IAM-Benutzer - AWS Identity and Access Management
Methoden zum Identifizieren eines IAM-Benutzers durch AWSIAM-Benutzer und AnmeldeinformationenIAM-Benutzer und BerechtigungenIAM-Benutzer und KontenIAM-Benutzer als Servicekonten

IAM-Benutzer

Wichtig

Bewährte Methoden von IAM empfehlen, dass Sie für menschliche Benutzer erfordern, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen, anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu nutzen. Wir empfehlen, IAM-Benutzer nur für bestimmte Anwendungsfälle zu verwenden, die nicht von Verbundbenutzern unterstützt werden.

Ein IAM-Benutzer ist eine Entität, die Sie in Ihrem AWS-Konto erstellen. Der IAM-Benutzer stellt den menschlichen Benutzer oder die Workload dar, der den IAM-Benutzer zur Interaktion mit AWS-Ressourcen verwendet. Ein IAM-Benutzer besteht aus einem Namen und Anmeldeinformationen.

Ein IAM-Benutzer mit Administratorberechtigungen ist nicht dasselbe wie der Root-Benutzer des AWS-Kontos. Weitere Informationen zum Stammbenutzer finden Sie unter Root-Benutzer des AWS-Kontos.

Methoden zum Identifizieren eines IAM-Benutzers durch AWS

Bei der Erstellung eines IAM-Benutzers erstellt IAM die folgenden Elemente zum Identifizieren dieses Benutzers:

  • Einen „Anzeigename“ für den IAM-Benutzer. Dies ist der Name, den Sie beim Erstellen des IAM-Benutzers angegeben haben, z. B. Richard oder Anaya. Diese Namen werden in der AWS Management Console angezeigt.

  • Ein Amazon-Ressourcenname (ARN) für den IAM-Benutzer. Sie verwenden den ARN, um den IAM-Benutzer im gesamten AWS eindeutig zu identifizieren. Sie können z. B. einen ARN verwenden, um den IAM-Benutzer als Principal in einer IAM-Richtlinie für einen Amazon-S3-Bucket festzulegen. Ein ARN für einen IAM-Benutzer könnte folgendes Format aufweisen:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Eine eindeutige ID für den IAM-Benutzer. Diese ID wird nur zurückgegeben, wenn Sie die API, Tools for Windows PowerShell oder AWS CLI verwenden, um den IAM-Benutzer zu erstellen; in der Konsole wird diese ID nicht angezeigt.

Weitere Informationen zu diesen IDs finden Sie unter IAM-IDs.

IAM-Benutzer und Anmeldeinformationen

Sie können je nach IAM-Benutzer-Anmeldeinformation auf unterschiedliche Weise auf AWS zugreifen:

  • Konsolenpasswort: Ein Passwort, das der IAM-Benutzer eingeben kann, um sich bei interaktiven Sitzungen wie der AWS Management Console anzumelden. Das Deaktivieren des Passworts (Konsolenzugriff) für einen IAM-Benutzer verhindert, dass er sich bei der AWS Management Console unter Verwendung seines Benutzernamens und Passworts anmeldet. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen.

  • Zugriffsschlüssel: Werden verwendet, um programmatische Aufrufe an AWS zu tätigen. Es gibt jedoch sicherere Alternativen, die Sie in Betracht ziehen sollten, bevor Sie Zugriffsschlüssel für IAM-Benutzer erstellen. Weitere Informationen finden Sie unter Überlegungen und Alternativen für Schlüssel für den langfristigen Zugriff in der Allgemeine AWS-Referenz. Wenn der IAM-Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI, Tools for Windows PowerShell, AWS-API oder die mobile Anwendung der AWS-Konsole.

  • SSH-Schlüssel für die Verwendung mit CodeCommit: Ein öffentlicher SSH-Schlüssel im OpenSSH-Format, der für die Authentifizierung mit CodeCommit verwendet werden kann.

  • Serverzertifikate: SSL-/TLS-Zertifikate, die Sie zur Authentifizierung mit einigen AWS-Services verwenden können. Wir empfehlen, dass Sie Ihre Serverzertifikate mithilfe von AWS Certificate Manager (ACM) vorbereiten, verwalten und bereitstellen. Verwenden Sie IAM nur für die Unterstützung von HTTPS-Verbindungen in einer Region, die nicht von ACM unterstützt wird. Informationen darüber, welche Regionen ACM unterstützen, finden Sie unter AWS Certificate Manager-Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.

Sie können die richtigen Anmeldeinformationen für Ihren IAM-Benutzer wählen. Wenn Sie die AWS Management Console verwenden, um einen IAM-Benutzer zu erstellen, müssen Sie mindestens ein Konsolenpasswort oder Zugriffsschlüssel eingeben. Standardmäßig weist ein brandneuer IAM-Benutzer, der mit der AWS CLI- oder AWS-API erstellt wurde, keine Anmeldeinformationen auf. Sie müssen die Art der Anmeldeinformationen für einen IAM-Benutzer je nach dem Anwendungsfall erstellen.

Sie haben die folgenden Optionen zum Verwalten von Passwörtern, Zugriffsschlüsseln und Multi-Faktor-Authentifizierung (MFA)-Geräten:

  • Verwalten von Passwörtern für Ihre IAM-Benutzer. Erstellen und ändern Sie die Passwörter, die Zugriff auf die AWS Management Console ermöglichen. Legen Sie eine Passwortrichtlinie fest, um eine Mindest-Passwortkomplexität zu erzwingen. Erlauben Sie IAM-Benutzern, ihre eigenen Passwörter zu ändern.

  • Verwalten der Zugriffsschlüssel für Ihre IAM-Benutzer. Erstellen und aktualisieren Sie Zugriffsschlüssel für den programmgesteuerten Zugriff auf die Ressourcen in Ihrem Konto.

  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den IAM-Benutzer. Als bewährte Methode empfehlen wir, dass Sie Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer in Ihrem Konto benötigen. Bei MFA müssen IAM-Benutzer zwei Arten der Identifizierung bereitstellen: Erstens müssen sie die Anmeldeinformationen bereitstellen, die Teil ihrer Benutzeridentität sind (ein Passwort oder einen Zugriffsschlüssel). Darüber hinaus bieten sie einen temporären Zahlencode, der auf einem Hardwaregerät oder durch eine Anwendung auf einem Smartphone oder Tablet generiert wird.

  • Suchen von ungenutzten Passwörtern und Zugriffsschlüsseln. Alle Personen, die ein Passwort oder einen Zugriffsschlüssel für Ihr Konto besitzen, oder ein IAM-Benutzer in Ihrem Konto mit Zugriff auf Ihre AWS-Ressourcen. Die bewährte Methode für die Sicherheit besteht darin, Passwörter und Zugriffsschlüssel zu entfernen, wenn IAM-Benutzer sie nicht mehr benötigen.

  • Herunterladen eines Berichts zu Anmeldeinformationen für Ihr Konto. Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle IAM-Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Für Passwörter und Zugriffsschlüssel zeigt der Bericht an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde.

IAM-Benutzer und Berechtigungen

Standardmäßig besitzt ein neuer IAM-Benutzer überhaupt keine Berechtigungen. Der Benutzer ist nicht autorisiert, AWS-Vorgänge durchzuführen oder auf jegliche AWS-Ressourcen zuzugreifen. Ein Vorteil, über einzelne IAM-Benutzer zu verfügen, besteht darin, dass Sie jedem Benutzer individuell Berechtigungen zuweisen können. Sie können einigen Benutzern Administratorberechtigungen zuweisen, die dann Ihre AWS-Ressourcen verwalten und sogar andere IAM-Benutzer erstellen und verwalten können. In den meisten Fällen sollten Sie jedoch die Berechtigungen eines Benutzers nur auf die Aufgaben (AWS-Aktionen oder -Operationen) und Ressourcen beschränken, die für die Aufgabe benötigt werden.

Angenommen, wir haben einen Benutzer namens Diego. Wenn Sie IAM-Benutzer Diego erstellen, weisen Sie ihm auch Berechtigungen zu, die es ihm ermöglichen, eine bestimmte Amazon-EC2-Instance zu starten und Informationen aus einer Tabelle in einer Amazon-RDS-Datenbank zu lesen (GET). Verfahren zum Erstellen von IAM-Benutzern und zum Gewähren anfänglicher Anmeldeinformationen und Berechtigungen finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto. Anweisungen zum Ändern der Berechtigungen für vorhandene Benutzer finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer. Anweisungen zum Ändern des Passworts oder der Zugriffsschlüssel des Benutzers finden Sie unter Benutzerpasswörter in AWS und Verwalten von Zugriffsschlüsseln für IAM-Benutzer.

Sie können Ihren IAM-Benutzern auch eine Berechtigungsgrenze hinzufügen. Eine Berechtigungsgrenze ist ein erweitertes Feature, mit der Sie verwaltete AWS-Richtlinien verwenden können, um die maximalen Berechtigungen zu begrenzen, die eine identitätsbasierte Richtlinie einem IAM-Benutzer oder einer Rolle gewähren kann. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.

IAM-Benutzer und Konten

Jeder IAM-Benutzer kann nur einem einzigen AWS-Konto zugeordnet sein. Da IAM-Benutzer in Ihrem AWS-Konto definiert sind, müssen diese bei AWS keine Zahlungsart hinterlegt haben. Alle von IAM-Benutzern in Ihrem Konto durchgeführten AWS-Aktivitäten werden über Ihr Konto abgerechnet.

Anzahl und Größe von IAM-Ressourcen in einem AWS-Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und AWS STS-Kontingente.

IAM-Benutzer als Servicekonten

Ein IAM-Benutzer ist eine Ressource in IAM, der Anmeldeinformationen und Berechtigungen zugeordnet sind. Ein IAM-Benutzer kann eine Person oder eine Anwendung darstellen, die ihre Anmeldeinformationen für AWS-Anforderungen verwendet. Dies wird in der Regel als Servicekonto bezeichnet. Falls Sie die langfristigen Anmeldeinformationen eines IAM-Benutzers in Ihrer Anwendung verwenden möchten, betten Sie keine Zugriffsschlüssel direkt in den Anwendungscode ein. Die AWS-SDKs und die AWS Command Line Interface ermöglichen es Ihnen, Zugriffsschlüssel in bekannten Speicherorten abzulegen, sodass Sie sie nicht in den Code integrieren müssen. Weitere Informationen finden Sie unter Manage IAM User Access Keys Properly (Ordnungsgemäßes Verwalten von IAM-Benutzerzugriffsschlüsseln) in der Allgemeine AWS-Referenz. Alternativ und als bewährte Methode können Sie temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle langfristiger Zugriffsschlüssel verwenden.