Kostenlos bei AWS einsteigen

Kostenloses Konto erstellen
Oder bei der Konsole anmelden

Erhalten Sie 12 Monate lang Zugriff auf das kostenlose Nutzungskontingent für AWS sowie AWS Support-Funktionen der Stufe "Basic" mit Kundenservice rund um die Uhr, Support-Foren und vielen weiteren Vorteilen.


F: Was ist AWS Identity and Access Management (IAM)?
AWS IAM ermöglicht Ihnen, den Zugriff auf Ihre AWS-Ressourcen durch Einzelne und Gruppen sicher zu steuern. Sie können Benutzeridentitäten ("IAM-Benutzer") anlegen und verwalten und diesen IAM-Benutzern Zugriff auf Ihre Ressourcen gewähren. Sie können Berechtigungen auch Benutzern außerhalb von AWS (Verbundbenutzern) erteilen.

F: Was sind die ersten Schritte mit IAM?
Um IAM zu nutzen, müssen Sie mindestens einen der AWS-Services abonnieren, der in IAM integriert ist. Die Erstellung und Verwaltung der Benutzer, Gruppen und Berechtigungen erfolgt dann über IAM-APIs, die AWS-Befehlszeilen-Schnittstelle oder die IAM-Konsole, die Ihnen eine webbasierte grafische Benutzeroberfläche bereitstellt. Sie können auch den Visual Editor verwenden, um Richtlinien zu erstellen.

F: Welche Probleme löst IAM?
Mit IAM ist es ganz einfach, mehreren Benutzern sicheren Zugriff auf Ihre AWS-Ressourcen zu gewähren. IAM ermöglicht Ihnen Folgendes:

  • IAM-Benutzer und ihren Zugriff verwalten: Im Identitätsverwaltungssystem von AWS können Sie Benutzer erstellen, individuelle Anmeldeinformationen (wie Zugriffsschlüssel, Kennwörter, Multi-Factor Authentication) zuweisen oder temporäre Anmeldeinformationen anfordern, um Benutzern Zugriff auf AWS-Services und -Ressourcen zu gewähren. Sie können Berechtigungen festlegen, um zu steuern, welche Vorgänge ein Benutzer durchführen darf.
  • Den Zugriff für Verbundbenutzer verwalten – Sie können Anmeldeinformationen mit konfigurierbaren Ablauffristen für Benutzer anfordern, die Sie in Ihrem Unternehmensverzeichnis verwalten. So können Sie Ihren Mitarbeitern und Anwendungen einen sicheren Zugriff auf Ressourcen in Ihrem AWS-Konto bereitstellen, ohne diese als IAM-Benutzer anzulegen. Sie selbst legen die Berechtigungen für diese Sicherheitsnachweise fest und steuern so, welche Operationen ein Benutzer durchführen kann.

F: Wer kann IAM nutzen?
Jeder AWS Kunde kann IAM nutzen. Der Dienst wird ohne Aufpreis angeboten. Sie zahlen nur für die Nutzung anderer AWS-Dienste durch ihre Benutzer.

F: Was ist ein Benutzer?
Ein Benutzer ist eine eindeutige Identität, die von AWS-Services und -Anwendungen erkannt wird. So wie bei der Benutzeranmeldung in einem Betriebssystem wie Windows oder UNIX hat ein Benutzer einen eindeutigen Namen und kann sich mit bekannten Sicherheitsnachweisen wie einem Kennwort oder einem Zugriffsschlüssel identifizieren. Einzelpersonen, Systeme oder Anwendungen, die Zugriff auf AWS-Services benötigen, können Benutzer sein. IAM unterstützt Benutzer, die im Identitätsverwaltungssystem von AWS verwaltet werden (die "IAM-Benutzer"), und ermöglicht Ihnen, Benutzern, die außerhalb von AWS in Ihrem Unternehmensverzeichnis verwaltet werden (den "verbundenen Benutzern"), Zugriff auf AWS-Ressourcen gewähren.

F: Was kann ein Benutzer tun?
Ein Benutzer kann Anforderungen an Web-Services wie Amazon S3 und Amazon EC2 stellen. Die Zugriffsmöglichkeiten von Benutzern auf Web-Service-APIs werden von dem AWS-Konto gesteuert, in dem sie jeweils definiert wurden, und liegen in dessen Verantwortung. Sie können einem Benutzer Zugriff auf einzelne oder alle AWS-Services gewähren, die in IAM integriert sind und vom AWS-Konto abonniert wurden. Berechtigte Benutzer haben Zugriff auf alle Ressourcen des AWS-Kontos. Darüber hinaus können Benutzer, wenn vom AWS-Konto aus Zugriff auf Ressourcen aus einem anderen AWS-Konto besteht, eventuell auf Daten unter diesem AWS-Konto zugreifen. Alle von einem Benutzer erstellten AWS-Ressourcen werden über sein AWS-Konto gesteuert und bezahlt. Ein Benutzer kann nicht unabhängig AWS-Services abonnieren oder Ressourcen steuern.

F: Wie rufen Benutzer AWS-Services auf?
Benutzer können mithilfe ihres Sicherheitsnachweises AWS-Services anfordern. Das Aufrufen von AWS-Services durch Benutzer wird durch ausdrückliche Berechtigungen geregelt. Standardmäßig ist Benutzern das Aufrufen von Service-APIs im Namen des Kontos untersagt.

F: Was sind die ersten Schritte mit IAM?
Um IAM zu nutzen, müssen Sie mindestens einen der AWS-Services abonnieren, der in IAM integriert ist. Die Erstellung und Verwaltung der Benutzer, Gruppen und Berechtigungen erfolgt dann über IAM-APIs, die AWS-Befehlszeilen-Schnittstelle oder die IAM-Konsole, die Ihnen eine webbasierte grafische Benutzeroberfläche bereitstellt. Sie können auch den AWS Policy Generator nutzen, um Richtlinien zu erstellen.


F: Wie werden IAM-Benutzer verwaltet?
IAM unterstützt mehrere Methoden für folgende Zwecke:

  • Erstellen und Verwalten von IAM-Benutzern.
  • Erstellen und Verwalten von IAM-Gruppen.
  • Verwalten der Benutzer-Anmeldeinformationen.
  • Erstellen und Verwalten Sie Richtlinien zur Gewährung des Zugriffs auf AWS-Services und -Ressourcen.

Sie können Benutzer, Gruppen und Berechtigungen über IAM-APIs, die AWS-Befehlszeilen-Schnittstelle oder die IAM-Konsole erstellen und verwalten. Sie können auch den Visual Editor und den IAM-Richtlinien-Simulator verwenden, um Richtlinien zu erstellen und zu testen.

F: Was ist eine Gruppe?
Eine Gruppe ist eine Auswahl von IAM-Benutzern. Die Gruppenmitgliedschaft wird über eine einfache Liste verwaltet:

  • Benutzer können einer Gruppe hinzugefügt oder aus dieser entfernt werden.
  • Ein Benutzer kann mehreren Gruppen angehören.
  • Gruppen können nicht anderen Gruppen angehören.
  • Gruppen können mittels Zugangssteuerungsrichtlinien Berechtigungen erteilt werden. Auf diese Weise können Berechtigungen für eine Auswahl von Benutzern einfacher verwaltet werden, anstatt die Berechtigungen für jeden einzelnen Benutzer verwalten zu müssen.
  • Gruppen verfügen nicht über Sicherheitsnachweise und können nicht direkt auf Web-Services zugreifen. Sie existieren nur, damit Benutzerberechtigungen leichter verwaltet werden können. Weitere Informationen dazu finden Sie unter Working with Groups and Users.

F: Welche Arten von Anmeldeinformationen können IAM-Benutzer verwenden?
IAM-Benutzer können eine beliebige Kombination aus durch AWS unterstützten Anmeldeinformationen haben, etwa AWS-Zugriffsschlüssel, X.509-Zertifikat, SSH-Schlüssel, Kennwort für die Anmeldung bei Web-Apps oder ein MFA-Gerät. So können Benutzer auf jede für sie sinnvolle Weise mit AWS interagieren. Ein Mitarbeiter verfügt eventuell über einen AWS-Zugriffsschlüssel und ein Kennwort, ein Software-System möglicherweise nur über einen AWS-Zugriffsschlüssel für programmgesteuerte Aufrufe, IAM-Benutzer unter Umständen über einen privaten SSH-Schlüssel für den Zugriff auf AWS CodeCommit-Repositorys und ein externer Auftragnehmer vielleicht nur über ein X.509-Zertifikat für die Nutzung der EC2-Befehlszeilen-Schnittstelle. Weitere Informationen finden Sie in der IAM-Dokumentation unter Temporäre Sicherheits-Anmeldeinformationen.

F: Welche AWS-Services unterstützen IAM-Benutzer?
Eine vollständige Liste der AWS-Services, die IAM-Benutzer unterstützen, finden Sie im Abschnitt IAM-kompatible AWS-Services in der IAM-Dokumentation. Die Kompatibilität mit anderen Services wird im Laufe der Zeit ausgebaut.

F: Kann der Benutzerzugriff aktiviert und deaktiviert werden?
Ja. Sie können die Zugriffsschlüssel eines IAM-Benutzers mithilfe der IAM-APIs, AWS-Befehlszeilen-Schnittstelle oder IAM-Konsole aktivieren und deaktivieren. Wenn Sie die Zugriffsschlüssel eines Benutzers deaktivieren, erhält dieser keinen programmgesteuerten Zugriff auf AWS-Services.

F: Wer kann Benutzer für ein AWS-Konto verwalten?
Der Inhaber eines AWS-Kontos kann Benutzer, Gruppen, Sicherheitsnachweise und -berechtigungen verwalten. Zusätzlich kann einzelnen Benutzern die Berechtigung zum Aufrufen von IAM-APIs zum Verwalten anderer Benutzer erteilt werden. Es kann zum Beispiel ein Administratorbenutzer erstellt werden, der die Benutzer für ein Unternehmen verwaltet – ein empfohlenes Verfahren. Wenn Sie einem Benutzer eine Berechtigung zum Verwalten anderer Benutzer erteilen, kann er dies über die IAM-APIs, die AWS-Befehlszeilen-Schnittstelle oder die IAM-Konsole tun.

F: Kann eine Gruppe von Benutzern hierarchisch, z. B. wie in LDAP, strukturiert werden?
Ja. Sie können Benutzer und Gruppen in Pfaden organisieren – ähnlich Objektpfaden in Amazon S3 –, beispielsweise /meinunternehmen/abteilung/projekt/max.

F: Kann ich Benutzer nach Region definieren?
Anfänglich ist dies nicht möglich. Benutzer sind globale Einheiten, so wie die derzeitigen AWS-Konten. Beim Definieren der Benutzerberechtigungen muss keine Region angegeben werden. Benutzer können AWS-Services in beliebigen geografischen Regionen nutzen.

F: Wie werden MFA-Geräte für IAM-Benutzer konfiguriert?
Sie (der Eigentümer des AWS-Kontos) können mehrere MFA-Geräte bestellen. Sie können diese Geräte einzelnen IAM-Benutzern individuell mithilfe der IAM-APIs, der AWS-Befehlszeilen-Schnittstelle oder über die IAM-Konsole zuweisen.

F: Welche Art von Schlüsselrotation wird für IAM-Benutzer unterstützt?
Zugriffsschlüssel und X.509 Zertifikate können nach dem Rotationsprinzip vergeben werden wie die Root-Zugriffsberechtigungen eines AWS-Kontos. Sie können die Zugriffsschlüssel und X.509-Zertifikate eines Benutzers über die IAM APIs, AWS-Befehlszeilen-Schnittstelle oder IAM-Konsole programmgesteuert vergeben und verwalten.

F: Können IAM Benutzer eigene EC2-SSH-Schlüssel verwenden?
Nicht in der anfänglichen Version. IAM wirkt sich nicht auf EC2 SSH Schlüssel oder Windows RDP Zertifikate aus. Dies bedeutet, dass sich Benutzer gemeinsame SSH-Schlüssel für das AWS-Konto, unter dem die Benutzer definiert wurden, teilen müssen, auch wenn jeder Benutzer seine eigenen Anmeldeinformationen für den Zugriff auf Web-Service-APIs besitzt.

F: Wo kann ich meine SSH-Schlüssel verwenden?

IAM-Benutzer können ihre SSH-Schlüssel derzeit nur mit AWS CodeCommit für den Zugriff auf ihre Repositorys verwenden.

F: Müssen die IAM-Benutzernamen E-Mail-Adressen sein?
Nein, aber sie können es sein. Benutzernamen sind lediglich eindeutige, innerhalb eines AWS-Kontos vergebene ASCII-Zeichenfolgen. Sie können die Namensgebung frei wählen, z. B. auch E-Mail-Adressen.

F: Welche Zeichensätze kann ich für IAM-Benutzernamen verwenden?
Für IAM-Entitäten können nur ASCII-Zeichen verwendet werden.

F: Werden andere Benutzerattribute als der Benutzername unterstützt?
Nein, derzeit nicht.

F: Wie werden Benutzerkennwörter eingerichtet?
Sie können ein erstes Kennwort für einen IAM-Benutzer über die IAM-Konsole, AWS-Befehlszeilen-Schnittstelle oder IAM-APIs festlegen. Benutzerkennwörter erscheinen nach der ersten Bereitstellung nie im Klartext und werden niemals auf einen API-Aufruf hin angezeigt oder zurückgegeben. IAM-Benutzer können ihre Kennwörter über die Seite My Password in der IAM-Konsole verwalten. Benutzer gelangen auf diese Seite, indem Sie die Option Security Credentials im Drop-down-Menü in der rechten oberen Ecke der AWS Management Console auswählen.

F: Kann ich eine Kennwortrichtlinie für Benutzerkennwörter definieren?
Ja, Sie können sichere Kennwörter erzwingen, indem Sie beispielsweise eine Mindestlänge oder mindestens eine Zahl verlangen. Außerdem können Sie einen automatischen Kennwortablauf erzwingen, die Wiederverwendung alter Kennwörter verhindern und bei der nächsten AWS-Anmeldung das Zurücksetzen des Kennworts verlangen. Weitere Informationen dazu finden Sie unter Setting an Account Policy Password for IAM Users.

F: Kann ich Kontingente für IAM-Benutzer einrichten?
Nein. Alle Grenzwerte gelten für das AWS-Konto als Ganzes. Wenn Ihr AWS-Konto beispielsweise einen Grenzwert von 20 Amazon EC2-Instances aufweist, können IAM-Benutzer mit EC2-Berechtigungen Instances bis zu diesem Grenzwert starten. Sie können nicht einschränken, was ein einzelner Benutzer tun darf.


F: Was ist eine IAM-Rolle?
Eine IAM-Rolle ist eine IAM-Entität, die verschiedene Berechtigungen für das Stellen von AWS-Serviceanforderungen definiert. IAM-Rollen sind keinen bestimmten Benutzern oder Gruppen zugeordnet. Rollen werden stattdessen vertrauenswürdigen Entitäten, z. B. IAM-Benutzern, Anwendungen oder AWS-Services wie EC2, zugeordnet.

F: Welche Probleme werden durch IAM-Rollen gelöst?
Eine IAM-Rolle ermöglicht Ihnen das Delegieren des Zugriff (bei definierten Berechtigungen) an vertrauenswürdige Entitäten, ohne dass Zugriffsschlüssel langfristig gemeinsam genutzt werden müssen. Sie können IAM-Rollen dazu verwenden, den Zugriff an IAM-Benutzer, die im Rahmen Ihres Kontos verwaltet werden, an IAM-Benutzer, die zu einem anderen AWS-Konto gehören, oder an einen AWS-Service wie EC2 zu delegieren.

F: Was sind die ersten Schritte bei IAM-Rollen?
Sie erstellen eine Rolle ähnlich wie Sie einen Benutzer erstellen – Sie benennen die Rolle und weisen ihr eine Richtlinie zu. Weitere Informationen dazu finden Sie unter Creating IAM Roles.

F: Wie werde ich einer IAM-Rolle zugeordnet?
Sie werden einer IAM-Rolle zugeordnet, indem Sie die AssumeRole-APIs (also AssumeRole, AssumeRoleWithWebIdentity und AssumeRoleWithSAML) des AWS Security Token Service (STS) aufrufen. Diese APIs geben temporäre Anmeldeinformationen zurück, mit denen Anwendungen dann Anforderung an AWS-Service-APIs signieren können.

F: Wie vielen IAM-Rollen kann ich zugeordnet werden?
Die Anzahl der IAM-Rollen, denen Sie zugeordnet werden können, ist unbegrenzt. Wenn Sie Anforderungen an AWS-Services richten, dürfen Sie aber nur einer IAM-Rolle zugeordnet sein.

F: Wer kann IAM-Rollen nutzen?
Jeder AWS-Kunde kann IAM-Rollen nutzen.

F: Was kosten IAM-Rollen?
IAM-Rollen sind kostenlos. Sie zahlen weiter für Ressourcen, die eine Rolle in Ihrem AWS-Konto nutzt.

F: Wie werden IAM-Rollen verwaltet?
Sie können IAM-Rollen über IAM-APIs, die AWS-Befehlszeilen-Schnittstelle oder die IAM-Konsole erstellen und verwalten, die eine webbasierte grafische Oberfläche im Browser bietet.

F: Was ist der Unterschied zwischen einer IAM-Rolle und einem IAM-Benutzer?
Ein IAM-Benutzer hat dauerhaft gültige Anmeldeinformationen und kann direkt mit AWS-Services interagieren. Eine IAM-Rolle hat keine Anmeldeinformationen und kann keine direkten Anforderungen an AWS-Services richten. IAM-Rollen werden autorisierten Entitäten wie IAM-Benutzern, Anwendungen oder einem AWS-Service wie EC2 zugeordnet.

F: Wann sollte ich einen IAM-Benutzer, eine IAM-Gruppe oder IAM-Rolle verwenden?

Ein IAM-Benutzer hat dauerhaft gültige Anmeldeinformationen und kann direkt mit AWS-Services interagieren. Eine IAM-Gruppe dient hauptsächlich zur Vereinfachung der Verwaltung derselben Berechtigungen für eine IAM-Benutzergruppe. Eine IAM-Rolle ist eine AWS Identity and Access Management-Entität (IAM) mit Berechtigungen zum Stellen von Anforderungen an AWS-Services. IAM-Rollen können keine direkten Anforderungen an AWS-Services stellen, sondern werden autorisierten Entitäten wie IAM-Benutzern, Anwendungen oder AWS-Services wie EC2 zugeordnet. Mit IAM-Rollen delegieren Sie den Zugriff innerhalb oder zwischen AWS-Konten.

F: Kann ich eine IAM-Rolle einer IAM-Gruppe hinzufügen?
Nein, derzeit nicht.

F: Wie viele Richtlinien kann ich einer IAM-Rolle zuordnen?

Für enthaltene Richtlinien gilt Folgendes: Sie können einem Benutzer, einer Rolle oder einer Gruppe beliebig viele enthaltene Richtlinien zuordnen. Für die Gesamtrichtliniengröße (also die Gesamtgröße aller enthaltenen Richtlinien) pro Entität gelten jedoch die folgenden Grenzwerte:

  • Die Benutzerrichtlinie darf eine Größe von 2 048 Zeichen nicht überschreiten.
  • Die Rollenrichtlinie darf eine Größe von 10 240 Zeichen nicht überschreiten.
  • Die Gruppenrichtlinie darf eine Größe von 5 120 Zeichen nicht überschreiten.

Für verwaltete Richtlinien gilt Folgendes: Sie können einem Benutzer, einer Rolle oder einer Gruppe bis zu 10 verwaltete Richtlinien hinzufügen. Eine verwaltete Richtlinie darf dabei eine Größe von 6 144 Zeichen jeweils nicht überschreiten.

F: Wie viele IAM-Rollen können erstellt werden?
Ihr AWS-Konto lässt maximal 1 000 IAM-Rollen zu. Falls Sie mehr Rollen benötigen, lassen Sie uns das Anfrageformular für ein größeres IAM-Kontingent zusammen mit Ihrem Anwendungsfall zukommen, und wir werden Ihre Anfrage bearbeiten.

F: An welche Services kann meine Anwendung Anforderungen senden?
Ihre Anwendung kann Anforderungen an alle AWS-Services richten, die Sitzungen mit Rollen unterstützen.

F: Was sind IAM-Rollen für EC2-Instances?
IAM-Rollen für EC2-Instances ermöglichen Ihren in EC2 ausgeführten Anwendungen, Anforderungen an AWS-Services, z. B. Amazon S3, Amazon SQS und Amazon SNS, zu stellen, ohne dass AWS-Zugriffsschlüssel in alle Instances kopiert werden müssen. Weitere Informationen dazu finden Sie unter IAM Roles for Amazon EC2.

F: Welche Funktionen bieten IAM-Rollen für EC2-Instances?

IAM-Rollen für EC2-Instances bieten die folgenden Funktionen:

  • Temporäre AWS-Anmeldeinformationen, damit ausgeführte EC2-Instances Anforderungen an AWS-Services richten können
  • Automatischer Wechsel der temporären AWS-Anmeldeinformationen
  • Präzise abgestufte Berechtigungen für AWS-Services für Anwendungen, die in EC2-Instances ausgeführt werden

F: Welches Problem wird mit IAM-Rollen für EC2-Instances behoben?
IAM-Rollen für EC2-Instances vereinfachen die Verwaltung und Bereitstellung von AWS-Zugriffsschlüsseln für EC2-Instances. Über diese Funktion ordnen Sie eine IAM-Rolle einer Instance zu. Ihre EC2-Instance bietet Ihnen dann die temporären Sicherheits-Anmeldeinformationen für Anwendungen, die in der Instance ausgeführt werden. Die Anwendungen können diese Berechtigungen verwenden, um sichere Anforderungen bei den AWS-Serviceressourcen vorzunehmen, die in der Rolle definiert werden.

F: Welches sind die ersten Schritte bei IAM-Rollen für EC2-Instances?
Wenn Sie wissen möchten, wie Rollen mit EC2-Instances funktionieren, müssen Sie zunächst mithilfe der IAM-Konsole eine Rolle erstellen, eine EC2-Instance starten, die diese Rolle verwendet, und anschließend die ausgeführte Instance prüfen. Anhand der Instance-Metadaten können Sie erkennen, wie die Anmeldeinformationen einer Rolle für eine Instance verfügbar gemacht werden. Sie können darüber hinaus auch erkennen, wie eine auf einer Instance ausgeführte Anwendung die Rolle verwendet. Weitere Informationen finden Sie unter Was sind die ersten Schritte?

F: Kann dieselbe IAM-Rolle für mehrere EC2-Instances verwendet werden?
Ja.

F: Kann ich die IAM-Rolle für eine ausgeführte EC2-Instance ändern?
Ja. Obwohl jeder EC2 Instance beim Start eine Rolle zugewiesen wird, kann eine Rolle auch einer EC2 Instance zugeordnet werden, die bereits ausgeführt wird. Unter IAM-Rollen für EC2 Instances erfahren Sie, wie Sie einer laufenden Instance eine Rolle zuweisen können. Sie können auch die Berechtigungen einer IAM-Rolle ändern, die einer ausgeführten Instance zugeordnet ist, woraufhin die aktualisierten Berechtigungen sofort wirksam werden. 

F: Kann ich eine IAM-Rolle einer bereits ausgeführten EC2 Instance zuordnen?
Ja. Sie können einer EC2 Instance, die bereits ausgeführt wird, eine Rolle zuweisen. Unter IAM-Rollen für EC2 Instances erfahren Sie, wie Sie einer bereits ausgeführten Instance eine Rolle zuweisen können.

F: Kann eine IAM-Rolle einer Auto Scaling-Gruppe zugeordnet werden?

Ja. Sie können eine IAM-Rolle als zusätzlichen Parameter einer Auto Scaling-Startkonfiguration hinzufügen und eine Auto Scaling-Gruppe mit dieser Startkonfiguration erstellen. Alle EC2-Instances, die in einer Auto Scaling-Gruppe gestartet werden, die einer IAM-Rolle zugeordnet ist, werden mit der Rolle als Eingabeparameter gestartet. Weitere Informationen dazu finden Sie unter What Is Auto Scaling? im Auto Scaling Developer Guide.

F: Kann ich einer EC2-Instance mehrere IAM-Rollen zuordnen?
Nein. Sie können derzeit nur eine IAM-Rolle einer EC2-Instance zuordnen. Die Obergrenze von einer Rolle pro Instance kann nicht erhöht werden.

F: Was geschieht, wenn ich eine IAM-Rolle lösche, die einer ausgeführten EC2 Instance zugeordnet ist?
Allen Anwendungen, die in dieser Instance ausgeführt werden und die Rolle verwenden, wird sofort der Zugriff verweigert.

F: Kann ich steuern, welche IAM-Rollen ein IAM-Benutzer einer EC2-Instance zuordnen kann?
Ja. Weitere Informationen finden Sie unter Permissions Required for Using Roles with Amazon EC2.

F: Welche Berechtigungen sind erforderlich, um EC2 -Instances mit einer IAM-Rolle zu starten?
Sie müssen einem IAM-Benutzer zwei unterschiedliche Berechtigungen erteilen, um EC2-Instances erfolgreich mit Rollen zu starten:

  • Die Berechtigung zum Starten von EC2-Instances
  • Die Berechtigung zum Zuordnen einer IAM-Rolle zu EC2-Instances

Weitere Informationen finden Sie unter Permissions Required for Using Roles with Amazon EC2.

F: Wer kann auf die Zugriffsschlüssel einer EC2-Instance zugreifen?
Lokale Benutzer der Instance können auf die der IAM-Rolle zugeordneten Zugriffsschlüssel zugreifen.

F: Wie verwende ich die IAM-Rolle mit meiner Anwendung für die EC2-Instance?
Wenn Sie Ihre Anwendung mit dem AWS SDK entwickeln, verwendet das AWS SDK automatisch die AWS-Zugriffsschlüssel, die auf der EC2-Instance verfügbar gemacht wurden. Wenn Sie das AWS SDK nicht verwenden, können Sie die Zugriffsschlüssel aus dem EC2-Instance-Metadatenservice abrufen. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die in EC2-Instances ausgeführt werden.

F: Wie wechsle ich die temporären Anmeldeinformationen für die EC2-Instance?
Die temporären AWS-Anmeldeinformationen, die einer IAM-Rolle zugeordnet sind, werden mehrmals täglich automatisch gewechselt. Neue temporäre Anmeldeinformationen werden spätestens fünf Minuten vor Ablauf der vorhandenen temporären Anmeldeinformationen bereitgestellt.

F: Kann ich IAM-Rollen für EC2-Instances mit einem beliebigen Instance-Typ oder Amazon Machine Image verwenden?
Ja. IAM-Rollen für EC2-Instances funktionieren auch in Amazon Virtual Private Cloud (VPC) mit Spot- und Reserved Instances.

F: Was ist eine Service-verknüpfte Rolle?
Eine Service-verknüpfte Rolle ist ein Rollentyp, der eine Verknüpfung zu einem AWS-Service herstellt (auch als verknüpfter Service bezeichnet), sodass nur der verknüpfte Service die Rolle annehmen kann. Mithilfe dieser Rollen können Sie Berechtigungen an AWS-Services delegieren, um AWS-Ressourcen für Sie erstellen und verwalten zu lassen.

F: Kann ich eine Service-verknüpfte Rolle annehmen?
Nein. Eine Service-verknüpfte Rolle kann nur vom verknüpften Service angenommen werden. Aus diesem Grund kann die Vertrauensrichtlinie einer Service-verknüpfte Rolle nicht geändert werden.

F: Kann ich eine Service-verknüpfte Rolle löschen?
Ja. Wenn Sie bestimmte Aktionen nicht mehr durch einen AWS-Service durchführen lassen wollen, können Sie die betreffende Service-verknüpfte Rolle löschen. Zuvor müssen Sie jedoch alle von dieser Rolle abhängigen AWS-Ressourcen löschen. Dieser Schritt stellt sicher, dass Sie keine Rolle, die für die ordnungsgemäße Funktion Ihrer AWS-Ressourcen erforderlich ist, versehentlich löschen.

F: Wie lösche ich eine Service-verknüpfte Rolle?
Eine Service-verknüpfte Rolle können Sie über die IAM-Konsole löschen. Wählen Sie dort im Navigationsbereich Rollen aus, dann die Service-verknüpfte Rolle, die Sie löschen möchten, und klicken Sie auf Rolle löschen. (Hinweis: Bei Amazon Lex müssen Sie zum Löschen einer Service-verknüpften Rolle die Amazon Lex-Konsole verwenden.)


F: Wie funktionieren Berechtigungen?

Zugriffskontrollrichtlinien sind für die Zuweisung von Berechtigungen für AWS-Ressourcen an Benutzer, Gruppen und Rollen gebunden. IAM-Benutzer, -Gruppen und -Rollen haben standardmäßig keine Berechtigungen. Daher müssen Benutzer mit entsprechenden Berechtigungen eine Richtlinie verwenden, um die gewünschten Berechtigungen zu gewähren.

F: Wie weise ich mit einer Richtlinie Berechtigungen zu?

Um Berechtigungen festzulegen, können Sie mithilfe der AWS Management Console, der IAM-API oder der AWS-CLI Richtlinien erstellen und zuordnen. Benutzer, denen die erforderlichen Berechtigungen zugewiesen wurden, können Richtlinien erstellen und sie IAM-Benutzern, -Gruppen und -Rollen zuweisen.

F: Was sind verwaltete Richtlinien?

Verwaltete Richtlinien sind IAM-Ressourcen, die mithilfe der IAM-Richtliniensprache Berechtigungen formulieren. Sie können sie getrennt von IAM-Benutzern, -Gruppen und -Rollen, denen sie zugeordnet werden, erstellen, bearbeiten und verwalten. Nachdem Sie eine verwaltete Richtlinie mehreren IAM-Benutzern, -Gruppen oder -Rollen zugewiesen haben, können Sie diese Richtlinie an einem Ort aktualisieren und die Berechtigung gilt automatisch für alle Entitäten. Verwaltete Richtlinien werden entweder von Ihnen verwaltet (sie werden als vom Kunden verwaltete Richtlinien bezeichnet) oder von AWS (sie werden als von AWS verwaltete Richtlinien bezeichnet). Weitere Informationen über verwaltete Richtlinien finden Sie unter Verwaltete Richtlinien und enthaltene Richtlinien.

F: Wie erstelle ich eine vom Kunden verwaltete Richtlinie?

Sie können dazu den Visual Editor oder den JSON-Editor in der IAM-Konsole verwenden. Der  Visual Editor ist ein Point-and-click-Editor, der Sie durch den Prozess der Gewährung von Berechtigungen in einer Richtlinie führt, ohne dass Sie die Richtlinie in JSON schreiben müssen. Sie können Richtlinien in JSON über die Befehlszeilen-Schnittstelle und SDK erstellen.

F: Wie kann ich allgemein verwendete Berechtigungen zuweisen?

AWS bietet eine Serie von allgemein verwendeten Berechtigungen, die Sie IAM-Benutzern, ‑Gruppen und ‑Rollen in Ihrem Konto zuweisen können. Sie werden als von AWS verwaltete Richtlinien bezeichnet. Ein Beispiel ist der schreibgeschützte Zugang für Amazon S3. Sobald AWS diese Richtlinien aktualisiert, werden die Berechtigungen automatisch auf die Benutzer, Gruppen und Rollen angewendet, denen die Richtlinie zugewiesen ist. Von AWS verwaltete Richtlinien erscheinen automatisch im Bereich Richtlinien der IAM-Konsole. Beim Zuweisen von Berechtigungen können Sie eine von AWS verwaltete Richtlinie verwenden oder eine eigene, vom Kunden verwaltete Richtlinie erstellen. Erstellen Sie eine neue Richtlinie auf der Grundlage einer vorhandenen, von AWS verwalteten Richtlinie oder definieren Sie eine eigene Richtlinie.

F: Wie funktionieren gruppenbasierte Berechtigungen?

Sie können IAM-Gruppen verwenden, um dieselben Berechtigungen mehreren IAM-Benutzern zuzuweisen. Einem Benutzer können auch individuelle Berechtigungen zugewiesen werden. Mithilfe der beiden Möglichkeiten zum Zuordnen von Berechtigungen zu Benutzern können allgemeine Berechtigungen festgelegt werden.

F: Welcher Unterschied besteht zwischen dem Zuweisen von Berechtigungen mithilfe von IAM-Gruppen und dem Zuweisen von Berechtigungen mithilfe von verwalteten Richtlinien?

Sie können IAM-Gruppen verwenden, um IAM-Benutzer zusammenzufassen und gemeinsame Berechtigungen für diese Benutzer zu definieren. Sie können verwaltete Richtlinien verwenden, wenn IAM-Benutzer, Gruppen und Rollen dieselben Berechtigungen teilen sollen. Beispiel: Wenn Sie möchten, dass eine Gruppe von Benutzern die Berechtigung besitzt, eine Amazon EC2-Instance zu starten, und die Rolle dieser Instance dieselben Berechtigungen wie die Benutzer in der Gruppe haben soll, können Sie eine verwaltete Richtlinie erstellen und sie der Gruppe von Benutzern und der Rolle in der Amazon EC2-Instance zuweisen.

F: Wie werden IAM-Richtlinien in Verbindung mit auf Ressourcen von Amazon S3, Amazon SQS, Amazon SNS und AWS KMS basierten Richtlinien bewertet?

IAM-Richtlinien werden gemeinsam mit den auf Ressourcen basierten Richtlinien des Services bewertet. Wenn ein Richtlinientyp den Zugriff zulässt (ohne ihn explizit abzulehnen), wird die Aktion zugelassen. Weitere Informationen über die Logik der Richtlinienbewertung finden Sie unter Bewertungslogik für IAM-Richtlinien

F: Kann ich eine verwaltete Richtlinie als ressourcenbasierte Richtlinie verwenden?

Verwaltete Richtlinien können nur IAM-Benutzern, -Gruppen oder -Rollen zugeordnet werden. Als ressourcenbasierte Richtlinien können sie nicht verwendet werden.

F: Wie lege ich mithilfe von Richtlinien präzise abgestufte Berechtigungen fest?

Mithilfe von Richtlinien können Sie für Berechtigungen verschiedene Stufen der Präzision festlegen. Erstens können Sie bestimmte AWS-Serviceaktionen festlegen, auf die der Zugriff erlaubt oder ausdrücklich untersagt werden soll. Zweitens können Sie abhängig von der jeweiligen Aktion bestimmte AWS-Ressourcen festlegen, mit deren Hilfe die Aktionen ausgeführt werden können. Drittens können Sie Bedingungen festlegen, die bestimmen, wann die Richtlinie wirksam ist (z. B. wenn MFA aktiviert bzw. nicht aktiviert ist).

F: Sie kann ich ohne großen Aufwand unnötige Berechtigungen entfernen?

Die IAM-Konsole zeigt nun Daten zu dem zuletzt verwendeten Service unter Angabe der Uhrzeit an, zu der eine IAM-Entität (Benutzer, Gruppe oder Rolle) zuletzt auf einen AWS-Service zugegriffen hat. So können Sie leichter feststellen, welche Berechtigungen unnötig sind. Wenn Sie wissen, ob und wann eine IAM-Entität eine Berechtigung in Anspruch genommen hat, können Sie unnötige Berechtigungen wesentlich einfacher entfernen und Ihre IAM-Richtlinien entsprechend verbessern.

F: Kann ich Berechtigungen für den Zugriff auf Informationen auf Kontoebene oder das Ändern solcher Informationen (z. B. Zahlungsweise, E-Mail-Adresse des Kontakts, Fakturierungshistorie usw.) erteilen?

Ja. Sie können die Fähigkeit eines IAM-Benutzers oder Verbundbenutzers delegieren, AWS-Rechnungsdaten einzusehen und AWS-Kontoinformationen zu ändern. Weitere Informationen zur Kontrolle des Zugriffs auf Fakturierungsdaten finden Sie unter Kontrollieren des Zugriffs.

F: Wer kann Zugriffsschlüssel eines AWS-Kontos erstellen und verwalten?

Nur ein AWS-Kontoeigentümer kann die Zugriffsschlüssel für das Root-Konto verwalten. Der Kontoeigentümer und IAM-Benutzer oder ‑Rollen, denen die erforderlichen Berechtigungen erteilt wurden, können die Zugriffsschlüssel für IAM-Benutzer verwalten.

F: Kann ich Berechtigungen für den Zugriff auf AWS-Ressourcen erteilen, die zu einem anderen AWS-Konto gehören?
Ja. Mit IAM-Rollen können IAM-Benutzer und Verbundbenutzer auf Ressourcen in einem anderen AWS-Konto über die AWS Management Console, die AWS-Befehlszeilen-Schnittstelle oder die APIs zugreifen. Weitere Informationen finden Sie unter Verwalten von IAM-Rollen.

F: Wie sieht eine Richtlinie aus?

Mit der folgenden Richtlinie wird Zugriff zum Hinzufügen, Aktualisieren und Löschen von Objekten in einem bestimmten Ordner (example_folder) in einem bestimmten Bucket (example_bucket) erteilt.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

F: Was ist eine Richtlinienzusammenfassung?

Wenn Sie die IAM-Konsole verwenden und eine Richtlinie auswählen, wird Ihnen die Richtlinienzusammenfassung angezeigt. Sie führt die Zugriffsebenen, Ressourcen und Bedingungen für jeden in einer Richtlinie definierten Service auf (siehe folgenden Screenshot). Die Zugriffsebene (Anzeige-, Lese- oder Schreibberechtigungen bzw. Berechtigungsverwaltung) wird durch die für jeden Service gewährten Aktionen in dieser Richtlinie definiert. Die Richtlinien können Sie in JSON anzeigen, klicken Sie dazu auf die Schaltfläche JSON.

Screenshot einer Richtlinienzusammenfassung

F: Was ist der IAM-Richtliniensimulator?
Der IAM-Richtliniensimulator ist ein Tool, mit dem Sie die Auswirkungen Ihrer Zugriffssteuerungsrichtlinien nachvollziehen, testen und bewerten können.

F: Wofür kann der Richtliniensimulator verwendet werden?  
Für die Verwendung des Richtliniensimulators gibt es verschiedene Möglichkeiten. Sie können Richtlinienänderungen testen, um sicherzustellen, dass sie die gewünschten Auswirkungen haben, bevor Sie diese im Produktionssystem umsetzen. Sie können vorhandene Richtlinien, die Benutzern, Gruppen und Rollen zugeordnet sind, validieren, um Berechtigungen zu prüfen und Fehler zu beheben. Mithilfe des Richtliniensimulators können Sie darüber hinaus auch nachvollziehen, wie IAM-Richtlinien und ressourcenbasierte Richtlinien zur Erteilung bzw. Verweigerung des Zugriffs auf AWS-Ressourcen zusammenwirken.

F: Wer kann den Richtliniensimulator verwenden?
Der Richtliniensimulator steht allen AWS-Kunden zur Verfügung.

F: Was kostet der Richtliniensimulator?
Für die Nutzung des Richtliniensimulators fallen keine Extrakosten an.

F: Was sind die ersten Schritte?
Navigieren Sie zu https://policysim.aws.amazon.com oder klicken Sie in der IAM-Konsole unter "Additional Information" auf den Link. Geben Sie eine neue Richtlinie an oder wählen Sie eine vorhandene Richtlinie von einem Benutzer, einer Gruppe oder einer Rolle aus, die Sie bewerten möchten. Wählen Sie anschließend Aktionen aus der Liste der AWS-Services aus. Geben Sie alle für die Simulation der Zugriffsanforderung erforderlichen Informationen an und führen Sie die Simulation aus, um festzustellen, ob die Richtlinie Berechtigungen für die ausgewählten Aktionen und Ressourcen zulässt oder nicht. Weitere Informationen zum IAM-Richtliniensimulator erhalten Sie in unserem Video "Erste Schritte" oder in der Dokumentation.

F: Welche Arten von Richtlinien unterstützt der IAM-Richtliniensimulator?
Der Richtliniensimulator unterstützt Tests neu eingegebener Richtlinien sowie bestehender Richtlinien, die Benutzern, Gruppen oder Rollen zugeordnet sind. Außerdem können Sie simulieren, ob Richtlinien auf Ressourcenebenen Zugriff auf eine bestimmte Ressource für Amazon S3-Buckets, Amazon Glacier-Vaults, Amazon SNS-Topics und Amazon SQS-Warteschlangen gewähren können. Diese sind in der Simulation enthalten, wenn ein Amazon-Ressourcenname (ARN) im Feld Resource in den Simulation Settings für einen Service angegeben wurde, der Ressourcenrichtlinien unterstützt.

F: Werden Änderungen, die ich im Richtliniensimulator an einer Richtlinie vornehme, dauerhaft in das Produktionssystem übernommen?
Nein. Wenn Sie Änderungen in das Produktionssystem übernehmen möchten, kopieren Sie die Richtlinie, die Sie im Richtliniensimulator geändert haben, und ordnen Sie dem gewünschten IAM-Benutzer bzw. der Gruppe oder Rolle zu.

F: Kann der Richtliniensimulator programmgesteuert verwendet werden?
Ja. Sie können den Richtliniensimulator mithilfe der AWS SDKs oder der AWS-CLI sowie mit der Richtliniensimulator-Konsole verwenden. Verwenden Sie die API iam:SimulatePrincipalPolicy, um Ihre vorhandenen IAM-Richtlinien programmgesteuert zu testen. Wenn Sie die Auswirkungen von neuen oder aktualisierten Richtlinien testen möchten, die noch keinem Benutzer, keiner Gruppe oder Rolle zugeordnet sind, rufen Sie die API iam:SimulateCustomPolicy auf.  


F: Wie melden sich IAM-Benutzer an?

Für die Anmeldung bei der AWS Management Console als IAM-Benutzer müssen Sie außer Ihrem Benutzernamen und Passwort auch Ihre Konto-ID oder Ihren Konto-Alias angeben. Wenn der Administrator Ihren IAM-Benutzer in der Konsole erstellt hat, sollten Sie Ihren Benutzernamen und die URL zur Kontoanmeldeseite erhalten haben. Diese URL enthält Ihre Konto-ID oder Ihren Konto-Alias.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Sie können sich auch über den folgenden allgemeinen Anmeldeendpunkt anmelden und Ihre Konto-ID oder Ihren Konto-Alias manuell eingeben:

https://console.aws.amazon.com/

Die AWS-Anmeldeseite speichert den IAM-Benutzernamen und die Kontoinformationen in einem Browser-Cookie. Wenn der Benutzer das nächste Mal eine Seite in der AWS Management Console aufruft, wird er mithilfe des Cookies auf die Kontoanmeldeseite umgeleitet.

Hinweis: IAM-Benutzer können sich auch weiterhin über den URL-Link bei der AWS Management Console anmelden, den sie von ihrem Administrator erhalten haben.

F: Was ist ein AWS-Konto-Alias?

Der Konto-Alias ist ein Name, den Sie selbst bestimmen können, um ihr Konto leichter identifizierbar zu machen. Sie können einen Alias mithilfe der IAM-APIs, AWS-Befehlszeilen-Tools oder über die IAM-Konsole erstellen. Pro AWS-Konto kann nur ein Alias vergeben werden.

F: Auf welche AWS-Websites können IAM-Benutzer zugreifen?

IAM-Benutzer können sich an den folgenden AWS-Websites anmelden:

F: Können sich IAM-Benutzer mit ihren Anmeldeinformationen für andere Amazon.com-Eigenschaften anmelden?
Nein. Mit IAM erstellte Benutzer werden nur von AWS-Services und -Anwendungen erkannt.

F: Gibt es eine Authentifizierungs-API zum Überprüfen von Benutzeranmeldungen?
Nein. Es gibt keine programmgesteuerte Methode zum Überprüfen von Benutzeranmeldungen.

F: Können Benutzer per SSH mit Ihrem AWS-Benutzernamen und -Kennwort auf EC2-Instances zugreifen?
Nein. Mit IAM erstellte Anmeldeinformationen für Benutzer werden nicht für die direkte Authentifizierung bei EC2-Instances von Kunden unterstützt. Das Verwalten von SSH-Anmeldeinformationen für EC2 fällt innerhalb der EC2-Konsole in die Zuständigkeit des Kunden.


F: Was sind temporäre Anmeldeinformationen?
Temporäre Sicherheits-Anmeldeinformationen bestehen aus einer AWS-Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token. Temporäre Anmeldeinformationen gelten für eine festgelegte Dauer und für eine bestimmte Gruppe von Berechtigungen. Temporäre Anmeldeinformationen werden manchmal oft einfach als Token bezeichnet. Token können für IAM Benutzer oder über Ihr eigenes Unternehmensverzeichnis verwaltete Verbundbenutzer angefordert werden. Weitere Informationen finden Sie unter Gängige Szenarien für temporäre Anmeldeinformationen.

F: Welche Vorteile bieten temporäre Anmeldeinformationen?
Temporäre Anmeldeinformationen ermöglichen Ihnen Folgendes:

  • Sie können Ihre internen Benutzerverzeichnisse zum Ermöglichen eines Verbunds mit AWS ausweiten, sodass Ihre Mitarbeiter und Anwender sicher auf AWS-Service-APIs zugreifen können, ohne dass eine eigene AWS-Identität für sie angelegt werden muss.
  • Sie können temporäre Anmeldeinformationen für eine unbegrenzte Anzahl von Verbundbenutzern anfordern.
  • Sie können den Zeitraum konfigurieren, nach dem temporäre Anmeldeinformationen ablaufen. Damit erzielen Sie ein höheres Maß an Sicherheit, wenn auf AWS-Service-APIs über mobile Geräte zugegriffen wird, die verloren gehen können.

F: Wie kann ich temporäre Anmeldeinformationen für Verbundbenutzer anfordern?
Sie können die STS-API GetFederationToken, AssumeRole, AssumeRoleWithSAML oder AssumeRoleWithWebIdentity aufrufen.

F: Wie kann ein IAM-Benutzer temporäre Anmeldeinformationen für die eigene Nutzung anfordern?
IAM-Benutzer können temporäre Anmeldeinformationen zur eigenen Nutzung anfordern, indem Sie die AWS Security Token Service-API GetSessionToken aufrufen. Die standardmäßige Ablaufzeit für diese temporären Anmeldeinformationen beträgt 12 Stunden. Das Minimum ist 15 Minuten, das Maximum 36 Stunden.

Sie können auch temporäre Anmeldeinformationen mit durch Multi-Factor Authentication (MFA)geschützten API-Zugriff verwenden.

F: Wie kann ich temporäre Sicherheits-Anmeldeinformationen verwenden, um AWS-Service-APIs aufzurufen?
Wenn Sie HTTPS API-Anforderungen direkt an AWS richten, können Sie diese Anforderungen mit den temporären Anmeldeinformationen signieren, die Sie vom AWS Security Token Service (AWS STS) erhalten. Gehen Sie hierfür wie folgt vor:

  • Verwenden Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel (beides erhalten Sie zusammen mit den temporären Anmeldeinformationen) auf dieselbe Weise wie dauerhaft gültige Anmeldeinformationen zum Signieren einer Anforderung. Weitere Informationen zum Signieren von HTTPS API-Anforderungen finden Sie unter Signing AWS API Requests in der allgemeinen Referenz zu AWS.
  • Verwenden Sie das Sitzungs-Token, das mit den temporären Anmeldeinformationen bereitgestellt wird. Fügen Sie das Sitzungs-Token in den Header "x-amz-security-token" ein. Ein Beispiel für eine Anforderung finden Sie im Folgenden.
    • Für Amazon S3: über den HTTP-Header "x-amz- security-token". 
    • Für andere AWS-Services: über den Parameter "SecurityToken".

F: Welche AWS-Services akzeptieren temporäre Anmeldeinformationen?
Eine Liste der unterstützten Services finden Sie unter IAM-kompatible AWS-Services.

F: Was ist die maximale Größe der Zugriffsrichtlinie, die beim Anfordern temporärer Anmeldeinformationen angegeben werden kann (entweder GetFederationToken oder AssumeRole)?
Der Klartext der Richtlinie darf maximal 2 048 Byte umfassen. Durch interne Konvertierung wird er jedoch in ein Binärformat mit einem eigenen Grenzwert komprimiert.

F: Können temporäre Anmeldeinformationen vor ihrem Ablauf widerrufen werden?
Nein. Beim Anfordern temporärer Anmeldeinformationen wird Folgendes empfohlen:

  • Legen Sie beim Erstellen temporärer Anmeldeinformationen den Ablauf auf einen für Ihre Anwendung geeigneten Wert fest.
  • Da die Berechtigungen des Root-Kontos nicht eingeschränkt werden können, empfehlen wir, einen IAM-Benutzer und nicht das Root-Konto zu verwenden, um temporäre Anmeldeinformationen zu erstellen. Sie können die Berechtigungen des IAM-Benutzers widerrufen, der die ursprüngliche Anforderung gestellt hat. Mit dieser Aktion werden sofort sämtliche Berechtigungen für alle temporären Anmeldeinformationen widerrufen, die von diesem IAM-Benutzer ausgestellt wurden.

F: Kann ich den Ablauf der temporären Anmeldeinformationen reaktivieren oder verlängern?
Nein. Es empfiehlt sich, den Ablauf aktiv zu überprüfen und neue temporäre Anmeldeinformationen anzufordern, bevor die alten ablaufen. Dieser Wechselprozess wird für Sie automatisch verwaltet, wenn bei Rollen für EC2-Instances temporäre Anmeldeinformationen verwendet werden.

F: Werden temporäre Anmeldeinformationen in allen Regionen unterstützt?
Kunden können Token von AWS STS-Endpunkten in allen Regionen, einschließlich AWS GovCloud (USA) und China (Beijing) anfordern. Von AWS GovCloud (USA) und China (Beijing) stammende temporäre Anmeldeinformationen können nur in der jeweiligen Region verwendet werden. Temporäre Anmeldeinformationen, die in einer anderen Region als US East (Nord-Virginia) oder EU (Irland) angefordert wurden, können in allen Regionen mit Ausnahme von AWS GovCloud (USA) und China (Beijing) verwendet werden.

F: Kann ich die Nutzung temporärer Anmeldeinformationen auf eine Region oder eine Gruppe von Regionen beschränken?

Nein. Sie können die temporären Anmeldeinformationen nicht auf eine Region oder eine Gruppe von Regionen beschränken, ausgenommen die temporären Anmeldeinformationen von AWS GovCloud (USA) und China (Beijing), die nur in den jeweiligen Regionen verwendet werden können.

F: Was brauche ich, bevor ich mit der Nutzung eines AWS STS-Endpunkts beginnen kann?

AWS STS-Endpunkte sind standardmäßig in allen Regionen aktiv und Sie können sie ohne weitere Maßnahme nutzen.

F: Was geschieht, wenn ich versuche, einen regionalen AWS STS-Endpunkt zu benutzen, der für mein AWS-Konto deaktiviert wurde?

Wenn Sie versuchen, einen regionalen AWS STS-Endpunkt zu nutzen, der für Ihr AWS-Konto deaktiviert wurde, gibt AWS STS eine AccessDenied-Ausnahmebedingung mit der folgenden Meldung aus: "AWS STS ist in dieser Region nicht aktiviert für Konto: AccountID. Ihr Kontoadministrator kann AWS STS in dieser Region über die IAM-Konsole aktivieren."

F: Welche Berechtigungen sind erforderlich, um AWS STS-Regionen von der Seite "Kontoeinstellungen" aus zu aktivieren oder zu deaktivieren?

Nur Benutzer mit mindestens iam:*-Berechtigungen können AWS STS-Regionen von der Seite Kontoeinstellungen auf der IAM-Konsole aktivieren oder deaktivieren. Beachten Sie, dass die AWS STS-Endpunkte in den Regionen US East (Nord-Virginia), AWS GovCloud (USA) und China (Beijing) immer aktiv sind und nicht deaktiviert werden können.

F: Kann ich die API oder die Befehlszeilen-Schnittstelle verwenden, um AWS STS-Regionen zu aktivieren oder zu deaktivieren?

Nein. Es gibt derzeit keine API- oder CLI-Unterstützung zum Aktivieren oder Deaktivieren von AWS STS-Regionen. Die Unterstützung von API und CLI ist in einer zukünftigen Version geplant.


F: Was ist ein Identitätsverbund?
AWS Identity and Access Management (IAM) unterstützt den Identitätsverbund für den delegierten Zugriff auf die AWS Management Console oder die AWS-APIs. Durch Identitätsverbünde gewähren Sie externen Identitäten sicheren Zugriff auf Ressourcen in Ihrem AWS-Konto, ohne IAM-Benutzer anlegen zu müssen. Diese externen Identitäten können von Ihrem Anbieter von Unternehmensidentitäten (wie Microsoft Active Directory oder von AWS Directory Service) oder von einem Webidentitäts-Anbieter (wie Amazon Cognito, Login with Amazon, Facebook, Google oder OpenID Connect-kompatiblen Anbietern) stammen.

F: Was sind Verbundbenutzer?
Verbundbenutzer (externe Identitäten) sind Benutzer, die Sie außerhalb von AWS in Ihrem Unternehmensverzeichnis verwalten, denen Sie jedoch mithilfe temporärer Sicherheits-Anmeldeinformationen Zugriff auf Ihr AWS-Konto erteilen. Sie unterscheiden sich von IAM-Benutzern, die in Ihrem AWS-Konto erstellt und verwaltet werden.

F: Wird SAML unterstützt?
Ja, AWS unterstützt die Security Assertion Markup Language (SAML) 2.0.

F: Welche SAML-Profile unterstützt AWS?
Der AWS-SSO-Endpunkt (Single Sign-On) unterstützt das vom Identitätsanbieter initiierte WebSSO-SAML-Profil mit HTTP-POST-Binding. Dies ermöglicht einem Verbundbenutzer, sich mithilfe einer SAML-Assertion bei der AWS Management Console anzumelden. SAML-Assertions können auch verwendet werden, um unter Verwendung der AssumeRoleWithSAML-API temporäre Anmeldeinformationen anzufordern. Weitere Informationen finden Sie unter Informationen zu SAML 2.0-basiertem Verbund.

F: Können Verbundbenutzer auf AWS-APIs zugreifen?
Ja. Sie können programmatisch temporäre Anmeldeinformationen für Ihre Verbundbenutzer anfordern, um ihnen einen sicheren und direkten Zugriff auf AWS-APIs zu ermöglichen. In einer von uns zusammengestellten Beispielanwendung wird demonstriert, wie Sie den Identitätsverbund aktivieren und den über Microsoft Active Directory verwalteten Benutzern Zugriff auf AWS-Service-APIs bereitstellen. Weitere Informationen finden Sie unter Verwenden temporärer Sicherheits-Anmeldeinformationen zum Anfordern von Zugriff auf AWS-Ressourcen.

F: Können Verbundbenutzer auf die AWS Management Console zugreifen?
Ja. Es gibt verschiedene Möglichkeiten, dies umzusetzen. Eine Methode besteht darin, temporäre Sicherheits-Anmeldeinformationen (z. B. mit "GetFederationToken" oder "AssumeRole") für die Verbundbenutzer programmatisch anzufordern und diese Anmeldeinformationen dann in der Anmeldeanforderung für die AWS Management Console anzugeben. Nachdem ein Benutzer authentifiziert wurde und die temporären Anmeldeinformationen zugeordnet bekam, erstellen Sie ein Anmelde-Token erstellen, das für den AWS-SSO-Endpunkt (Single Sign-On) verwendet wird. Die Aktionen des Benutzers in der Konsole werden durch die Zugriffsrichtlinie beschränkt, die mit den temporären Anmeldeinformationen verknüpft ist. Ausführlichere Informationen finden Sie unter Creating a URL that Enables Federated Users to Access the AWS Management Console (Custom Federation Broker).

Alternativ dazu können Sie eine SAML-Assertion direkt an die AWS-Anmeldeseite (https://signin.aws.amazon.com/saml) übertragen. In diesem Fall werden die Aktionen des Benutzers in der Konsole durch die mit der IAM-Rolle verknüpfte Zugriffsrichtlinie beschränkt, die mithilfe der SAML-Assertion zugeordnet wurde. Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die AWS Management Console durch SAML 2.0-basierte Verbundbenutzer.

Bei beiden Methoden können Verbundbenutzer auf die Konsole zugreifen, ohne sich mit Benutzername und Kennwort anmelden zu müssen. In einer von uns zusammengestellten Beispielanwendung wird demonstriert, wie Sie den Identitätsverbund aktivieren und den über Microsoft Active Directory verwalteten Benutzern Zugriff auf die AWS Management Console geben. 

F: Wie steuere ich, welche Aktionen Verbundbenutzer ausführen dürfen, die bei der Konsole angemeldet sind?
Wenn Sie mithilfe einer AssumeRole-API temporäre Anmeldeinformationen für Ihren Verbundbenutzer anfordern, können Sie in der Anforderung optional eine Zugriffsrichtlinie angeben. Die Berechtigungen des Verbundbenutzers umfassen dann die Schnittmenge aus den Berechtigungen, die durch die mit der Anforderung übergebenen Zugriffsrichtlinie gewährt werden, und den Berechtigungen, die laut der Zugriffsrichtlinie erteilt werden, die mit der zugeordneten IAM-Rolle verknüpft ist. Die Berechtigungen der mit der Anforderung übergebenen Zugriffsrichtlinie können die Berechtigungen der zugeordneten IAM-Rolle nicht übersteigen. Wenn Sie mithilfe einer GetFederationToken-API temporäre Anmeldeinformationen für Ihren Verbundbenutzer anfordern, müssen Sie in der Anforderung eine Zugriffsrichtlinie angeben. Die Berechtigungen des Verbundbenutzers umfassen dann die Schnittmenge aus den Berechtigungen, die durch die mit der Anforderung übergebenen Zugriffsrichtlinie gewährt werden, und der Zugriffsrichtlinie, die mit dem IAM-Benutzer verknüpft ist, der zum Erstellen der Anforderung verwendet wurde. Die mit der Anforderung übermittelte Richtlinie kann die Berechtigungen des IAM-Benutzers, mit dem die Anforderung gestellt wurde, nicht erweitern. Die Berechtigungen für Verbundbenutzer gelten sowohl für den API-Zugriff als auch für Aktionen, die innerhalb der AWS Management Console ausgeführt werden.

F: Welche Berechtigungen benötigt ein Verbundbenutzer für die Verwendung der Konsole?
Ein Benutzer benötigt Berechtigungen für die von der AWS Management Console aufgerufenen AWS Service-APIs. Gängige Berechtigungen für den Zugriff auf AWS-Services sind unter Verwenden temporärer Sicherheits-Anmeldeinformationen für den Zugriff auf AWS-Ressourcen dokumentiert.

F: Wie steuere ich, wie lange ein verbundener Benutzer Zugriff auf die AWS Management Console hat?
Abhängig von der API, die zum Erstellen der temporären Sicherheitsanmeldeinformationen verwendet wurde, können Sie ein Sitzungslimit zwischen 15 Minuten und 36 Stunden (für GetFederationToken und GetSessionToken) sowie zwischen 15 Minuten und 12 Stunden (für AssumeRole*-APIs) festlegen. Während des festgelegten Zeitraums kann der verbundener Benutzer auf die Konsole zugreifen. Nach Ablauf der Sitzung muss der verbundene Benutzer eine neue Sitzung beantragen. Dazu muss er zu Ihrem Identitätsanbieter zurückkehren, wo Sie ihm dann erneut Zugriff gewähren können. Weitere Informationen zum Festlegen der Sitzungsdauer.

F: Was geschieht, wenn die Zeit für die Konsolensitzung des Identitätsverbunds abläuft?
Dem Benutzer wird eine Mitteilung angezeigt, die besagt, dass die Konsolensitzung abgelaufen ist und er eine neue beantragen muss. Sie können eine URL festlegen, um Benutzer auf die Seite Ihres lokalen Intranets weiterzuleiten, wo sie eine neue Sitzung beantragen können. Sie geben diese URL ein, wenn Sie den Parameter "Issuer" als Teil Ihrer Anmeldeanforderung angeben. Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die AWS Management Console durch SAML 2.0-basierte Verbundbenutzer.

F: Wie vielen Verbundbenutzern kann ich Zugriff auf die AWS Management Console gewähren?
Sie können einer unbegrenzten Zahl von Verbundbenutzern Zugriff auf die Konsole gewähren.

F: Was ist ein Web-Identitätsverbund?

Ein Web-Identitätsverbund ermöglicht das Erstellen AWS-gestützter mobiler Anwendungen, die zur Authentifizierung öffentlicher Identitätsanbieter (wie Amazon Cognito, Login with Amazon, Facebook, Google oder einen beliebigen OpenID Connect-kompatiblen Anbieter) verwenden. Mit dem Web-Identitätsverbund erhalten Sie eine einfache Möglichkeit, die Anmeldung über öffentliche Identitätsanbieter (IdPs) in Ihre Anwendungen zu integrieren, ohne dass Sie serverseitigen Code schreiben oder langfristige AWS-Anmeldeinformationen mit der Anwendung verteilen müssen.

Weitere Informationen zu Web-Identitätsverbund und zu den ersten Schritten finden Sie unter Informationen zum Web-Identitätsverbund.

 

F: Wie aktiviere ich den Web-Identitätsverbund mit Konten von öffentlichen Identitätsanbietern?

Optimale Ergebnisse erzielen Sie, wenn Sie Amazon Cognito als Identity Broker für praktisch alle Szenarien mit dem Web-Identitätsverbund verwenden. Amazon Cognito ist benutzerfreundlich und bietet zusätzliche Funktionen wie anonymen (nicht authentifizierten) Zugriff sowie geräte- und anbieterübergreifende Synchronisierung von Benutzerdaten. Wenn Sie jedoch durch manuelles Aufrufen der "AssumeRoleWithWebIdentity"-API bereits eine Anwendung erstellt haben, die den Web-Identitätsverbund nutzt, können Sie diese auch in Zukunft verwenden. Ihre Anwendungen werden weiterhin funktionieren.

Es folgen die grundlegenden Schritte zum Aktivieren des Identitätsverbunds mithilfe eines der unterstützten Web-Identitätsanbieter:

  1. Melden Sie sich als Entwickler beim Identitätsanbieter an und konfigurieren Sie Ihre Anwendung beim Identitätsanbieter, der Ihnen eine eindeutige ID für Ihre Anwendung bereitstellt.
  2. Wenn Sie einen Identitätsanbieter verwenden, der mit OIDC kompatibel ist, erstellen Sie dafür einen Identitätsanbieter in IAM.
  3. Erstellen Sie in AWS eine oder mehrere IAM-Rollen. 
  4. Authentifizieren Sie die Benutzer in Ihrer Anwendung mithilfe des öffentlichen Identitätsanbieters.
  5. Richten Sie in Ihrer Anwendung einen nicht signierten Aufruf an die "AssumeRoleWithWebidentity"-API, um temporäre Anmeldeinformationen anzufordern. 
  6. Unter Verwendung der temporären Anmeldeinformationen, die Sie in der Antwort auf den Aufruf von "AssumeRoleWithWebidentity" erhalten, stellt Ihre Anwendung signierte Anforderungen an AWS-APIs.
  7. Ihre Anwendung speichert die temporären Anmeldeinformationen im Cache, sodass Sie keine neuen anfordern müssen, wenn die Anwendung eine Anforderung an AWS richtet.

Detaillierte schrittweise Anleitungen finden Sie unter Using Web Identity Federation APIs for Mobile Apps.

F: Wie unterscheidet sich ein Identitätsverbund unter Verwendung des AWS Directory Service von den Identitätsmanagement-Lösungen anderer Anbieter?

Wenn Ihre Verbundbenutzer nur Zugriff auf die AWS Management Console haben sollen, bietet der AWS Directory Service ähnliche Funktionen wie die Identitätsmanagement-Lösungen anderer Anbieter. Die Endbenutzer können sich mit ihren bestehenden Unternehmens-Anmeldeinformationen anmelden und auf die AWS Management Console zugreifen. Da der AWS Directory Service ein verwalteter Service ist, müssen die Kunden keine Verbundinfrastruktur schaffen und verwalten. Stattdessen müssen sie ein AD Connector-Verzeichnis für die Anbindung an ihr lokales Verzeichnis erstellen. Wenn Sie Ihren Verbundbenutzern Zugriff auf AWS-APIs gewähren möchten, nutzen Sie das Angebot eines anderen Anbieters oder stellen Sie Ihren eigenen Proxy-Server bereit.


F: Stellt die AWS-Fakturierung gesammelte Nutzungs- und Kostenaufschlüsselungen pro Benutzer bereit?
Nein, dies wird derzeit nicht unterstützt.

F: Fällt für den IAM-Service eine Gebühr an?
Nein, hierbei handelt es sich um eine Funktion Ihres AWS-Kontos, die ohne Aufpreis bereitgestellt wird.

F: Wer kommt für die Nutzungskosten auf, die Benutzer eines AWS-Kontos verursachen?
Der Besitzer des AWS-Kontos steuert die Nutzung sowie sämtliche Daten und Ressourcen und ist dafür verantwortlich.

F: Wird kostenpflichtige Benutzeraktivität in AWS-Nutzungsdaten protokolliert?
Derzeit nicht. Diese Funktion ist für eine künftige Version geplant.

F: Wie unterscheidet sich IAM von der konsolidierten Fakturierung?
Die Funktionen IAM und Consolidated Billing ergänzen einander. Die konsolidierte Fakturierung ermöglicht Ihnen, Zahlungen für mehrere AWS-Konten innerhalb Ihres Unternehmens in einem einzigen Zahlungskonto zusammenzufassen. Der Funktionsumfang von IAM ist nicht mit Consolidated Billing verwandt. Ein Benutzer existiert innerhalb der Grenzen eines AWS-Kontos und hat keine Berechtigungen für verknüpfte Konten. Weitere Informationen finden Sie unter Bezahlen der Rechnungen mehrerer Konten mithilfe der konsolidierten Fakturierung.

F: Kann ein Benutzer auf die Fakturierungsdaten von AWS-Konten zugreifen?
Ja, aber nur, falls Sie dies zulassen. Damit IAM-Benutzer auf Fakturierungsdaten zugreifen können, müssen Sie ihnen zuerst Zugriff auf die Kontoaktivität oder Nutzungsberichte gewähren. Siehe Steuern des Zugriffs.


F: Was geschieht, wenn ein Benutzer versucht, auf einen Service zuzugreifen, der noch nicht mit IAM integriert ist?
Der Service gibt die Fehlermeldung "Access denied" aus.

F: Werden IAM-Aktionen für Auditing-Zwecke protokolliert?
Ja. Sie können IAM-Aktionen, STS-Aktionen und AWS Management Console-Anmeldungen protokollieren, indem Sie AWS CloudTrail aktivieren. Weitere Informationen zur Protokollierung in AWS finden Sie unter AWS CloudTrail.

F: Gibt es bei AWS-Entitäten Unterschiede zwischen Personen und Software-Agenten?
Nein, beide Entitäten werden wie Benutzer mit Anmeldeinformationen und Berechtigungen behandelt. Allerdings müssen nur Personen ein Kennwort in der AWS Management Console angeben.

F: Können Benutzer das AWS Support Center und Trusted Advisor nutzen?
Ja, IAM-Benutzer können Support-Vorgänge anlegen und ändern sowie Trusted Advisor nutzen.

F: Gelten für IAM standardmäßige Kontingentbeschränkungen?
Ja, für Ihr AWS-Konto gelten standardmäßig Anfangskontingente für alle IAM-bezogenen Entitäten. Weitere Informationen finden Sie unter Einschränkungen für IAM-Entitäten und -Objekte.

Bei diesen Kontingenten sind Änderungen vorbehalten. Falls Sie eine Vergrößerung benötigen, rufen Sie das Formular zur Kontingentvergrößerung über die Seite "Kontakt" auf und wählen Sie IAM Groups and Users aus der Drop-down-Liste Limit Type.


F: Was ist AWS MFA?
AWS Multi-Factor Authentication (AWS MFA) bietet einen zusätzlichen Grad an Sicherheit für Ihre AWS-Umgebung. Sie können AWS MFA für Ihr AWS-Konto und für einzelne Benutzer von AWS Identity and Access Management (IAM) aktivieren, die Sie für Ihr Konto erstellt haben.

F: Wie funktioniert AWS MFA?
AWS MFA verwendet ein Authentifizierungsgerät, das fortwährend nach dem Zufallsprinzip sechsstellige Authentifizierungscodes zur einmaligen Verwendung generiert. Es gibt zwei Möglichkeiten zur Authentifizierung mithilfe eines AWS MFA-Geräts:

  • Benutzer, die sich über die AWS-Managementkonsole anmelden: Sobald sich ein Benutzer mit aktiviertem MFA auf einer AWS-Website anmeldet, wir er zur Eingabe seines Benutzernamens und Passworts (der erste "Faktor": was er kennt) sowie zur Eingabe eines Authentifizierungscodes von seinem AWS MFA-Gerät (zweiter Faktor: was er hat) aufgefordert. AWS MFA wird von allen AWS-Webseiten unterstützt, die eine Anmeldung erfordern, wie z. B. die AWS Management Console. Sie können AWS MFA auch in Verbindung mit S3 Secure Delete als zusätzlichen Schutz für Ihre gespeicherten Amazon S3-Versionen einsetzen.
  • AWS-API-Benutzer: Sie können die MFA-Authentifizierung erzwingen, indem Sie Ihren IAM-Richtlinien MFA-Einschränkungen hinzufügen. Um auf derart geschützte APIs und Ressourcen zuzugreifen, können Entwickler temporäre Anmeldeinformationen anfordern und optionale MFA-Parameter in ihren API-Anforderungen im AWS Security Token Service (STS) festlegen (dieser Service stellt die temporären Anmeldeinformationen aus). Durch MFA geprüfte temporäre Anmeldeinformationen können zum Aufrufen von durch MFA geschützte APIs und Ressourcen verwendet werden.

F: Wie kann ich meine AWS-Ressourcen mit MFA schützen?
Folgen Sie lediglich diesen zwei Schritten:

1. Besorgen Sie sich ein Authentifizierungsgerät. Sie haben zwei Optionen:

  • Erwerben Sie ein Hardwaregerät von Gemalto, einem Drittanbieter.
  • Installieren Sie eine virtuelle, MFA-kompatible Anwendung auf einem Gerät, wie beispielsweise Ihrem Smartphone.

Auf der AWS MFA-Seite finden Sie Details zum Erwerb eines physischen oder virtuellen MFA-Geräts.

2. Nach Erhalt eines Authentifizierungsgerätes müssen Sie dieses in der IAM-Konsole aktivieren. Sie können das Gerät auch über die IAM-Befehlszeilen-CLI für einen IAM-Benutzer aktivieren.

F: Wird für die Nutzung von AWS MFA eine Gebühr erhoben?
AWS erhebt keine zusätzlichen Gebühren für die Nutzung von AWS MFA mit Ihrem AWS-Konto. Möchten Sie jedoch ein physisches Authentifizierungsgerät verwenden, müssen Sie ein Authentifizierungsgerät erwerben, das mit einem AWS MFA von Gemalto, einem Drittanbieter, kompatibel ist. Nähere Informationen finden Sie auf der Website von Gemalto.

F: Kann ich mehrere aktive Authentifizierungsgeräte für mein AWS-Konto nutzen?
Ja. Jeder IAM-Benutzer kann sein eigenes Authentifizierungsgerät besitzen. Jedoch kann jede Identität (IAM-Benutzer oder Root-Konto) nur mit einem einzigen Authentifizierungsgerät verknüpft sein.

F: Kann ich mein Authentifizierungsgerät für mehrere AWS-Konten nutzen?
Nein. Das Authentifizierungsgerät oder die Mobilrufnummer ist an eine individuelle AWS-Identität gebunden (IAM-Benutzer oder Root-Konto). Wenn Sie auf Ihrem Smartphone über eine TOTP-kompatible Anwendung verfügen, können Sie mehrere virtuelle MFA-Geräte auf diesem erstellen. Jedes dieser virtuellen MFA-Geräte ist wie bei einem Hardware-Gerät an eine einzige Identität gebunden. Wenn Sie das Authentifizierungsgerät trennen (deaktivieren), können Sie es mit einer anderen AWS-Identität verwenden. Das Authentifizierungsgerät kann nicht von mehr als einer Identität gleichzeitig verwendet werden.

F: Ich besitze bereits ein Authentifizierungsgerät von meinem Arbeitgeber oder einem anderen von mir genutzten Service. Kann ich dieses Gerät auch für AWS MFA nutzen?
Nein. AWS MFA beruht auf dem Konzept, einen geheimen Code zu verwenden, der Ihrem Authentifizierungsgerät zugewiesen ist, und eine Nutzung des Geräts ermöglicht. Da Sicherheitsbeschränkungen, die solche Verschlüsselungen erfordern, nie von mehreren Parteien genutzt werden, kann AWS MFA die Nutzung Ihres existierenden Authentifizierungsgeräts nicht zulassen. Mit AWS MFA können nur kompatible physische Authentifizierungsgeräte des Herstellers Gemalto verwendet werden.

F: Bei dem Versuch, ein Authentifizierungsgerät über die Website des Herstellers Gemalto zu bestellen, sind Probleme aufgetreten. An wen kann ich mich diesbezüglich wenden?
Wenden Sie sich an den Kundenservice von Gemalto.

F: Ich habe ein defektes oder beschädigtes Authentifizierungsgerät vom Hersteller Gemalto erhalten. An wen kann ich mich diesbezüglich wenden?
Wenden Sie sich an den Kundenservice von Gemalto.

F: Ich habe vor Kurzem ein Authentifizierungsgerät vom Hersteller Gemalto erhalten. Was soll ich tun?
Sie müssen das Authentifizierungsgerät lediglich aktivieren, um die Nutzung von AWS MFA für Ihr AWS-Konto zu ermöglichen. Siehe die IAM-Konsole, um diese Aufgabe auszuführen.

F: Was ist ein virtuelles MFA-Gerät?
Ein virtuelles MFA-Gerät ist ein in einer TOTP-kompatiblen Softwareanwendung erstellter Eintrag, mit dem sechsstellige Authentifizierungscodes erstellt werden können. Die Softwareanwendung kann auf jedem kompatiblen Datenverarbeitungsgerät ausgeführt werden, wie zum Beispiel einem Smartphone.

F: Worin bestehen die Unterschiede zwischen einem virtuellen MFA-Gerät und physischen MFA-Geräten?
Virtuelle MFA-Geräte verwenden dieselben Protokolle wie die physischen MFA-Geräte. Virtuelle MFA-Geräte sind softwarebasiert und können auf Ihren vorhandenen Geräten, wie zum Beispiel Smartphones, ausgeführt werden. Mit den meisten virtuellen MFA-Anwendungen können Sie mehrere virtuelle MFA-Geräte aktivieren, wodurch sie komfortabler sind als physische MFA-Geräte.

F: Welche virtuellen MFA-Anwendungen kann ich mit AWS MFA verwenden?
Sie können Anwendungen mit AWS MFA verwenden, die TOTP-konforme Authentifizierungscodes generieren, wie etwa Google Authenticator. Sie können virtuelle MFA-Geräte entweder automatisch über das Scannen eines QR-Codes mit der Kamera des Geräts oder manuell über eine Quelleingabe in der virtuellen MFA-Anwendung bereitstellen.

Auf der Seite zu MFA finden Sie eine Liste unterstützter MFA-Anwendungen.

F: Was ist ein QR-Code?
Bei einem QR-Code handelt es sich um einen zweidimensionalen Barcode, der von speziellen QR-Barcodelesern und den meisten Smartphones gelesen werden kann. Der Code besteht aus schwarzen Quadraten, die in größeren quadratischen Mustern auf weißem Hintergrund angeordnet sind. Der QR-Code enthält die erforderlichen Sicherheitskonfigurationsinformationen für die Bereitstellung eines virtuellen MFA-Geräts in Ihrer virtuellen MFA-Anwendung.

F: Wie kann ich ein neues virtuelles MFA-Gerät bereitstellen?
In der IAM-Konsole können Sie ein neues virtuelles MFA-Gerät sowohl für Ihre IAM-Benutzer als auch für Ihr AWS-Root-Konto konfigurieren. Sie können auch den Befehl "aws iam create-virtual-mfa-device" in der AWS-CLI oder die CreateVirtualMFADevice-API verwenden, um neue virtuelle MFA-Geräte für Ihr Konto bereitzustellen. Mit dem Befehl "aws iam create-virtual-mfa-device" und der CreateVirtualMFADevice-API werden die erforderlichen Konfigurationsinformationen (als Quelle bezeichnet) zurückgegeben, um das virtuelle MFA-Gerät in Ihrer AWS MFA-kompatiblen Anwendung zu konfigurieren. Sie können entweder Ihren IAM-Benutzern die Berechtigungen für den direkten Aufruf dieser API gewähren oder die ursprüngliche Bereitstellung dafür vornehmen.

 

F: Wie kann ich das Ausgangsmaterial für virtuelle MFA-Geräte verwenden und verteilen?
Sie sollten das Quellmaterial wie jedes andere geheime Material behandeln (zum Beispiel die geheimen AWS-Schlüssel und Kennwörter).

F: Wie kann ich es einem IAM-Benutzer ermöglichen, virtuelle MFA-Geräte unter meinem Konto zu verwalten?
Gewähren Sie dem IAM-Benutzer die Berechtigung zum Aufruf der CreateVirtualMFADevice-API. Sie können diese API für die Bereitstellung neuer virtueller MFA-Geräte verwenden.

F: Kann ich noch Zugriff auf die Vorversion von SMS MFA anfordern?

Für die SMS MFA-Vorversion akzeptieren wir keine weiteren neuen Teilnehmer. Wir ermutigen Sie, MFA in Ihrem AWS-Konto zu nutzen, indem Sie entweder ein MFA-Hardwaregerät oder ein virtuelles MFA-Gerät verwenden.

F: Wie kann ich mit der Verwendung der SMS-Option im Rahmen der Vorversion beginnen?

Bereits akzeptierte SMS MFA-Teilnehmer können zur IAM-Konsole navigieren und SMS MFA für IAM-Benutzer aktivieren. Dieser Vorgang erfordert die Eingabe einer Telefonnummer für jeden IAM-Benutzer. Sobald sich der IAM-Benutzer bei der AWS-Managementkonsole anmeldet, erhält dieser eine standardmäßige SMS-Nachricht mit einem sechsstelligen Sicherheitscode, der zur Anmeldung benötigt wird.

F: Wo kann ich AWS MFA aktivieren?
Sie können AWS MFA für ein AWS-Konto und Ihre IAM-Benutzer in der IAM-Konsole, über die AWS-CLI oder durch API-Aufruf aktivieren.

F: Welche Informationen werden benötigt, um ein physisches oder virtuelles Authentifizierungsgerät zu aktivieren?
Aktivieren Sie das MFA-Gerät mit der IAM-Konsole, benötigen Sie nur das Gerät. Verwenden Sie die AWS-CLI oder die IAM-API, so benötigen Sie Folgendes:

1. Die Seriennummer des Authentifizierungsgeräts. Das Format der Seriennummer hängt davon ab, ob Sie ein physisches oder ein virtuelles Gerät verwenden:

– Physisches MFA-Gerät: Die Seriennummer befindet sich auf dem Barcodeaufkleber auf der Rückseite des Geräts.
– Virtuelles MFA-Gerät: Die Seriennummer ist der Wert des Amazon-Ressourcennamens (ARN), der ausgegeben wird, wenn Sie den Befehl "iam-virtualmfadevicecreate" in der AWS-CLI ausführen oder die CreateVirtualMFADevice-API abrufen.

2. Zwei vom Gerät angezeigte aufeinander folgende Authentifizierungscodes.

F: Mein Authentifizierungsgerät scheint einwandfrei zu funktionieren, ich kann es jedoch nicht aktivieren. Was soll ich tun?
Kontaktieren Sie uns.

F: Benötige ich für jede Anmeldung bei der AWS-Managementkonsole einen Authentifizierungscode, nachdem AWS MFA für mein AWS-Root-Konto oder meine IAM-Benutzer aktiviert wurde?
Ja. Der Benutzer von AWS-Root-Anmeldeinformationen sowie die IAM-Benutzer benötigen immer das entsprechende MFA-Gerät, wenn sie sich bei einer AWS-Seite anmelden möchten.

Wenn Ihr MFA-Authentifizierungsgerät verloren gegangen oder beschädigt ist, gestohlen wurde oder nicht mehr funktioniert, können Sie sich mit alternativen Authentifizierungsfaktoren anmelden, das MFA-Gerät deaktivieren und ein neues MFA-Gerät aktivieren. Anschließend sollten Sie als Sicherheitsvorkehrung unbedingt das Passwort Ihres Root-Kontos ändern.

Wenn Ihre IAM-Benutzer das Authentifizierungsgerät bei physischen und virtuellen MFA-Geräten verloren haben, es beschädigt oder gestohlen wurde oder es nicht mehr betriebsfähig ist, können Sie AWS MFA selbst über die IAM-Konsole oder AWS-CLI deaktivieren.

F: Müssen die Benutzer, nachdem ich AWS MFA für mein AWS-Root-Konto oder meine IAM-Benutzer aktiviert habe, immer einen MFA-Code eingeben, um AWS-APIs direkt aufzurufen?
Nein, das ist optional. Sie müssen allerdings einen MFA-Code eingeben, wenn Sie APIs aufrufen möchten, die mittels MFA geschützt werden.

Wenn Sie AWS-APIs mit Zugriffsschlüsseln für Ihr AWS-Root-Konto oder Ihren IAM-Benutzer aufrufen, müssen Sie keinen MFA-Code eingeben. Aus Sicherheitsgründen empfehlen wir, alle Zugriffsschlüssel von Ihrem AWS-Root-Konto zu entfernen und AWS-APIs stattdessen mit den Zugriffsschlüsseln eines IAM-Benutzers mit den erforderlichen Berechtigungen aufzurufen.

F: Wie melde ich mich am AWS-Portal und der AWS Management Console mit meinem Authentifizierungsgerät an?
Führen Sie die beiden folgenden Schritte aus:

Wenn Sie sich in einem AWS-Root-Konto anmelden, verwenden Sie wie gewöhnlich Ihren Benutzernamen und das Passwort. Verwenden Sie für die Anmeldung als IAM-Benutzer die kontospezifische URL sowie Ihren Benutzernamen und das Passwort.

Geben Sie auf der nächsten Seite den sechsstelligen Authentifizierungscode ein, der aktuell auf Ihrem Authentifizierungsgerät angezeigt wird.

F: Hat die Nutzung von AWS MFA Auswirkungen auf die Art des Zugriffs auf die AWS-Service-APIs?
AWS MFA ändert die Weise, in der IAM-Benutzer auf AWS-Service-APIs zugreifen, nur dann, wenn die Kontoadministratoren den durch MFA geschützten API-Zugriff aktivieren. Administratoren können diese Einstellung aktivieren, um den Zugriff auf sensible APIs mit einer zusätzlichen Schutzebene zu versehen, indem Aufrufer aufgefordert werden, sich mit einem AWS MFA-Gerät zu authentifizieren. Weitere Informationen finden Sie in der Dokumentation zum durch MFA geschützten API-Zugriff.

Zu den weiteren Ausnahmen zählen die S3-APIs PUT Bucket-Versionierung, GET Bucket-Versionierung und DELETE Objekt. Bei diesen ist es möglich, MFA-Authentifizierung beim Löschen oder Ändern der Versionierung Ihres Buckets zu verlangen. Weitere Information finden Sie in der S3-Dokumentation, in der das Konfigurieren eines Bucket mit MFA Delete detailliert beschrieben wird.

In allen anderen Fällen ändert AWS MFA derzeit nicht die Art des Zugriffs auf die AWS-Service-APIs.

F: Kann ich einen vorgegebenen Authentifizierungscode mehr als einmal verwenden?
Nein. Aus Sicherheitsgründen kann jeder Authentifizierungscode nur einmal verwendet werden.

F: Ich wurde aufgefordert, mein Authentifizierungsgerät erneut zu synchronisieren, da meine Authentifizierungscodes zurückgewiesen wurden. Muss ich mir Sorgen machen?
Nein, dies kann von Zeit zu Zeit vorkommen. AWS MFA arbeitet basierend auf der Synchronität der Uhr in Ihrem Authentifizierungsgerät mit der Uhr auf unseren Servern. Es kann vorkommen, dass diese Uhren voneinander abweichen. In diesem Fall versucht AWS, eine automatische Neusynchronisierung des Authentifizierungsgeräts zu starten, indem Sie zwei konsekutive Authentifizierungscodes angeben (genau wie bei Ihrer Aktivierung), wenn Sie sich über das Gerät anmelden, um auf die sicheren Seiten der AWS-Website oder AWS Management Console zuzugreifen.

F: Mein Authentifizierungsgerät scheint einwandfrei zu funktionieren. Ich kann mich mit dem Gerät jedoch nicht bei der AWS Management Console anmelden. Was soll ich tun?
Wir empfehlen Ihnen eine Neusynchronisierung Ihrer MFA-Geräte für Ihre IAM-Anmeldeinformationen. Wenn Sie die Neusynchronisierung bereits versucht und weiterhin Probleme beim Anmelden haben, können Sie sich auch mit alternativen Authentifizierungsfaktoren anmelden und Ihr MFA-Gerät zurücksetzen. Falls sich das Problem so nicht beheben lässt, kontaktieren Sie uns.

F: Mein Authentifizierungsgerät ist verloren gegangen oder beschädigt, wurde gestohlen oder funktioniert nicht mehr und ich kann mich nicht bei der AWS-Managementkonsole anmelden. Was soll ich tun?
Wenn Ihr Authentifizierungsgerät mit einem AWS-Root-Konto verknüpft ist:

F: Wie deaktiviere ich AWS MFA?

Um AWS MFA für Ihr AWS-Konto zu deaktivieren, können Sie Ihr Authentifizierungsgerät auf der Seite Security Credentials deaktivieren. Zum Deaktivieren von AWS MFA für Ihre IAM-Benutzer müssen Sie die IAM-Konsole oder die AWS-CLI nutzen.

F: Kann ich AWS MFA in GovCloud verwenden?
Ja. Sie können in GovCloud virtuelle MFA- und Hardware-MFA-Geräte von AWS verwenden.

F: Was bedeutet durch MFA geschützter API-Zugriff?
Beim durch MFA geschützten API-Zugriff handelt es sich um eine optionale Funktionalität, mit der Kontoadministratoren zusätzliche Authentifizierung für gewünschte APIs durchsetzen können, indem Benutzer neben einem Passwort einen zweiten Authentifzierungsfaktor angeben müssen. Mit dieser Funktion können Administratoren ihren IAM-Richtlinien Bedingungen hinzufügen, unter denen MFA für den Zugriff auf bestimmte APIs verlangt wird. Benutzer, die diese APIs aufrufen möchten, müssen zunächst temporäre Anmeldeinformationen abrufen, die darauf hinweisen, dass der Benutzer einen gültigen MFA-Code eingegeben hat.

F: Welches Problem behebt ein durch MFA geschützter API-Zugriff?
Bislang konnten Kunden MFA für den Zugriff auf die AWS-Managementkonsole vorschreiben, jedoch MFA nicht für Entwickler und Anwendungen erzwingen, die direkt mit AWS-Service-APIs interagieren. Der durch MFA geschützte API-Zugriff stellt sicher, dass IAM-Richtlinien universell erzwungen werden, unabhängig vom Zugriffs- pfad. Sie können deshalb nun eigene Anwendungen entwickeln, die AWS nutzen und die Benutzer zur MFA-Authentifizierung auffordern, bevor leistungsstarke APIs aufgerufen werden oder der Zugriff auf sensible Ressourcen erfolgt.

F: Welches sind die ersten Schritte beim durch MFA geschützten API-Zugriff?
Zunächst sind zwei einfache Schritte erforderlich:

  1. Weisen Sie Ihren IAM-Benutzern ein MFA-Gerät zu. Sie können ein Hardware-Authentifizierungsgerät erwerben oder eine kostenlose mit TOTP kompatible Anwendung für Smartphone, Tablet oder Computer herunterladen. Weitere Informationen zu AWS MFA-Geräten finden Sie auf der Detailseite zu MFA.
  2. Sie aktivieren den durch MFA geschützten API-Zugriff durch das Definieren von Berechtigungsrichtlinien für die IAM-Benutzer und/oder IAM-Gruppen, für die die MFA-Authentifizierung zwingend gelten soll. Weitere Informationen zur Sprachsyntax von Zugriffsrichtlinien finden Sie in der Dokumentation zur Sprachsyntax für Zugriffsrichtlinien.

F: Wie greifen Entwickler und Benutzer auf APIs und Ressourcen zu, die durch einen durch MFA geschützten API-Zugriff abgesichert sind?
Entwickler und Benutzer interagieren mit dem durch MFA geschützten API-Zugriff sowohl in der AWS Management Console als auch den APIs.

Um sich bei der AWS Management Console anzumelden, müssen sich alle für MFA aktivierten IAM-Benutzer mit ihrem Gerät authentifizieren. Benutzer ohne MFA erhalten keinen Zugriff auf durch MFA geschützte APIs und Ressourcen.

Auf API-Ebene können Entwickler AWS MFA in ihre Anwendungen integrieren, um Benutzer zur Authentifizierung mit ihren zugewiesenen MFA-Geräten aufzufordern, bevor leistungsstarke APIs aufgerufen werden oder der Zugriff auf sensible Ressourcen erfolgt. Entwickler aktivieren diese Funktionalität durch Hinzufügen optionaler MFA-Parameter (Seriennummer und MFA-Code) zu Anforderungen, um temporäre Anmeldeinformationen abzufragen (diese Anforderungen werden auch als "Sitzungsanforderungen" bezeichnet). Sind die Parameter gültig, werden temporäre Sicherheits-Anmeldeinformationen zurückgegeben, die den MFA-Status nachweisen. Weitere Informationen finden Sie in der Dokumentation zu temporären Anmeldeinformationen.

F: Wer kann den durch MFA geschützten API-Zugriff verwenden?
Der durch MFA geschützte API-Zugriff steht allen AWS-Kunden kostenlos zur Verfügung.

F: Mit welchen Services ist der durch MFA geschützte API-Zugriff kompatibel?
Der durch MFA geschützte API-Zugriff wird von allen AWS-Services unterstützt, die temporäre Anmeldeinformationen zulassen. Eine Liste der unterstützten Services erhalten Sie unter IAM-kompatible AWS-Services in der Spalte "Temporary Credentials".

F: Was passiert, wenn ein Benutzer beim Anfordern von temporären Sicherheitsanmeldeinformationen falsche MFA-Geräteinformationen angibt?
Die Anforderung zur Ausstellung temporärer Anmeldeinformationen schlägt fehl. Bei Anforderungen temporärer Anmeldeinformationen, bei denen MFA-Parameter angegeben werden, müssen die ordnungsgemäße Seriennummer des Geräts, das dem IAM-Benutzer zugewiesen ist, und ein gültiger MFA-Code angegeben werden.

F: Steuert der durch MFA geschützte API-Zugriff den API-Zugriff für AWS-Root-Konten?
Nein, der durch MFA geschützte API-Zugriff dient nur zur Steuerung des Zugriffs durch IAM-Benutzer. Root-Konten unterliegen keinen IAM-Richtlinien, weshalb wir empfehlen, IAM-Benutzerkonten für die Interaktion mit AWS-Service-APIs anzulegen, anstatt mit Anmeldeinformationen von AWS-Root-Konten zu arbeiten.

F: Muss Benutzern ein MFA-Gerät zugewiesen sein, damit sie den durch MFA geschützten API-Zugriff nutzen können?
Ja, Benutzern muss zunächst ein eindeutiges virtuelles oder physisches MFA-Gerät zugewiesen werden.

F: Ist der durch MFA geschützte API-Zugriff kompatibel mit S3-Objekten, SQS-Warteschlangen und SNS-Themen?
Ja.

F: Wie interagiert der durch MFA geschützte API-Zugriff mit vorhandenen MFA-Anwendungsfällen wie "S3 MFA Delete"?
Der durch MFA geschützte API-Zugriff und S3 MFA Delete interagieren nicht miteinander. S3 MFA Delete unterstützt derzeit keine temporären Anmeldeinformationen. Stattdessen müssen Aufrufe an die "S3 MFA Delete"-API mithilfe langfristiger Zugriffsschlüssel erfolgen.

F: Funktioniert der durch MFA geschützte API-Zugriff in der GovCloud (US)-Region?
Ja.

F: Funktioniert der durch MFA geschützte API-Zugriff für Verbundbenutzer?
Kunden können den durch MFA geschützten API-Zugriff nicht zur Steuerung des Zugriffs von Verbundbenutzern verwenden. Die "GetFederatedSession"-API akzeptiert keine MFA-Parameter. Da Verbundbenutzer keine Authentifizierung mithilfe von AWS MFA-Geräten vornehmen können, haben sie keinen Zugriff auf Ressourcen, für die der durch MFA geschützte API-Zugriff vorgesehen ist.

F: Was wird mir für die Verwendung von AWS IAM verrechnet?

IAM ist eine Funktion Ihres AWS-Kontos, die ohne Aufpreis bereitgestellt wird. Sie zahlen nur für die Nutzung anderer AWS-Services durch ihre Benutzer.