Servicespezifische Anmeldeinformationen für IAM-Benutzer - AWS Identity and Access Management
Rotieren servicespezifischer AnmeldeinformationenÜberwachung servicespezifischer Anmeldeinformationen

Servicespezifische Anmeldeinformationen für IAM-Benutzer

Servicespezifische Anmeldeinformationen sind spezielle Authentifizierungsmechanismen, die für bestimmte AWS-Services entwickelt wurden. Diese Anmeldeinformationen bieten eine vereinfachte Authentifizierung im Vergleich zu standardmäßigen AWS-Anmeldeinformationen und sind auf die Authentifizierungsanforderungen einzelner AWS-Services zugeschnitten. Im Gegensatz zu Zugriffsschlüsseln, die für mehrere AWS-Services verwendet werden können, sind servicespezifische Anmeldeinformationen nur für die Verwendung mit dem Service vorgesehen, für den sie erstellt wurden. Dieser gezielte Ansatz erhöht die Sicherheit, indem der Umfang der Anmeldeinformationen begrenzt wird.

Servicespezifische Anmeldeinformationen bestehen in der Regel aus einem Benutzernamen-Passwort-Paar oder speziellen API-Schlüsseln, die gemäß den Anforderungen des jeweiligen Services formatiert sind. Wenn Sie servicespezifische Anmeldeinformationen erstellen, sind diese standardmäßig aktiv und sofort einsatzbereit. Sie können maximal zwei Sätze servicespezifischer Anmeldeinformationen für jeden unterstützten Service pro IAM-Benutzer festlegen. Dieses Limit ermöglicht es Ihnen, einen aktiven Satz von Anmeldeinformationen zu verwalten und bei Bedarf zu einem neuen Satz zu wechseln. AWS unterstützt derzeit servicespezifische Anmeldeinformationen für die folgenden Services:

Rotieren servicespezifischer Anmeldeinformationen

Aus Sicherheitsgründen sollten Sie servicespezifische Anmeldeinformationen regelmäßig rotieren. So rotieren Sie Anmeldeinformationen, ohne Ihre Anwendungen zu unterbrechen:

  1. Erstellen Sie einen zweiten Satz servicespezifischer Anmeldeinformationen für denselben Service und IAM-Benutzer.

  2. Aktualisieren Sie alle Anwendungen, sodass sie die neuen Anmeldeinformationen verwenden, und überprüfen Sie deren korrekte Funktion.

  3. Ändern Sie den Status der ursprünglichen Anmeldeinformationen auf „Inaktiv“.

  4. Überprüfen Sie, ob alle Anwendungen weiterhin ordnungsgemäß funktionieren.

  5. Löschen Sie die inaktiven servicespezifischen Anmeldeinformationen, sobald Sie sicher sind, dass sie nicht mehr benötigt werden.

Überwachung servicespezifischer Anmeldeinformationen

Sie können AWS CloudTrail verwenden, um die Verwendung servicespezifischer Anmeldeinformationen in Ihrem AWS-Konto zu überwachen. Um CloudTrail-Ereignisse im Zusammenhang mit der Verwendung servicespezifischer Anmeldeinformationen anzuzeigen, überprüfen Sie die CloudTrail-Protokolle auf Ereignisse des Service, für den die Anmeldeinformationen verwendet werden. Weitere Informationen finden Sie unter Protokollieren von IAM- und AWS STS-API-Aufrufen mit AWS CloudTrail.

Für zusätzliche Sicherheit sollten Sie CloudWatch-Alarme einrichten, die Sie über bestimmte Nutzungsmuster von Anmeldeinformationen benachrichtigen, die auf unbefugten Zugriff oder andere Sicherheitsrisiken hindeuten könnten. Weitere Informationen finden Sie im AWS CloudTrail-Benutzerhandbuch unter Überwachung von CloudTrail-Protokolldateien mit Amazon CloudWatch Logs.

Die folgenden Themen enthalten Informationen zu servicespezifischen Anmeldeinformationen.

Themen