Zentralisieren Sie den Root-Zugriff für Mitgliedskonten - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenAktivierung des zentralen Root-Zugriffs (Konsole)Zentralisierten Root-Zugriff aktivieren (AWS CLI)Zentralisierter AWS API Root-Zugriff wird aktiviert ()Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zentralisieren Sie den Root-Zugriff für Mitgliedskonten

Root-Benutzeranmeldedaten sind die anfänglichen Anmeldeinformationen AWS-Konto , die jedem Benutzer zugewiesen werden, der vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Wenn Sie die Aktivierung aktivieren AWS Organizations, fassen Sie alle Ihre AWS Konten zu einer Organisation für die zentrale Verwaltung zusammen. Jedes Mitgliedskonto hat seinen eigenen Root-Benutzer mit Standardberechtigungen, um alle Aktionen im Mitgliedskonto auszuführen. Wir empfehlen Ihnen, die Root-Benutzeranmeldedaten von AWS-Konten Managed Using zentral zu sichern AWS Organizations , um zu verhindern, dass Root-Benutzeranmeldedaten wiederhergestellt und in großem Umfang darauf zugegriffen werden kann.

Nachdem Sie den Root-Zugriff zentralisiert haben, können Sie wählen, ob Sie die Root-Benutzeranmeldedaten aus den Mitgliedskonten in Ihrer Organisation löschen möchten. Sie können das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung deaktivieren und löschen ()MFA. Neue Konten, die Sie in Organizations erstellen, haben standardmäßig keine Root-Benutzeranmeldedaten. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.

Wenn Sie die Root-Benutzeranmeldeinformationen für ein Mitgliedskonto wiederherstellen müssen, können Sie die Kennwortwiederherstellung für das Konto aktivieren. Einige Aufgaben können nur ausgeführt werden, wenn Sie sich als Root-Benutzer eines Kontos anmelden. Einige dieser Aufgaben Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern können vom Verwaltungskonto oder vom delegierten Administrator für IAM ausgeführt werden. Wir empfehlen, die Anmeldeinformationen des Root-Benutzers zu löschen, sobald Sie die Aufgabe abgeschlossen haben, für die der Zugriff auf den Root-Benutzer erforderlich ist. Weitere Informationen über privilegierte Aufgaben, die Sie ausführen können, finden Sie unterFühren Sie eine privilegierte Aufgabe aus.

Voraussetzungen

Bevor Sie den Root-Zugriff zentralisieren können, müssen Sie ein Konto mit den folgenden Einstellungen konfiguriert haben:

  • Sie müssen Ihr AWS-Konten Konto verwalten. AWS Organizations

  • Aktivieren Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in AWS Organizations. Einzelheiten finden Sie unter IAMund AWS Organizations im AWS Organizations Benutzerhandbuch.

Sie benötigen die folgenden Berechtigungen, um diese Funktion in Ihrer Organisation zu aktivieren:

  • iam:EnableOrganizationsRootCredentialsManagement

  • iam:EnableOrganizationsRootSessions

  • organizations:RegisterDelegatedAdministrator

  • organizations:EnableAwsServiceAccess

Aktivierung des zentralen Root-Zugriffs (Konsole)

Um diese Funktion für Mitgliedskonten in der AWS Management Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Root-Zugriffsverwaltung und dann Aktivieren aus.

    Anmerkung

    Wenn Sie sehen, dass die Root-Zugriffsverwaltung deaktiviert ist, aktivieren Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in AWS Organizations. Einzelheiten finden Sie unter AWS IAMund AWS Organizations im AWS Organizations Benutzerhandbuch.

  3. Wählen Sie im Abschnitt Zu aktivierende Funktionen aus, welche Funktionen aktiviert werden sollen.

    • Wählen Sie Verwaltung der Root-Anmeldeinformationen aus, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für IAM Mitgliedskonten löschen können. Sie müssen privilegierte Root-Aktionen in Mitgliedskonten aktivieren, damit Mitgliedskonten ihre Root-Benutzeranmeldeinformationen wiederherstellen können, nachdem sie gelöscht wurden.

    • Wählen Sie Privilegierte Root-Aktionen in Mitgliedskonten, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für IAM die Root-Benutzeranmeldedaten erforderlich sind.

  4. (Optional) Geben Sie die Konto-ID des delegierten Administrators ein, der autorisiert ist, den Root-Benutzerzugriff zu verwalten und privilegierte Aktionen für Mitgliedskonten durchzuführen. Wir empfehlen ein Konto, das für Sicherheits- oder Verwaltungszwecke vorgesehen ist.

  5. Wählen Sie Enable (Aktivieren) aus.

Zentralisierten Root-Zugriff aktivieren (AWS CLI)

Um den zentralisierten Root-Zugriff über AWS Command Line Interface (AWS CLI) zu aktivieren

  1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: aws organizations enable-aws-service-access.

  2. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: aws iam -management. enable-organizations-root-credentials

  3. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldedaten erforderlich sind: aws iam. enable-organizations-root-sessions

  4. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren: aws-Organisationen. register-delegated-administrator

    Im folgenden Beispiel wird das Konto 111111111111 als delegierter Administrator für den Dienst zugewiesen. IAM

    aws organizations register-delegated-administrator 
--service-principal iam.amazonaws.com
--account-id 111111111111

Zentralisierter AWS API Root-Zugriff wird aktiviert ()

Um den zentralisierten Root-Zugriff über den zu aktivieren AWS API

  1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: E nableAWSService Access.

  2. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können:. EnableOrganizationsRootCredentialsManagement

  3. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldeinformationen erforderlich sind:. EnableOrganizationsRootSessions

  4. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren:. RegisterDelegatedAdministrator

Nächste Schritte

Sobald Sie die privilegierten Anmeldeinformationen für die Mitgliedskonten in Ihrer Organisation zentral gesichert haben, finden Sie Informationen Führen Sie eine privilegierte Aufgabe aus dazu, wie Sie privilegierte Aktionen für ein Mitgliedskonto ausführen können.