Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Authentifizierung und Zugriff mithilfe von AWS SDKs Tools
Wenn Sie eine AWS SDK-Anwendung entwickeln oder zu verwendende AWS Tools verwenden AWS-Services, müssen Sie festlegen, mit welcher Methode Ihr Code oder Tool authentifiziert wird. AWS Sie können den programmatischen Zugriff auf AWS Ressourcen auf unterschiedliche Weise konfigurieren, abhängig von der Umgebung, in der der Code ausgeführt wird, und dem verfügbaren AWS Zugriff.
Die folgenden Optionen sind Teil der [Anmeldeinformationsanbieterkette](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html#credentialProviderChain). Das bedeutet, dass Ihr AWS SDK oder Tool diese Authentifizierungsmethode automatisch erkennt AWS `config` und verwendet, wenn Sie Ihre geteilten `credentials` Dateien und Dateien entsprechend konfigurieren.
## Wählen Sie eine Methode zur Authentifizierung Ihres Anwendungscodes
Wählen Sie eine Methode zur Authentifizierung der Aufrufe, an die Ihre Anwendung gesendet AWS hat.
### Führen Sie Code INSIDE aus AWS-Service (wie Amazon EC2, Lambda, Amazon ECS, Amazon EKS, CodeBuild)?
Wenn Ihr Code auf läuft AWS, können Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht werden. Wenn Ihre Anwendung beispielsweise auf Amazon Elastic Compute Cloud gehostet wird und dieser Ressource eine IAM-Rolle zugeordnet ist, werden die Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht. Wenn Sie Amazon ECS- oder Amazon EKS-Container verwenden, können die für die IAM-Rolle festgelegten Anmeldeinformationen ebenfalls automatisch abgerufen werden, indem der Code innerhalb des Containers über die [Anmeldeinformationsanbieterkette](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html#credentialProviderChain) des SDK ausgeführt wird.
#### Befindet sich Ihr Code in einer Amazon Elastic Compute Cloud-Instanz?
[Verwenden von IAM-Rollen zur Authentifizierung von Anwendungen, die auf Amazon bereitgestellt werden EC2](access-iam-roles-for-ec2.md)— Verwenden Sie IAM-Rollen, um Ihre Anwendung sicher auf einer Amazon EC2 EC2-Instance auszuführen.
#### Ist Ihr Code in einer Funktion? AWS Lambda
Lambda erstellt eine Ausführungsrolle mit minimalen Berechtigungen, wenn Sie [eine Lambda-Funktion erstellen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). Das AWS SDK oder Tool verwendet dann automatisch die IAM-Rolle, die dem Lambda zur Laufzeit über die Lambda-Ausführungsumgebung zugewiesen ist.
#### Befindet sich Ihr Code in Amazon Elastic Container Service (auf Amazon EC2 oder AWS Fargate für Amazon ECS)?
Verwenden Sie die IAM-Rolle für die Aufgabe. Sie müssen [eine Aufgabenrolle erstellen](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html) und diese Rolle in Ihrer [Amazon ECS-Aufgabendefinition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) angeben. Das AWS SDK oder Tool verwendet dann automatisch die der Aufgabe zur Laufzeit zugewiesene IAM-Rolle über die Amazon ECS-Metadaten.
#### Ist Ihr Code in Amazon Elastic Kubernetes Service?
Wir empfehlen Ihnen, [Amazon EKS Pod Identities zu](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) verwenden.
Hinweis: Wenn Sie der Meinung sind, dass [IAM-Rollen für Service Accounts](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) (IRSA) besser auf Ihre individuellen Bedürfnisse zugeschnitten sind, finden Sie weitere Informationen unter [Vergleich von EKS Pod Identity und IRSA](https://docs.aws.amazon.com/eks/latest/userguide/service-accounts.html#service-accounts-iam) im **Amazon EKS-Benutzerhandbuch**.
#### Läuft Ihr Code in AWS CodeBuild
Weitere Informationen finden Sie [unter Verwenden identitätsbasierter Richtlinien für](https://docs.aws.amazon.com/codebuild/latest/userguide/auth-and-access-control-iam-identity-based-access-control.html). CodeBuild
#### Ist Ihr Code in einem anderen? AWS-Service
Sehen Sie sich den speziellen Leitfaden für Sie an AWS-Service. Wenn Sie Code on ausführen AWS, kann die [SDK-Anmeldeinformationsanbieterkette](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html#credentialProviderChain) automatisch Anmeldeinformationen für Sie abrufen und aktualisieren.
### Erstellen Sie mobile Anwendungen oder clientbasierte Webanwendungen?
Wenn Sie mobile Anwendungen oder clientbasierte Webanwendungen erstellen, auf die Zugriff erforderlich ist AWS, erstellen Sie Ihre App so, dass sie mithilfe eines Web-Identitätsverbunds dynamisch temporäre AWS Sicherheitsanmeldeinformationen anfordert.
Mit Web-Identitätsverbund müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Stattdessen können sich App-Nutzer mit einem bekannten externen Identitätsanbieter (IdP) anmelden, z. B. Login with Amazon, Facebook, Google oder einem anderen OpenID Connect (OIDC) -kompatiblen IdP. Sie können ein Authentifizierungstoken erhalten und dieses Token dann gegen temporäre Sicherheitsanmeldeinformationen in AWS dieser Zuordnung zu einer IAM-Rolle mit Berechtigungen zur Nutzung der Ressourcen in Ihrem eintauschen. AWS-Konto
Wie Sie dies für Ihr SDK oder Tool konfigurieren, erfahren Sie unter[Übernahme einer Rolle bei Web Identity oder OpenID Connect zur Authentifizierung und Tools AWS SDKs](access-assume-role-web.md).
Erwägen Sie für mobile Anwendungen die Verwendung von Amazon Cognito. Amazon Cognito fungiert als Identitätsbroker und erledigt einen Großteil der Verbundarbeit für Sie. Weitere Informationen finden Sie unter [Verwenden von Amazon Cognito für mobile Apps](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc_cognito.html) im *IAM-Benutzerhandbuch*.
### Entwickeln und führen Sie den Code LOKAL aus?
Wir empfehlen[Verwendung von Konsolenanmeldedaten zur Authentifizierung AWS SDKs und Tools](access-login.md).
Nach einem schnellen browserbasierten Authentifizierungsablauf AWS werden automatisch temporäre Anmeldeinformationen generiert, die in allen lokalen Entwicklungstools wie der AWS CLI AWS -Tools für PowerShell und AWS SDKs funktionieren.
#### Wenn Sie Identity Center für den AWS Kontozugriff verwenden
Verwenden Sie IAM Identity Center, um AWS SDK und Tools zu authentifizieren, wenn Sie bereits Zugriff auf AWS Konten haben, die den Zugriff für Ihre Belegschaft verwalten and/or müssen. Aus Sicherheitsgründen empfehlen wir die Verwendung AWS Organizations zusammen mit IAM Identity Center, um den Zugriff für alle Ihre Konten zu verwalten. AWS Sie können Benutzer im IAM Identity Center erstellen, Microsoft Active Directory verwenden, einen SAML 2.0-Identitätsanbieter (IdP) verwenden oder Ihren IdP individuell mit Konten verbinden. AWS Um zu überprüfen, ob Ihre Region IAM Identity Center unterstützt, finden Sie unter [Verwenden von IAM Identity Center zur Authentifizierung von AWS SDK und Tools](access-sso.md) IAM Identity Center-Endpunkte und Kontingente in der Amazon Web Services General Reference.
#### Wenn Sie nach anderen Authentifizierungsmöglichkeiten suchen
Erstellen Sie einen IAM-Benutzer mit den geringsten Rechten und Berechtigungen für den Zugriff auf `sts:AssumeRole` Ihre Zielrolle. Konfigurieren Sie dann Ihr Profil so, dass es eine Rolle annimmt, indem Sie eine für diesen Benutzer `source_profile` eingerichtete Konfiguration verwenden.
Sie können temporäre IAM-Anmeldeinformationen auch über Umgebungsvariablen oder die Datei mit gemeinsam genutzten AWS Anmeldeinformationen verwenden. Weitere Informationen finden Sie unter Verwenden von kurzfristigen Anmeldeinformationen zur Authentifizierung AWS SDKs und zu Tools.
Hinweis: Nur in Sandbox- oder Lernumgebungen können Sie erwägen, langfristige Anmeldeinformationen für die Authentifizierung AWS SDKs und Tools zu verwenden.
### Wird dieser Code vor Ort oder in einer Hybrid-/On-Demand-VM ausgeführt (z. B. auf einem Server, der von Amazon S3 liest oder auf Amazon S3 schreibt, oder Jenkins, der in der Cloud bereitstellt)?
#### Verwenden Sie X.509-Client-Zertifikate?
Ja: Siehe[Authentifizierung AWS SDKs und Tools mit IAM Roles Anywhere](access-rolesanywhere.md). Sie können IAM Roles Anywhere verwenden, um temporäre Sicherheitsanmeldeinformationen in IAM für Workloads wie Server, Container und Anwendungen abzurufen, die außerhalb von ausgeführt werden. AWS Um IAM Roles Anywhere verwenden zu können, müssen Ihre Workloads X.509-Zertifikate verwenden.
#### Kann die Umgebung eine sichere Verbindung zu einem Federated Identity Provider (wie Microsoft Entra oder Okta) herstellen, um temporäre Anmeldeinformationen anzufordern? AWS
##### Ja: Verwenden [Anbieter von Prozessanmeldedaten](feature-process-credentials.md)
Wird verwendet[Anbieter von Prozessanmeldedaten](feature-process-credentials.md), um Anmeldeinformationen zur Laufzeit automatisch abzurufen. Diese Systeme verwenden möglicherweise ein Hilfstool oder ein Plug-in, um die Anmeldeinformationen abzurufen, und übernehmen möglicherweise im Hintergrund eine IAM-Rolle mithilfe von`sts:AssumeRole`.
##### Nein: Verwenden Sie temporäre Anmeldeinformationen, die über eingegeben wurden AWS Secrets Manager
Verwenden Sie temporäre Anmeldeinformationen, die über eingegeben wurden AWS Secrets Manager. Optionen zum Abrufen kurzlebiger Zugriffsschlüssel finden Sie unter [Temporäre Sicherheitsanmeldedaten anfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) im *IAM-Benutzerhandbuch*. Optionen zum Speichern dieser temporären Anmeldeinformationen finden Sie unter. [AWS Zugriffstasten](feature-static-credentials.md)
Sie können diese Anmeldeinformationen verwenden, um umfassendere Anwendungsberechtigungen sicher aus [Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) abzurufen, wo Ihre Produktionsgeheimnisse oder langlebige rollenbasierte Anmeldeinformationen gespeichert werden können.
### Verwenden Sie ein Drittanbieter-Tool, das nicht enthalten ist? AWS
Die beste Anleitung zur Beschaffung von Anmeldeinformationen finden Sie in der von Ihrem Drittanbieter verfassten Dokumentation.
#### Können Sie temporäre Anmeldeinformationen sicher eingeben, wenn Ihr Drittanbieter keine Unterlagen bereitgestellt hat?
Ja: Verwenden Sie Umgebungsvariablen und temporäre AWS STS Anmeldeinformationen.
Nein: Verwenden Sie statische Zugriffsschlüssel, die im verschlüsselten Secret Manager gespeichert sind (letzter Ausweg).
## Authentifizierungsmethoden
**Authentifizierungsmethoden für Code, der in einer AWS Umgebung ausgeführt wird**
Wenn Ihr Code auf läuft AWS, können Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht werden. Wenn Ihre Anwendung beispielsweise auf Amazon Elastic Compute Cloud gehostet wird und dieser Ressource eine IAM-Rolle zugeordnet ist, werden die Anmeldeinformationen automatisch für Ihre Anwendung verfügbar gemacht. Wenn Sie Amazon ECS- oder Amazon EKS-Container verwenden, können die für die IAM-Rolle festgelegten Anmeldeinformationen ebenfalls automatisch abgerufen werden, indem der Code innerhalb des Containers über die Anmeldeinformationsanbieterkette des SDK ausgeführt wird.
+ [Verwenden von IAM-Rollen zur Authentifizierung von Anwendungen, die auf Amazon bereitgestellt werden EC2](access-iam-roles-for-ec2.md)— Verwenden Sie IAM-Rollen, um Ihre Anwendung sicher auf einer Amazon EC2 EC2-Instance auszuführen.
+ Sie können auf folgende Weise programmgesteuert mit der AWS Nutzung von IAM Identity Center interagieren:
+ Wird verwendet [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/), um AWS CLI Befehle von der Konsole aus auszuführen.
+ Wenn Sie einen cloudbasierten Kollaborationsraum für Softwareentwicklungsteams ausprobieren möchten, sollten Sie [Amazon](https://docs.aws.amazon.com/codecatalyst/latest/userguide/welcome.html) in Betracht ziehen CodeCatalyst.
**Authentifizierung über einen webbasierten Identitätsanbieter — mobile oder clientbasierte Webanwendungen**
Wenn Sie mobile Anwendungen oder clientbasierte Webanwendungen erstellen, auf die Zugriff erforderlich ist AWS, erstellen Sie Ihre App so, dass sie mithilfe eines Web-Identitätsverbunds dynamisch temporäre AWS Sicherheitsanmeldeinformationen anfordert.
Mit Web-Identitätsverbund müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Stattdessen können sich App-Nutzer mit einem bekannten externen Identitätsanbieter (IdP) anmelden, z. B. Login with Amazon, Facebook, Google oder einem anderen OpenID Connect (OIDC) -kompatiblen IdP. Sie können ein Authentifizierungstoken erhalten und dieses Token dann gegen temporäre Sicherheitsanmeldeinformationen in AWS dieser Zuordnung zu einer IAM-Rolle mit Berechtigungen zur Nutzung der Ressourcen in Ihrem eintauschen. AWS-Konto
Wie Sie dies für Ihr SDK oder Tool konfigurieren, erfahren Sie unter[Übernahme einer Rolle bei Web Identity oder OpenID Connect zur Authentifizierung und Tools AWS SDKs](access-assume-role-web.md).
Erwägen Sie für mobile Anwendungen die Verwendung von Amazon Cognito. Amazon Cognito fungiert als Identitätsbroker und erledigt einen Großteil der Verbundarbeit für Sie. Weitere Informationen finden Sie unter [Verwenden von Amazon Cognito für mobile Apps](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc_cognito.html) im *IAM-Benutzerhandbuch*.
**Authentifizierungsmethoden für Code, der lokal ausgeführt wird (nicht in) AWS**
+ [Verwendung von Konsolenanmeldedaten zur Authentifizierung AWS SDKs und Tools](access-login.md)— Diese Funktion funktioniert sowohl mit der AWS Befehlszeilenschnittstelle als auch mit Tools für PowerShell und bietet Ihnen aktualisierbare Anmeldeinformationen, die für alle lokalen Entwicklungstools wie AWS CLI, Tools for PowerShell und AWS verwendet werden können.
+ [Verwenden von IAM Identity Center zur Authentifizierung von AWS SDK und Tools](access-sso.md)— Aus Sicherheitsgründen empfehlen wir die Verwendung AWS Organizations zusammen mit IAM Identity Center, um den Zugriff für alle Ihre Benutzer zu verwalten. AWS-Konten Sie können Benutzer in Microsoft Active Directory erstellen AWS IAM Identity Center, einen SAML 2.0-Identitätsanbieter (IdP) verwenden oder Ihren IdP individuell mit diesem verbinden. AWS-Konten Informationen darüber, ob Ihre Region IAM Identity Center unterstützt, finden Sie unter [AWS IAM Identity Center Endpunkte](https://docs.aws.amazon.com/general/latest/gr/sso.html) und Kontingente in der. *Allgemeine Amazon Web Services-Referenz*
+ [Authentifizierung AWS SDKs und Tools mit IAM Roles Anywhere](access-rolesanywhere.md)— Sie können IAM Roles Anywhere verwenden, um temporäre Sicherheitsanmeldedaten in IAM für Workloads wie Server, Container und Anwendungen abzurufen, die außerhalb von ausgeführt werden. AWS Um IAM Roles Anywhere verwenden zu können, müssen Ihre Workloads X.509-Zertifikate verwenden.
+ [Übernahme einer Rolle mit AWS Anmeldeinformationen zur Authentifizierung AWS SDKs und Tools](access-assume-role.md)— Sie können eine IAM-Rolle annehmen, um vorübergehend auf AWS Ressourcen zuzugreifen, auf die Sie sonst möglicherweise keinen Zugriff hätten.
+ [Verwendung von AWS Zugriffsschlüsseln zur Authentifizierung AWS SDKs und Tools](access-users.md)— Andere Optionen, die möglicherweise weniger praktisch sind oder das Sicherheitsrisiko für Ihre AWS Ressourcen erhöhen könnten.
**Weitere Informationen zur Zugriffsverwaltung**
Das *IAM-Benutzerhandbuch* enthält die folgenden Informationen zur sicheren Steuerung des Zugriffs auf AWS Ressourcen:
+ [IAM-Identitäten (Benutzer, Benutzergruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) — Verstehen Sie die Grundlagen von Identitäten in. AWS
+ [Bewährte Sicherheitspraktiken in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) [— Sicherheitsempfehlungen, die bei der Entwicklung von AWS Anwendungen nach dem Modell der geteilten Verantwortung zu beachten sind.](https://aws.amazon.com/compliance/shared-responsibility-model/)
Das *Allgemeine Amazon Web Services-Referenz*enthält grundlegende Grundlagen zu den folgenden Themen:
+ [Ihre AWS Anmeldeinformationen verstehen und abrufen](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html) — Zugriff auf wichtige Optionen und Verwaltungspraktiken sowohl für den Konsolen- als auch für den programmgesteuerten Zugriff.
**Zugriff auf das IAM Identity Center-Plugin für Trusted Identity Propagation (TIP) AWS-Services**
+ [Verwenden des TIP-Plugins für den Zugriff AWS-Services](access-tip.md)— Wenn Sie eine Anwendung für Amazon Q Business oder einen anderen Service erstellen, der die Verbreitung vertrauenswürdiger Identitäten unterstützt, und das AWS SDK für Java oder das verwenden AWS SDK für JavaScript, können Sie das TIP-Plugin verwenden, um die Autorisierung zu vereinfachen.
## AWS Builder ID
Sie AWS Builder ID ergänzen alle, die AWS-Konten Sie vielleicht schon besitzen oder erstellen möchten. Eine AWS-Konto fungiert zwar als Container für AWS Ressourcen, die Sie erstellen, und bietet eine Sicherheitsgrenze für diese Ressourcen, aber Ihre AWS Builder ID repräsentiert Sie als Einzelperson. Sie können sich mit Ihrem anmelden AWS Builder ID , um auf Entwicklertools und -dienste wie Amazon Q und Amazon zuzugreifen CodeCatalyst.
+ [Melden Sie sich AWS Builder ID im AWS-Anmeldung](https://docs.aws.amazon.com/signin/latest/userguide/sign-in-aws_builder_id.html) *Benutzerhandbuch* an — Erfahren Sie, wie Sie eine erstellen und verwenden, AWS Builder ID und erfahren Sie, was die Builder-ID bietet.
+ [CodeCatalystKonzepte — AWS Builder ID](https://docs.aws.amazon.com/codecatalyst/latest/userguide/concepts.html#sign-in-concept) im * CodeCatalyst Amazon-Benutzerhandbuch* — Erfahren Sie, wie ein CodeCatalyst verwendet wird AWS Builder ID.