Alternativen zu Langzeit-Zugriffsschlüsseln

Programmatischer Zugriff mit AWS-Sicherheitsanmeldedaten

Wir empfehlen, möglichst temporäre Zugriffsschlüssel zu verwenden, um programmgesteuerte Aufrufe von AWS zu tätigen oder das AWS Command Line Interface oder AWS -Tools für PowerShell zu verwenden. Sie können für diese Zwecke jedoch auch langfristige AWS-Zugriffsschlüssel verwenden.

Wenn Sie einen langfristigen Zugriffsschlüssel erstellen, erstellen Sie die Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE) und den geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) als Set. Der geheime Zugriffsschlüssel ist nur zum Zeitpunkt seiner Erstellung zum Download verfügbar. Wenn Sie den geheimen Zugriffsschlüssel nicht herunterladen oder ihn verlieren, müssen Sie einen neuen erstellen.

In vielen Fällen benötigen Sie keine langfristigen Zugriffsschlüssel, die nie ablaufen (wie es bei IAM-Benutzern der Fall ist, wenn Sie Zugriffsschlüssel erstellen). Erstellen Sie stattdessen IAM-Rollen und generieren Sie temporäre Sicherheitsanmeldeinformationen. Temporäre Sicherheitsanmeldeinformationen enthalten eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel, aber sie enthalten auch ein Sicherheitstoken, das angibt, wann die Anmeldeinformationen ablaufen. Nachdem sie abgelaufen sind, sind sie nicht mehr gültig. Weitere Informationen finden Sie unter . Alternativen zu Langzeit-Zugriffsschlüsseln

Zugriffsschlüssel-IDs, die mit AKIA beginnen, sind langfristige Zugriffsschlüssel für einen IAM-Benutzer oder einen AWS-Konto-Root-Benutzer. Zugriffsschlüssel-IDs, die mit ASIA beginnen, sind temporäre Zugriffsschlüssel für Anmeldeinformationen, die Sie mit AWS STS-Operationen erstellen.

Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS-Managementkonsole mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf zugreift AWS.

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

Welcher Benutzer benötigt programmgesteuerten Zugriff?	Bis	Von
Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden)	Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen zur AWS CLI finden Sie unter Konfigurieren der AWS CLI für die Verwendung von AWS IAM Identity Center im AWS Command Line Interface-Benutzerhandbuch. Informationen zu AWS-SDKs, Tools und AWS-APIs finden Sie unter IAM-Identity-Center-Authentifizierung im Referenzhandbuch zu AWS-SDKs und Tools.
IAM	Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.	Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch.
IAM	(Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen zur AWS CLI finden Sie unter Authentifizierung mit IAM-Benutzer-Anmeldeinformationen im AWS Command Line Interface-Benutzerhandbuch. Informationen zu AWS-SDKs und Tools finden Sie unter Authentifizierung mit langfristigen Anmeldeinformationen im Referenzhandbuch zu AWS-SDKs und Tools. Informationen zu AWS-APIs finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

Welcher Benutzer benötigt programmgesteuerten Zugriff?

Bis

Von

Mitarbeiteridentität

(Benutzer, die in IAM Identity Center verwaltet werden)

Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Informationen zur AWS CLI finden Sie unter Konfigurieren der AWS CLI für die Verwendung von AWS IAM Identity Center im AWS Command Line Interface-Benutzerhandbuch.
Informationen zu AWS-SDKs, Tools und AWS-APIs finden Sie unter IAM-Identity-Center-Authentifizierung im Referenzhandbuch zu AWS-SDKs und Tools.

IAM

Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch.

IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Informationen zur AWS CLI finden Sie unter Authentifizierung mit IAM-Benutzer-Anmeldeinformationen im AWS Command Line Interface-Benutzerhandbuch.
Informationen zu AWS-SDKs und Tools finden Sie unter Authentifizierung mit langfristigen Anmeldeinformationen im Referenzhandbuch zu AWS-SDKs und Tools.
Informationen zu AWS-APIs finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.

Alternativen zu Langzeit-Zugriffsschlüsseln

Für viele gängige Anwendungsfälle gibt es Alternativen zu langfristigen Zugriffsschlüsseln. Beachten Sie Folgendes, um die Sicherheit Ihres Kontos zu verbessern.

Betten Sie keine langfristigen Zugriffsschlüssel und geheimen Zugriffsschlüssel in Ihren Anwendungscode oder in ein Code-Repository ein – Verwenden Sie stattdessen AWS Secrets Manager oder eine andere Lösung zur Verwaltung von Geheimnissen, damit Sie Schlüssel nicht im Klartext fest codieren müssen. Die Anwendung oder der Client kann dann bei Bedarf Geheimnisse abrufen. Weitere Informationen finden Sie unter Was ist AWS Secrets Manager? im AWS Secrets Manager-Benutzerhandbuch.

Verwenden Sie nach Möglichkeit IAM-Rollen, um temporäre Sicherheitsanmeldeinformationen zu generieren – Verwenden Sie nach Möglichkeit immer Mechanismen, um temporäre Sicherheitsanmeldeinformationen auszugeben, anstatt langfristige Zugriffsschlüssel. Temporäre Sicherheitsanmeldeinformationen sind sicherer, da sie nicht beim Benutzer gespeichert, sondern dynamisch generiert und dem Benutzer auf Anfrage bereitgestellt werden. Temporäre Sicherheitsanmeldeinformationen haben eine begrenzte Lebensdauer, sodass Sie sie nicht verwalten oder aktualisieren müssen. Zu den Mechanismen, die temporäre Zugriffsschlüssel bereitstellen, gehören IAM-Rollen oder die Authentifizierung eines IAM-Identity-Center-Benutzers. Für Maschinen, die außerhalb von AWS ausgeführt werden, können Sie AWS Identity and Access Management Roles Anywhere verwenden.
Verwenden Sie Alternativen zu langfristigen Zugriffsschlüsseln für die AWS Command Line Interface (AWS CLI) oder die aws-shell – Zu den Alternativen gehören die folgenden.
- AWS CloudShell ist eine Browser-basierte, vorauthentifizierte Shell, die Sie direkt über die AWS-Managementkonsole starten können. Sie können AWS CLI-Befehle gegen AWS-Services über Ihre bevorzugte Shell (Bash, Powershell oder Z-Shell) ausführen. Wenn Sie dies tun, müssen Sie keine Befehlszeilentools herunterladen oder installieren. Weitere Informationen finden Sie unter Was ist AWS CloudShell? im AWS CloudShell-Benutzerhandbuch.
- AWS CLI-Version-2-Integration mit AWS IAM Identity Center (IAM Identity Center). Sie können Benutzer authentifizieren und kurzfristige Anmeldeinformationen bereitstellen, um AWS CLI-Befehle auszuführen. Weitere Informationen hierzu finden Sie unter Integrieren von AWS CLI mit IAM Identity Center im AWS IAM Identity Center-Benutzerhandbuch und Konfigurieren von AWS CLI für die Verwendung von IAM Identity Center im AWS Command Line Interface-Benutzerhandbuch.
Erstellen Sie keine langfristigen Zugriffsschlüssel für menschliche Benutzer, die Zugriff auf Anwendungen oder AWS-Services benötigen – IAM Identity Center kann temporäre Anmeldeinformationen für Ihre externen IdP-Benutzer generieren, um auf AWS-Services zuzugreifen. Dadurch entfällt die Notwendigkeit, langfristige Anmeldeinformationen in IAM zu erstellen und zu verwalten. Erstellen Sie im IAM Identity Center eine IAM-Identity-Center-Berechtigungsgruppe, die den externen IdP-Benutzern Zugriff gewährt. Weisen Sie dann eine Gruppe aus dem IAM Identity Center dem Berechtigungssatz in der ausgewählten AWS-Konten. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center, Verbinden mit Ihrem externen Identitätsanbieter und Berechtigungssätze im AWS IAM Identity Center-Benutzerhandbuch.
Speichern Sie keine langfristigen Zugriffsschlüssel innerhalb eines AWS-Rechen-Service – Weisen Sie stattdessen den Rechenressourcen eine IAM-Rolle zu. Dadurch werden automatisch temporäre Anmeldeinformationen bereitgestellt, um Zugriff zu gewähren. Wenn Sie beispielsweise ein Instance-Profil erstellen, das an eine Amazon-EC2-Instance angefügt ist, können Sie der Instance eine AWS-Rolle zuweisen und sie für alle ihre Anwendungen bereitstellen. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der Amazon-EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen zu erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS-Sicherheitsanmeldeinformationen

AWSRichtlinien zur -Sicherheitsprüfung