Schritt 1: Erstellen Ihres IAM-Benutzers Schritt 2: Abrufen Ihrer Zugriffsschlüssel Schritt 3: Konfigurieren Sie AWS CLI (Optional) Verwenden Sie die Multi-Faktor-Authentifizierung mit Ihren IAM-Benutzeranmeldedaten

Authentifizierung mit IAM-Benutzeranmeldedaten für AWS CLI

Warnung

Um Sicherheitsrisiken zu vermeiden, sollten Sie IAM-Benutzer nicht zur Authentifizierung verwenden, wenn Sie speziell entwickelte Software entwickeln oder mit echten Daten arbeiten. Verwenden Sie stattdessen den Verbund mit einem Identitätsanbieter wie AWS IAM Identity Center.

Dieser Abschnitt erklärt, wie die grundlegende Einstellungen mit einem IAM-Benutzer konfiguriert werden. Dazu gehören Ihre Sicherheitsanmeldeinformationen unter Verwendung der Dateien config und credentials. Wenn Sie sich stattdessen die Konfigurationsanweisungen für AWS IAM Identity Center ansehen möchten, beachten Sie den Abschnitt Konfigurieren der Authentifizierung von IAM Identity Center mit der AWS CLI.

Topics

Schritt 1: Erstellen Ihres IAM-Benutzers

Erstellen Sie Ihren IAM-Benutzer, indem Sie das Verfahren Erstellen von IAM-Benutzern (Konsole) im IAM-Benutzerhandbuch befolgen.

Wählen Sie unter Berechtigung-Optionen mit der Option Direktes Anfügen von Richtlinien aus, wie Sie diesem Benutzer Berechtigungen zuweisen möchten.
Die meisten SDK-Tutorials zum Thema „Erste Schritte“ verwenden den Amazon-S3-Service als Beispiel. Wenn Sie Ihrer Anwendung Vollzugriff auf Amazon S3 gewähren möchten, wählen Sie die AmazonS3FullAccess-Richtlinie zum Anfügen an diesen Benutzer aus.

Schritt 2: Abrufen Ihrer Zugriffsschlüssel

Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich der IAM-Konsole Benutzer und dann den User name des Benutzers aus, den Sie zuvor erstellt haben.
Wählen Sie auf der Seite des Benutzers die Seite Sicherheitsanmeldeinformationen aus. Wählen Sie dann unter Zugriffsschlüssel die Option Zugriffsschlüssel erstellen aus.
Wählen Sie für Zugriffsschlüssel erstellen – Schritt 1 die Option Befehlszeilenschnittstelle (CLI) aus.
Geben Sie für Zugriffsschlüssel erstellen – Schritt 2 ein optionales Tag ein und wählen Sie Weiter aus.
Wählen Sie unter Zugriffsschlüssel erstellen – Schritt 3 die Option CSV-Datei herunterladen aus, um eine .csv-Datei mit dem Zugriffsschlüssel und dem geheimen Zugriffsschlüssel Ihres IAM-Benutzers zu speichern. Sie benötigen diese Informationen später wieder.
Wählen Sie Done (Fertig).

Schritt 3: Konfigurieren Sie AWS CLI

Für den allgemeinen Gebrauch AWS CLI benötigt er die folgenden Informationen:

Zugriffsschlüssel-ID
Geheimer Zugriffsschlüssel
AWS Region
Ausgabeformat

Die AWS CLI speichert diese Informationen in einem Profil (einer Sammlung von Einstellungen), das default in der credentials Datei benannt ist. Standardmäßig werden die Informationen in diesem Profil verwendet, wenn Sie einen AWS CLI Befehl ausführen, der nicht explizit ein zu verwendendes Profil angibt. Weitere Informationen zur credentials-Datei finden Sie unter Einstellungen der Konfigurations- und Anmeldeinformationsdatei in der AWS CLI.

Verwenden Sie eines der folgenden Verfahren AWS CLI, um das zu konfigurieren:

Themen

Verwenden von aws configure
Importieren von Zugriffsschlüsseln per CSV-Datei
Direktes Bearbeiten der Dateien config und credentials

Verwenden von `aws configure`

Für den allgemeinen Gebrauch ist der aws configure Befehl der schnellste Weg, Ihre AWS CLI Installation einzurichten. Dieser Konfigurationsassistent fordert Sie auf, alle Informationen einzugeben, die Sie für die ersten Schritte benötigen. Sofern mit der --profile Option nicht anders angegeben, AWS CLI speichert der diese Informationen im default Profil.

Im folgenden Beispiel wird ein default-Profil anhand von Beispielwerten konfiguriert. Ersetzen Sie sie durch eigene Werte, wie in den folgenden Abschnitten beschrieben.


$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Im folgenden Beispiel wird ein Profil mit dem Namen userprod anhand von Beispielwerten konfiguriert. Ersetzen Sie sie durch eigene Werte, wie in den folgenden Abschnitten beschrieben.


$ aws configure --profile userprod
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Importieren von Zugriffsschlüsseln per CSV-Datei

Anstatt aws configure zu verwenden, um Zugriffsschlüssel einzugeben, können Sie die .csv-Klartextdatei importieren, die Sie nach dem Erstellen Ihrer Zugriffsschlüssel heruntergeladen haben.

Die .csv-Datei muss die folgenden Header enthalten.

Benutzername – Diese Spalte muss zu Ihrem .csv hinzugefügt werden. Dies wird verwendet, um den Profilnamen zu erstellen, der beim Import in den Dateien config und credentials verwendet wird.
Zugriffsschlüssel-ID
Geheimer Zugriffsschlüssel

Anmerkung

Während der anfänglichen Erstellung der Zugriffsschlüssel können Sie nach dem Schließen des Dialogfelds CSV-Datei herunterladen nicht mehr auf Ihren geheimen Zugriffsschlüssel zugreifen. Wenn Sie eine .csv-Datei benötigen, müssen Sie selbst eine mit den erforderlichen Headern und Ihren gespeicherten Zugriffsschlüsselinformationen erstellen. Wenn Sie keinen Zugriff auf Zugriffsschlüsselinformationen haben, müssen Sie neue Zugriffsschlüssel erstellen.

Sie importieren die .csv-Datei wie folgt mithilfe des aws configure import-Befehls mit der --csv-Option:


$ aws configure import --csv file://credentials.csv

Weitere Informationen finden Sie unter aws_configure_import.

Direktes Bearbeiten der Dateien `config` und `credentials`

Gehen Sie wie folgt vor, um die Dateien config und credentials direkt zu bearbeiten.

Erstellen oder öffnen Sie die freigegebene AWS credentials-Datei. Diese Datei befindet sich in Linux- und macOS-Systemen im Pfad ~/.aws/credentials und unter Windows im Pfad %USERPROFILE%\.aws\credentials. Weitere Informationen finden Sie unter Einstellungen der Konfigurations- und Anmeldeinformationsdatei in der AWS CLI.
Fügen Sie der freigegebenen credentials-Datei den folgenden Text hinzu. Ersetzen Sie die Beispielwerte in der .csv-Datei, die Sie zuvor heruntergeladen haben, und speichern Sie die Datei.
```
[default] 
aws_access_key_id = AKIAIOSFODNN7EXAMPLE 
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
```

(Optional) Verwenden Sie die Multi-Faktor-Authentifizierung mit Ihren IAM-Benutzeranmeldedaten

Für zusätzliche Sicherheit können Sie einen einmaligen Schlüssel verwenden, der von einem Multi-Faktor-Authentifizierungsgerät (MFA), einem U2F-Gerät oder einer mobilen App generiert wurde, wenn Sie versuchen, einen Anruf zu tätigen.

Wenn Ihr MFA-fähiger IAM-Benutzer ist, führen Sie den aws configure mfa-loginBefehl aus, um ein neues Profil zur Verwendung mit Multi-Faktor-Authentifizierung (MFA) für das angegebene Profil zu konfigurieren. Wenn kein Profil angegeben ist, basiert die MFA auf dem default Profil. Wenn kein Standardprofil konfiguriert ist, werden Sie mit dem mfa-login Befehl zur Eingabe Ihrer AWS Anmeldeinformationen aufgefordert, bevor Sie nach Ihren MFA-Informationen gefragt werden. Das folgende Befehlsbeispiel verwendet Ihre Standardkonfiguration und erstellt ein MFA-Profil.


$ aws configure mfa-login
MFA serial number or ARN: arn:aws:iam::123456789012:mfa/MFADeviceName
MFA token code: 123456
Profile to update [session-MFADeviceName]:
Temporary credentials written to profile 'session-MFADeviceName'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile session-MFADeviceName when running AWS CLI commands

Verwenden Sie den --update-profile Parameter, um ein vorhandenes Profil zu aktualisieren.


$ aws configure mfa-login --profile myprofile --update-profile mfaprofile
MFA token code: 123456
Temporary credentials written to profile 'mfaprofile'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile mfaprofile when running AWS CLI commands

Dieser Befehl unterstützt derzeit nur hardware- oder softwarebasierte Einmalkennwort-Authentifikatoren (OTP). Passkeys und U2F-Geräte werden derzeit mit diesem Befehl nicht unterstützt.

Um Ihr MFA-Profil zu verwenden, verwenden Sie die --profile Option zusammen mit Ihren Befehlen.


$ aws s3 ls --profile mfaprofile

Weitere Informationen zur Verwendung von MFA mit IAM, einschließlich der Zuweisung von MFA zu einem IAM-Benutzer, finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM im Benutzerhandbuch.AWS Identity and Access Management

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM-Rollen

Amazon-EC2-Metadaten