Nur erstmaliger Zugriff: Ihre Stammbenutzer-Anmeldeinformationen IAM-Benutzer und Benutzer in IAM Identity Center Erstellen eines Verbunds von vorhandenen Benutzern Zugriffskontrollmethoden

Übersicht über AWS-Identitätsverwaltung: Benutzer

Sie können bestimmten Benutzern Zugriff auf AWS-Konto gewähren und ihnen bestimmte Berechtigungen für den Zugriff auf Ressourcen in Ihrem AWS-Konto erteilen. Sie können sowohl IAM als auch AWS IAM Identity Center (successor to AWS Single Sign-On) verwenden, um neue Benutzer zu erstellen oder bestehende Benutzer mit AWS zu verbinden. Der Hauptunterschied zwischen den beiden besteht darin, dass IAM-Benutzern langfristige Anmeldeinformationen für Ihre AWS-Ressourcen gewährt werden, während Benutzer in IAM Identity Center über temporäre Anmeldeinformationen verfügen, die bei jeder Anmeldung des Benutzers bei AWS eingerichtet werden. Fordern Sie als bewährte Methode menschliche Benutzer auf, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen statt als IAM-Benutzer auf AWS zuzugreifen. Eine Hauptanwendung für IAM-Benutzer besteht darin, Workloads, die keine IAM-Rollen verwenden können, die Möglichkeit zu geben, programmatische Anfragen an AWS-Services über die API oder CLI zu stellen.

Themen

Nur erstmaliger Zugriff: Ihre Stammbenutzer-Anmeldeinformationen
IAM-Benutzer und Benutzer in IAM Identity Center
Erstellen eines Verbunds von vorhandenen Benutzern
Zugriffskontrollmethoden

Nur erstmaliger Zugriff: Ihre Stammbenutzer-Anmeldeinformationen

Wenn Sie ein AWS-Konto neu erstellen, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern in der AWS Account Management-Referenz. Nur Service Control Policies (SCPs) in Organisationen können die Berechtigungen einschränken, die dem Stammbenutzer gewährt werden.

IAM-Benutzer und Benutzer in IAM Identity Center

IAM-Benutzer sind keine separaten Konten. Sie sind in Ihrem Konto inbegriffene Benutzer. Jeder Benutzer kann über sein eigenes Passwort für den Zugriff auf die AWS Management Console verfügen. Darüber hinaus können Sie individuelle Zugriffsschlüssel für jeden Benutzer erstellen, sodass der Benutzer programmgesteuerte Anforderungen an die Ressourcen in Ihrem Konto stellen kann.

IAM-Benutzern werden langfristige Anmeldeinformationen für Ihre AWS-Ressourcen gewährt. Als bewährte Methode sollten Sie keine IAM-Benutzer mit langfristigen Anmeldeinformationen für Ihre menschlichen Benutzer erstellen. Fordern Sie menschliche Benutzer stattdessen auf, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden.

Anmerkung

Für Szenarien, in denen Sie IAM-Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir, die Zugriffsschlüssel zu rotieren. Weitere Informationen finden Sie unter Rotieren der Zugriffsschlüssel.

Im Gegensatz dazu erhalten Benutzer im AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) kurzfristige Anmeldeinformationen für Ihre AWS-Ressourcen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center), um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. IAM Identity Center wird automatisch mit einem Identity Center-Verzeichnis als Standardidentitätsquelle konfiguriert, in der Sie Benutzer und Gruppen erstellen und deren Zugriffsebene auf Ihre AWS-Ressourcen zuweisen können. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center (successor to AWS Single Sign-On)? im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.

Erstellen eines Verbunds von vorhandenen Benutzern

Wenn die Benutzer in Ihrer Organisation bereits eine Möglichkeit haben, authentifiziert werden, z. B. indem sie sich bei Ihrem Unternehmensnetzwerk anmelden, müssen Sie keinen separaten IAM-Benutzer oder Benutzer in IAM Identity Center für sie erstellen. Stattdessen können Sie einen Verbund für diese Benutzeridentitäten in AWS herstellen. Nutzen Sie dafür IAM oder AWS IAM Identity Center (successor to AWS Single Sign-On).

Im nachstehenden Diagramm wird dargestellt, wie ein Benutzer temporäre AWS-Sicherheitsanmeldeinformationen für den Zugriff auf die Ressourcen in Ihrem AWS-Konto erhält.

Benutzer, die bereits an anderer Stelle authentifiziert sind, können in AWS verbunden werden und eine IAM-Rolle annehmen, die ihnen Berechtigungen für den Zugriff auf bestimmte Ressourcen gewährt. Weitere Informationen zu Rollen finden Sie unter Rollenbegriffe und -konzepte.

Der Verbund ist insbesondere in folgenden Fällen nützlich:

Ihre Benutzer sind bereits in einem Unternehmensverzeichnis vorhanden.

Wenn Ihr Unternehmensverzeichnis mit Security Assertion Markup Language 2.0 (SAML 2.0) kompatibel ist, können Sie Ihr Unternehmensverzeichnis für eine Einmalanmeldung (Single-Sign-On – SSO) der Benutzer auf der AWS Management Console konfigurieren. Weitere Informationen finden Sie unter Gängige Szenarien für temporäre Anmeldeinformationen.

Wenn Ihr Unternehmensverzeichnis nicht mit SAML 2.0 kompatibel ist, können Sie eine Identity-Broker-Anwendung erstellen, um Ihren Benutzern Single-Sign-On-Zugriff (SSO) auf AWS Management Console bereitzustellen. Weitere Informationen finden Sie unter Aktivieren von benutzerdefiniertem Identity Broker-Zugriff auf die AWS-Konsole.

Wenn Ihr Unternehmensverzeichnis ein Microsoft Active Directory ist, können Sie AWS IAM Identity Center (successor to AWS Single Sign-On) zum Einrichten von Vertrauensbeziehungen zwischen einem selbstverwalteten Unternehmensverzeichnis in Active Directory oder einem Verzeichnis in AWS Directory Service und Ihrem AWS-Konto verwenden.

Wenn Sie einen externen Identitätsanbieter (IdP) wie Okta oder Azure Active Directory verwenden, um Benutzer zu verwalten, können Sie AWS IAM Identity Center (successor to AWS Single Sign-On) verwenden, um eine Vertrauensbeziehung zwischen Ihrem IdP und Ihrem AWS-Konto herzustellen. Weitere Informationen finden Sie unter Verbinden mit einem externen Identitätsanbieter im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.
Ihre Benutzer verfügen bereits über Internet-Identitäten.

Wenn Sie eine mobile oder webbasierte Anwendung erstellen, mit der sich Benutzer über einen Internet-Identitätsanbieter wie Login with Amazon, Facebook, Google oder einen beliebigen OpenID Connect (OIDC) kompatiblen Identitätsanbieter identifizieren können, kann die Anwendung Federation für den Zugriff auf AWS verwenden. Weitere Informationen finden Sie unter Über Web-Identitätsverbund.

Tipp
Um den Identitätsverbund mit Internet-Identitätsanbietern zu verwenden, empfehlen wir die Nutzung von Amazon Cognito.

Zugriffskontrollmethoden

Dies sind die Möglichkeiten, wie Sie den Zugriff auf Ihre AWS-Ressourcen steuern können.

Typ des Benutzerzugriffs	Verwendungsgrund	Wo erhalte ich weitere Informationen?
Single Sign-On (SSO)-Zugriff für menschliche Benutzer, z. B. Ihre Mitarbeiter, auf AWS-Ressourcen mithilfe von IAM Identity Center	IAM Identity Center bietet einen zentralen Ort, an dem die Verwaltung von Benutzern und deren Zugriff auf AWS-Konten und Cloud-Anwendungen zusammengeführt werden. Sie können einen Identitätsspeicher im IAM Identity Center einrichten oder den Verbund mit einem vorhandenen Identitätsanbieter (IdP) konfigurieren. Es wird als bewährte Sicherheitsmethode empfohlen, Ihren menschlichen Benutzern je nach Bedarf begrenzte Anmeldeinformationen für AWS-Ressourcen zu gewähren. Benutzer können sich einfacher anmelden, und Sie behalten die Kontrolle über ihren Zugriff auf Ressourcen von einem einzigen System aus. IAM Identity Center unterstützt die Multi-Faktor-Authentifizierung (MFA) für zusätzliche Kontosicherheit.	Weitere Informationen zum Einrichten von IAM Identity Center finden Sie unter Erste Schritte im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch. Weitere Informationen über MFA in IAM Identity Center finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch.
Verbundzugriff für menschliche Benutzer, z. B. Benutzer Ihrer Belegschaft, auf AWS-Services, die IAM-Identitätsanbieter verwenden	IAM unterstützt mit OpenID Connect (OIDC) und SAML 2.0 (Security Assertion Markup Language 2.0) kompatible Identitätsanbieter. Nachdem Sie einen IAM-Identitätsanbieter erstellt haben, müssen Sie eine oder mehrere IAM-Rollen erstellen, die einem Verbundbenutzer dynamisch zugewiesen werden können.	Weitere Informationen zu IAM-Identitätsanbietern und Verbund finden Sie unter Identitätsanbieter und Verbund.
Kontenübergreifender Zugriff zwischen AWS-Konten	Sie möchten den Zugriff auf bestimmte AWS-Ressourcen für Benutzern in anderen AWS-Konten freigeben. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Einige AWS-Services ermöglichen Ihnen, eine Richtlinie direkt an eine Ressource anzufügen (anstatt eine Rolle als Proxy zu verwenden). Diese werden als ressourcenbasierte Richtlinien bezeichnet.	Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen. Weitere Informationen zu Service-verknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen. Informationen dazu, welche Services die Verwendung serviceverknüpften Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Serviceverknüpfte Rolle angegeben ist. Um die serviceverknüpfte Rollendokumentation für diesen Service anzuzeigen, wählen Sie den mit Ja verknüpften Link in der Spalte.
Langfristige Anmeldeinformationen für bestimmte IAM-Benutzer in Ihrem AWS-Konto	Es gibt spezielle Anwendungsfälle, die langfristige Anmeldeinformationen mit IAM-Benutzern in AWS erfordern. Sie können IAM verwenden, um diese IAM-Benutzer in Ihrem AWS-Konto zu erstellen, und IAM verwenden, um ihre Berechtigungen zu verwalten. Einige der Anwendungsfälle umfassen Folgendes: Workloads, die keine IAM-Rollen verwenden können. Drittanbieter-AWS-Clients AWS IAM Identity Center (successor to AWS Single Sign-On) ist für Ihr Konto nicht verfügbar und Sie haben keinen anderen Identitätsanbieter Als bewährte Methode in Szenarien, in denen Sie IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir Ihnen, die Zugriffsschlüssel zu rotieren. Weitere Informationen finden Sie unter Rotieren der Zugriffsschlüssel.	Weitere Informationen zum Einrichten eines IAM-Benutzers finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Funktionsweise von IAM

Berechtigungen und Richtlinien in IAM