Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Benutzer
Wichtig
Bewährte Methoden für IAM empfehlen, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um mit temporären Anmeldeinformationen zuzugreifen AWS , anstatt IAM-Benutzer mit langfristigen Anmeldeinformationen zu verwenden. Wir empfehlen, IAM-Benutzer nur für bestimmte Anwendungsfälle zu verwenden, die nicht von Verbundbenutzern unterstützt werden.
Ein IAM-Benutzer ist eine Entität, die Sie in Ihrem AWS-Konto erstellen. Der IAM-Benutzer stellt den menschlichen Benutzer oder die Workload dar, der den IAM-Benutzer zur Interaktion mit AWS -Ressourcen verwendet. Ein IAM-Benutzer besteht aus einem Namen und Anmeldeinformationen.
Ein IAM-Benutzer mit Administratorberechtigungen ist nicht dasselbe wie der Root-Benutzer des AWS-Kontos. Weitere Informationen zum Stammbenutzer finden Sie unter Root-Benutzer des AWS-Kontos.
Wie AWS identifiziert man einen IAM-Benutzer
Bei der Erstellung eines IAM-Benutzers erstellt IAM die folgenden Elemente zum Identifizieren dieses Benutzers:
-
Einen „Anzeigename“ für den IAM-Benutzer. Dies ist der Name, den Sie beim Erstellen des IAM-Benutzers angegeben haben, z. B.
RichardoderAnaya. Diese Namen werden in der AWS Management Console angezeigt. Da IAM-Benutzernamen in Amazon Resource Names (ARNs) vorkommen, empfehlen wir nicht, personenbezogene Daten in den IAM-Namen aufzunehmen. Die Anforderungen und Einschränkungen Anforderungen für den IAM-Namen für IAM-Namen finden Sie unter. -
Ein Amazon-Ressourcenname (ARN) für den IAM-Benutzer. Sie verwenden den ARN, wenn Sie den IAM-Benutzer in allen Bereichen eindeutig identifizieren müssen. AWS Sie können z. B. einen ARN verwenden, um den IAM-Benutzer als
Principalin einer IAM-Richtlinie für einen Amazon-S3-Bucket festzulegen. Ein ARN für einen IAM-Benutzer könnte folgendes Format aufweisen:arn:aws:iam::account-ID-without-hyphens:user/Richard -
Eine eindeutige ID für den IAM-Benutzer. Diese ID wird nur zurückgegeben, wenn Sie die API oder Tools für Windows PowerShell verwenden oder AWS CLI um den IAM-Benutzer zu erstellen. Sie sehen diese ID nicht in der Konsole.
Weitere Informationen zu diesen IDs finden Sie unter IAM-IDs.
IAM-Benutzer und Anmeldeinformationen
Sie können je nach AWS den IAM-Benutzeranmeldedaten auf unterschiedliche Weise darauf zugreifen:
-
Konsolenpasswort: Ein Passwort, das der IAM-Benutzer eingeben kann, um sich bei interaktiven Sitzungen wie der AWS Management Console anzumelden. Wenn Sie das Passwort (Konsolenzugriff) für einen IAM-Benutzer deaktivieren, kann er sich nicht AWS Management Console mit seinen Anmeldeinformationen anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen.
-
Zugriffsschlüssel: Werden verwendet, um programmatische Aufrufe an AWS zu tätigen. Es gibt jedoch sicherere Alternativen, die Sie in Betracht ziehen sollten, bevor Sie Zugriffsschlüssel für IAM-Benutzer erstellen. Weitere Informationen finden Sie unter Überlegungen und Alternativen für Schlüssel für den langfristigen Zugriff in der Allgemeine AWS-Referenz. Wenn der IAM-Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI Tools für Windows PowerShell, die AWS API oder die AWS Console Mobile Application.
-
SSH-Schlüssel für die Verwendung mit CodeCommit: Ein öffentlicher SSH-Schlüssel im OpenSSH-Format, der für die Authentifizierung mit CodeCommit verwendet werden kann.
-
Serverzertifikate: SSL/TLS Zertifikate, mit denen Sie sich bei einigen AWS Diensten authentifizieren können. Wir empfehlen, dass Sie AWS Certificate Manager (ACM) für die Bereitstellung, Verwaltung und Bereitstellung Ihrer Serverzertifikate verwenden. Verwenden Sie IAM nur für die Unterstützung von HTTPS-Verbindungen in einer Region, die nicht von ACM unterstützt wird. Informationen darüber, welche Regionen ACM unterstützen, finden Sie unter AWS Certificate Manager -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
Sie können die richtigen Anmeldeinformationen für Ihren IAM-Benutzer wählen. Wenn Sie die AWS Management Console verwenden, um einen IAM-Benutzer zu erstellen, müssen Sie mindestens ein Konsolenpasswort oder Zugriffsschlüssel eingeben. Standardmäßig hat ein brandneuer IAM-Benutzer, der mit der AWS CLI oder AWS API erstellt wurde, keinerlei Anmeldeinformationen. Sie müssen die Art der Anmeldeinformationen für einen IAM-Benutzer je nach dem Anwendungsfall erstellen.
Sie haben die folgenden Optionen zum Verwalten von Passwörtern, Zugriffsschlüsseln und Multi-Faktor-Authentifizierung (MFA)-Geräten:
-
Verwalten von Passwörtern für Ihre IAM-Benutzer. Erstellen und ändern Sie die Passwörter, die Zugriff auf die AWS Management Console ermöglichen. Legen Sie eine Passwortrichtlinie fest, um eine Mindest-Passwortkomplexität zu erzwingen. Erlauben Sie IAM-Benutzern, ihre eigenen Passwörter zu ändern.
-
Verwalten der Zugriffsschlüssel für Ihre IAM-Benutzer. Erstellen und aktualisieren Sie Zugriffsschlüssel für den programmgesteuerten Zugriff auf die Ressourcen in Ihrem Konto.
-
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den IAM-Benutzer. Als bewährte Methode empfehlen wir, dass Sie Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer in Ihrem Konto benötigen. Bei MFA müssen IAM-Benutzer zwei Arten der Identifizierung bereitstellen: Erstens müssen sie die Anmeldeinformationen bereitstellen, die Teil ihrer Benutzeridentität sind (ein Passwort oder einen Zugriffsschlüssel). Darüber hinaus bieten sie einen temporären Zahlencode, der auf einem Hardwaregerät oder durch eine Anwendung auf einem Smartphone oder Tablet generiert wird.
-
Suchen von ungenutzten Passwörtern und Zugriffsschlüsseln. Jeder, der ein Passwort oder Zugangsschlüssel für Ihr Konto oder einen IAM-Benutzer in Ihrem Konto hat, hat Zugriff auf Ihre AWS Ressourcen. Die bewährte Methode für die Sicherheit besteht darin, Passwörter und Zugriffsschlüssel zu entfernen, wenn IAM-Benutzer sie nicht mehr benötigen.
-
Herunterladen eines Berichts zu Anmeldeinformationen für Ihr Konto. Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle IAM-Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Für Passwörter und Zugriffsschlüssel zeigt der Bericht an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde.
IAM-Benutzer und Berechtigungen
Standardmäßig besitzt ein neuer IAM-Benutzer überhaupt keine Berechtigungen. Sie sind nicht berechtigt, AWS Operationen durchzuführen oder auf AWS Ressourcen zuzugreifen. Ein Vorteil, über einzelne IAM-Benutzer zu verfügen, besteht darin, dass Sie jedem Benutzer individuell Berechtigungen zuweisen können. Möglicherweise weisen Sie einigen Benutzern Administratorberechtigungen zu, die dann Ihre AWS Ressourcen verwalten und sogar andere IAM-Benutzer erstellen und verwalten können. In den meisten Fällen möchten Sie die Berechtigungen eines Benutzers jedoch auf die Aufgaben (AWS Aktionen oder Operationen) und Ressourcen beschränken, die für den Job benötigt werden.
Angenommen, wir haben einen Benutzer namens Diego. Wenn Sie den IAM-Benutzer erstellenDiego, erstellen Sie ein Passwort für ihn und fügen ihm Berechtigungen hinzu, mit denen er eine bestimmte EC2 Amazon-Instance starten und Informationen aus einer Tabelle in einer Amazon RDS-Datenbank lesen (GET) kann. Verfahren zum Erstellen von IAM-Benutzern und zum Gewähren anfänglicher Anmeldeinformationen und Berechtigungen finden Sie unter Erstellen eines IAM-Benutzers in Ihrem AWS-Konto. Anweisungen zum Ändern der Berechtigungen für vorhandene Benutzer finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer. Anweisungen zum Ändern des Passworts oder der Zugriffsschlüssel des Benutzers finden Sie unter Benutzerpasswörter in AWS und Verwalten von Zugriffsschlüsseln für IAM-Benutzer.
Sie können Ihren IAM-Benutzern auch eine Berechtigungsgrenze hinzufügen. Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie mithilfe AWS verwalteter Richtlinien die maximalen Berechtigungen einschränken können, die eine identitätsbasierte Richtlinie einem IAM-Benutzer oder einer IAM-Rolle gewähren kann. Weitere Informationen zu diesen Richtlinienarten und ihrer Verwendung finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.
IAM-Benutzer und Konten
Jeder IAM-Benutzer kann nur einem einzigen AWS-Konto zugeordnet sein. Da IAM-Benutzer in Ihrem System definiert sind AWS-Konto, müssen Sie für sie keine Zahlungsmethode hinterlegt haben. AWS Jede AWS Aktivität, die von IAM-Benutzern in Ihrem Konto ausgeführt wird, wird Ihrem Konto in Rechnung gestellt.
Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und Kontingente AWS STS.
IAM-Benutzer als Servicekonten
Ein IAM-Benutzer ist eine Ressource in IAM, der Anmeldeinformationen und Berechtigungen zugeordnet sind. Ein IAM-Benutzer kann eine Person oder eine Anwendung darstellen, die ihre Anmeldeinformationen für AWS -Anforderungen verwendet. Dies wird in der Regel als Servicekonto bezeichnet. Falls Sie die langfristigen Anmeldeinformationen eines IAM-Benutzers in Ihrer Anwendung verwenden möchten, betten Sie keine Zugriffsschlüssel direkt in den Anwendungscode ein. Die AWS SDKs und die AWS Command Line Interface ermöglichen es Ihnen, Zugriffsschlüssel an bekannten Orten zu platzieren, sodass Sie sie nicht im Code speichern müssen. Weitere Informationen finden Sie unter Manage IAM User Access Keys Properly (Ordnungsgemäßes Verwalten von IAM-Benutzerzugriffsschlüsseln) in der Allgemeine AWS-Referenz. Alternativ und als bewährte Methode können Sie temporäre Sicherheitsanmeldeinformationen (IAM-Rollen) anstelle langfristiger Zugriffsschlüssel verwenden.
