite Ihres Kontos in Ihrem Webbrowser zu erstellen, sollten Sie die Anmelde-URL für Ihr Konto manuell im Lesezeicheneintrag eingeben. Verwenden Sie keinen Webbrowser zum Anlegen von Lesezeichen, weil Weiterleitungen die Anmelde-URL verschleiern können.

Außerdem können Sie sich bei dem folgenden allgemeinen Anmelde-Endpunkt anmelden und Ihre Konto-ID oder den Alias manuell eingeben:

https://console.aws.amazon.com/

Der Bequemlichkeit halber verwendet die AWS-Anmeldeseite ein Browser-Cookie, um sich den IAM-Benutzernamen und die Konteninformationen zu merken. Wenn der Benutzer das nächste Mal auf eine Seite in der AWS Management Console geht, verwendet die Konsole das Cookie, um den Benutzer auf die Konto-Anmeldeseite umzuleiten.

Sie haben nur Zugriff auf die AWS-Ressourcen, die Ihr Administrator in der Richtlinie angibt, die Ihrer IAM-Benutzeridentität angefügt ist. Um in der Konsole zu arbeiten, müssen Sie über Berechtigungen verfügen, die Aktionen durchzuführen, die die Konsole durchführt, wie etwa das Überwachen und Erstellen von AWS-Ressourcen. Weitere Informationen finden Sie unter Zugriffsverwaltung für AWS-Ressourcen und Beispiele für identitätsbasierte Richtlinien in IAM.

Anmerkung

Wenn Ihre Organisation über ein vorhandenes Identitätssystem verfügt, können Sie gegebenenfalls auch eine SSO-Option (Single Sign-on) erstellen. Die SSO bietet den Benutzern Zugriff auf die AWS Management Console für Ihr Konto, ohne dass sie eine IAM-Benutzeridentität haben müssen. SSO lässt auch die Notwendigkeit wegfallen, dass sich die Benutzer auf der Website Ihrer Organisation und bei AWS separat anmelden. Für weitere Informationen siehe Aktivieren von benutzerdefiniertem Identity Broker-Zugriff auf die AWS-Konsole.

Protokollieren von Anmeldedetails in CloudTrail

Wenn Sie CloudTrail so einstellen, dass Anmeldeereignisse in Ihren Protokollen protokolliert werden, müssen Sie wissen, wie CloudTrail festlegt, wo die Ereignisse protokolliert werden.

  • Wenn sich Ihre Benutzer direkt bei einer Konsole anmelden, werden sie entweder zu einem globalen oder regionalen Anmeldeendpunkt umgeleitet, je nachdem, ob die ausgewählte Servicekonsole Regionen unterstützt. Die Startseite der Hauptkonsole beispielsweise unterstützt Regionen. Wenn Sie sich also bei der nachfolgenden URL anmelden,

    https://alias.signin.aws.amazon.com/console

    werden Sie zu einem regionalen Anmeldeendpunkt umgeleitet, wie etwa https://us-east-2.signin.aws.amazon.com. Das Ergebnis ist ein regionaler CloudTrail-Protokolleintrag im Protokoll der Region des Benutzers.

    Andererseits unterstützt die Amazon S3-Konsole keine Regionen. Wenn Sie sich also bei der folgenden URL anmelden,

    https://alias.signin.aws.amazon.com/console/s3

    AWS leitet Sie zum globalen Anmeldeendpunkt https://signin.aws.amazon.com um. Das Ergebnis ist ein globaler CloudTrail-Protokolleintrag.

  • Sie können manuell einen bestimmten regionalen Anmeldeendpunkt anfordern, indem Sie sich über eine URL-Syntax wie die folgende bei der Hauptkonsolen-Startseite mit Regionen anmelden:

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS leitet Sie zum regionalen Anmeldeendpunkt ap-southeast-1 um. Das Ergebnis ist ein regionales CloudTrail-Protokollereignis.

Weitere Informationen zu CloudTrail und IAM finden Sie unter Protokollierung von IAM-Ereignissen mit AWS CloudTrail .

Wenn Benutzer programmgesteuerten Zugriff benötigen, um mit Ihrem Konto zu arbeiten, können Sie für jeden ein Zugriffsschlüsselpaar (eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel) erstellen, wie unter Verwalten von Zugriffsschlüsseln (Konsole) beschrieben.