# SEC02-BP02 Verwenden von temporären Anmeldeinformationen
<a name="sec_identities_unique"></a>

 Bei Authentifizierungen jeder Art, sollten am besten temporäre anstelle langfristiger Anmeldeinformationen verwendet werden, um Risiken zu reduzieren oder zu eliminieren, etwa durch die unbeabsichtigte Offenlegung, die Weitergabe oder den Diebstahl von Anmeldeinformationen. 

**Gewünschtes Ergebnis:** Senkung des Risikos im Zusammenhang mit langfristigen Anmeldeinformationen durch die Verwendung temporärer Anmeldeinformationen, wo immer dies für menschliche und maschinelle Identitäten möglich ist. Langfristige Anmeldeinformationen sind mit vielen Risiken verbunden, so kann es beispielsweise vorkommen, dass sie in Code in öffentliche GitHub-Repositorys hochgeladen werden. Durch die Verwendung temporärer Anmeldeinformationen können Sie die Gefahr der Kompromittierung von Anmeldeinformationen deutlich senken. 

**Typische Anti-Muster:**
+  Entwickler verwenden langfristige Zugriffsschlüssel von IAM users, anstatt sich temporäre Anmeldeinformationen per Verbund von der CLI zu beschaffen. 
+  Entwickler betten langfristige Zugriffsschlüssel in ihren Code ein und laden diese in öffentliche Git-Repositorys hoch. 
+  Entwickler betten langfristige Zugriffsschlüssel in Mobil-Apps ein, die dann in App-Stores verfügbar gemacht werden. 
+  Benutzer geben langfristige Zugriffsschlüssel an andere Benutzer weiter, oder Mitarbeiter verlassen das Unternehmen und besitzen weiterhin langfristige Zugriffsschlüssel. 
+  Verwendung langfristiger Zugriffsschlüssel für Maschinenidentitäten, obwohl temporäre Anmeldeinformationen verwendet werden könnten. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Verwenden Sie temporäre anstelle langfristiger Anmeldeinformationen für alle AWS-API- und ‑CLI-Anfragen. API- und CLI-Anfragen an AWS müssen in fast jedem Fall mit [AWS-Zugriffsschlüsseln](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html) signiert werden. Diese Anfragen können mit temporären oder langfristigen Anmeldeinformationen signiert werden. Sie sollten langfristige Anmeldeinformationen (bzw. Zugriffsschlüssel) nur nutzen, wenn Sie einen [IAM-Benutzer](https://docs.aws.amazon.com//latest/UserGuide/id_users.html) oder den [Root-Benutzer des AWS-Konto](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html) verwenden. Wenn Sie einen Verbund mit AWS nutzen oder eine [IAM-Rolle](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) über andere Methoden annehmen, werden temporäre Anmeldeinformationen generiert. Selbst wenn Sie mit Anmeldeinformationen auf die AWS-Managementkonsole zugreifen, werden für Sie temporäre Anmeldeinformationen für Aufrufe von AWS-Services generiert. Es gibt nur wenige Situationen, in denen Sie langfristige Anmeldeinformationen benötigen, und fast alle Aufgaben lassen sich mit temporären Anmeldeinformationen erledigen. 

 Das Vermeiden der Verwendung langfristiger zugunsten temporärer Anmeldeinformationen sollte von einer Strategie zur Reduzierung der Verwendung von IAM-Benutzern gegenüber Verbundverfahren und IAM-Rollen begleitet werden. Zwar wurden früher IAM-Benutzer für menschliche und maschinelle Identitäten verwendet, wir empfehlen heute jedoch, dies nicht mehr zu tun, um die mit der Verwendung langfristiger Zugriffsschlüssel verbundenen Risiken auszuschalten. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Für menschliche Identitäten wie Mitarbeiter, Administratoren, Entwickler, Bediener und Kunden: 
+  Sie sollten [einen zentralisierten Identitätsanbieter nutzen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) und [von menschlichen Benutzern die Verwendung von Verbundverfahren mit einem Identitätsanbieter verlangen, damit mit temporären Anmeldeinformationen auf AWS zugegriffen wird](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp). Ein Verbund für Ihre Benutzer kann per [direktem Verbund zu jedem AWS-Konto](https://aws.amazon.com/identity/federation/) oder mit [AWSIAM Identity Center (Nachfolger von AWS IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) und dem Identitätsanbieter Ihrer Wahl erreicht werden. Ein Verbund bietet eine Reihe von Vorteilen gegenüber der Verwendung von IAM-Benutzern und eliminiert langfristige Anmeldeinformationen. Ihre Benutzer können auch temporäre Anmeldeinformationen aus der Befehlszeile für einen [direkten Verbund](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) oder mit [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) anfordern. Dies bedeutet, dass es nur wenige Anwendungsfälle gibt, für die IAM-Benutzer oder langfristige Anmeldeinformationen für Ihre Benutzer erforderlich sind.  
+  Wenn Dritten, wie beispielsweise Anbietern von Software as a Service (SaaS), der Zugriff auf Ressourcen in Ihrem AWS-Konto gewährt wird, können Sie [kontoübergreifende Rollen](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html) und [ressourcenbasierende Richtlinien](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html) verwenden. 
+  Wenn Sie Verbraucheranwendungen oder Kunden Zugriff auf Ihre AWS-Ressourcen gewähren müssen, können Sie [Amazon Cognito-Identitätspools](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) oder [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) verwenden, um temporäre Anmeldeinformationen bereitzustellen. Die Berechtigungen für die Anmeldeinformationen werden über IAM-Rollen konfiguriert. Sie können auch eine separate IAM-Rolle mit eingeschränkten Berechtigungen für Gastbenutzer definieren, die nicht authentifiziert sind. 

 Für Maschinenidentitäten müssen Sie möglicherweise langfristige Anmeldeinformationen verwenden. In solchen Fällen sollten Sie [verlangen, dass Workloads temporäre Anmeldeinformationen mit IAM-Rollen zum Zugriff auf AWS verwenden](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles). 
+  Für [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2) können Sie [Rollen für Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) verwenden. 
+  [AWS Lambda](https://aws.amazon.com/lambda/) ermöglicht die Konfiguration einer [Lambda-Ausführungsrolle, um dem Service Berechtigungen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) zum Ausführen von AWS-Aktionen unter Verwendung temporärer Anmeldeinformationen zu erteilen. Es gibt zahlreiche ähnliche Modelle für AWS-Services zum Gewähren temporärer Anmeldeinformationen mit IAM-Rollen. 
+  Für IoT-Geräte können Sie den [Anmeldeinformationenanbieter von AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) zur Anfrage nach temporären Anmeldeinformationen verwenden. 
+  Für On-Premises-Systeme oder außerhalb von AWS ausgeführte Systeme, die Zugriff auf AWS-Ressourcen benötigen, können Sie [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden. 

 Es gibt Szenarien, in denen temporäre Anmeldeinformationen nicht in Frage kommen und stattdessen langfristige Anmeldeinformationen verwendet werden müssen. In solchen Fällen sollten Sie [die Anmeldeinformationen regelmäßig prüfen und rotieren](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html) sowie die [Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern, regelmäßig wechseln.](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials) Beispiele, bei denen langfristige Anmeldeinformationen erforderlich sind, sind etwa WordPress-Plugins und AWS-Clients von Drittanbietern. In Situationen, die langfristige Anmeldeinformationen erfordern, oder für andere Anmeldeinformationen als AWS-Zugriffsschlüssel, wie z. B. Datenbankanmeldungen, können Sie einen Service verwenden, der für die Verwaltung von Secrets gedacht ist, wie etwa [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager erleichtert die Verwaltung, das Rotieren und die Speicherung verschlüsselter Secrets unter Verwendung [unterstützter Services](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Weitere Informationen zur Rotation langfristiger Anmeldeinformationen finden Sie unter [Rotation von Zugriffsschlüsseln](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md) 
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md) 
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md) 

 **Zugehörige Dokumente:** 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html) 
+  [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html) 
+  [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) 
+  [IAM-Rollen](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) 
+  [IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html) 
+  [Rotieren der Zugriffsschlüssel](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Der Root-Benutzer des AWS-Kontos](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html) 

 **Zugehörige Videos:** 
+  [Managing user permissions at scale with AWS IAM Identity Center (successor to AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center (Nachfolger von AWS IAM Identity Center)) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene)