Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Weisen Sie ein Hardware-TOTP-Token zu in der AWS-Managementkonsole
**Wichtig**
AWS empfiehlt, dass Sie, wo immer möglich, einen Hauptschlüssel oder Sicherheitsschlüssel für MFA verwenden. AWS Weitere Informationen finden Sie unter [Weisen Sie einen Hauptschlüssel oder Sicherheitsschlüssel zu in AWS-Managementkonsole](id_credentials_mfa_enable_fido.md).
Ein Hardware-TOTP-Token generiert auf der Grundlage des Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) einen sechsstelligen numerischen Code. Der Benutzer muss einen gültigen Code vom Gerät eingeben, wenn er während des Anmeldevorgangs dazu aufgefordert wird. Ein MFA-Gerät muss einem Benutzer eindeutig zugewiesen werden. Ein Benutzer kann sich nicht mit dem Code eines anderen Geräts authentifizieren. MFA-Geräte können nicht über Konten oder Benutzer hinweg freigegeben werden.
Hardware-TOTP-Token und [FIDO-Sicherheitsschlüssel](id_credentials_mfa_enable_fido.md) sind physische Geräte, die Sie kaufen können. Hardware-MFA-Geräte generieren TOTP-Codes für die Authentifizierung, wenn Sie sich anmelden. AWS Sie sind auf Batterien angewiesen, die im Laufe der Zeit möglicherweise ausgetauscht und neu synchronisiert werden müssen. AWS FIDO-Sicherheitsschlüssel, die Kryptografie mit öffentlichen Schlüsseln verwenden, benötigen keine Batterien und bieten einen nahtlosen Authentifizierungsprozess. Wir empfehlen die Verwendung von FIDO-Sicherheitsschlüsseln aufgrund ihrer Phishing-Resistenz, die eine sicherere Alternative zu TOTP-Geräten darstellen. Darüber hinaus können FIDO-Sicherheitsschlüssel mehrere IAM- oder Root-Benutzer auf demselben Gerät unterstützen, was ihren Nutzen für die Kontosicherheit erhöht. Spezifikationen und Kaufinformationen für beide Gerätetypen finden Sie unter [Multifaktor-Authentifizierung](https://aws.amazon.com/iam/details/mfa/).
Sie können ein Hardware-TOTP-Token für einen IAM-Benutzer über die AWS-Managementkonsole Befehlszeile oder die IAM-API aktivieren. Informationen zum Aktivieren eines MFA-Geräts für Sie finden Sie Root-Benutzer des AWS-Kontos unter[Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).
Sie können bis zu **acht** MFA-Geräte mit einer beliebigen Kombination der [derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) bei Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzern registrieren. Bei mehreren MFA-Geräten benötigen Sie nur ein MFA-Gerät, um sich AWS CLI als dieser Benutzer anzumelden AWS-Managementkonsole oder eine Sitzung über den zu erstellen.
**Wichtig**
Wir empfehlen Ihnen, mehrere MFA-Geräte für Ihre Benutzer zu aktivieren, damit Sie im Falle eines verlorenen oder unzugänglichen MFA-Geräts weiterhin auf Ihr Konto zugreifen können.
**Anmerkung**
Wenn Sie das Gerät über die Befehlszeile aktivieren möchten, verwenden Sie [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html). Um das MFA-Gerät mit der IAM-API zu aktivieren, verwenden Sie die Operation [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html).
**Topics**
+ [Erforderliche Berechtigungen](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-own-iam-user)
+ [Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-iam-user)
+ [Ersetzen eines physischen MFA-Geräts](#replace-phys-mfa)
## Erforderliche Berechtigungen
Um ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer zu verwalten und dabei gleichzeitig sensible MFA-bezogene Aktionen zu schützen, benötigen Sie die Berechtigungen von der folgenden Richtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Aktivieren eines physischen TOTP-Tokens für Ihren eigenen IAM-Benutzer (Konsole)
Sie können Ihr eigenes physisches TOTP-Token über die AWS-Managementkonsole aktivieren.
**Anmerkung**
Bevor Sie ein physisches TOTP-Token aktivieren können, benötigen Sie physischen Zugriff auf das Gerät.
**So aktivieren Sie ein physisches TOTP-Token für Ihren eigenen IAM-Benutzer (Konsole)**
1. [Verwenden Sie Ihre AWS Konto-ID oder Ihren Kontoalias, Ihren IAM-Benutzernamen und Ihr Passwort, um sich bei der IAM-Konsole anzumelden.](https://console.aws.amazon.com/iam)
**Anmerkung**
Der Einfachheit halber verwendet die AWS Anmeldeseite ein Browser-Cookie, um sich Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu merken. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie **Melden Sie sich bei einem anderen Konto an **Um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzer-Anmeldeseite für Ihr Konto weitergeleitet zu werden.
Wenden Sie sich an Ihren Administrator, um Ihre AWS-Konto ID zu erhalten.
1. Wählen Sie auf der Navigationsleiste rechts oben Ihren Benutzernamen und dann **Security Credentials (Sicherheitsanmeldeinformationen)** aus.
![\[AWS-Managementkonsole Link zu Sicherheitsanmeldedaten\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Wählen Sie auf der Registerkarte **AWS -IAM-Anmeldeinformationen** im Abschnitt **Multi-Faktor-Authentifizierung (MFA)** die Option **MFA-Gerät zuweisen**.
1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.
1. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.
1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)
1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
1. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).
Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).
## Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)
Sie können ein physisches TOTP-Token über die AWS-Managementkonsole für einen anderen IAM-Benutzer aktivieren.
**So aktivieren Sie ein physisches TOTP-Token für einen anderen IAM-Benutzer (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Wählen Sie den Namen des Benutzers, für den Sie MFA aktivieren möchten.
1. Wechseln Sie zur Registerkarte **Security Credentials**. Wählen Sie im Abschnitt **Multi-Factor Authentication (MFA) (Multi-Faktor-Authentifizierung (MFA))** die Option **Assign MFA device (MFA-Gerät zuweisen)**.
1. Geben Sie im Assistenten einen **Device name (Gerätenamen)** ein, wählen Sie **Hardware TOTP token (Physisches TOTP-Token)** und dann **Next (Weiter)**.
1. Geben Sie die Seriennummer des Geräts ein. Die Seriennummer befindet sich in der Regel auf der Rückseite des Geräts.
1. Geben Sie im Feld **MFA code 1 (MFA-Code 1)** die am MFA-Gerät angezeigte sechsstellige Nummer ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die Zahl anzuzeigen.
![\[IAM-Dashboard, MFA-Gerät\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/MFADevice.png)
1. Warten Sie 30 Sekunden, während das Gerät den Code aktualisiert, und geben Sie dann die nächste sechsstellige Nummer in das Feld **MFA code 2 (MFA-Code 2)** ein. Sie müssen eventuell die Taste auf der Vorderseite des Geräts drücken, um die zweite Zahl anzuzeigen.
1. Wählen Sie **Add MFA (MFA hinzufügen)**.
**Wichtig**
Senden Sie die Anforderung direkt nach der Erzeugung der Authentifizierungscodes. Wenn Sie die Codes erzeugen und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitgesteuerten Einmalpasswörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das [Gerät neu synchronisieren](id_credentials_mfa_sync.md).
Das Gerät ist bereit für die Verwendung mit AWS. Weitere Informationen zur Verwendung von MFA mit der AWS-Managementkonsole finden Sie unter [Anmeldung mit MFA](console_sign-in-mfa.md).
## Ersetzen eines physischen MFA-Geräts
Sie können einem Benutzer mit Ihren und IAM-Benutzern bis zu acht [MFA-Geräte mit einer beliebigen Kombination der derzeit unterstützten MFA-Typen](https://aws.amazon.com/iam/features/mfa/) gleichzeitig Root-Benutzer des AWS-Kontos zuweisen. Wenn der Benutzer ein Gerät verliert oder aus anderweitigen Gründen das Gerät ersetzen möchte, müssen Sie zunächst das alte Gerät deaktivieren. Anschließend können Sie das neue Gerät für den Benutzer hinzufügen.
+ Um ein gegenwärtig mit einem Benutzer verknüpftes Gerät zu deaktivieren, siehe [Deaktivieren eines MFA-Geräts](id_credentials_mfa_disable.md).
+ Um ein physisches TOTP-Ersatztoken für einen IAM-Benutzer hinzuzufügen, führen Sie die in der Anleitung [Aktivieren eines physischen TOTP-Tokens für einen anderen IAM-Benutzer (Konsole)](#enable-hw-mfa-for-iam-user) weiter oben in diesem Thema beschriebenen Schritte.
+ Gehen Sie wie im Verfahren weiter oben in diesem Thema beschrieben vor Root-Benutzer des AWS-Kontos, um ein Ersatz-Hardware-TOTP-Token für das hinzuzufügen[Aktivieren eines physischen TOTP-Tokens für den Root-Benutzer eines s (Konsole)](enable-hw-mfa-for-root.md).