Modul 2: Sichern Ihres AWS-Kontos

1. Melden Sie sich bei der AWS-Managementkonsole an.

2. Wählen Sie Root-Benutzer aus, geben Sie die E-Mail-Adresse ein, die Sie bei der Erstellung Ihres Kontos angegeben haben, und wählen Sie dann Weiter aus.

3. Möglicherweise werden Sie aufgefordert, eine Sicherheitsüberprüfung durchzuführen. Geben Sie die Zeichen aus dem Bild in das dafür vorgesehene Feld ein und wählen Sie dann Absenden aus. Sie müssen diese Prüfung abschließen, um mit dem nächsten Schritt fortzufahren.

Tipp: Wählen Sie die Schaltfläche Ton, um eine Reihe von Zahlen und Buchstaben zum Eingeben zu hören. Wählen Sie die Schaltfläche Aktualisieren, um das Bild zu ändern, wenn Sie die Zeichen im Originalbild nicht erkennen können.

4. Geben Sie auf der Anmeldeseite Ihr Passwort ein und wählen Sie Anmelden.

Herzlichen Glückwunsch, Sie haben sich soeben als Root-Benutzer bei der AWS-Managementkonsole angemeldet. Sie möchten Ihren Root-Benutzer jedoch nicht für alltägliche Aufgaben verwenden. Der Root-Benutzer sollte nur für bestimmte Kontoverwaltungsaufgaben verwendet werden. Zwei davon werden wir im nächsten Teil dieses Tutorials ausführen. 

• MFA für den Root-Benutzer aktivieren
• Einen Administratorbenutzer in IAM Identity Center erstellen

Die vollständige Liste der Aufgaben, bei denen Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Anmeldeinformationen eines Root-Benutzers erfordern.

1. Melden Sie sich bei Ihrem neu erstellten AWS-Konto mit den Anmeldeinformationen des Root-Benutzers an.

3. Unter Sicherheitsempfehlungen gibt es einen Hinweis zum Hinzufügen von MFA für Root-Benutzer.
4. Wählen Sie MFA hinzufügen. 

Die Seite Gerät einrichten wird geöffnet. Auf dieser Seite müssen drei Schritte ausgeführt werden.

9. Richten Sie die Authentifizierungs-App auf Ihrem Mobilgerät ein. Für Android- und iOS-Geräte werden verschiedene Authentifizierungs-Apps unterstützt. Eine Liste der unterstützten Apps und Links zu ihren Download-Speicherorten finden Sie im Abschnitt Virtuelle Authentifizierungs-Apps auf der Seite Multi-Faktor-Authentifizierung (MFA) für IAM.

10. Öffnen Sie die Authentifizierungs-App auf Ihrem Mobilgerät.

11. Wählen Sie den Link QR-Code anzeigen, um einen eindeutigen QR-Code für Ihr Konto anzuzeigen. Wenn Sie den QR-Code nicht scannen können, wählen Sie den Link Geheimen Schlüssel anzeigen, um einen Textschlüssel anzuzeigen, den Sie in der Authentifizierungs-App zur Identifizierung Ihres Kontos eingeben können.

12. Scannen Sie entweder den QR-Code mit Ihrer Authentifizierungs-App oder geben Sie den Code in Ihre Authentifizierungs-App ein, um Ihr Authentifizierungsgerät mit Ihrem Konto zu verknüpfen.

13. Nachdem Ihr Authentifizierer die Verbindung zu Ihrem Konto hergestellt hat, generiert er geheime Codes, die für eine begrenzte Anzahl von Sekunden gültig sind. Geben Sie unter MFA-Code 1 den Code ein, den Sie in der App sehen. Warten Sie, bis sich dieser Code in den nächsten Code ändert, geben Sie dann diesen Code in MFA-Code 2 ein und wählen Sie dann MFA hinzufügen, bevor der zweite Code abgelaufen ist.

Sie kehren zur Seite Meine Sicherheitsanmeldeinformationen (Root-Benutzer) zurück. Oben wird eine Benachrichtigung angezeigt, die besagt, dass das MFA-Gerät zugewiesen ist.

Ihre Root-Benutzeranmeldeinformationen sind jetzt sicherer. 

14. Melden Sie sich von der Konsole ab. Wenn Sie sich das nächste Mal mit den Anmeldeinformationen des Root-Benutzers anmelden, geben Sie die Anmeldeinformationen Ihres MFA-Geräts sowie Ihre E-Mail-Adresse und Ihr Passwort ein.

1. Melden Sie sich mit den Anmeldeinformationen des Root-Benutzers bei Ihrem AWS-Konto an.

Ihre Identitätsquelle ist der Ort, an dem Ihre Benutzer und Gruppen verwaltet werden. Nachdem Sie Ihre Identitätsquelle konfiguriert haben, können Sie nach Benutzern oder Gruppen suchen, um ihnen Single-Sign-On-Zugriff auf AWS-Konten, Cloud-Anwendungen oder beides zu gewähren.

Sie können nur eine Identitätsquelle pro Organisation haben. Sie können Folgendes verwenden:

• Identity Center-Verzeichnis – Wenn Sie IAM Identity Center zum ersten Mal aktivieren, wird es automatisch mit einem Identity-Center-Verzeichnis als Ihre Standardidentitätsquelle konfiguriert, in der Sie Ihre Benutzer und Gruppen verwalten.
• Active Directory – Benutzer und Gruppen werden entweder in Ihrem Verzeichnis zu AWS Managed Microsoft AD mithilfe des AWS Directory Service oder in Ihrem selbstverwalteten Verzeichnis in Active Directory (AD) verwaltet.
• Externer Identitätsanbieter – Benutzer und Gruppen werden in einem externen Identitätsanbieter (IdP) wie Okta oder Azure Active Directory verwaltet.

In diesem Tutorial verwenden wir das Identity Center-Verzeichnis.

1. Navigieren Sie zur IAM-Identity-Center-Konsole und wählen Sie Benutzer aus. Wählen Sie dann Benutzer hinzufügen aus.

• Benutzername – Der Benutzername wird für die Anmeldung beim AWS-Zugriffsportal verwendet und kann später nicht geändert werden. Wählen Sie einen Namen, den Sie sich leicht merken können. Für dieses Tutorial fügen wir den Benutzer John hinzu.
• Passwort – Wählen Sie Eine E-Mail mit Anweisungen zur Passworteinrichtung an diesen Benutzer senden (empfohlen). Diese Option sendet dem Benutzer eine E-Mail von Amazon Web Services mit der Betreffzeile Einladung zur Teilnahme am IAM Identity Center (Nachfolger von AWS Single Sign-On). Die E-Mail wird entweder von no-reply@signin.aws oder von no-reply@login.awsapps.com gesendet. Fügen Sie diese E-Mail-Adressen Ihrer Liste der zugelassenen Absender hinzu, damit sie nicht als Junk oder Spam behandelt werden.

3. Geben Sie im Abschnitt Primäre Informationen die erforderlichen Benutzerdetails ein:  

• E-Mail-Adresse – Geben Sie eine E-Mail-Adresse für den Benutzer ein, unter der Sie die E-Mail erhalten können. Geben Sie es dann erneut ein, um es zu bestätigen. Jeder Benutzer muss über eine einzigartige E-Mail-Adresse verfügen.
  

Tipp: Während des Tests können Sie mithilfe der E-Mail-Subadressierung möglicherweise gültige E-Mail-Adressen für mehrere fiktive Benutzer erstellen. Wenn Ihr E-Mail-Anbieter dies unterstützt, können Sie eine neue E-Mail-Adresse erstellen, indem Sie das Pluszeichen (+) und dann Zahlen oder Zeichen an Ihre aktuelle E-Mail-Adresse anhängen, z. B. jemand@muster.com, jemand+1@muster.com und jemand+test@muster.com. Alle diese E-Mail-Adressen würden dazu führen, dass eine E-Mail unter derselben E-Mail-Adresse empfangen würde. 

• Vorname – Geben Sie den Vornamen des Benutzers ein.
• Nachname – Geben Sie den Nachnamen des Benutzers ein.
• Anzeigename – Dies wird automatisch mit dem Vor- und Nachnamen des Benutzers ausgefüllt. Wenn Sie den Anzeigenamen ändern möchten, können Sie einen anderen Namen eingeben. Der Anzeigename wird im Anmeldeportal und in der Benutzerliste angezeigt. 
• Füllen Sie die optionalen Informationen aus, falls gewünscht. Dies wird in diesem Tutorial nicht verwendet und kann später hinzugefügt werden.

4. Klicken Sie auf Weiter.

Mit Benutzergruppen können Sie Berechtigungen für mehrere Benutzer festlegen. Dies kann das Verwalten der Berechtigungen für diese Benutzer vereinfachen.

1. Wählen Sie Gruppe erstellen aus.

2. Es öffnet sich eine neue Browser-Registerkarte, die die Seite Gruppe erstellen anzeigt.

3. Geben Sie unter Gruppendetails im Feld Gruppenname den Text Administratoren ein.

4. Wählen Sie Gruppe erstellen aus.

Ihr neuer Benutzer ist vorhanden, hat jedoch keinen Zugriff auf Ressourcen, Services oder Anwendungen. Der Benutzer kann also Ihren Root-Benutzer für tägliche Verwaltungsaufgaben noch nicht ersetzen. Lassen Sie uns Ihrem neuen Benutzer Zugriff auf Ihr AWS-Konto gewähren. Da wir den Benutzer einer Gruppe zuordnen, weisen wir die Gruppe einem Konto zu und fügen dann einen Berechtigungssatz hinzu, der definiert, worauf die Mitglieder der Gruppe zugreifen können.

Wir werden weiterhin die Anmeldeinformationen des Root-Benutzers für dieses Verfahren verwenden.

Melden Sie sich mit den Anmeldeinformationen des Root-Benutzers bei Ihrem AWS-Konto an.

Auf der Seite AWS-Konten unter Organisationsstruktur wird Ihr Root-Konto mit dem darunter liegenden Testkonto in der Hierarchie angezeigt. Aktivieren Sie das Kontrollkästchen für Ihr Testkonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

Der Workflow Benutzer und Gruppen zuweisen wird angezeigt. Dieser besteht aus den folgenden Schritten: 

Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen die Gruppe Administratoren aus, die Sie zuvor in diesem Tutorial erstellt haben. Wählen Sie dann Weiter.

Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen. Diese führt Sie durch die drei Unterschritte zum Erstellen des Berechtigungssatzes.

Eine neue Browser-Registerkarte wird geöffnet mit der Anzeige Schritt 1: Berechtigungssatztyp auswählen. Treffen Sie die folgenden Auswahlen:

1. Wählen Sie als Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz
2. Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option AdministratorAccess aus
3. Wählen Sie dann Weiter, um fortzufahren.

Behalten Sie für Schritt 2: Berechtigungssatzdetails angeben die Standardeinstellungen bei und wählen Sie Weiter aus. Die Standardeinstellungen erstellen einen Berechtigungssatz mit der Bezeichnung AdministratorAccess mit einer Sitzungsdauer von einer Stunde. 

Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Berechtigungssatztyp die von AWS verwaltete Richtlinie AdministratorAccess verwendet. Wählen Sie Erstellen.

Sie kehren zur Seite Berechtigungssätzen zurück. Oben auf der Seite wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erfolgreich erstellt wurde. Wählen Sie X, um die Registerkarte zu schließen.

Wählen Sie auf der Browserregisterkarte Benutzer und Gruppen zuweisen für Schritt 2: Berechtigungssätze auswählen im Abschnitt Berechtigungssätze die Option Aktualisieren aus. Der von Ihnen erstellte Berechtigungssatz AdministratorAccess wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter aus. 

Überprüfen Sie für Schritt 3: Überprüfen und Absenden die ausgewählten Benutzer und Gruppen sowie den Berechtigungssatz und wählen Sie dann Absenden aus.

Die Seite wird mit einer Meldung aktualisiert, dass Ihr AWS-Konto konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

Sie werden zur Seite AWS-Konten im IAM Identity Center zurückgeleitet. Eine Benachrichtigung informiert Sie darüber, dass Ihr AWS-Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. 

Im Abschnitt Organisationsstruktur können Sie sehen, dass Ihr AWS-Konto jetzt das Verwaltungskonto im Stammverzeichnis der AWS-Organisation ist. In diesem Tutorial verwenden wir einen Platzhalter für den AWS-Kontonamen Test-acct. Stattdessen wird Ihnen der Name von Ihr AWS-Konto angezeigt.  

Herzlichen Glückwunsch, Ihr Benutzer kann sich jetzt bei Ihrem AWS-Zugriffsportal anmelden und auf Ressourcen in Ihrem AWS-Konto zugreifen. 

Jetzt können Sie sich mit Ihrem neuen Administratorbenutzer anmelden. Wenn Sie zuvor versucht hätten, sich anzumelden, hätten Sie nur Ihr Passwort festlegen und die Multi-Faktor-Authentifizierung (MFA) für Ihren Benutzer aktivieren können, da dem Benutzer keine anderen Berechtigungen gewährt wurden. Jetzt verfügt der Benutzer über vollständige Berechtigungen für Ihre AWS-Ressourcen, muss jedoch weiterhin ein Passwort konfigurieren und MFA einrichten. Lassen Sie uns diese Verfahren also Schritt für Schritt durchgehen.

Eine neue Benutzer-E-Mail wurde an die E-Mail-Adresse gesendet, die Sie beim Erstellen des Benutzers angegeben haben. Die E-Mail enthält drei wichtige Elemente:

1. Ein Link, um die Einladung zum Beitritt zu akzeptieren
2. Die URL Ihres AWS-Zugriffsportals
3. Ihr Benutzername, mit dem Sie sich anmelden

Öffnen Sie die E-Mail und notieren Sie die URL des AWS-Zugriffsportals und den Benutzernamen für die zukünftige Verwendung. Wählen Sie dann den Link Einladung annehmen aus. 

Tipp: Wenn Sie die E-Mail-Einladung zum Beitritt zum IAM Identity Center nicht in Ihrem Posteingangsordner finden, überprüfen Sie Ihre Ordner für Spam, Junk und gelöschte Objekte (oder Papierkorb). Alle vom IAM-Identity-Center-Service gesendeten E-Mails werden entweder von der Adresse no-reply@signin.aws oder no-reply@login.awsapps.com gesendet. Wenn Sie die E-Mail nicht finden können, melden Sie sich als Root-Benutzer an und setzen Sie das Passwort des Identity-Center-Benutzers zurück. Anweisungen finden Sie unter Zurücksetzen eines Benutzerpassworts im IAM Identity Center. Wenn Sie die E-Mail immer noch nicht erhalten, setzen Sie das Passwort erneut zurück und wählen Sie die Option Ein Einmalpasswort generieren, das Sie stattdessen mit dem Benutzer teilen können.

Der Link öffnet ein Browserfenster und zeigt die Seite Anmeldung neuer Benutzer an.

Geben Sie auf der Anmeldeseite für neue Benutzer ein neues Passwort ein.

Passwörter müssen wie folgt lauten:

• 8 bis 64 Zeichen lang
• Bestehend aus Groß- und Kleinbuchstaben, Zahlen und nicht-alphanumerischen Zeichen.

Nachdem Sie das Passwort bestätigt haben, wählen Sie Neues Passwort festlegen.

Bei der Bereitstellung des Benutzers kommt es zu einer kurzen Verzögerung. 

Die AWS-Konsole wird geöffnet.

Wählen Sie in der oberen Leiste neben dem Benutzernamen die Option MFA-Geräte aus, um MFA einzurichten.

Die Seite Multi-Faktor-Authentifizierungsgeräte (MFA) wird geöffnet. Wählen Sie Gerät registrieren.

Wählen Sie auf der Seite MFA-Gerät registrieren das MFA-Gerät aus, das mit dem Konto verwendet werden soll. Optionen, die von Ihrem Browser oder Ihrer Plattform nicht unterstützt werden, sind ausgegraut und können nicht ausgewählt werden.

Wir gehen die Bildschirme für die Option Authentifizierungs-App durch. Dies ähnelt dem Vorgang, den Sie beim Festlegen des MFA-Geräts für Ihren Root-Benutzer im ersten Teil des Tutorials durchgeführt haben. Der Unterschied besteht darin, dass dieses MFA-Gerät beim IAM Identity Center und nicht bei IAM registriert wird. Wenn Sie ein anderes MFA-Gerät auswählen, befolgen Sie die Anweisungen für das von Ihnen ausgewählte Gerät. 

Wählen Sie den Link QR-Code anzeigen, um einen eindeutigen QR-Code für Ihre AWS-Organisation anzuzeigen. Wenn Sie den QR-Code nicht scannen können, wählen Sie den Link Geheimen Schlüssel anzeigen, um einen Textschlüssel anzuzeigen. Diesen können Sie in der Authentifizierungs-Anwendung eingeben, um Ihre Organisation zu identifizieren. Scannen Sie entweder den QR-Code mit Ihrer Authentifizierungs-Anwendung oder geben Sie den Code in Ihre Authentifizierungs-Anwendung ein, um Ihr Authentifizierungsgerät mit Ihrer Organisation zu verknüpfen. 

Sobald Ihr Authentifizierer die Verbindung zu Ihrer Organisation hergestellt hat, generiert er geheime Codes, die für eine begrenzte Anzahl von Sekunden gültig sind. Geben Sie unter Authentifizierungs-Code den Code ein, den Sie in der App sehen, und wählen Sie dann MFA zuweisen aus. 

Hinweis: Bei der Registrierung eines MFA-Geräts beim IAM Identity Center ist nur ein Authentifizierungscode für die Registrierung erforderlich.

Ihr Gerät wurde erfolgreich registriert. Wählen Sie Fertig. 

Wählen Sie im Zugriffsportal das zu verwaltende AWS-Konto aus. Ihnen werden die für Ihr Konto konfigurierten Berechtigungen mit zwei Verbindungsoptionen angezeigt.

• Wählen Sie Managementkonsole, um die AWS-Managementkonsole zu öffnen und Ihre AWS-Ressourcen mithilfe der Dashboards der Servicekonsole zu verwalten.
• Wählen Sie Befehlszeilen- oder programmgesteuerter Zugriff, um Anmeldeinformationen für den programmgesteuerten Zugriff auf AWS-Ressourcen oder über die AWS CLI zu erhalten. Weitere Informationen zum Abrufen dieser Anmeldeinformationen finden Sie unter Abrufen von Benutzeranmeldeinformationen in IAM Identity Center für die AWS CLI oder AWS-SDKs. 
  

Wählen Sie für dieses Tutorial Managementkonsole aus.

Die AWS-Managementkonsole wird geöffnet. Als Benutzer mit Administratorzugriff können Sie Services hinzufügen, weitere Benutzer hinzufügen sowie Richtlinien und Berechtigungen konfigurieren. Sie müssen für diese Aufgaben nicht länger Ihren Root-Benutzer verwenden.