IAMTutorial: Benutzern erlauben, ihre Anmeldeinformationen und MFA Einstellungen zu verwalten - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenSchritt 1: Erstellen Sie eine Richtlinie, um die MFA Anmeldung zu erzwingenSchritt 2: Zuweisen von Richtlinien zu Ihrer TestgruppeSchritt 3: Testen des BenutzerzugriffsZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMTutorial: Benutzern erlauben, ihre Anmeldeinformationen und MFA Einstellungen zu verwalten

Auf der Seite Sicherheitsanmeldedaten können Sie Ihren Benutzern gestatten, ihre eigenen Geräte und Anmeldeinformationen mit Multi-Faktor-Authentifizierung (MFA) zu verwalten. Sie können die verwenden, AWS Management Console um Anmeldeinformationen (Zugriffsschlüssel, Passwörter, Signaturzertifikate und SSH öffentliche Schlüssel) zu konfigurieren, nicht benötigte Anmeldeinformationen zu löschen oder zu deaktivieren und MFA Geräte für Ihre Benutzer zu aktivieren. Dies ist für eine kleine Anzahl von Benutzern nützlich, diese Aufgabe kann jedoch schnell zeitaufwändig werden, wenn die Anzahl der Benutzer zunimmt. Ziel dieses Tutorials ist es, Ihnen zu zeigen, wie Sie diese bewährten Methoden umsetzen, ohne Ihre Administratoren zu belasten.

In diesem Tutorial wird gezeigt, wie Sie Benutzern den Zugriff auf AWS Dienste ermöglichen, jedoch nur, wenn sie sich mit anmeldenMFA. Wenn sie nicht mit einem MFA Gerät angemeldet sind, können Benutzer nicht auf andere Dienste zugreifen.

Dieser Workflow umfasst drei grundlegende Schritte.

Schritt 1: Erstellen Sie eine Richtlinie, um die MFA Anmeldung zu erzwingen

Erstellen Sie eine vom Kunden verwaltete Richtlinie, die alle Aktionen außer den wenigen IAM Aktionen verbietet. Diese Ausnahmen ermöglichen es Benutzern, ihre eigenen Anmeldeinformationen zu ändern und ihre MFA Geräte auf der Seite Sicherheitsanmeldedaten zu verwalten. Weitere Informationen zum Zugriff auf diese Seite finden Sie unter Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole).

Schritt 2: Zuweisen von Richtlinien zu Ihrer Testgruppe

Erstellen Sie eine Benutzergruppe, deren Mitglieder vollen Zugriff auf alle EC2 Amazon-Aktionen haben, wenn sie sich mit anmeldenMFA. Um eine solche Benutzergruppe zu erstellen, fügen Sie sowohl die aufgerufene AWS verwaltete Richtlinie als AmazonEC2FullAccess auch die vom Kunden verwaltete Richtlinie hinzu, die Sie im ersten Schritt erstellt haben.

Schritt 3: Testen des Benutzerzugriffs

Melden Sie sich als Testbenutzer an, um zu überprüfen, ob der Zugriff auf Amazon gesperrt EC2 ist, bis der Benutzer ein MFA Gerät erstellt. Der Benutzer kann sich dann mit diesem Gerät anmelden.

Voraussetzungen

Um die Schritte in dieser praktischen Anleitung auszuführen, müssen Sie bereits über Folgendes verfügen:

  • Ein AWS-Konto , bei dem Sie sich als IAM Benutzer mit Administratorrechten anmelden können.

  • Ihre Konto-ID, die Sie in Schritt 1 in die Richtlinie eingeben.

    Um Ihre Konto-ID-Nummer zu finden, wählen Sie auf der Navigationsleiste oben auf der Seite die Option Support aus und klicken Sie dann auf Support Center. Sie finden Ihre Konto-ID im Menü Support dieser Seite.

  • Ein virtuelles (softwarebasiertes) MFA Gerät, ein FIDOSicherheitsschlüssel oder ein hardwarebasiertes MFA Gerät.

  • Ein IAM Testbenutzer, der wie folgt Mitglied einer Benutzergruppe ist:

Benutzername Anweisungen für den Benutzernamen Benutzergruppenname Hinzufügen des Benutzers als Mitglied Anweisungen für Benutzergruppen
MFAUser Wählen Sie nur die Option für Enable console access – optional (Konsolenzugriff aktivieren – optional aus und weisen Sie ein Passwort zu. EC2MFA MFAUser NOTHängen Sie Richtlinien an oder gewähren Sie dieser Benutzergruppe anderweitig Berechtigungen.

Schritt 1: Erstellen Sie eine Richtlinie, um die MFA Anmeldung zu erzwingen

Sie beginnen mit der Erstellung einer vom IAM Kunden verwalteten Richtlinie, die IAM Benutzern alle Berechtigungen verweigert, mit Ausnahme derjenigen, die für die Verwaltung ihrer eigenen Anmeldeinformationen und MFA Geräte erforderlich sind.

  1. Melden Sie sich als Benutzer mit Administratoranmeldedaten bei der AWS Management Console an. Melden Sie sich nicht mit Ihren Root-Benutzer des AWS-Kontos Anmeldeinformationen an, um sich an IAM bewährte Methoden zu halten.

    Wichtig

    IAMBewährte Methoden empfehlen, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um mit temporären Anmeldeinformationen zuzugreifen AWS , anstatt IAM Benutzer mit langfristigen Anmeldeinformationen zu verwenden.

  2. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  3. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

  4. Wählen Sie die JSONRegisterkarte und kopieren Sie den Text aus dem folgenden JSON Richtliniendokument:AWS: Ermöglicht MFA-authentifizierten IAM-Benutzern, ihre eigenen Anmeldeinformationen auf der Seite Sicherheitsanmeldedaten zu verwalten.

  5. Fügen Sie den Richtlinientext in das JSONTextfeld ein. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Next (Weiter) aus.

    Anmerkung

    Sie können jederzeit zwischen dem Visual Editor und den JSONOptionen wechseln. Die Richtlinie oben enthält jedoch das NotAction-Element, welches im visuellen Editor nicht unterstützt wird. Für diese Richtlinie wird eine Benachrichtigung auf der Registerkarte Visual-Editor (Visueller Editor) angezeigt. Kehren Sie zurück JSONzu, um weiter mit dieser Richtlinie zu arbeiten.

    Diese Beispielrichtlinie erlaubt es Benutzern nicht, ein Passwort zurückzusetzen, wenn sie sich zum ersten Mal bei AWS Management Console anmelden. Wir empfehlen, dass Sie neuen Benutzern keine Berechtigungen erteilen, bis sie sich angemeldet haben.

  6. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) als Richtliniennamen Force_MFA ein. Geben Sie für die Richtlinienbeschreibung im Abschnitt Tags This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. ein. Optional können Sie Tag-Schlüssel-Wert-Paare zur vom Kunden verwalteten Richtlinie hinzufügen. Überprüfen Sie die von ihrer Richtlinie erteilten Berechtigungen und wählen Sie dann zum Speichern Ihrer Arbeit Create policy (Richtlinie erstellen) aus.

    Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt und ist bereit.

Schritt 2: Zuweisen von Richtlinien zu Ihrer Testgruppe

Als Nächstes fügen Sie der IAM Testbenutzergruppe zwei Richtlinien hinzu, anhand derer die MFA -geschützten Berechtigungen erteilt werden.

  1. Klicken Sie im Navigationsbereich auf Groups oder Users.

  2. Geben Sie EC2MFA in das Textfeld ein und wählen Sie dann den Gruppennamen (nicht das Kontrollkästchen) in der Liste.

  3. Wählen Sie die Registerkarte Permissions (Berechtigungen), wählen Sie Add permissions (Berechtigungen hinzufügen) und wählen Sie dann Attach policies (Richtlinien anhängen).

  4. Geben EC2Full Sie auf der Seite Berechtigungsrichtlinien an EC2MFA Gruppe anhängen in das Suchfeld den Text ein. Aktivieren Sie dann das Kontrollkästchen neben Amazon EC2FullAccess in der Liste. Speichern Sie Ihre Änderungen noch nicht.

  5. Geben Sie in das Suchfeld einForce, und aktivieren Sie dann das Kontrollkästchen neben Force_ MFA in der Liste.

  6. Wählen Sie Attach Policies (Richtlinien hinzufügen).

Schritt 3: Testen des Benutzerzugriffs

In diesem Teil des Tutorials melden Sie sich als Testbenutzer an und überprüfen, ob die Richtlinie wie vorgesehen funktioniert.

  1. Melden Sie sich MFAUser mit dem Passwort, das Sie im vorherigen Abschnitt vergeben haben, bei Ihrem AWS-Konto AS an. Verwenden Sie denURL: https://<alias or account ID number>.signin.aws.amazon.com/console

  2. Öffnen Sie EC2die EC2 Amazon-Konsole und stellen Sie sicher, dass der Benutzer keine Rechte hat, etwas zu tun.

  3. Wählen Sie auf der Navigationsleiste rechts oben den MFAUser-Benutzernamen und Security Credentials (Sicherheitsanmeldeinformationen).

    AWS Link zu den Sicherheitsanmeldedaten der Management-Konsole.

  4. Fügen Sie jetzt ein MFA Gerät hinzu. Wählen Sie im Abschnitt Multi-Faktor-Authentifizierung (MFA) die Option MFAGerät zuweisen aus.

    Anmerkung

    Sie könnten eine Fehlermeldung erhalten, die darauf hinweist, dass Sie für die Ausführung von iam:DeleteVirtualMFADevice nicht autorisiert sind. Dies kann passieren, wenn jemand zuvor damit begonnen hat, diesem Benutzer ein virtuelles MFA Gerät zuzuweisen und den Vorgang abgebrochen hat. Um fortzufahren, müssen Sie oder ein anderer Administrator das bestehende, dem Benutzer nicht zugewiesene virtuelle MFA Gerät löschen. Weitere Informationen finden Sie unter Ich bin nicht berechtigt, Folgendes auszuführen: iam: MFADevice DeleteVirtual.

  5. Für dieses Tutorial verwenden wir ein virtuelles (softwarebasiertes) MFA Gerät wie die Google Authenticator-App auf einem Mobiltelefon. Wählen Sie die Authenticator-App und klicken Sie dann auf Next (Weiter).

    IAMgeneriert und zeigt Konfigurationsinformationen für das virtuelle MFA Gerät an, einschließlich einer QR-Code-Grafik. Dieser Code ist eine grafische Darstellung des geheimen Konfigurationsschlüssels, der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

  6. Öffnen Sie Ihre virtuelle MFA App. (Eine Liste der Apps, die Sie zum Hosten virtueller MFA Geräte verwenden können, finden Sie unter Virtuelle MFA Anwendungen.) Wenn die virtuelle MFA App mehrere Konten (mehrere virtuelle MFA Geräte) unterstützt, wählen Sie die Option zum Erstellen eines neuen Kontos (eines neuen virtuellen MFA Geräts).

  7. Stellen Sie fest, ob die MFA App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:

    • Wählen Sie im Assistenten Show QR-Code (QR-Code anzeigen). Verwenden Sie dann die App, um den QR-Code zu scannen. Sie können beispielsweise das Kamerasymbol oder eine Anwendung wie z. B. Scan Code (Code scannen) auswählen und dann mit der Kamera des Geräts den Code scannen.

    • Wählen Sie im Assistenten zum Einrichten von Geräten die Option Geheimen Schlüssel anzeigen aus und geben Sie dann den geheimen Schlüssel in Ihre MFA App ein.

    Wenn Sie fertig sind, beginnt das virtuelle MFA Gerät mit der Generierung von Einmalpasswörtern.

  8. Klicken Sie im Assistenten zum Einrichten des Geräts in der App Geben Sie den Code aus Ihrer Authentifikator-App ein. Geben Sie in das Feld das Einmalpasswort ein, das derzeit auf dem virtuellen MFA Gerät angezeigt wird. Wählen Sie RegisterMFA aus.

    Wichtig

    Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und dann zu lange warten, um die Anfrage zu senden, wurde das MFA Gerät erfolgreich mit dem Benutzer verknüpft. Das MFA Gerät ist jedoch nicht synchron. Dies liegt daran, dass zeitbasierte Einmalkennwörter (TOTP) nach kurzer Zeit ablaufen. In diesem Fall können Sie das Gerät neu synchronisieren.

    Das virtuelle MFA Gerät kann jetzt mit AWS verwendet werden.

  9. Melden Sie sich bei der Konsole ab und anschließend erneut als MFAUser an. Diesmal AWS werden Sie aufgefordert, einen MFA Code von Ihrem Telefon einzugeben. Wenn Sie ihn erhalten, geben Sie den Code in das Feld ein und wählen Sie dann Submit (Absenden).

  10. Wählen Sie EC2, ob Sie die EC2 Amazon-Konsole erneut öffnen möchten. Beachten Sie, dass Sie jetzt alle Informationen sehen und alle gewünschten Aktionen ausführen können. Wenn Sie als dieser Benutzer zu einer anderen Konsole wechseln, erhalten Sie Meldungen, die besagen, dass der Zugriff verweigert wurde. Der Grund dafür ist, dass die Richtlinien in diesem Tutorial nur Amazon Zugriff gewährenEC2.

Weitere Informationen finden Sie unter den folgenden Themen: