Privilegierte Aufgabe in einem AWS Organizations -Mitgliedskonto ausführen - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenPrivilegierte Aktion in einem Mitgliedskonto ausführen (Konsole)Durchführung einer privilegierten Aktion in einem Mitgliedskonto (AWS CLI)Ergreifen einer privilegierten Aktion auf einem Mitgliedskonto (API)AWS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Privilegierte Aufgabe in einem AWS Organizations -Mitgliedskonto ausführen

Das AWS Organizations Verwaltungskonto oder ein delegiertes Administratorkonto für IAM kann mithilfe des kurzfristigen Root-Zugriffs einige Root-Benutzeraufgaben auf Mitgliedskonten ausführen. Diese Aufgaben können nur ausgeführt werden, wenn Sie sich als Root-Benutzer eines Kontos anmelden. Durch kurzfristige privilegierte Sitzungen erhalten Sie temporäre Anmeldeinformationen, mit denen Sie privilegierte Aktionen für ein Mitgliedskonto in Ihrer Organisation durchführen können.

Sobald Sie eine privilegierte Sitzung gestartet haben, können Sie eine falsch konfigurierte Amazon-S3-Bucket-Richtlinie löschen, eine falsch konfigurierte Amazon-SQS-Warteschlangenrichtlinie löschen, die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto löschen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto erneut aktivieren.

Anmerkung

Sie müssen mit einem AWS Organizations Verwaltungskonto oder einem delegierten Administratorkonto für IAM angemeldet sein, um den zentralen Root-Zugriff zu aktivieren. Sie können den AWS-Konto Root-Benutzer nicht verwenden.

Voraussetzungen

Bevor Sie eine privilegierte Sitzung starten können, müssen Sie über die folgenden Einstellungen verfügen:

  • Sie haben den zentralisierten Root-Zugriff in Ihrer Organisation aktiviert. Informationen zum Aktivieren dieses Features finden Sie unter Root-Zugriff für Mitgliedskonten zentralisieren.

  • Ihr Verwaltungskonto oder delegiertes Administratorkonto verfügt über die folgenden Berechtigungen: sts:AssumeRoot

Privilegierte Aktion in einem Mitgliedskonto ausführen (Konsole)

So starten Sie eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto in der AWS Management Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Root-Zugriffsverwaltung aus.

  3. Wählen Sie einen Namen aus der Liste der Mitgliedskonten aus und wählen Sie Privilegierte Aktion ausführen aus.

  4. Wählen Sie die privilegierte Aktion aus, die Sie im Mitgliedskonto ausführen möchten.

    • Wählen Sie Amazon-S3-Bucket-Richtlinie löschen aus, um eine falsch konfigurierte Bucket-Richtlinie zu entfernen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.

      1. Wählen Sie S3 durchsuchen, um einen Namen aus den Buckets auszuwählen, die dem Mitgliedskonto gehören, und wählen Sie Auswählen.

      2. Wählen Sie Bucket-Richtlinie löschen aus.

      3. Verwenden Sie die Amazon-S3-Konsole, um die Bucket-Richtlinie zu korrigieren, nachdem Sie die falsch konfigurierte Richtlinie gelöscht haben. Weitere Informationen finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon-S3-Konsole im Amazon-S3-Benutzerhandbuch.

    • Wählen Sie Amazon-SQS-Richtlinie löschen, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.

      1. Geben Sie den Warteschlangennamen in das Feld SQS-Warteschlangenname ein und wählen Sie SQS-Richtlinie löschen aus.

      2. Verwenden Sie die Amazon-SQS-Konsole, um die Warteschlangenrichtlinie nach dem Löschen der falsch konfigurierten Richtlinie zu korrigieren. Weitere Informationen finden Sie unter Konfigurieren einer Zugriffsrichtlinie in Amazon SQS im Amazon-SQS-Entwicklerhandbuch.

    • Wählen Sie Root-Anmeldeinformationen löschen, um den Root-Zugriff von einem Mitgliedskonto zu entfernen. Durch das Löschen der Root-Benutzeranmeldedaten werden das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) für das Mitgliedskonto deaktiviert.

      1. Wählen Sie Root-Anmeldeinformationen löschen aus.

    • Wählen Sie Passwortwiederherstellung zulassen, um die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.

      Diese Option ist nur verfügbar, wenn das Mitgliedskonto über keine Root-Benutzer-Anmeldeinformationen verfügt.

      1. Wählen Sie Passwortwiederherstellung zulassen aus.

      2. Nach dem Ausführen dieser privilegierten Aktion kann die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers für das Mitgliedskonto das Root-Benutzer-Passwort zurücksetzen und sich beim Root-Benutzer des Mitgliedskontos anmelden.

Durchführung einer privilegierten Aktion in einem Mitgliedskonto (AWS CLI)

So starten Sie eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto von AWS Command Line Interface

  1. Verwenden Sie den folgenden Befehl, um eine Root-Benutzer-Sitzung anzunehmen: aws sts assume-root.

    Anmerkung

    Der globale Endpunkt wird für sts:AssumeRoot nicht unterstützt. Sie müssen diese Anfrage an einen regionalen Endpunkt senden. AWS STS Weitere Informationen finden Sie unter AWS STS in einer AWS-Region verwalten.

    Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie task-policy-arn definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden von AWS verwalteten Richtlinien verwenden, um privilegierte Sitzungsaktionen einzuschränken.

    Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel sts: TaskPolicyArn verwenden.

    Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root die Root-Benutzeranmeldeinformationen für die Mitgliedskonto-ID löscht. 111122223333 

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. Verwenden Sie AccessKeyId und SecretAccessKey aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.

Ergreifen einer privilegierten Aktion auf einem Mitgliedskonto (API)AWS

So starten Sie eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto über die AWS -API

  1. Verwenden Sie den folgenden Befehl, um von einer Root-Benutzersitzung auszugehen: AssumeRoot.

    Anmerkung

    Der globale Endpunkt wird nicht unterstützt für AssumeRoot. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter AWS STS in einer AWS-Region verwalten.

    Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie TaskPolicyArn definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden AWS verwalteten Richtlinien verwenden, um den Umfang von Aktionen für privilegierte Sitzungen festzulegen.

    Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel sts: TaskPolicyArn verwenden.

    Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root eine falsch konfigurierte ressourcenbasierte Richtlinie für einen Amazon S3 S3-Bucket für die Mitgliedskonto-ID liest, bearbeitet und löscht. 111122223333

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. Verwenden Sie AccessKeyId und SecretAccessKey aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.

    • Überprüfen Sie den Status der Root-Benutzer-Anmeldeinformationen.. Verwenden Sie die folgenden Befehle, um den Status der Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto zu überprüfen.

    • Löschen Sie die Anmeldeinformationen des Root-Benutzers. Verwenden Sie die folgenden Befehle, um den Root-Zugriff zu löschen. Sie können das Passwort, die Zugriffsschlüssel und die Signaturzertifikate des Root-Benutzers entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren, um den Zugriff auf den Root-Benutzer und die Wiederherstellung für ihn zu unterbinden.

    • Löschen Sie die Amazon-S3-Bucket-Richtlinie. Verwenden Sie die folgenden Befehle, um eine falsch konfigurierte Bucket-Richtlinie zu lesen, zu bearbeiten und zu löschen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.

    • Löschen Sie die Amazon-SQS-Richtlinie. Verwenden Sie die folgenden Befehle, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service anzuzeigen und zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.

    • Lassen Sie die Passwortwiederherstellung zu. Verwenden Sie die folgenden Befehle, um den Benutzernamen anzuzeigen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.