Root-Zugriff für Mitgliedskonten zentralisieren - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenZentralisierten Root-Zugriff aktivieren (Konsole)Zentralisierten Root-Zugriff aktivieren (AWS CLI)Zentralisierten Root-Zugriff aktivieren (AWS -API)Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Root-Zugriff für Mitgliedskonten zentralisieren

Root-Benutzeranmeldedaten sind die anfänglichen Anmeldeinformationen AWS-Konto , die jedem Benutzer zugewiesen werden, der vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Wenn Sie die Aktivierung aktivieren AWS Organizations, fassen Sie alle Ihre AWS Konten zu einer Organisation für die zentrale Verwaltung zusammen. Jedes Mitgliedskonto hat seinen eigenen Root-Benutzer mit Standardberechtigungen zum Ausführen aller Aktionen im Mitgliedskonto. Wir empfehlen Ihnen, die Root-Benutzeranmeldedaten von AWS-Konten Managed Using zentral zu sichern AWS Organizations , um zu verhindern, dass Root-Benutzeranmeldedaten wiederhergestellt und in großem Umfang darauf zugegriffen werden kann.

Nachdem Sie den Root-Zugriff zentralisiert haben, können Sie die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten in Ihrer Organisation löschen. Sie können das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren. Neue Konten, die Sie in Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.

Wenn Sie die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherstellen müssen, können Sie die Passwortwiederherstellung für das Konto aktivieren. Einige Aufgaben können nur ausgeführt werden, wenn Sie sich als Root-Benutzer eines Kontos anmelden. Einige dieser Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern können vom Verwaltungskonto oder einem delegierten Administrator für IAM ausgeführt werden. Wir empfehlen, die Anmeldeinformationen des Root-Benutzers zu löschen, sobald Sie die Aufgabe abgeschlossen haben, für die der Zugriff auf den Root-Benutzer erforderlich ist. Weitere Informationen zu privilegierten Aufgaben, die Sie ausführen können, finden Sie unter Ausführen einer privilegierten Aufgabe.

Voraussetzungen

Bevor Sie den Root-Zugriff zentralisieren, muss ein Konto mit den folgenden Einstellungen konfiguriert sein:

  • Sie müssen Ihr AWS-Konten Konto verwalten. AWS Organizations

  • Sie müssen über die folgenden Berechtigungen verfügen, um dieses Feature in Ihrer Organisation zu aktivieren:

    • iam:EnableOrganizationsRootCredentialsManagement

    • iam:EnableOrganizationsRootSessions

    • organizations:RegisterDelegatedAdministrator

    • organizations:EnableAwsServiceAccess

Zentralisierten Root-Zugriff aktivieren (Konsole)

Um diese Funktion für Mitgliedskonten in der zu aktivieren AWS Management Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Root-Zugriffsverwaltung und dann Aktivieren aus.

    Anmerkung

    Wenn Sie sehen, dass die Root-Zugriffsverwaltung deaktiviert ist, aktivieren Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in AWS Organizations. Einzelheiten finden Sie unter AWS -IAM und AWS Organizations im AWS Organizations -Benutzerhandbuch.

  3. Wählen Sie im Abschnitt „Zu aktivierende Funktionen“ aus, welche Features aktiviert werden sollen.

    • Wählen Sie Verwaltung der Root-Anmeldeinformationen aus, um dem Verwaltungskonto und dem delegierten Administrator für IAM zu erlauben, Root-Benutzer-Anmeldeinformationen für Mitgliedskonten zu löschen. Sie müssen privilegierte Root-Aktionen in Mitgliedskonten aktivieren, um Mitgliedskonten die Wiederherstellung ihrer Root-Benutzer-Anmeldeinformationen nach deren Löschung zu ermöglichen.

    • Wählen Sie Privilegierte Root-Aktionen in Mitgliedskonten aus, um dem Verwaltungskonto und dem delegierten Administrator für IAM die Ausführung bestimmter Aufgaben zu ermöglichen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind.

  4. (Optional) Geben Sie die Konto-ID des delegierten Administrators ein, der berechtigt ist, den Root-Benutzerzugriff zu verwalten und privilegierte Aktionen für Mitgliedskonten auszuführen. Wir empfehlen ein Konto, das für Sicherheits- oder Verwaltungszwecke vorgesehen ist.

  5. Wählen Sie Enable (Aktivieren) aus.

Zentralisierten Root-Zugriff aktivieren (AWS CLI)

Um den zentralisierten Root-Zugriff über AWS Command Line Interface (AWS CLI) zu aktivieren

  1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: aws organizations enable-aws-service-access.

  2. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: aws iam enable-organizations-root-credentials -management.

  3. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldedaten erforderlich sind: aws iam. enable-organizations-root-sessions

  4. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren: aws organizations. register-delegated-administrator

    Im folgenden Beispiel wird das Konto 111111111111 als delegierter Administrator für den IAM-Service zugewiesen.

    aws organizations register-delegated-administrator 
--service-principal iam.amazonaws.com
--account-id 111111111111

Zentralisierten Root-Zugriff aktivieren (AWS -API)

Um den zentralisierten Root-Zugriff über die AWS API zu aktivieren

  1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: AWSServiceZugriff aktivieren.

  2. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: EnableOrganizationsRootCredentialsManagement.

  3. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldeinformationen erforderlich sind:. EnableOrganizationsRootSessions

  4. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren:. RegisterDelegatedAdministrator

Nächste Schritte

Nachdem Sie die privilegierten Anmeldeinformationen für die Mitgliedskonten in Ihrer Organisation zentral gesichert haben, finden Sie unter Ausführen einer privilegierten Aufgabe Informationen zum Ausführen privilegierter Aktionen für ein Mitgliedskonto.