IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können - AWS Identity and Access Management
VoraussetzungenSchritt 1: Erstellen einer Richtlinie zum Erzwingen der MFA-AnmeldungSchritt 2: Zuweisen von Richtlinien zu Ihrer TestgruppeSchritt 3: Testen des BenutzerzugriffsZugehörige Ressourcen

IAM-Tutorial: Zulassen, dass Ihre Benutzer ihre eigenen Anmeldeinformationen und MFA-Einstellungen konfigurieren können

Sie können Ihren Benutzern ermöglichen, ihre eigenen Multi-Faktor-Authentifizierungsgeräte (MFA) und Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten. Mit AWS Management Console können Sie Anmeldeinformationen (Zugriffsschlüssel, Passwörter, Signaturzertifikate und öffentliche SSH-Schlüssel) konfigurieren, nicht benötigte Anmeldeinformationen löschen oder deaktivieren und MFA-Geräte für Ihre Benutzer aktivieren. Dies ist für eine kleine Anzahl von Benutzern nützlich, diese Aufgabe kann jedoch schnell zeitaufwändig werden, wenn die Anzahl der Benutzer zunimmt. Ziel dieses Tutorials ist es, Ihnen zu zeigen, wie Sie diese bewährten Methoden umsetzen, ohne Ihre Administratoren zu belasten.

In diesem Tutorial wird erklärt, wie Benutzern Zugriff auf AWS-Services gewährt wird, aber nur, wenn sie sich mit MFA anmelden. Wenn sie nicht mit einem MFA-Gerät angemeldet sind, können Benutzer nicht auf andere Services zugreifen.

Dieser Workflow umfasst drei grundlegende Schritte.

Schritt 1: Erstellen einer Richtlinie zum Erzwingen der MFA-Anmeldung

Erstellen einer vom Kunden verwalteten Richtlinie, die alle Aktionen verbietet außer die wenigen IAM-Aktionen. Diese Ausnahmen ermöglichen es einem Benutzer, seine eigenen Anmeldeinformationen zu ändern und seine MFA-Geräte auf der Seite Sicherheits-Anmeldeinformationen zu verwalten. Weitere Informationen zum Zugriff auf diese Seite finden Sie unter Wie IAM-Benutzer ihr eigenes Passwort ändern können (Konsole).

Schritt 2: Zuweisen von Richtlinien zu Ihrer Testgruppe

Erstellen Sie eine Gruppe, deren Mitglieder vollen Zugriff auf alle Amazon EC2-Aktionen haben, wenn sie sich mit MFA anmelden. Um eine solche Gruppe zu erstellen, fügen Sie sowohl die von AWS-verwaltete Richtlinie mit dem Namen AmazonEC2FullAccess als auch die vom Kunden verwaltete Richtlinie an, die Sie im ersten Schritt erstellt haben.

Schritt 3: Testen des Benutzerzugriffs

Melden Sie sich als Testbenutzer an, um zu überprüfen, ob der Zugriff auf Amazon EC2 blockiert ist, bis der Benutzer ein MFA-Gerät erstellt. Der Benutzer kann sich dann mit diesem Gerät anmelden.

Voraussetzungen

Um die Schritte in dieser praktischen Anleitung auszuführen, müssen Sie bereits über Folgendes verfügen:

  • Ein AWS-Konto, bei dem Sie sich als IAM-Benutzer mit Administratorberechtigungen anmelden können.

  • Ihre Konto-ID, die Sie in Schritt 1 in die Richtlinie eingeben.

    Um Ihre Konto-ID-Nummer zu finden, wählen Sie auf der Navigationsleiste oben auf der Seite die Option Support aus und klicken Sie dann auf Support Center. Sie finden Ihre Konto-ID im Menü Support dieser Seite.

  • Ein virtuelles (softwarebasiertes) MFA-Gerät, FIDO-Sicherheitsschlüssel oder hardwarebasiertes MFA-Gerät.

  • Ein IAM-Testbenutzer, der ein Mitglied einer Gruppe wie folgt ist:

Benutzername Anweisungen zum Benutzernamen Benutzergruppenname Hinzufügen des Benutzers als Mitglied Anweisungen zu Benutzergruppen
MFAUser Wählen Sie nur die Option für Enable console access – optional (Konsolenzugriff aktivieren – optional aus und weisen Sie ein Passwort zu. EC2MFA MFAUser Ordnen Sie dieser Gruppe KEINE Richtlinien zu und erteilen Sie anderweitig Berechtigungen.

Schritt 1: Erstellen einer Richtlinie zum Erzwingen der MFA-Anmeldung

Sie beginnen mit dem Erstellen einer vom Kunden verwalteten IAM-Richtlinie, die alle Berechtigungen verweigert, mit Ausnahme derer, die erforderlich sind, damit IAM-Benutzer ihre eigenen Anmeldeinformationen und MFA-Geräte verwalten können.

  1. Melden Sie sich als administrativer Benutzer bei der AWS-Managementkonsole an. Melden Sie sich zur Einhaltung bewährter Methoden für IAM nicht mit Root-Benutzer des AWS-Kontos-Anmeldeinformationen an.

    Wichtig

    Bewährte Methoden von IAM empfehlen, dass Sie für menschliche Benutzer erfordern, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen, anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu nutzen. Wir empfehlen, IAM-Benutzer nur für bestimmte Anwendungsfälle zu verwenden, die nicht von Verbundbenutzern unterstützt werden.

  2. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  3. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

  4. Wählen Sie die Registerkarte JSON aus und kopieren Sie den Text aus dem folgenden JSON-Richtliniendokument: AWS: Ermöglicht es MFA-authentifizierten IAM-Benutzern, ihr eigenen Anmeldeinformationen auf der Seite Sicherheits-Anmeldeinformationen zu verwalten.

  5. Fügen Sie den folgenden Text in das JSON-Eingabefeld ein. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinien-Validierung erzeugt wurden, und wählen Sie dann Next (Weiter) aus.

    Anmerkung

    Sie können jederzeit zwischen den Optionen Visual-Editor und JSON wechseln. Die Richtlinie oben enthält jedoch das NotAction-Element, welches im visuellen Editor nicht unterstützt wird. Für diese Richtlinie wird eine Benachrichtigung auf der Registerkarte Visual-Editor (Visueller Editor) angezeigt. Kehren Sie zu JSON zurück, um weiter mit dieser Richtlinie zu arbeiten.

    Diese Beispielrichtlinie erlaubt es Benutzern nicht, ein Passwort zurückzusetzen, wenn sie sich zum ersten Mal bei AWS Management Console anmelden. Wir empfehlen, dass Sie neuen Benutzern keine Berechtigungen erteilen, bis sie sich angemeldet haben.

  6. Geben Sie auf der Seite Review and create (Überprüfen und erstellen) als Richtliniennamen Force_MFA ein. Geben Sie für die Richtlinienbeschreibung im Abschnitt Tags This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. ein. Optional können Sie Tag-Schlüssel-Wert-Paare zur vom Kunden verwalteten Richtlinie hinzufügen. Überprüfen Sie die von ihrer Richtlinie erteilten Berechtigungen und wählen Sie dann zum Speichern Ihrer Arbeit Create policy (Richtlinie erstellen) aus.

    Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt und ist bereit.

Schritt 2: Zuweisen von Richtlinien zu Ihrer Testgruppe

Als Nächstes ordnen Sie der Test-IAM-Benutzergruppe zwei Richtlinien zu, die für die Erteilung der MFA-geschützten Berechtigungen verwendet werden.

  1. Klicken Sie im Navigationsbereich auf Groups oder Users.

  2. Geben Sie EC2MFA in das Suchfeld ein und wählen Sie dann den Gruppennamen (nicht das Kontrollkästchen) in der Liste aus.

  3. Wählen Sie die Registerkarte Permissions (Berechtigungen), wählen Sie Add permissions (Berechtigungen hinzufügen) und wählen Sie dann Attach policies (Richtlinien anhängen).

  4. Geben Sie auf der Seite Berechtigungsrichtlinien der EC2MFA-Gruppe zuordnen in das Suchfeld EC2Full ein. Aktivieren Sie dann das Kontrollkästchen neben AmazonEC2FullAccess in der Liste. Speichern Sie Ihre Änderungen noch nicht.

  5. Geben Sie Force in das Suchfeld ein und aktivieren Sie dann das Kontrollkästchen neben Force_MFA in der Liste.

  6. Wählen Sie Attach Policies (Richtlinien hinzufügen).

Schritt 3: Testen des Benutzerzugriffs

In diesem Teil des Tutorials melden Sie sich als Testbenutzer an und überprüfen, ob die Richtlinie wie vorgesehen funktioniert.

  1. Melden Sie sich bei Ihrem AWS-Konto als MFAUser mit dem Passwort an, das Sie im vorherigen Abschnitt zugewiesen haben. Verwenden Sie die URL: https://<alias or account ID number>.signin.aws.amazon.com/console

  2. Wählen Sie EC2, um die Amazon EC2-Konsole zu öffnen und zu überprüfen, dass der Benutzer hat keine Berechtigungen für das Durchführen von Aktivitäten hat.

  3. Wählen Sie auf der Navigationsleiste rechts oben den MFAUser-Benutzernamen und Security Credentials (Sicherheitsanmeldeinformationen).

    Link zu den Sicherheits-Anmeldeinformationen in der AWS-Managementkonsole.

  4. Fügen Sie nun ein MFA-Gerät hinzu. Wählen Sie im Abschnitt Multi-Factor Authentication (MFA) die Option Assign MFA device (MFA-Gerät zuweisen).

    Anmerkung

    Sie könnten eine Fehlermeldung erhalten, die darauf hinweist, dass Sie für die Ausführung von iam:DeleteVirtualMFADevice nicht autorisiert sind. Dies kann passieren, wenn jemand zuvor damit begonnen hat, ein virtuelles MFA-Gerät zu diesem Benutzern zuzuweisen und den Prozess dann abgebrochen hat. Damit Sie fortfahren können, müssen Sie oder ein anderer Administrator das vorhandene nicht zugewiesene, virtuelle MFA-Gerät des Benutzers löschen. Weitere Informationen finden Sie unter Ich bin nicht berechtigt zur Ausführung von: iam:DeleteVirtualMFADevice.

  5. Für dieses Tutorial verwenden wir ein virtuelles (softwarebasiertes) MFA-Gerät, wie z. B. die Google Authenticator-App auf einem Mobiltelefon. Wählen Sie die Authenticator-App und klicken Sie dann auf Next (Weiter).

    IAM generiert Konfigurationsinformationen für das virtuelle MFA-Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des geheimen Konfigurationsschlüssels, der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

  6. Öffnen Sie Ihre virtuelle MFA-App. (Eine Liste der Anwendungen, die Sie zum Hosten von virtuellen MFA-Geräten verwenden können, finden Sie unter Virtuelle MFA-Anwendungen.) Wenn die virtuelle MFA-App mehrere Konten (mehrere virtuelle MFA-Geräte) unterstützt, wählen Sie die Option zum Erstellen eines neuen Kontos (eines neues virtuellen MFA-Geräts).

  7. Stellen Sie fest, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:

    • Wählen Sie im Assistenten Show QR-Code (QR-Code anzeigen). Verwenden Sie dann die App, um den QR-Code zu scannen. Sie können beispielsweise das Kamerasymbol oder eine Anwendung wie z. B. Scan Code (Code scannen) auswählen und dann mit der Kamera des Geräts den Code scannen.

    • Wählen Sie im Assistenten zum Einrichten des Geräts die Option Show secret key (Geheimen Schlüssel anzeigen) aus und geben Sie dann den geheimen Schlüssel in Ihre MFA-App ein.

    Wenn Sie fertig sind, beginnt das virtuelle MFA-Gerät, einmalige Passwörter zu generieren.

  8. Geben Sie im Assistenten zum Einrichten eines Geräts im Feld Authentication Code 1 das aktuell am virtuellen MFA-Gerät angezeigte einmalige Passwort ein. Wählen Sie die Option Register MFA (MFA registrieren).

    Wichtig

    Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft. Allerdings ist das MFA-Gerät nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren.

    Das virtuelle MFA-Gerät ist jetzt für die Verwendung mit AWS bereit.

  9. Melden Sie sich bei der Konsole ab und anschließend erneut als MFAUser an. Dieses Mal werden Sie von AWS aufgefordert, einen MFA-Code von Ihrem Telefon einzugeben. Wenn Sie ihn erhalten, geben Sie den Code in das Feld ein und wählen Sie dann Submit (Absenden).

  10. Wählen Sie EC2, um die Amazon EC2-Konsole erneut zu öffnen. Beachten Sie, dass Sie jetzt alle Informationen sehen und alle gewünschten Aktionen ausführen können. Wenn Sie als dieser Benutzer zu einer anderen Konsole wechseln, erhalten Sie Meldungen, die besagen, dass der Zugriff verweigert wurde. Der Grund dafür ist, dass die Richtlinien in diesem Tutorial nur Zugriff auf Amazon EC2 gewähren.

Weitere Informationen finden Sie unter den folgenden Themen: