Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Übersicht über den Zugriff und die Authentifizierung
<a name="auth_access_overview"></a>

Wenn neu für Sie ist, lesen Sie zum Einstieg die folgenden Themen, um mit der Autorisierung und dem Zugriff in AWS zu beginnen. 

**Topics**
+ [Was ist Authentifizierung?](#auth_access_what-is-authentication)
+ [Was ist Zugriffskontrolle?](#auth_access_what-is-access-control)
+ [Was sind Richtlinien?](#auth_access_what-are-policies)
+ [Erste Schritte mit IAM](#auth_access_getting-started)

## Was ist Authentifizierung?
<a name="auth_access_what-is-authentication"></a>

Bei der Authentifizierung melden Sie sich mit Ihren Anmeldeinformationen bei AWS an.

**Anmerkung**  
Wenn Sie einen schnellen Einstieg wünschen, ignorieren Sie diesen Abschnitt. Lesen Sie zunächst die einführenden Informationen zu[Identity and Access Management für AWS Global Accelerator](auth-and-access-control.md)Informationen finden Sie unter und dann unter[Erste Schritte mit IAM](#auth_access_getting-started).

Als Prinzipal müssen Sie*authentifiziert*(bei AWS angemeldet) verwenden Sie eine Entität (Stammbenutzer, IAM-Benutzer oder IAM-Rolle), um eine Anforderung an AWS zu senden. Ein IAM-Benutzer kann langfristige Anmeldeinformationen wie Benutzername und Passwort oder einen Satz von Zugriffsschlüsseln haben. Wenn Sie eine IAM-Rolle annehmen, erhalten Sie temporäre Sicherheitsanmeldeinformationen. 

Um sich über die AWS Management Console als Benutzer authentifizieren zu lassen, müssen Sie sich mit Ihrem Benutzernamen und Passwort anmelden. Um sich über die AWS-CLI oder AWS-API zu authentifizieren, müssen Sie Ihren Zugriffsschlüssel und den geheimen Schlüssel oder die temporären Anmeldeinformationen angeben. AWS bietet SDKs und CLI-Tools, mit denen Sie Ihre Anfrage mit Ihren Anmeldeinformationen verschlüsselt signieren können. Wenn Sie keine AWS-Tools verwenden, müssen Sie die Anforderung selbst signieren. Unabhängig von der von Ihnen verwendeten Authentifizierungsmethode müssen Sie möglicherweise auch zusätzliche Sicherheitsinformationen angeben. AWS beispielsweise empfiehlt, dass Sie die Multi-Factor Authentication (MFA) zur Erhöhung der Sicherheit Ihres Kontos nutzen.

Als Prinzipal können Sie sich bei AWS mit den folgenden Entitys (Benutzern oder Rollen) anmelden:

**Stammbenutzer des AWS-Kontos**  
 Wenn Sie ein AWS-Konto erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcen in dem Konto verfügt. Diese Identität wird als AWS-Konto-*Stammbenutzer* bezeichnet. Um auf den Stammbenutzer zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen bei dem bewährten [-Verfahren, den Stammbenutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users). Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. 

**IAM-Benutzer**  
Ein[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)Eine Entität in Ihrem AWS Konto mit spezifischen Berechtigungen. unterstützt Global Accelerator*-Signaturversion 4*Ein Protokoll für die Authentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anforderungen finden Sie unter [Signature Version 4-Signaturprozess](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) in der *allgemeinen AWS-Referenz*.

**IAM-Rolle**  
 Ein[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)Eine IAM-Identität ist eine -Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer ähnlich, weil es sich um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:    
**Zugriff für verbundene Benutzer**  
 Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Identitäten von AWS Directory Service, dem Benutzerverzeichnis Ihres Unternehmens oder von einem Web-Identitätsanbieter verwenden. Diese werden als *verbundene Benutzer* bezeichnet. AWS weist einem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen [Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) angefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter [Verbundene Benutzer und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) im *IAM Benutzerhandbuch*.   
**Temporäre Benutzerberechtigungen**  
Ein IAM-Benutzer kann eine Rolle vorübergehend annehmen, um verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen.   
**Kontenübergreifender Zugriff**  
Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigen Prinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen sind die primäre Möglichkeit, um kontoübergreifenden Zugriff zu gewähren. In einigen AWS-Services können Sie jedoch eine Richtlinie direkt an eine Ressource anfügen (anstatt eine Rolle als Proxy zu verwenden). Global Accelerator unterstützt keine ressourcenbasierten Richtlinien. Weitere Informationen darüber, ob Sie eine Rolle oder eine ressourcenbasierte Richtlinie verwenden, um kontoübergreifenden Zugriff zu ermöglichen, finden Sie unter [Steuern des Zugriffs auf Prinzipale in einem anderen Konto](#auth_access_controlling-principal-accounts).  
**Zugriff auf AWS-Services**  
 Eine Servicerolle ist eine[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)Aktionen, die ein Service übernimmt, um Aktionen in Ihrem Namen auszuführen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Ein IAM-Administrator kann eine Servicerolle in IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM Benutzerhandbuch*.   
**Anwendungen, die auf Amazon EC2 ausgeführt werden**  
 Sie können eine IAM-Rolle nutzen, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist empfehlenswerter als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) im *IAM Benutzerhandbuch*. 

## Was ist Zugriffskontrolle?
<a name="auth_access_what-is-access-control"></a>

Nach der Anmeldung (Authentifizierung) bei AWS wird Ihr Zugriff auf AWS-Ressourcen und -Operationen durch Richtlinien geregelt. Zugriffskontrolle wird auch Autorisierung genannt.

**Anmerkung**  
Wenn Sie einen schnellen Einstieg wünschen, ignorieren Sie diese Seite. Lesen Sie zunächst die einführenden Informationen zu[Identity and Access Management für AWS Global Accelerator](auth-and-access-control.md)Informationen finden Sie unter und dann unter[Erste Schritte mit IAM](#auth_access_getting-started).

Während der Autorisierung verwendet AWS Werte aus dem[Anforderungs-Kontext](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure-request.html)Überprüfen Sie nach gültigen Richtlinien. Anschließend wird anhand der Richtlinien festgelegt, ob die Anforderung zugelassen oder abgelehnt werden soll. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert und geben die Berechtigungen an, die für Prinzipale zugelassen und verweigert werden. Weitere Informationen über die Struktur und den Inhalt von JSON-Richtliniendokumenten finden Sie unter [Was sind Richtlinien?](#auth_access_what-are-policies).

Mit Richtlinien kann ein Administrator festlegen, welche Benutzer auf AWS Ressourcen zugreifen können und welche Aktionen sie für diese Ressourcen ausführen dürfen. Eine IAM-Entität (Benutzer oder Rolle) besitzt zunächst keine Berechtigungen. Mit anderen Worten: Benutzer können standardmäßig nichts tun, nicht einmal ihre eigenen Zugriffsschlüssel anzeigen. Um einem Benutzer die Berechtigung für eine Aktion zu erteilen, muss ein Administrator einem Benutzer eine Berechtigungsrichtlinie zuweisen. Alternativ können sie den Benutzer zu einer Gruppe hinzufügen, die über die beabsichtigten Berechtigungen verfügt. Wenn ein Administrator dann einer Gruppe Berechtigungen erteilt, erhalten alle Benutzer dieser Gruppe diese Berechtigungen.

Möglicherweise verfügen Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anfragen, aber wenn Ihnen kein Administrator Berechtigungen erteilt, können Sie keine AWS Global Accelerator Ressourcen erstellen oder darauf zugreifen. Beispielsweise müssen Sie über explizite Berechtigungen verfügen, um einen AWS Global Accelerator zu erstellen.

Als Administrator können Sie eine Richtlinie schreiben, um den Zugriff auf die folgenden Elemente zu steuern:
+ **[Prinzipale](#auth_access_controlling-principals)**— Steuern Sie, welche Person oder Anwendung die Anfrage stellt (die*Prinzipal*) darf. 
+ **[IAM-Identitäten](#auth_access_controlling-identities)**— Legen Sie fest, auf welche IAM-Identitäten (Gruppen, Benutzer und Rollen) zugegriffen werden kann und wie.
+ **[IAM-Richtlinien](#auth_access_controlling-policies)**— Legen Sie fest, wer kundenseitig verwaltete Richtlinien erstellen, bearbeiten und löschen und wer alle verwalteten Richtlinien anfügen und entfernen darf.
+ **[AWS-Ressourcen](#auth_access_controlling-resources)**— Steuern Sie, wer über eine identitätsbasierte oder ressourcenbasierte Richtlinie Zugriff auf Ressourcen hat.
+ **[AWS Konten](#auth_access_controlling-principal-accounts)**— Legen Sie fest, ob eine Anfrage nur für Mitglieder eines bestimmten Kontos zulässig ist.

### Zugriffssteuerung für -Prinzipale
<a name="auth_access_controlling-principals"></a>

Berechtigungsrichtlinien steuern, welche Aktionen Sie als Prinzipal ausführen dürfen. Ein Administrator muss der Identität (Benutzer, Gruppe oder Rolle), die Ihre Berechtigungen bereitstellt, eine identitätsbasierte Berechtigungsrichtlinie zuweisen. Berechtigungsrichtlinien erlauben oder verweigern den Zugriff auf AWS. Administratoren können auch eine Berechtigungsgrenze für eine IAM-Entität (Benutzer oder Rolle) festlegen, um die maximalen Berechtigungen für diese Entität zu definieren. Berechtigungsgrenzen sind eine erweiterte IAM-Funktion. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen und ein Beispiel dafür, wie der AWS Zugriff für Prinzipale gesteuert wird, finden Sie unter[Steuern des Zugriffs auf Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-principals)im*IAM-Benutzerhandbuch*.

### Steuern des Zugriffs auf
<a name="auth_access_controlling-identities"></a>

Administratoren steuern, welche Aktionen Sie mit einer IAM-Identität (Benutzer, Gruppe oder Rolle) ausführen können, indem sie eine Richtlinie erstellen, die einschränkt, was mit einer Identität geschehen kann oder wer darauf zugreifen kann. Dann wird diese Richtlinie der Identität zugewiesen, die Ihre Berechtigungen bereitstellt. 

Ein Administrator kann Ihnen beispielsweise erlauben, das Passwort für drei bestimmte Benutzer zurückzusetzen. Dazu weisen sie Ihrem IAM-Benutzer eine Richtlinie zu, die es Ihnen ermöglicht, das Passwort nur für sich selbst und Benutzer mit dem ARN der drei angegebenen Benutzer zurückzusetzen. Dies ermöglicht es Ihnen, das Passwort Ihrer Teammitglieder, aber nicht anderer IAM-Benutzer zurückzusetzen.

Weitere Informationen und ein Beispiel für die Verwendung einer Richtlinie zur Kontrolle des AWS Zugriffs auf Identitäten finden Sie unter.[Steuern des Zugriffs auf](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-identities)im*IAM-Benutzerhandbuch*.

### Steuern des Zugriffs auf Richtlinien
<a name="auth_access_controlling-policies"></a>

Administratoren können steuern, wer kundenseitig verwaltete Richtlinien erstellen, bearbeiten und löschen darf und wer alle verwalteten Richtlinien zuweisen und entfernen darf. Wenn Sie eine Richtlinie überprüfen, können Sie die Richtlinienübersicht anzeigen, die eine Zusammenfassung der Zugriffsebenen für jeden Service innerhalb dieser Richtlinie enthält. AWS kategorisiert jede Service-Aktion in eine von vier*Zugriffsebenen*basierend auf dem, was jede Aktion tut:`List`,`Read`,`Write`, oder`Permissions management`. Sie können diese Zugriffsebenen verwenden, um zu ermitteln, welche Aktionen in Ihre Richtlinien aufgenommen werden sollen. Weitere Informationen finden Sie unter[Zusammenfassungen auf Zugriffsebene innerhalb von Richtlinienübersichten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand-policy-summary-access-level-summaries.html)im*IAM-Benutzerhandbuch*.

**Warnung**  
Sie sollten beschränken`Permissions Management`-Berechtigungen auf Zugriffsebene in Ihrem Konto. Andernfalls können Ihre Konto-Mitglieder Richtlinien mit mehr Berechtigungen für sich selbst erstellen, als sie haben sollten. Oder sie können separate Benutzer mit vollem Zugriff auf AWS erstellen. 

Weitere Informationen und ein Beispiel dafür, wie der AWS Zugriff für Richtlinien gesteuert wird, finden Sie unter[Steuern des Zugriffs auf Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-policies)im*IAM-Benutzerhandbuch*.

### Steuern des Zugriffs auf -Ressourcen
<a name="auth_access_controlling-resources"></a>

Administratoren können den Zugriff auf Ressourcen mit einer identitätsbasierten oder ressourcenbasierten Richtlinie steuern. Bei einer identitätsbasierten Richtlinie fügen Sie die Richtlinie einer Identität hinzu und geben an, auf welche Ressourcen die Identität zugreifen darf. Bei einer ressourcenbasierten Richtlinie ordnen Sie eine Richtlinie der Ressource zu, die Sie steuern möchten. Sie geben in der Richtlinie an, welche Prinzipale auf die Ressource zugreifen dürfen. 

Weitere Informationen finden Sie unter[Steuern des Zugriffs auf Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)im*IAM-Benutzerhandbuch*.

#### Ressourcenersteller verfügen nicht automatisch über Berechtigungen
<a name="NoDefaultPermissions"></a>

Alle Ressourcen in einem Konto gehören diesem Konto, unabhängig davon, wer diese Ressourcen erstellt hat. Der Root-Benutzer des AWS Kontos ist der Kontoeigentümer und daherDie Berechtigung hat, eine -Aktion auf allen Ressourcen innerhalb des Kontos auszuführen.

**Wichtig**  
Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Folgen Sie stattdessen der[bewährte Methode, den Stammbenutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users). Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. Weitere Informationen zu den Aufgaben, die Sie nur als Stammbenutzer ausführen können, finden Sie unter[AWS Aufgaben, die Root-Benutzer erfordern](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).

Entitys (Benutzer oder Rollen) innerhalb des AWS Kontos müssen Zugriff erhalten, um eine Ressource zu erstellen. Nur weil sie eine Ressource erstellen, bedeutet das nicht, dass sie automatisch vollen Zugriff auf diese Ressource haben. Für jede Aktion müssen Administratoren explizit Berechtigungen erteilen. Darüber hinaus können Administratoren diese Berechtigungen jederzeit widerrufen, solange sie Zugriff auf die Verwaltung von Benutzer- und Rollenberechtigungen haben.

### Steuern des Zugriffs auf Prinzipale in einem anderen Konto
<a name="auth_access_controlling-principal-accounts"></a>

Administratoren können AWS Ressourcenbasierte -Richtlinien, kontoübergreifende IAM-Rollen oder den AWS Organizations service verwenden, um Prinzipalen in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen.

Bei einigen AWS -Services können Administratoren kontenübergreifenden Zugriff auf Ihre Ressourcen gewähren. Dazu fügt ein Administrator der Ressource, die er freigeben möchte, direkt eine Richtlinie an, anstatt eine Rolle als Proxy zu verwenden. Wenn der Service diesen Richtlinientyp unterstützt, dann muss die Ressource, die der Administrator freigibt, auch ressourcenbasierte Richtlinien unterstützen. Im Gegensatz zu einer benutzerbasierten Richtlinie wird bei einer ressourcenbasierten Richtlinie festgelegt, wer auf die Ressource zugreifen kann (in Form einer Liste mit ID-Nummern für das AWS Konto). Ressourcenbasierte Richtlinien werden von Global Accelerator nicht unterstützt.

Kontenübergreifender Zugriff aufgrund einer ressourcenbasierten Richtlinie verfügt gegenüber einer Rolle über einige wichtige Vorteile. Bei einer Ressource, auf die über eine ressourcenbasierte Richtlinie zugegriffen wird, arbeitet der Prinzipal (Person oder Anwendung) weiterhin im vertrauenswürdigen Konto und muss seine Benutzerberechtigungen nicht für Rollenberechtigungen aufgeben. Der Prinzipal hat also gleichzeitig Zugriff auf Ressourcen im vertrauenswürdigen Konto *und* im Vertrauenskonto. Dies ist nützlich für Aufgaben wie das Kopieren von Informationen von einem Konto in ein anderes. Weitere Informationen zur Verwendung kontenübergreifender Rollen finden Sie unter[Gewähren von Zugriff für einen IAM-Benutzer auf ein anderes AWS Konto, das Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)im*IAM-Benutzerhandbuch*.

AWS Organizations bieten richtlinienbasierte Verwaltung für mehrere AWS Konten, die Ihnen gehören. Organizations Sie können Gruppen von Konten erstellen, die Kontoerstellung automatisieren und Richtlinien für diese Gruppen anwenden und verwalten. Organizations ermöglichen Ihnen die zentrale Verwaltung von Richtlinien über mehrere Konten hinweg, ohne dass benutzerdefinierte Skripte und manuelle Prozesse erforderlich sind. Mithilfe von AWS Organizations können Sie Service-Kontrollrichtlinien erstellen, die eine zentrale Steuerung der AWS S-Services für mehrere AWS-Konten ermöglichen. Weitere Informationen finden Sie unter[Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)im*AWS Organizations Benutzerhandbuch*.

## Was sind Richtlinien?
<a name="auth_access_what-are-policies"></a>

Für die Zugriffsverwaltung in AWS erstellen Sie Richtlinien und fügen sie an die IAM-Identitäten oder AWS-Ressourcen an.

**Anmerkung**  
Wenn Sie einen schnellen Einstieg wünschen, ignorieren Sie diese Seite. Lesen Sie zunächst die einführenden Informationen zu[Identity and Access Management für AWS Global Accelerator](auth-and-access-control.md)Informationen finden Sie unter und dann unter[Erste Schritte mit IAM](#auth_access_getting-started).

Eine Richtlinie ist ein Objekt in AWS, das, einer Person oder Ressource zugeordnet, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal, z. B. ein Benutzer, eine Anforderung stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder gesperrt wird. Die meisten Richtlinien werden in AWS als JSON-Dokumente gespeichert.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zur Ausführung der Aktion verwenden. Wenn eine Richtlinie beispielsweise die[GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)Ein Benutzer mit dieser Richtlinie kann Benutzerinformationen über die AWS-Managementkonsole, die AWS-CLI oder die AWS-API abrufen. Wenn Sie einen IAM-Benutzer erstellen, können Sie ihn so einrichten, dass Konsolen- oder Programmzugriff erlaubt sind. Der IAM-Benutzer kann sich mit einem Benutzernamen und Passwort an der Konsole anmelden. Oder sie können Zugriffsschlüssel verwenden, um mit der CLI oder API zu arbeiten.

Die folgenden Richtlinientypen sind nach der Häufigkeit ihres Auftretens gelistet und können beeinflussen, ob eine Anforderung zugelassen wird. Weitere Informationen finden Sie unter .[Richtlinientypen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)im*IAM-Benutzerhandbuch*.

**Identitätsbasierte Richtlinien**  
IAM-Identitäten (Benutzer, Gruppen, zu denen Benutzer gehören, und Rollen) verwaltete Richtlinien anfügen.

**Ressourcenbasierte Richtlinien**  
Sie können Inline-Richtlinien an Ressourcen in einigen AWS -Services anhängen. Die häufigsten Beispiele für ressourcenbasierte Richtlinien sind Amazon S3 Bucket-Richtlinien und Vertrauensrichtlinien für IAM-Rollen. Ressourcenbasierte Richtlinien werden von Global Accelerator nicht unterstützt. 

**SCPs für Organizations**  
AWS Organizations Sie können eine Service Control Policy (SCP) verwenden, um eine Berechtigungsgrenze auf eine AWS-Organisation oder Organisationseinheit (OU) anzuwenden. Diese Berechtigungen gelten für alle Entitäten innerhalb der Mitgliedskonten.

**Zugriffskontrolllisten (ACLs)**  
Mit ACLs steuern Sie, welche Prinzipale auf eine Ressource zugreifen dürfen. ACLs sind ähnlich wie ressourcenbasierten Richtlinien, obwohl sie der einzige Richtlinientyp sind, der die JSON-Richtliniendokumentstruktur nicht verwendet. Global Accelerator unterstützt keine ACLs.

Diese Richtlinienarten können als *Berechtigungsrichtlinien* oder *Berechtigungsgrenzen* kategorisiert werden.

**Berechtigungsrichtlinien**  
Sie können einer Ressource in AWS Berechtigungsrichtlinien zuweisen, um die Berechtigungen für dieses Objekt zu definieren. Innerhalb eines einzigen Kontos wertet AWS alle Berechtigungsrichtlinien gemeinsam aus. Berechtigungsrichtlinien sind die häufigsten Richtlinien. Sie können die folgenden Richtlinientypen als Berechtigungsrichtlinien verwenden:    
**Identitätsbasierte Richtlinien**  
Wenn Sie eine verwaltete oder eingebundene Richtlinie einem IAM-Benutzer, einer Gruppe oder Rolle hinzufügen, definiert die Richtlinie die Berechtigungen für diese Entität.  
**Ressourcenbasierte Richtlinien**  
Wenn Sie einer Ressource ein JSON-Richtliniendokument zuweisen, definieren Sie die Berechtigungen für diese Ressource. Der Service muss ressourcenbasierte Richtlinien unterstützen.  
**Zugriffskontrolllisten (ACLs)**  
Wenn Sie einer Ressource eine Zugriffskontrollliste anfügen, definieren Sie eine Liste von Prinzipalen mit der Berechtigung, auf diese Ressource zuzugreifen. Die Ressource muss ACLs unterstützen.

**Berechtigungsgrenzen**  
Mithilfe von Richtlinien können Sie die Berechtigungsgrenze für eine -Entität (Benutzer oder Rolle) definieren. Eine Berechtigungsgrenze bestimmt die maximalen Berechtigungen, die eine Entity haben kann. Berechtigungsgrenzen sind eine erweiterte AWS Funktion. Wenn mehrere Berechtigungsgrenzen für eine Anforderung gelten, wertet AWS jede Berechtigungsgrenze separat aus. Sie können eine Berechtigungsgrenzen in den folgenden Situationen anwenden:    
**Organisationen**  
AWS Organizations Sie können eine Service Control Policy (SCP) verwenden, um eine Berechtigungsgrenze auf eine AWS-Organisation oder Organisationseinheit (OU) anzuwenden.  
**IAM-Benutzer oder -Rollen**  
Sie können eine verwaltete Richtlinie für die Berechtigungsgrenze eines Benutzers oder einer Rolle verwenden. Weitere Informationen finden Sie unter[Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)im*IAM-Benutzerhandbuch*.

**Topics**
+ [Identitätsbasierte Richtlinien](#auth_access_manage-access-intro-identity-policies)
+ [Ressourcenbasierte Richtlinien](#auth_access_manage-access-intro-resource-policies)
+ [Klassifizierungen auf Richtlinienzugriffsebene](#auth_access_policies-access-level)

### Identitätsbasierte Richtlinien
<a name="auth_access_manage-access-intro-identity-policies"></a>

Richtlinien können IAM-Identitäten zugewiesen werden. Sie können z. B. Folgendes tun:

**Anfügen von Berechtigungsrichtlinien zu Benutzern oder Gruppen in Ihrem Konto**  
Wenn Sie einem Benutzer Berechtigungen zum Erstellen einer AWS Global Accelerator Ressource, z. B. eines Beschleunigers, erteilen möchten, können Sie einem Benutzer oder einer Gruppe, zu der der Benutzer gehört, eine Berechtigungsrichtlinie anhängen.

**Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen erteilen)**  
Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, um einem anderen AWS-Konto (z. B. Konto B) oder einem AWS-Service kontoübergreifende Berechtigungen zu erteilen. Dazu geht er folgendermaßen vor:  

1. Konto Ein Administrator erstellt eine IAM-Rolle und fügt dieser eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann. 

1. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen von Konto A zugreifen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS-Service-Prinzipal sein. Somit können Sie auch einem AWS-Service die Berechtigungen zur Übernahme der Rolle erteilen.
Weitere Informationen zur Delegierung von Berechtigungen mithilfe von IAM finden Sie unter[Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)im*IAM-Benutzerhandbuch*.

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*. 

Im Folgenden finden Sie zwei Beispiele für Richtlinien, die Sie mit Global Accelerator verwenden können. Die erste Beispielrichtlinie gewährt einem Benutzer programmgesteuerten Zugriff auf alle Aktionen zum Auflisten und Beschreiben für Beschleuniger in Ihrem AWS Konto:

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:List*",
                "globalaccelerator:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
```

Im folgenden Beispiel wird programmgesteuerter Zugriff auf die`ListAccelerators`verwenden:

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:ListAccelerators",
            ],
            "Resource": "*"
        }
    ]
}
```

### Ressourcenbasierte Richtlinien
<a name="auth_access_manage-access-intro-resource-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Diese Richtlinien gestatten Ihnen zu steuern, welche Aktionen ein bestimmter Prinzipal mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Die gebräuchlichste ressourcenbasierte Richtlinie ist für einen Amazon S3 Bucket. Ressourcenbasierte Richtlinien sind eingebundene Richtlinien, die nur in der Ressource vorhanden sind. Es gibt keine verwalteten ressourcenbasierten Richtlinien.

Das Gewähren von Berechtigungen für Mitglieder von anderen AWS Konten mithilfe einer ressourcenbasierten Richtlinie hat gegenüber einer IAM-Rolle einige Vorteile. Weitere Informationen finden Sie unter [Wie sich IAM-Rollen von ressourcenbasierten Richtlinien unterscheiden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.

### Klassifizierungen auf Richtlinienzugriffsebene
<a name="auth_access_policies-access-level"></a>

In der IAM-Konsole werden Aktionen nach folgenden Zugriffsebenenklassifizierungen gruppiert:

**Liste**  
List Berechtigung zum Auflisten von Ressourcen innerhalb des Services, um zu bestimmen, ob ein Objekt vorhanden ist. Aktionen mit dieser Zugriffsebene können Objekte auflisten, aber nicht die Inhalte einer Ressource sehen. Die meisten Aktionen der Zugriffsebene **Liste** können nicht in einer bestimmten Ressource ausgeführt werden. Beim Erstellen einer Richtlinienanweisung mit diesen Aktionen müssen Sie **All resources (Alle Ressourcen)** angeben (`"*"`). 

**Lesen**  
Bietet die Berechtigung zum Lesen, jedoch nicht zum Bearbeiten der Inhalte und Attribute der Ressourcen innerhalb des Services. Beispielsweise sind die Amazon S3 Operationen`GetObject`und`GetBucketLocation`verfügen über die**Lesen**-Zugriffsebene.

**Write**  
Stellt die Berechtigung zum Erstellen, Löschen oder Ändern von Ressourcen innerhalb des Services bereit. Beispielsweise sind die Amazon S3 Operationen`CreateBucket`,`DeleteBucket`, und`PutObject`verfügen über die**Write**-Zugriffsebene.

**Verwaltung von Berechtigungen**  
Stellt die Berechtigung zum Erteilen oder Ändern von Ressourcenberechtigungen im Service bereit. Beispielsweise verfügen die meisten Richtlinienaktionen für IAM und AWS Organizations über die**Verwaltung von Berechtigungen**-Zugriffsebene.  
**Tip**  
Zur Verbesserung der Sicherheit Ihres AWS Kontos beschränken Sie Richtlinien mit dem**Verwaltung von Berechtigungen**Klassifizierung auf Zugriffsebene.

**Markieren**  
Bietet die Berechtigung zum Erstellen, Löschen oder Ändern von Tags, die einer Ressource innerhalb des Services zugeordnet sind. Zum Beispiel kann der Amazon EC2`CreateTags`und`DeleteTags`-Operationen haben die**Markieren**-Zugriffsebene.

## Erste Schritte mit IAM
<a name="auth_access_getting-started"></a>

AWS Identity and Access Management (IAM) ist ein AWS -Service, der es Ihnen ermöglicht, den Zugriff auf Services und Ressourcen sicher zu verwalten. IAM ist eine Funktion Ihres AWS Kontos, die ohne zusätzliche Gebühren verfügbar ist.

**Anmerkung**  
Lesen Sie sich die einführenden Informationen unter durch, bevor Sie mit IAM beginnen.[Identity and Access Management für AWS Global Accelerator](auth-and-access-control.md).

 Wenn Sie ein AWS-Konto erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über Vollzugriff auf sämtliche AWS-Services und -Ressourcen in dem Konto verfügt. Diese Identität wird als AWS-Konto-*Stammbenutzer* bezeichnet. Um auf den Stammbenutzer zuzugreifen, müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Bleiben Sie stattdessen bei dem bewährten [-Verfahren, den Stammbenutzer nur zu verwenden, um Ihren ersten IAM-Benutzer zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users). Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. 

### Erstellen Sie Ihren IAM-Admin-Benutzer
<a name="auth_access_setup-iam-admin"></a>

**So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einer Administratorengruppe hinzu (Konsole)**

1. Melden Sie sich bei der [IAM-Konsole](https://console.aws.amazon.com/iam/) als Kontoinhaber an, indem Sie **Root user (Stammbenutzer)** auswählen und die E-Mail-Adresse Ihres AWS-Kontos eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
**Anmerkung**  
Wir empfehlen nachdrücklich, die bewährten Methoden mit dem**Administrator**IAM-Benutzer, der die Anmeldeinformationen des Stammbenutzers an einem sicheren Ort ablegt. Melden Sie sich als Stammbenutzer an, um einige [Konto- und Service-Verwaltungsaufgaben](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) durchzuführen.

1. Wählen Sie im Navigationsbereich **Users** und dann **Add User** aus.

1. Geben Sie unter **Benutzername** **Administrator** als Benutzernamen ein.

1. Markieren Sie das Kontrollkästchen neben **AWS Management Console access (Zugriff auf AWS-Managementkonsole)**. Wählen Sie dann **Custom password (Benutzerdefiniertes Passwort)** aus und geben Sie danach Ihr neues Passwort in das Textfeld ein.

1. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben **User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen)** deaktivieren, um dem neuen Benutzer zu ermöglichen, sein Kennwort nach der Anmeldung zurückzusetzen.

1. Klicken Sie auf**Weiter: Berechtigungen**

1. Wählen Sie unter **Set permissions (Berechtigungen festlegen)** die Option **Add user to group (Benutzer der Gruppe hinzufügen)** aus.

1. Wählen Sie **Create group (Gruppe erstellen)** aus.

1. Geben Sie im Dialogfeld **Create group (Gruppe erstellen)** unter **Group name (Gruppenname)** **Administrators** ein.

1. Klicken Sie auf**Filterrichtlinien**Wählen Sie und dann aus.**AWS verwaltet - Auftragsfunktion**, um den Tabelleninhalt zu filtern.

1. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen **AdministratorAccess**. Wählen Sie dann **Create group** aus.
**Anmerkung**  
Sie müssen IAM-Benutzer- und Rollenzugriff auf Billing aktivieren, bevor Sie die `AdministratorAccess`-Berechtigungen für den Zugriff auf die AWS Billing and Cost Management-Konsole verwenden können. Befolgen Sie hierzu die Anweisungen in [Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html).

1. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie **Refresh** auswählen, damit die Gruppe in der Liste angezeigt wird.

1. Klicken Sie auf**Weiter: Tags**.

1. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tagging von IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.

1. Klicken Sie auf**Weiter: Prüfen**Um eine Liste der Gruppenmitgliedschaften anzuzeigen, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie **Create user** (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Kontoressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungen eines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) und [Beispielrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html).

### Erstellen Sie delegierter Benutzer für Global Accelerator
<a name="auth_access_setup-iam-delegated"></a>

Um mehrere Benutzer in Ihrem AWS Konto zu unterstützen, müssen Sie die Berechtigung delegieren, damit andere Personen nur die Aktionen ausführen können, die Sie zulassen möchten. Dazu erstellen Sie eine IAM-Gruppe mit den Berechtigungen, die diese Menschen benötigen, und fügen Sie dann IAM-Benutzer den erforderlichen Gruppen hinzu, sobald sie erstellt werden. Sie können diesen Prozess verwenden, um die Gruppen, Benutzer und Berechtigungen für Ihr gesamtes AWS Konto einzurichten. Diese Lösung eignet sich am besten für kleine und mittlere Organisationen, in denen ein AWS Administrator die Benutzer und Gruppen manuell verwalten kann. Für große Organisationen können Sie[Benutzerdefinierte IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html),[Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html), oder[Single Sign-On](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

Im folgenden Verfahren erstellen Sie drei Benutzer mit dem Namen**arnav**,**carlos**, und**martha**und fügen Sie eine Richtlinie an, die die Berechtigung zum Erstellen eines Beschleunigers mit dem Namen**my-example-accelerator**, aber nur innerhalb der nächsten 30 Tage. Verwenden Sie die hier aufgeführten Maßnahmen zum Hinzufügen von Benutzern mit unterschiedlichen Berechtigungen.

**So erstellen Sie einen delegierten Benutzer für eine andere Person (Konsole):**

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Users** und dann **Add User** aus.

1. Geben Sie unter **Benutzername** **arnav** als Benutzernamen ein.

1. Wählen Sie **Add another user (Weiteren Benutzer hinzufügen)** und geben Sie **carlos** als Namen des zweiten Benutzers ein. Wählen Sie **Add another user (Weiteren Benutzer hinzufügen)** und geben Sie **martha** als Namen des dritten Benutzers ein.

1. Aktivieren Sie das Kontrollkästchen neben**Zugriff auf AWS Management Console**Wählen Sie und dann aus.**Autogenerated password**.

1. Löschen Sie das Kontrollkästchen neben **User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen)**, um dem neuen Benutzer zu ermöglichen, das Kennwort nach der Anmeldung zurückzusetzen.

1. Klicken Sie auf**Weiter: Berechtigungen**

1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**. Sie erstellen eine neue verwaltete Richtlinie für die Benutzer.

1. Klicken Sie auf **Create Policy**.

   Auf einer neuen Registerkarte oder in einem neuen Browserfenster wird der Assistent **Richtlinie erstellen** geöffnet.

1. Wählen Sie auf der Registerkarte **Visual editor (Visueller Editor)** die Option **Choose a service (Wählen Sie einen Service)** aus. Wählen Sie anschließend Global Accelerator aus. Sie können das Suchfeld oben verwenden, um die Ergebnisse in der Liste der Services einzuschränken.

   Die**-Service**wird geschlossen, und der**Aktionen**wird automatisch geöffnet.

1. Wählen Sie die Aktionen des globalen Beschleunigers aus, die Sie zulassen möchten. Geben Sie beispielsweise ein, um die Berechtigung zum Erstellen eines Beschleunigers zu erteilen,**`globalaccelerator:CreateAccelerator`**im**Filteraktionen**-Textfeld verwenden. Wenn die Liste der globalen Accelerator-Aktionen gefiltert ist, aktivieren Sie das Kontrollkästchen neben**`globalaccelerator:CreateAccelerator`**.

   Die globalen Accelerator-Aktionen sind nach Zugriffsebenenklassifizierung gruppiert. So wird es für Sie einfacher, die von jeder Aktion bereitgestellte Zugriffsebene zu bestimmen. Weitere Informationen finden Sie unter [Klassifizierungen auf Richtlinienzugriffsebene](#auth_access_policies-access-level).

1. Wenn die Aktionen, die Sie in den vorherigen Schritten festgelegt haben, die Auswahl bestimmter Ressourcen nicht unterstützen, dann wird**Alle Ressourcen**für Sie ausgewählt ist. In diesem Fall können Sie diesen Abschnitt nicht bearbeiten.

   Wenn Sie eine oder mehrere Aktionen auswählen, die Berechtigungen auf Ressourcenebene unterstützen, listet der visuelle Editor diese Ressourcentypen im Abschnitt **Ressourcen** auf. Klicken Sie auf**Sie haben Aktionen ausgewählt, die die**-Accelerator**-Ressourcentyp**, um einzustellen, ob Sie einen bestimmten Accelerator für Ihre Richtlinie eingeben möchten. 

1. Wenn Sie die Aktion `globalaccelerator:CreateAccelerator` für alle Ressourcen erlauben möchten, wählen Sie **All resources (Alle Ressourcen)** aus.

   Wenn Sie eine Ressource angeben möchten, wählen Sie **Add ARN (ARN hinzufügen)** aus. Geben Sie die Region und die Konto-ID (oder Konto-ID) an (oder wählen Sie**Alle**), und geben Sie dann**my-example-accelerator**für die Ressource. Wählen Sie dann **Add (Hinzufügen)** aus.

1. Wählen Sie **Specify request conditions (optional) (Anforderungsbedingungen angeben (optional))** aus.

1. Klicken Sie auf**Hinzufügen einer Bedingung**Erteilt die Berechtigung zum Erstellen eines Acceleratorsinnerhalb der nächsten 7 Tage. Angenommen, heute ist der 1. Januar 2019. 

1. Wählen Sie für **Condition Key (Bedingungsschlüssel)** **aws: CurrentTime** aus. Dieser Bedingungsschlüssel prüft das Datum und die Uhrzeit, zu der der Benutzer die Anfrage erstellt. Er gibt „true“ zurück (und erlaubt die Aktion **`globalaccelerator:CreateAccelerator`** somit nur, wenn das Datum und die Uhrzeit innerhalb des angegebenen Bereichs liegen.)

1. Für**Qualifier**behalten Sie den Standardwert bei.

1. Um den Beginn des zulässigen Datums und Zeitraums festzulegen, wählen Sie für **Operator** **DateGreaterThan** aus. Geben Sie dann unter **Wert** **2019-01-01T00:00:00Z** ein.

1. Wählen Sie **Hinzufügen** aus, um Ihre Bedingung zu speichern.

1. Wählen Sie **Eine weitere Bedingung hinzufügen** aus, um das Enddatum anzugeben.

1. Gehen Sie analog vor, um das Ende des zulässigen Datums und Zeitbereichs anzugeben. Wählen Sie für **Condition Key (Bedingungsschlüssel)** **aws: CurrentTime** aus. Wählen Sie für **Operator** **DateLessThan** aus. Geben Sie unter **Wert** **2019-01-06T23:59:59Z** (ein Datum, das sieben Tage nach dem ersten Datum liegt) ein. Wählen Sie dann **Hinzufügen** aus, um Ihre Bedingung zu speichern.

1. (Optional) Um das JSON-Richtliniendokument für die Richtlinie, die Sie erstellen, anzuzeigen, wählen Sie das Kontrollkästchen**JSON**-Registerkarte. Sie können jederzeit zwischen den Registerkarten **Visual editor (Visueller Editor)** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder**Überprüfen der Richtlinie**im**Visual editor (Visueller Editor)**kann IAM Ihre Richtlinie umstrukturiert, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter[Umstrukturierung einer Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure)im*IAM-Benutzerhandbuch*.

1. Wählen Sie, wenn Sie fertig sind, **Review policy (Richtlinie überprüfen)** aus.

1. Klicken Sie auf der**Überprüfen der Richtlinie**Seite, für**Name**Geben Sie ein,**`globalaccelerator:CreateAccelerator`Policy**. Geben Sie für **Beschreibung** den Text **Policy to grants permission to create an accelerator** ein. Überprüfen Sie die Richtlinienzusammenfassung, um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben, und wählen Sie dann **Create policy (Richtlinie erstellen)** aus, um Ihre neue Richtlinie zu speichern.

1. Kehren Sie zur ursprünglichen Registerkarte oder zum ursprünglichen Fenster zurück und aktualisieren Sie die Liste der Richtlinien. 

1. Geben Sie in das Suchfeld **`globalaccelerator:CreateAccelerator`Policy** ein. Aktivieren Sie das Kontrollkästchen neben der neuen Richtlinie. Klicken Sie dann auf **Next Step**.

1. Klicken Sie auf**Weiter: Prüfen**Wählen Sie eine Vorschau Ihrer neuen Benutzer aus. Wenn Sie bereit sind, fortzufahren, wählen Sie **Create users (Benutzer erstellen)** aus.

1. Laden Sie die Passwörter für Ihre neuen Benutzer herunter oder kopieren sie und übermitteln Sie sie sicher an die Benutzer. Stellen Sie Ihren Benutzern separat eine[Link zu Ihrer IAM-Benutzerkonsolenseite](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html#user-sign-in-page)Wählen Sie die Benutzernamen aus, die Sie soeben erstellt haben.

### Berechtigen Sie Benutzern, ihre Anmeldeinformationen selbst zu verwalten
<a name="auth_access_manage-password-mfa"></a>

Sie müssen über physischen Zugriff auf die Hardware verfügen, die als Host für das virtuelle MFA-Gerät des Benutzers dient, um MFA konfigurieren zu können. Beispielsweise können Sie MFA für einen Benutzer konfigurieren, der ein virtuelles MFA-Gerät verwendet, das auf einem Smartphone ausgeführt wird. In diesem Fall müssen Sie das Smartphone zur Verfügung haben, um den Assistenten zu beenden. Aus diesem Grund kann es sinnvoll sein, die Konfiguration und Verwaltung der virtuellen MFA-Geräte von den Benutzern selbst vornehmen zu lassen. In diesem Fall müssen Sie den Benutzern die Berechtigungen zur Ausführung der erforderlichen IAM-Aktionen erteilen.

**So erstellen Sie eine Richtlinie, um die Selbstverwaltung von Anmeldeinformationen (Konsole) zu erlauben:**

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Policies (Richtlinien)** und dann **Create policy (Richtlinie erstellen)** aus.

1. Wählen Sie die Registerkarte **JSON** aus und kopieren Sie den Text aus dem folgenden JSON-Richtliniendokument. Fügen Sie den folgenden Text in das **JSON**-Eingabefeld ein.
**Wichtig**  
Diese Beispielrichtlinie erlaubt es Benutzern nicht, ein Passwort beim Anmelden zurückzusetzen. Neue Benutzer und Benutzer mit einem abgelaufenen Passwort könnten dies versuchen. Sie können dies erlauben, indem Sie `iam:ChangePassword` und `iam:CreateLoginProfile` der Anweisung `BlockMostAccessUnlessSignedInWithMFA` hinzufügen. Allerdings wird dies von IAM von nicht empfohlen.

   ```
   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowAllUsersToListAccounts",
               "Effect": "Allow",
               "Action": [
                   "iam:ListAccountAliases",
                   "iam:ListUsers",
                   "iam:ListVirtualMFADevices",
                   "iam:GetAccountPasswordPolicy",
                   "iam:GetAccountSummary"
               ],
               "Resource": "*"
           },
           {
               "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
               "Effect": "Allow",
               "Action": [
                   "iam:ChangePassword",
                   "iam:CreateAccessKey",
                   "iam:CreateLoginProfile",
                   "iam:DeleteAccessKey",
                   "iam:DeleteLoginProfile",
                   "iam:GetLoginProfile",
                   "iam:ListAccessKeys",
                   "iam:UpdateAccessKey",
                   "iam:UpdateLoginProfile",
                   "iam:ListSigningCertificates",
                   "iam:DeleteSigningCertificate",
                   "iam:UpdateSigningCertificate",
                   "iam:UploadSigningCertificate",
                   "iam:ListSSHPublicKeys",
                   "iam:GetSSHPublicKey",
                   "iam:DeleteSSHPublicKey",
                   "iam:UpdateSSHPublicKey",
                   "iam:UploadSSHPublicKey"
               ],
               "Resource": "arn:aws:iam::*:user/${aws:username}"
           },
           {
               "Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
               "Effect": "Allow",
               "Action": [
                   "iam:CreateVirtualMFADevice",
                   "iam:DeleteVirtualMFADevice",
                   "iam:EnableMFADevice",
                   "iam:ListMFADevices",
                   "iam:ResyncMFADevice"
               ],
               "Resource": [
                   "arn:aws:iam::*:mfa/${aws:username}",
                   "arn:aws:iam::*:user/${aws:username}"
               ]
           },
           {
               "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
               "Effect": "Allow",
               "Action": [
                   "iam:DeactivateMFADevice"
               ],
               "Resource": [
                   "arn:aws:iam::*:mfa/${aws:username}",
                   "arn:aws:iam::*:user/${aws:username}"
               ],
               "Condition": {
                   "Bool": {
                       "aws:MultiFactorAuthPresent": "true"
                   }
               }
           },
           {
               "Sid": "BlockMostAccessUnlessSignedInWithMFA",
               "Effect": "Deny",
               "NotAction": [
                   "iam:CreateVirtualMFADevice",
                   "iam:DeleteVirtualMFADevice",
                   "iam:ListVirtualMFADevices",
                   "iam:EnableMFADevice",
                   "iam:ResyncMFADevice",
                   "iam:ListAccountAliases",
                   "iam:ListUsers",
                   "iam:ListSSHPublicKeys",
                   "iam:ListAccessKeys",
                   "iam:ListServiceSpecificCredentials",
                   "iam:ListMFADevices",
                   "iam:GetAccountSummary",
                   "sts:GetSessionToken"
               ],
               "Resource": "*",
               "Condition": {
                   "BoolIfExists": {
                       "aws:MultiFactorAuthPresent": "false"
                   }
               }
           }
       ]
   }
   ```

   Was macht diese Richtlinie? 
   + Die`AllowAllUsersToListAccounts`Die -Anweisung ermöglicht dem Benutzer, grundlegende Informationen zum Konto und dessen Benutzern in der IAM-Konsole anzuzeigen. Diese Berechtigungen müssen in ihrer eigenen Anweisung vorliegen, da sie keine Ressourcen-ARN unterstützen oder eine bestimmte Ressourcen-ARN angeben müssen und stattdessen `"Resource" : "*"` angeben.
   + Die`AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation`-Anweisung ermöglicht dem Benutzer, seine eigenen Informationen zu Benutzer, Passwort, Zugriffsschlüsseln, Signaturzertifikaten, öffentlichen SSH-Schlüsseln und MFA in der IAM-Konsole zu verwalten. Zudem können sich Benutzer zum ersten Mal anmelden, wenn ein Administrator sie auffordert, ein erstmaliges Passwort festzulegen. Der Ressourcen-ARN begrenzt die Nutzung dieser Berechtigungen auf die eigene IAM-Benutzerentität des Benutzers.
   + Die `AllowIndividualUserToViewAndManageTheirOwnMFA`-Anweisung ermöglicht dem Benutzer, sein eigenes MFA-Gerät anzuzeigen oder zu verwalten. Beachten Sie, dass die Ressourcen-ARNs in dieser Anweisung nur Zugriff auf ein MFA-Gerät oder einen Benutzer gestatten, das bzw. der exakt denselben Namen wie der aktuell angemeldete Benutzer hat. Benutzer können nur ihr eigenes MFA-Gerät erstellen oder ändern.
   + Die `AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA`-Anweisung ermöglicht dem Benutzer nur, sein eigenes MFA-Gerät zu deaktivieren. Dies jedoch nur, wenn der Benutzer sich über die MFA angemeldet hat. Dadurch wird verhindert, dass andere, die nur über die Zugriffsschlüssel (und nicht über das MFA-Gerät) verfügen, das MFA-Gerät deaktivieren und das Konto aufrufen.
   + Die`BlockMostAccessUnlessSignedInWithMFA`-Anweisung verwendet eine Kombination aus`"Deny"`und`"NotAction"`, um den Zugriff auf alle bis auf einige Aktionen in IAM und anderen AWS -Services zu verweigern***if***der Benutzer ist nicht bei MFA angemeldet. Weitere Informationen zur Logik für diese Anweisung finden Sie unter[NotAction mit Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)im*IAM-Benutzerhandbuch*. Wenn der Benutzer mit MFA angemeldet ist, schlägt der `"Condition"`-Test fehl. Die endgültige "deny"-Anweisung hat keine Auswirkung und andere Richtlinien oder Anweisungen für den Benutzer bestimmen die Berechtigungen des Benutzers. Diese Anweisung stellt sicher, dass ein nicht mit MFA angemeldeter Benutzer nur die aufgeführten Aktionen durchführen kann, und zwar auch nur dann, wenn eine andere Anweisung oder Richtlinie den Zugriff auf diese Aktionen erlaubt.

     Die `...IfExists`-Version des `Bool` -Operators stellt sicher, dass bei fehlendem `aws:MultiFactorAuthPresent`-Schlüssel die Bedingung den Wert "True" zurückgibt. Dies bedeutet, dass einem Benutzer, der mit langfristigen Anmeldeinformationen auf eine API zugreift, wie z. B. einem Zugriffsschlüssel, der Zugriff auf die Nicht-IAM-API-Operationen verweigert wird.

1. Wählen Sie, wenn Sie fertig sind, **Review policy (Richtlinie überprüfen)** aus.

1. Geben Sie auf der Seite **Review (Prüfen)** als Richtliniennamen **Force\_MFA** ein. Geben Sie für die Richtlinienbeschreibung**This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.**Überprüfen der Richtlinie**Übersicht**Wählen Sie dann die von Ihrer Richtlinie gewährten Berechtigungen aus, und wählen Sie**Richtlinie erstellen**verwenden, um Ihre Eingaben zu speichern.

   Die neue Richtlinie wird in der Liste der verwalteten Richtlinien angezeigt und ist bereit.

**So fügen Sie die Richtlinie an einen Benutzer an (Konsole):**

1. Klicken Sie im Navigationsbereich auf **Users**.

1. Wählen Sie den Namen des Benutzers (nicht das Kontrollkästchen) aus, den Sie bearbeiten möchten. 

1. Wählen Sie auf der Registerkarte **Permissions** die Option **Add permissions**.

1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.

1. Geben Sie in das Suchfeld **Force** ein und aktivieren Sie dann in der Liste das Kontrollkästchen neben **Force\_MFA**. Klicken Sie dann auf **Next (Weiter): Prüfen**.

1. Prüfen Sie die Änderungen und wählen Sie **Add permissions (Berechtigungen hinzufügen)** aus.

### Aktivieren von MFA für Ihren IAM-Benutzer
<a name="auth_access_enable-mfa"></a>

Aus Sicherheitsgründen empfehlen wir, Ihre Global Accelerator-Ressourcen durch Multi-Factor Authentication (MFA) zu schützen. MFA bietet zusätzliche Sicherheit, da Benutzer zusätzlich zu ihren regulären Anmeldeinformationen eine eindeutige Authentifizierung von einem von AWS unterstützten MFA Gerät bereitstellen müssen. Das sicherste AWS MFA Gerät ist der U2F-Sicherheitsschlüssel. Wenn Ihr Unternehmen bereits über U2F-Geräte verfügt, empfehlen wir, dass Sie diese Geräte für AWS aktivieren. Andernfalls müssen Sie ein Gerät für jeden Ihrer Benutzer kaufen und warten, bis die Hardware eintrifft. Weitere Informationen finden Sie unter[Aktivieren eines U2F-Sicherheitsschlüssels](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_u2f.html)im*IAM-Benutzerhandbuch*. 

Wenn Sie noch kein U2F-Gerät haben, können Sie schnell und kostengünstig die ersten Schritte durchführen, indem Sie ein virtuelles MFA-Gerät aktivieren. Dies erfordert die Installation einer Softwareanwendung auf einem vorhandenen Smartphone oder einem anderen Mobilgerät. Die Vorrichtung erzeugt einen sechsstelligen numerischen Code basierend auf einem zeitsynchronisierten Einmalpasswortalgorithmus. Wenn sich der Benutzer bei AWS anmeldet, wird er aufgefordert, auf dem Gerät einen Code einzugeben. Jedes virtuelle MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code auf dem virtuellen MFA-Gerät eines anderen Benutzers eingeben. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter [Multifaktor-Authentifizierung](https://aws.amazon.com/iam/details/mfa/).

**Anmerkung**  
Sie müssen über physischen Zugriff auf das mobile Gerät verfügen, das als Host für das virtuelle MFA Gerät des Benutzers dient, um MFA für einen IAM-Benutzer konfigurieren zu können.

**So aktivieren Sie ein virtuelles MFA Gerät für einen IAM-Benutzer (Konsole)**

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich auf **Users**.

1. Wählen Sie in der Liste **User Name (Benutzername)** den Namen des gewünschten MFA-Benutzers aus.

1. Wechseln Sie zur Registerkarte **Security credentials (Sicherheitsanmeldeinformationen)**. Wählen Sie neben **Assigned MFA device (Zugeordnetes MFA-Gerät)** die Option **Manage (Verwalten)**.

1. Wählen Sie im Assistenten **Manage MFA Device (MFA-Gerät verwalten)** die Option **Virtual MFA device (Virtuelles MFA-Gerät)** und dann **Continue (Weiter)** aus.

   IAM generiert Konfigurationsinformationen für das virtuelle MFA Gerät und zeigt diese einschließlich eines QR-Codes an. Dieser Code ist eine grafische Darstellung des "geheimen Konfigurationsschlüssels", der für die manuelle Eingabe auf Geräte zur Verfügung steht, die keine QR-Codes unterstützen.

1. Öffnen Sie Ihre virtuelle MFA-App.

   Eine Liste der Anwendungen, die Sie zum Hosten von virtuellen MFA-Geräten verwenden können, finden Sie unter [Multi-Factor Authentication](https://aws.amazon.com/iam/details/mfa/). Wenn die virtuelle MFA-App mehrere Konten (mehrere virtuelle MFA-Geräte) unterstützt, wählen Sie die Option zum Erstellen eines neuen Kontos (eines neues virtuellen MFA-Geräts) aus.

1. Stellen Sie fest, ob die MFA-App QR-Codes unterstützt, und führen Sie dann einen der folgenden Schritte aus:
   + Wählen Sie im Assistenten **Show QR code (QR-Code anzeigen)** und verwenden Sie dann die App, um den QR-Code zu scannen. Sie können beispielsweise das Kamerasymbol oder eine Anwendung wie z. B. **Scan Code (Code scannen)** auswählen und dann mit der Kamera des Geräts den Code scannen.
   + Wählen Sie im Assistenten **Manage MFA Device (MFA-Gerät verwalten)** **Show secret key (Geheimschlüssel anzeigen)** aus und geben Sie dann den Geheimschlüssel in Ihrer MFA-Anwendung ein.

   Wenn Sie fertig sind, beginnt das virtuelle MFA-Gerät, einmalige Passwörter zu generieren. 

1. Geben Sie im Assistenten **Manage MFA Device (MFA-Gerät verwalten)** im Feld **MFA Code 1 (MFA-Code 1)** das am virtuellen MFA-Gerät angezeigte einmalige Passwort ein. Warten Sie bis zu 30 Sekunden, bis das Gerät ein neues einmaliges Passwort generiert. Geben Sie dann das zweite einmalige Passwort in das Feld **MFA Code 2 (MFA-Code 2)** ein. Klicken Sie auf **Assign MFA (MFA zuordnen)**. 
**Wichtig**  
Senden Sie die Anforderung direkt nach der Erzeugung der Codes. Wenn Sie die Codes generieren und zu lange mit der Anforderung warten, wird das MFA-Gerät erfolgreich mit dem Benutzer verknüpft, aber das Gerät ist nicht synchronisiert. Dies liegt daran, weil die zeitlich begrenzten einmaligen Passwörter (TOTP) nach einer kurzen Zeit ungültig werden. In diesem Fall können Sie das Gerät neu synchronisieren. Weitere Informationen finden Sie unter[Resynchronisieren von virtuellen und physischen MFA-Geräten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_sync.html)im*IAM-Benutzerhandbuch*.

   Das virtuelle MFA Gerät ist jetzt für die Verwendung mit AWS bereit.