AWS-Sicherheitsanmeldeinformationen - AWS Identitäts- und Zugriffsverwaltung
Sicherheitsüberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-Sicherheitsanmeldeinformationen

Wenn Sie mit AWS interagieren, geben Sie Ihre AWS-Sicherheitsanmeldeinformationen an, um zu überprüfen, wer Sie sind und ob Sie die Zugriffsberechtigung für die Ressourcen haben, die Sie anfordern. AWS verwendet die Sicherheitsanmeldeinformationen zur Authentifizierung und Autorisierung Ihrer Anforderungen.

Wenn Sie z. B. eine geschützte Datei aus einem Amazon Simple Storage Service (Amazon S3)-Bucket herunterladen möchten, müssen Ihre Anmeldeinformationen diesen Zugriff erlauben. Wenn aus Ihren Anmeldeinformationen nicht hervorgeht, dass Sie zum Herunterladen der Datei berechtigt sind, lehnt AWS Ihre Anforderung ab. Ihre AWS-Sicherheitsanmeldeinformationen sind jedoch nicht erforderlich, um eine Datei in einem öffentlich freigegebenen Amazon-S3-Bucket herunterzuladen.

In AWS gibt es verschiedene Benutzertypen mit jeweils eigenen Sicherheits-Anmeldeinformationen:

  • Eigentümer des Kontos (Root-Benutzer) – Der Benutzer, der das AWS-Konto erstellt hat und über vollständigen Zugriff verfügt.

  • AWS IAM Identity Center-Benutzer – Benutzer, die in AWS IAM Identity Center verwaltet werden.

  • Verbundbenutzer – Benutzer von externen Identitätsanbietern, denen über einen Verbund vorübergehender Zugriff auf AWS gewährt wird. Weitere Informationen zu Verbundidentitäten finden Sie unter Identitätsanbieter und Verbund.

  • IAM-Benutzer – Einzelne Benutzer, die innerhalb des AWS Identity and Access Management (IAM)-Services erstellt wurden.

Benutzer verfügen entweder über langfristige oder temporäre Sicherheitsanmeldeinformationen. Root-Benutzer, IAM-Benutzer und Zugriffsschlüssel haben langfristige Sicherheitsanmeldeinformationen, die nicht ablaufen. Um langfristige Anmeldeinformationen zu schützen, müssen Prozesse zur Verwaltung von Zugriffsschlüsseln, zum Ändern von Passwörtern und zum Aktivieren von MFA vorhanden sein.

Um die Verwaltung von Root-Benutzer-Anmeldeinformationen über alle Mitgliedskonten in AWS Organizations hinweg zu vereinfachen, können Sie die Root-Benutzer-Anmeldeinformationen Ihres mit AWS Organizations verwalteten AWS-Konten zentral sichern. Mit Root-Zugriff für Mitgliedskonten zentral verwalten können Sie die Wiederherstellung der Root-Benutzer-Anmeldeinformationen zentral entfernen und verhindern und so einen unbeabsichtigten Root-Zugriff in großem Umfang verhindern.

IAM-Rollen, Benutzer im AWS IAM Identity Center und Verbundbenutzer haben temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen laufen nach einem definierten Zeitraum ab oder wenn der Benutzer seine Sitzung beendet. Temporäre Anmeldeinformationen funktionieren fast genauso wie die langfristigen Anmeldeinformationen, mit folgenden Unterschieden:

  • Temporäre Sicherheitsanmeldeinformationen sind über einen kurzen Zeitraum gültig, wie der Name schon sagt. Sie können mit einer Gültigkeitsdauer von wenigen Minuten bis mehrere Stunden konfiguriert werden. Nachdem die Anmeldeinformationen abgelaufen sind, erkennt AWS sie nicht mehr an und verweigert den Zugriff von API-Anforderungen, die mit diesen Anmeldeinformationen gestellt werden.

  • Temporäre Sicherheitsanmeldeinformationen werden nicht mit dem Benutzer gespeichert, sondern auf Anforderung des Benutzers dynamisch generiert und bereitgestellt. Wenn (oder sogar bevor) die temporären Anmeldeinformationen ablaufen, kann der Benutzer neue Anmeldeinformationen anfordern, solange der anfordernde Benutzer weiterhin dazu berechtigt ist.

Daher haben temporäre Anmeldeinformationen die folgenden Vorteile gegenüber langfristigen Anmeldeinformationen:

  • Sie müssen keine langfristigen AWS-Sicherheitsanmeldeinformationen mit einer Anwendung verteilen oder einbetten.

  • Sie können Benutzern den Zugriff auf Ihre AWS-Ressourcen erteilen, ohne eine AWS-Identität für sie definieren zu müssen. Temporäre Anmeldeinformationen sind die Grundlage für Rollen und den Identitätsverbund.

  • Die temporären Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie aktualisieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können die Gültigkeit der Anmeldeinformationen bis zu einem bestimmten Höchstwert festlegen.

Sicherheitsüberlegungen

Wir empfehlen, die folgenden Informationen zu berücksichtigen, wenn Sie die Datenschutzvorkehrungen für Ihre AWS-Konto festlegen:

  • Wenn Sie ein AWS-Konto erstellen, wird der Root-Benutzer des Kontos erstellt. Diese Anmeldeinformationen des Root-Benutzers (Kontoinhabers) ermöglichen vollständigen Zugriff auf alle Ressourcen des Kontos. Die erste Aufgabe, die Sie mit dem Root-Benutzer ausführen, besteht darin, einem anderen Benutzer Administratorberechtigungen für Ihr AWS-Konto zu gewähren, damit Sie die Nutzung des Root-Benutzers minimieren.

  • Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene für Benutzer, die auf Ihr AWS-Konto zugreifen können. Für zusätzliche Sicherheit empfehlen wir, dass Sie MFA für die Root-Benutzer des AWS-Kontos-Anmeldeinformationen und alle IAM-Benutzer anfordern. Weitere Informationen finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM.

  • AWS erfordert unterschiedliche Arten von Sicherheitsanmeldeinformationen, je nachdem, wie Sie auf AWS zugreifen und welche Art von AWS-Benutzer Sie sind. So verwenden Sie beispielsweise Anmeldeinformationen für die AWS Management Console, während Sie Zugriffsschlüssel verwenden, um programmgesteuerte Aufrufe an AWS zu tätigen. Hilfe bei der Bestimmung Ihres Benutzertyps und der Anmeldeseite finden Sie unter Was ist AWS-Anmeldung im AWS-Anmeldung-Benutzerhandbuch.

  • Sie können keine IAM-Richtlinien verwenden, um dem Root-Benutzer den Zugriff auf Ressourcen explizit zu verweigern. Sie können nur eine Service-Kontrollrichtlinie (SCP) von AWS Organizations verwenden, um die Berechtigungen des Stammbenutzers zu beschränken.

  • Wenn Sie Ihr Root-Benutzer-Passwort vergessen oder verlieren, müssen Sie Zugriff auf die mit Ihrem Konto verknüpfte E-Mail-Adresse haben, um es zurücksetzen zu können.

  • Wenn Sie Ihre Root-Benutzer-Zugangsschlüssel verlieren, müssen Sie sich in Ihrem Konto als Root-Benutzer anmelden können, um neue zu erstellen.

  • Verwenden Sie Ihren Root-Benutzer nicht für alltägliche Aufgaben. Verwenden Sie ihn nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.

  • Sicherheitsanmeldeinformationen gelten jeweils für ein Konto. Wenn Sie Zugriff auf mehrere AWS-Konten haben, verfügen Sie über separate Anmeldeinformationen für jedes Konto.

  • Richtlinien legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Gruppe auf welchen AWS-Ressourcen und unter welchen Bedingungen ausführen kann. Mit Richtlinien können Sie den Zugriff auf AWS-Services und auf Ressourcen in Ihrem AWS-Konto sicher steuern. Wenn Sie Berechtigungen als Reaktion auf ein Sicherheitsereignis ändern oder widerrufen müssen, löschen oder ändern Sie die Richtlinien, anstatt Änderungen direkt an der Identität vorzunehmen.

  • Stellen Sie sicher, dass Sie die Anmeldeinformationen für Ihren Emergency-Access-IAM-Benutzer und alle Zugriffsschlüssel, die Sie für den programmatischen Zugriff erstellt haben, an einem sicheren Ort speichern. Wenn Sie Ihre Zugriffsschlüssel verlieren, müssen Sie sich in Ihrem Konto anmelden, um neue zu erstellen.

  • Es wird dringend empfohlen, temporäre Anmeldeinformationen zu verwenden, die von IAM-Rollen und Verbundbenutzern bereitgestellt werden, anstelle der langfristigen Anmeldeinformationen, die von IAM-Benutzern und Zugriffsschlüsseln bereitgestellt werden.