AWS Sicherheitsnachweise - AWS Identitäts- und Zugriffsverwaltung
Sicherheitsüberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Sicherheitsnachweise

Bei der Interaktion mit geben Sie Ihre AWS Sicherheitsanmeldedaten an AWS, um zu überprüfen, wer Sie sind und ob Sie berechtigt sind, auf die von Ihnen angeforderten Ressourcen zuzugreifen. AWS verwendet die Sicherheitsanmeldedaten, um Ihre Anfragen zu authentifizieren und zu autorisieren.

Wenn Sie z. B. eine geschützte Datei aus einem Amazon Simple Storage Service (Amazon S3)-Bucket herunterladen möchten, müssen Ihre Anmeldeinformationen diesen Zugriff erlauben. Wenn aus Ihren Anmeldeinformationen nicht hervorgeht, dass Sie zum Herunterladen der Datei berechtigt sind, AWS lehnt Ihre Anfrage ab. Ihre AWS Sicherheitsanmeldedaten sind jedoch nicht erforderlich, um eine Datei in einem Amazon S3 S3-Bucket herunterzuladen, der öffentlich geteilt wird.

Es gibt verschiedene Benutzertypen mit jeweils eigenen Sicherheitsanmeldedaten: AWS

  • Kontoinhaber (Root-Benutzer) — Der Benutzer, der das erstellt hat AWS-Konto und vollen Zugriff hat.

  • AWS IAM Identity Center Benutzer — Benutzer, die in verwaltet AWS IAM Identity Center werden.

  • Verbundbenutzer — Benutzer von externen Identitätsanbietern, denen AWS über den Verbund temporärer Zugriff gewährt wird. Weitere Informationen zu Verbundidentitäten finden Sie unter Identitätsanbieter und Verbund.

  • IAMBenutzer — Einzelne Benutzer, die innerhalb des Dienstes AWS Identity and Access Management (IAM) erstellt wurden.

Benutzer verfügen entweder über langfristige oder temporäre Sicherheitsanmeldeinformationen. Root-Benutzer und IAM Benutzer verfügen über langfristige Sicherheitsanmeldeinformationen, die nicht ablaufen. Zugriffsschlüssel sind langfristige Sicherheitsanmeldeinformationen, die nicht ablaufen. Um langfristige Anmeldeinformationen zu schützen, sollten Sie Prozesse zur Verwaltung von Zugriffsschlüsseln, zur Änderung von Kennwörtern und zur Aktivierung einrichten MFA. Weitere Informationen finden Sie unter Bewährte Methoden und Anwendungsfälle für Sicherheit in AWS Identity and Access Management.

IAMRollen und Verbundbenutzer verfügen über temporäre Sicherheitsanmeldedaten. Benutzer im AWS IAM Identity Center Temporäre Sicherheitsanmeldeinformationen laufen nach einem definierten Zeitraum ab oder wenn der Benutzer seine Sitzung beendet. Temporäre Anmeldeinformationen funktionieren fast genauso wie die langfristigen Anmeldeinformationen, mit folgenden Unterschieden:

  • Temporäre Sicherheitsanmeldeinformationen sind über einen kurzen Zeitraum gültig, wie der Name schon sagt. Sie können mit einer Gültigkeitsdauer von wenigen Minuten bis mehrere Stunden konfiguriert werden. Wenn die Anmeldeinformationen abgelaufen sind, werden sie nicht AWS mehr erkannt und es wird auch kein Zugriff mehr über API Anfragen, die mit ihnen gestellt wurden, gewährt.

  • Temporäre Sicherheitsanmeldeinformationen werden nicht mit dem Benutzer gespeichert, sondern auf Anforderung des Benutzers dynamisch generiert und bereitgestellt. Wenn (oder sogar bevor) die temporären Anmeldeinformationen ablaufen, kann der Benutzer neue Anmeldeinformationen anfordern, solange der anfordernde Benutzer weiterhin dazu berechtigt ist.

Daher haben temporäre Anmeldeinformationen die folgenden Vorteile gegenüber langfristigen Anmeldeinformationen:

  • Sie müssen keine langfristigen AWS Sicherheitsnachweise verteilen oder in eine Anwendung einbetten.

  • Sie können Benutzern Zugriff auf Ihre AWS Ressourcen gewähren, ohne eine AWS Identität für sie definieren zu müssen. Temporäre Anmeldeinformationen sind die Grundlage für Rollen und den Identitätsverbund.

  • Die temporären Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie aktualisieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können die Gültigkeit der Anmeldeinformationen bis zu einem bestimmten Höchstwert festlegen.

Sicherheitsüberlegungen

Wir empfehlen, die folgenden Informationen zu berücksichtigen, wenn Sie die Datenschutzvorkehrungen für Ihre AWS-Konto festlegen:

  • Wenn Sie einen erstellen AWS-Konto, erstellen wir das Konto Root-Benutzer. Diese Anmeldeinformationen des Root-Benutzers (Kontoinhabers) ermöglichen vollständigen Zugriff auf alle Ressourcen des Kontos. Die erste Aufgabe, die Sie mit dem Root-Benutzer ausführen, besteht darin, einem anderen Benutzer Administratorrechte zu gewähren, AWS-Konto sodass Sie die Nutzung des Root-Benutzers minimieren.

  • Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsstufe für Benutzer, die auf Ihren AWS-Konto zugreifen können. Für zusätzliche Sicherheit empfehlen wir, dass Sie die Root-Benutzer des AWS-Kontos Anmeldeinformationen und alle IAM Benutzer angeben. MFA Weitere Informationen finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM.

  • AWS erfordert unterschiedliche Arten von Sicherheitsanmeldedaten, je nachdem, wie Sie darauf zugreifen AWS und welcher AWS Benutzertyp Sie sind. Beispielsweise verwenden Sie Anmeldeinformationen für die AWS Management Console Zeit, in der Sie Zugriffstasten verwenden, um programmatische Aufrufe zu tätigen. AWSHilfe zur Bestimmung Ihres Benutzertyps und Ihrer Anmeldeseite finden Sie im Benutzerhandbuch unter Was ist AWS Anmeldung?.AWS-Anmeldung

  • Sie können IAM Richtlinien nicht verwenden, um dem Root-Benutzer den Zugriff auf Ressourcen explizit zu verweigern. Sie können nur eine AWS Organizations Dienststeuerungsrichtlinie (SCP) verwenden, um die Berechtigungen des Root-Benutzers einzuschränken.

  • Wenn Sie Ihr Root-Benutzer-Passwort vergessen oder verlieren, müssen Sie Zugriff auf die mit Ihrem Konto verknüpfte E-Mail-Adresse haben, um es zurücksetzen zu können.

  • Wenn Sie Ihre Root-Benutzer-Zugangsschlüssel verlieren, müssen Sie sich in Ihrem Konto als Root-Benutzer anmelden können, um neue zu erstellen.

  • Verwenden Sie Ihren Root-Benutzer nicht für alltägliche Aufgaben. Verwenden Sie ihn nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern.

  • Sicherheitsanmeldeinformationen gelten jeweils für ein Konto. Wenn Sie Zugriff auf mehrere AWS-Konten haben, verfügen Sie über separate Anmeldeinformationen für jedes Konto.

  • Richtlinien legen fest, welche Aktionen ein Benutzer, eine Rolle oder ein Mitglied einer Benutzergruppe auf welchen AWS Ressourcen und unter welchen Bedingungen ausführen kann. Mithilfe von Richtlinien können Sie den Zugriff auf AWS-Services und die Ressourcen in Ihrem sicher kontrollieren AWS-Konto. Wenn Sie Berechtigungen als Reaktion auf ein Sicherheitsereignis ändern oder widerrufen müssen, löschen oder ändern Sie die Richtlinien, anstatt Änderungen direkt an der Identität vorzunehmen.

  • Stellen Sie sicher, dass Sie die Anmeldeinformationen für Ihren IAMNotfallzugriffsbenutzer und alle Zugriffsschlüssel, die Sie für den programmatischen Zugriff erstellt haben, an einem sicheren Ort speichern. Wenn Sie Ihre Zugriffsschlüssel verlieren, müssen Sie sich in Ihrem Konto anmelden, um neue zu erstellen.

  • Es wird dringend empfohlen, temporäre Anmeldeinformationen von IAM Rollen und Verbundbenutzern anstelle der langfristigen Anmeldeinformationen von IAM Benutzern und Zugriffsschlüsseln zu verwenden.