Verwalten von Passwörtern für IAM-Benutzer - AWS Identity and Access Management
Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole)

Verwalten von Passwörtern für IAM-Benutzer

IAM-Benutzer, die AWS-Managementkonsole verwenden, um mit AWS-Ressourcen zu arbeiten, müssen ein Passwort haben, um sich anzumelden. Sie können ein Passwort für einen IAM-Benutzer in Ihrem AWS-Konto erstellen, ändern oder löschen.

Nachdem Sie einem Benutzer ein Passwort zugewiesen haben, kann er sich mit der Anmelde-URL Ihres Kontos bei der AWS-Managementkonsole anmelden. Diese URL hat in etwa folgendes Format: 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Weitere Informationen zum Anmelden von IAM-Benutzern bei der AWS-Managementkonsole finden Sie unter Anmelden bei AWS im AWS-Anmeldung-Benutzerhandbuch.

Auch wenn Ihre Benutzer ihre eigenen Passwörter haben, benötigen Sie dennoch Berechtigungen für den Zugriff auf Ihre AWS-Ressourcen. Standardmäßig hat ein Benutzer keine Berechtigungen. Um Ihren Benutzern die erforderlichen Berechtigungen zu gewähren, weisen Sie ihnen oder den Gruppen, zu denen sie gehören, Richtlinien zu. Weitere Informationen zum Erstellen von Benutzern und Gruppen finden Sie unter IAM-Identitäten . Weitere Informationen zum Verwenden von Richtlinien, um Berechtigungen festzulegen, finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer.

Sie können Benutzern die Berechtigung zuweisen, ihre eigenen Passwörter zu ändern. Weitere Informationen finden Sie unter IAM-Benutzern erlauben, ihre eigenen Passwörter zu ändern. Weitere Informationen zum Zugriff auf die Anmeldeseite durch Benutzer finden Sie unter Anmelden bei AWS im AWS-Anmeldung-Benutzerhandbuch.

Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole)

Sie können die AWS-Managementkonsole zum Verwalten der Passwörter für IAM-Benutzer verwenden.

Die Zugriffsanforderungen Ihrer Benutzer können sich im Laufe der Zeit ändern. Möglicherweise müssen Sie einem Benutzer, der für den CLI-Zugriff vorgesehen ist, den Konsolenzugriff gewähren, das Passwort eines Benutzers ändern, da dieser die E-Mail mit seinen Anmeldeinformationen erhält, oder einen Benutzer löschen, wenn er Ihr Unternehmen verlässt oder keinen AWS-Zugriff mehr benötigt.

So erstellen Sie ein IAM-Benutzerpasswort (Konsole)

Gehen Sie wie folgt vor, um einem Benutzer Konsolenzugriff zu gewähren, indem Sie ein Passwort erstellen, das dem Benutzernamen zugeordnet ist.

Console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Geben Sie auf der Startseite der IAM-Konsole im linken Navigationsbereich Ihre Abfrage in das Textfeld IAM suchen ein.

  3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  4. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie erstellen möchten.

  5. Wählen Sie die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) und wählen Sie dann unter Console sign-in (Konsolenanmeldung) die Option Enable console access (Konsolenzugriff aktivieren) aus.

  6. Wählen Sie im Dialogfeld Konsolenzugriff aktivieren die Option Passwort zurücksetzen aus und legen Sie dann fest, ob IAM ein Passwort generieren oder ein benutzerdefiniertes Passwort erstellen soll:

    • Wenn IAM ein Passwort generieren soll, wählen Sie Automatisch generiertes Passwort.

    • Wenn ein benutzerdefiniertes Passwort erstellt werden soll, wählen Sie Custom password (Benutzerdefiniertes Passwort) aus und geben Sie das Passwort ein.

      Anmerkung

      Das von Ihnen erstellte Passwort muss den Passwortrichtlinie des Kontos entsprechen.

  7. Um vom Benutzer zu verlangen, bei der Anmeldung ein neues Passwort zu erstellen, wählen Sie Passwort-Änderung bei der nächsten Anmeldung anfordern aus.

  8. Um den Benutzer zur sofortigen Verwendung des neuen Passworts aufzufordern, wählen Sie Aktive Konsolensitzungen widerrufen aus. Dadurch wird dem IAM-Benutzer eine Inline-Richtlinie zugewiesen, die dem Benutzer den Zugriff auf Ressourcen verweigert, wenn seine Anmeldeinformationen älter sind als die in der Richtlinie angegebene Zeit.

  9. Wählen Sie Passwort zurücksetzen

  10. Das Dialogfeld Konsolenpasswort informiert Sie darüber, dass Sie das neue Passwort des Benutzers aktiviert haben. Um das Passwort anzuzeigen, damit Sie es dem Benutzer mitteilen können, wählen Sie Anzeigen im Dialogfeld Konsolenpasswort. Wählen Sie CSV-Datei herunterladen aus, um eine Datei mit den Anmeldeinformationen des Benutzers herunterzuladen.

    Wichtig

    Aus Sicherheitsgründen können Sie nach Ausführen dieses Schritts nicht auf das Passwort zugreifen, Sie können jedoch jederzeit ein neues Passwort erstellen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Konsolenzugriff aktiviert wurde.

So ändern Sie das Passwort für einen IAM-Benutzer (Konsole)

Gehen Sie wie folgt vor, um ein dem Benutzernamen zugeordnetes Passwort zu aktualisieren.

Console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Geben Sie auf der Startseite der IAM-Konsole im linken Navigationsbereich Ihre Abfrage in das Textfeld IAM suchen ein.

  3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  4. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie ändern möchten.

  5. Wählen Sie die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) und wählen Sie dann unter Console sign-in (Konsolenanmeldung) die Option Manage console access (Konsolenzugriff verwalten) aus.

  6. Wählen Sie im Dialogfeld Konsolenzugriff verwalten die Option Passwort zurücksetzen aus und legen Sie dann fest, ob IAM ein Passwort generieren oder ein benutzerdefiniertes Passwort erstellen soll:

    • Wenn IAM ein Passwort generieren soll, wählen Sie Automatisch generiertes Passwort.

    • Wenn ein benutzerdefiniertes Passwort erstellt werden soll, wählen Sie Custom password (Benutzerdefiniertes Passwort) aus und geben Sie das Passwort ein.

      Anmerkung

      Das von Ihnen erstellte Passwort muss den Passwortrichtlinie des Kontos entsprechen.

  7. Um vom Benutzer zu verlangen, bei der Anmeldung ein neues Passwort zu erstellen, wählen Sie Passwort-Änderung bei der nächsten Anmeldung anfordern aus.

  8. Um den Benutzer zur sofortigen Verwendung des neuen Passworts aufzufordern, wählen Sie Aktive Konsolensitzungen widerrufen aus. Dadurch wird dem IAM-Benutzer eine Inline-Richtlinie zugewiesen, die dem Benutzer den Zugriff auf Ressourcen verweigert, wenn seine Anmeldeinformationen älter sind als die in der Richtlinie angegebene Zeit.

  9. Wählen Sie Passwort zurücksetzen

  10. Das Dialogfeld Konsolenpasswort informiert Sie darüber, dass Sie das neue Passwort des Benutzers aktiviert haben. Um das Passwort anzuzeigen, damit Sie es dem Benutzer mitteilen können, wählen Sie Anzeigen im Dialogfeld Konsolenpasswort. Wählen Sie CSV-Datei herunterladen aus, um eine Datei mit den Anmeldeinformationen des Benutzers herunterzuladen.

    Wichtig

    Aus Sicherheitsgründen können Sie nach Ausführen dieses Schritts nicht auf das Passwort zugreifen, Sie können jedoch jederzeit ein neues Passwort erstellen.

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Konsolenzugriff aktualisiert wurde.

So löschen (deaktivieren) Sie das Passwort eines IAM-Benutzers (Konsole)

Gehen Sie wie folgt vor, um ein dem Benutzernamen zugeordnetes Passwort zu löschen und dem Benutzer den Konsolenzugriff zu entziehen.

Wichtig

Sie können den Zugriff eines IAM-Benutzers auf die AWS-Managementkonsole verhindern, indem Sie sein Passwort entfernen. Dadurch wird verhindert, dass sie sich mit ihren Anmeldeinformationen bei der AWS-Managementkonsole anmelden. Es ändert weder ihre Berechtigungen noch verhindert, dass sie mit einer angenommenen Rolle auf die Konsole zugreifen. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren sie weiterhin und ermöglichen den Zugriff über die AWS CLI, Tools for Windows PowerShell, AWS-API oder die AWS-Console Mobile Application.

Console

  1. Folgen Sie dem Anmeldeverfahren, das Ihrem Benutzertyp entspricht, wie im Abschnitt So melden Sie sich bei AWS an im AWS-Anmelde-Benutzerhandbuch beschrieben.

  2. Geben Sie auf der Startseite der IAM-Konsole im linken Navigationsbereich Ihre Abfrage in das Textfeld IAM suchen ein.

  3. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  4. Wählen Sie den Namen des Benutzers aus, dessen Passwort Sie löschen möchten.

  5. Wählen Sie die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) und wählen Sie dann unter Console sign-in (Konsolenanmeldung) die Option Manage console access (Konsolenzugriff verwalten) aus.

  6. Um den Benutzer aufzufordern, die Verwendung der Konsole sofort zu beenden, wählen Sie Aktive Konsolensitzungen widerrufen aus. Dadurch wird dem IAM-Benutzer eine Inline-Richtlinie zugewiesen, die dem Benutzer den Zugriff auf Ressourcen verweigert, wenn seine Anmeldeinformationen älter sind als die in der Richtlinie angegebene Zeit.

  7. Wählen Sie Zugriff deaktivieren

Die Konsole zeigt eine Statusmeldung an, die Sie darüber informiert, dass der Konsolenzugriff deaktiviert wurde.

Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (AWS CLI)

Sie können die AWS CLI-API zum Verwalten der Passwörter für IAM-Benutzer verwenden.

So erstellen Sie ein Passwort (AWS CLI)

  1. (Optional) Um zu ermitteln, ob ein Benutzer über ein Passwort verfügt, führen Sie diesen Befehl aus: aws iam get-login-profile

  2. Zum Erstellen eines Passworts führen Sie diesen Befehl aus: aws iam create-login-profile

So ändern Sie das Passwort eines Benutzers (AWS CLI)

  1. (Optional) Um zu ermitteln, ob ein Benutzer über ein Passwort verfügt, führen Sie diesen Befehl aus: aws iam get-login-profile

  2. Zum Ändern eines Passworts führen Sie diesen Befehl aus: aws iam update-login-profile

So löschen (deaktivieren) Sie das Passwort eines Benutzers (AWS CLI)

  1. (Optional) Um zu ermitteln, ob ein Benutzer über ein Passwort verfügt, führen Sie diesen Befehl aus: aws iam get-login-profile

  2. (Optional) Um zu ermitteln, wann ein Passwort zuletzt verwendet wurde, führen Sie diesen Befehl aus: aws iam get-user

  3. Zum Löschen eines Passworts führen Sie diesen Befehl aus: aws iam delete-login-profile

Wichtig

Wenn Sie das Passwort eines Benutzers löschen, kann sich dieser nicht mehr bei der anmelden AWS-Managementkonsole. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI, Tools for Windows PowerShell oder AWS-API-Funktionsaufrufe. Wenn Sie die AWS CLI, Tools for Windows PowerShell oder AWS-API zum Löschen eines Benutzers aus Ihrem AWS-Konto verwenden, müssen Sie zuerst mithilfe dieses Vorgangs das Passwort löschen. Weitere Informationen finden Sie unter Löschen eines IAM-Benutzers (AWS CLI).

So widerrufen Sie die aktiven Konsolensitzungen eines Benutzers vor einer bestimmten Zeit (AWS CLI)

  1. Um eine Inline-Richtlinie einzubetten, die die aktiven Konsolensitzungen eines IAM-Benutzers vor einer bestimmten Zeit widerruft, verwenden Sie die folgende Inline-Richtlinie und führen Sie diesen Befehl aus: aws iam put-user-policy

    Diese Inline-Richtlinie verweigert sämtliche Berechtigungen und schließt den Bedingungsschlüssel aws:TokenIssueTime ein. Es widerruft die aktiven Konsolensitzungen des Benutzers vor der im Condition-Element der Inline-Richtlinie angegebenen Zeit. Ersetzen Sie den Bedingungsschlüsselwert aws:TokenIssueTime durch Ihren eigenen Wert.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Optional) Um die Namen der im IAM-Benutzer eingebetteten Inline-Richtlinien aufzulisten, führen Sie diesen Befehl aus: aws iam list-user-policies

  3. (Optional) Um die im IAM-Benutzer eingebettete benannte Inline-Richtlinie anzuzeigen, führen Sie diesen Befehl aus: aws iam get-user-policy

Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (AWS-API)

Sie können die AWS-API zum Verwalten der Passwörter für IAM-Benutzer verwenden.

So erstellen Sie ein Passwort (AWS-API)

  1. (Optional) Um zu ermitteln, ob ein Benutzer über ein Passwort verfügt, rufen Sie diese Operation auf: GetLoginProfile

  2. Zum Erstellen eines Passworts rufen Sie diese Operation auf: CreateLoginProfile

So ändern Sie das Passwort eines Benutzers (AWS-API)

  1. (Optional) Um zu ermitteln, ob ein Benutzer über ein Passwort verfügt, rufen Sie diese Operation auf: GetLoginProfile

  2. Zum Ändern eines Passworts rufen Sie diese Operation auf: UpdateLoginProfile

So löschen (deaktivieren) Sie das Passwort eines Benutzers (AWS-API)

  1. (Optional) Um zu ermitteln, ob ein Benutzer über ein Passwort verfügt, führen Sie diesen Befehl aus: GetLoginProfile

  2. (Optional) Um zu ermitteln, wann ein Passwort zuletzt verwendet wurde, führen Sie diesen Befehl aus: GetUser

  3. Zum Löschen eines Passworts führen Sie diesen Befehl aus: DeleteLoginProfile

Wichtig

Wenn Sie das Passwort eines Benutzers löschen, kann sich dieser nicht mehr bei der anmelden AWS-Managementkonsole. Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, funktionieren diese weiterhin und ermöglichen den Zugriff über die AWS CLI, Tools for Windows PowerShell oder AWS-API-Funktionsaufrufe. Wenn Sie die AWS CLI, Tools for Windows PowerShell oder AWS-API zum Löschen eines Benutzers aus Ihrem AWS-Konto verwenden, müssen Sie zuerst mithilfe dieses Vorgangs das Passwort löschen. Weitere Informationen finden Sie unter Löschen eines IAM-Benutzers (AWS CLI).

So widerrufen Sie die aktiven Konsolensitzungen eines Benutzers vor einer bestimmten Zeit (AWS-API)

  1. Um eine Inline-Richtlinie einzubetten, die die aktiven Konsolensitzungen eines IAM-Benutzers vor einer bestimmten Zeit widerruft, verwenden Sie die folgende Inline-Richtlinie und führen Sie diesen Befehl aus: PutUserPolicy

    Diese Inline-Richtlinie verweigert sämtliche Berechtigungen und schließt den Bedingungsschlüssel aws:TokenIssueTime ein. Es widerruft die aktiven Konsolensitzungen des Benutzers vor der im Condition-Element der Inline-Richtlinie angegebenen Zeit. Ersetzen Sie den Bedingungsschlüsselwert aws:TokenIssueTime durch Ihren eigenen Wert.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Optional) Um die Namen der im IAM-Benutzer eingebetteten Inline-Richtlinien aufzulisten, führen Sie diesen Befehl aus: ListUserPolicies

  3. (Optional) Um die im IAM-Benutzer eingebettete benannte Inline-Richtlinie anzuzeigen, führen Sie diesen Befehl aus: GetUserPolicy