> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/leitfaden-zur-behebung-von-schwachstellen/cloud-scan/amazon-web-services-aws.md).

# Amazon Web Services (AWS)

## Root-Konto ohne MFA

**Schweregrad: Kritisch**

### Was das bedeutet

Das AWS **Root-Konto** hat uneingeschränkten Zugriff auf alles in Ihrem AWS-Konto: Abrechnung, alle Services, alle Daten. Es ist die mächtigste Anmeldeinformation in Ihrer gesamten Cloud-Umgebung. Ohne MFA bedeutet ein kompromittiertes Root-Passwort eine vollständige Übernahme.

### So beheben Sie es

1. Melden Sie sich in der [AWS-Konsole](https://console.aws.amazon.com/) als Root an.
2. Gehen Sie zu `IAM` > `Dashboard` > `Aktivieren Sie MFA für Ihr Root-Konto`.
3. Klicken Sie auf `MFA verwalten` > `MFA aktivieren`.
4. Wählen Sie `Virtuelles MFA-Gerät` (empfohlen: Verwenden Sie für maximale Sicherheit einen Hardware-Schlüssel wie YubiKey).
5. Scannen Sie den QR-Code mit Ihrer Authentifizierungs-App.
6. Geben Sie zwei aufeinanderfolgende Codes ein und klicken Sie auf `MFA zuweisen`.

Befolgen Sie nach dem Aktivieren von MFA die AWS-Best Practices:

* **Verwenden Sie das Root-Konto niemals für alltägliche Aufgaben.** Erstellen Sie stattdessen IAM-Benutzer oder verwenden Sie das IAM Identity Center.
* Bewahren Sie die Root-Anmeldedaten an einem sicheren, offline verfügbaren Ort auf (Tresor, Passwort-Manager).

## Root-Konto kürzlich verwendet

**Schweregrad: Hoch**

### Was das bedeutet

Das Root-Konto wurde innerhalb der letzten 90 Tage zum Anmelden verwendet. Wie der integrierte Administrator in Active Directory sollte das Root-Konto nur für Notfälle reserviert sein (z. B. Kontowiederherstellung, Änderungen an der Abrechnung). Für die tägliche Arbeit sollten IAM-Benutzer oder Rollen mit den entsprechenden Berechtigungen verwendet werden.

### So beheben Sie es

1. Erstellen Sie **IAM-Benutzer** oder verwenden Sie **IAM Identity Center (SSO)** für die tägliche Administration.
2. Weisen Sie jeder Person nur die Berechtigungen zu, die sie benötigt (Prinzip der geringsten Privilegien).
3. Verwenden Sie das Root-Konto nicht mehr für Routineaufgaben.
4. Die Warnung wird nach 90 Tagen Inaktivität des Root-Kontos entfernt.

## IAM-Benutzer ohne MFA

**Schweregrad: Mittel**

### Was das bedeutet

Ein oder mehrere IAM-Benutzer können sich ohne MFA bei der AWS-Konsole anmelden. Wenn ihr Passwort kompromittiert wird, erhält der Angreifer vollen Zugriff auf alles, was dieser Benutzer in AWS tun kann.

### So beheben Sie es

1. Gehen Sie zu `IAM` > `Benutzer` > wählen Sie den Benutzer aus.
2. Gehen Sie zum `Sicherheitsanmeldedaten` Registerkarte.
3. Unter `Multi-Faktor-Authentifizierung (MFA)`, klicken Sie auf `Verwalten`.
4. Weisen Sie ein MFA-Gerät zu.

Um MFA für alle Benutzer zu erzwingen, erstellen Sie eine IAM-Richtlinie, die alle Aktionen verweigert, sofern keine MFA vorhanden ist:

1. Gehen Sie zu `IAM` > `Richtlinien` > `Richtlinie erstellen`.
2. Verwenden Sie die [AWS-MFA-Durchsetzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.html) Vorlage.
3. Hängen Sie sie an alle Benutzergruppen an.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/leitfaden-zur-behebung-von-schwachstellen/cloud-scan/amazon-web-services-aws.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
