Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Führen Sie eine privilegierte Aufgabe auf einem AWS Organizations Mitgliedskonto aus
Das AWS Organizations Verwaltungskonto oder ein delegiertes Administratorkonto für IAM kann einige privilegierte Aufgaben für Mitgliedskonten ausführen, für die andernfalls Root-Benutzeranmeldedaten erforderlich wären. Bei zentralisiertem Root-Zugriff werden diese Aufgaben in kurzzeitigen privilegierten Sitzungen ausgeführt. Diese Sitzungen stellen temporäre Anmeldeinformationen bereit, die auf bestimmte privilegierte Aktionen beschränkt sind, ohne dass eine Anmeldung des Root-Benutzers für das Mitgliedskonto erforderlich ist.
Sobald Sie eine privilegierte Sitzung gestartet haben, können Sie eine falsch konfigurierte Amazon-S3-Bucket-Richtlinie löschen, eine falsch konfigurierte Amazon-SQS-Warteschlangenrichtlinie löschen, die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto löschen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto erneut aktivieren.
**Anmerkung**
Um den zentralen Root-Zugriff nutzen zu können, müssen Sie sich über ein Verwaltungskonto oder ein delegiertes Administratorkonto als IAM-Benutzer oder eine IAM-Rolle mit der ausdrücklich erteilten Berechtigung anmelden. `sts:AssumeRoot` Sie können keine Root-Benutzeranmeldedaten für Anrufe verwenden. `sts:AssumeRoot`
## Voraussetzungen
Bevor Sie eine privilegierte Sitzung starten können, müssen Sie über die folgenden Einstellungen verfügen:
+ Sie haben den zentralisierten Root-Zugriff in Ihrer Organisation aktiviert. Informationen zum Aktivieren dieses Features finden Sie unter [Root-Zugriff für Mitgliedskonten zentralisieren](id_root-enable-root-access.md).
+ Ihr Verwaltungskonto oder delegiertes Administratorkonto verfügt über die folgenden Berechtigungen: `sts:AssumeRoot`
## Privilegierte Aktion in einem Mitgliedskonto ausführen (Konsole)
**Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto zu starten AWS-Managementkonsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der Konsole **Root-Zugriffsverwaltung** aus.
1. Wählen Sie einen Namen aus der Liste der Mitgliedskonten aus und wählen Sie **Privilegierte Aktion ausführen** aus.
1. Wählen Sie die privilegierte Aktion aus, die Sie im Mitgliedskonto ausführen möchten.
+ Wählen Sie **Amazon-S3-Bucket-Richtlinie löschen** aus, um eine falsch konfigurierte Bucket-Richtlinie zu entfernen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.
1. Wählen Sie **S3 durchsuchen**, um einen Namen aus den Buckets auszuwählen, die dem Mitgliedskonto gehören, und wählen Sie **Auswählen**.
1. Wählen Sie **Bucket-Richtlinie löschen** aus.
1. Verwenden Sie die Amazon-S3-Konsole, um die Bucket-Richtlinie zu korrigieren, nachdem Sie die falsch konfigurierte Richtlinie gelöscht haben. Weitere Informationen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon-S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon-S3-Benutzerhandbuch*.
+ Wählen Sie **Amazon-SQS-Richtlinie löschen**, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
1. Geben Sie den Warteschlangennamen in das Feld **SQS-Warteschlangenname** ein und wählen Sie **SQS-Richtlinie löschen** aus.
1. Verwenden Sie die Amazon-SQS-Konsole, um die Warteschlangenrichtlinie nach dem Löschen der falsch konfigurierten Richtlinie zu korrigieren. Weitere Informationen finden Sie unter [Konfigurieren einer Zugriffsrichtlinie in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) im *Amazon-SQS-Entwicklerhandbuch*.
+ Wählen Sie **Root-Anmeldeinformationen löschen**, um den Root-Zugriff von einem Mitgliedskonto zu entfernen. Durch das Löschen der Root-Benutzer-Anmeldeinformationen werden das Root-Benutzerpasswort, die Zugriffsschlüssel sowie die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) für das Mitgliedskonto wird deaktiviert.
1. Wählen Sie **Root-Anmeldeinformationen löschen** aus.
+ Wählen Sie **Passwortwiederherstellung zulassen**, um die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
Diese Option ist nur verfügbar, wenn das Mitgliedskonto über keine Root-Benutzer-Anmeldeinformationen verfügt.
1. Wählen Sie **Passwortwiederherstellung zulassen** aus.
1. Nach dem Ausführen dieser privilegierten Aktion kann die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers für das Mitgliedskonto das [Root-Benutzer-Passwort zurücksetzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) und sich beim Root-Benutzer des Mitgliedskontos anmelden.
## Durchführung einer privilegierten Aktion in einem Mitgliedskonto (AWS CLI)
**Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto zu starten AWS Command Line Interface**
1. Verwenden Sie den folgenden Befehl, um eine Root-Benutzer-Sitzung anzunehmen: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**Anmerkung**
Der globale Endpunkt wird für `sts:AssumeRoot` nicht unterstützt. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter [Verwalte AWS STS in einem AWS-Region](id_credentials_temp_enable-regions.md).
Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie `task-policy-arn` definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden von AWS verwalteten Richtlinien verwenden, um privilegierte Sitzungsaktionen einzuschränken.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel [sts: TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) verwenden.
Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root die Root-Benutzeranmeldeinformationen für die Mitgliedskonto-ID löscht. *111122223333*
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. Verwenden Sie `AccessKeyId`, `SessionToken` und `SecretAccessKey` aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.
+ **Überprüfen Sie den Status der Root-Benutzer-Anmeldeinformationen.**. Verwenden Sie die folgenden Befehle, um den Status der Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto zu überprüfen.
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-verwendet](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **Löschen Sie die Anmeldeinformationen des Root-Benutzers**. Verwenden Sie die folgenden Befehle, um den Root-Zugriff zu löschen. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren, um jeglichen Zugriff auf und die Wiederherstellung des Root-Benutzers zu entfernen.
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Löschen Sie die Amazon-S3-Bucket-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine falsch konfigurierte Bucket-Richtlinie zu lesen, zu bearbeiten und zu löschen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Löschen Sie die Amazon-SQS-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service anzuzeigen und zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **Lassen Sie die Passwortwiederherstellung zu**. Verwenden Sie die folgenden Befehle, um den Benutzernamen anzuzeigen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## Ergreifen einer privilegierten Aktion auf einem Mitgliedskonto (AWS API)
**Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto über die AWS API zu starten**
1. Verwenden Sie den folgenden Befehl, um von einer Root-Benutzersitzung auszugehen: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**Anmerkung**
Der globale Endpunkt wird nicht unterstützt für AssumeRoot. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter [Verwalte AWS STS in einem AWS-Region](id_credentials_temp_enable-regions.md).
Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie `TaskPolicyArn` definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden AWS verwalteten Richtlinien verwenden, um den Umfang von Aktionen für privilegierte Sitzungen festzulegen.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel [sts: TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) verwenden.
Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root eine falsch konfigurierte ressourcenbasierte Richtlinie für einen Amazon S3 S3-Bucket für die Mitgliedskonto-ID liest, bearbeitet und löscht. *111122223333*
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. Verwenden Sie `AccessKeyId`, `SessionToken` und `SecretAccessKey` aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.
+ **Überprüfen Sie den Status der Root-Benutzer-Anmeldeinformationen.**. Verwenden Sie die folgenden Befehle, um den Status der Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto zu überprüfen.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListeMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **Löschen Sie die Anmeldeinformationen des Root-Benutzers**. Verwenden Sie die folgenden Befehle, um den Root-Zugriff zu löschen. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren, um jeglichen Zugriff auf und die Wiederherstellung des Root-Benutzers zu entfernen.
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Löschen Sie die Amazon-S3-Bucket-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine falsch konfigurierte Bucket-Richtlinie zu lesen, zu bearbeiten und zu löschen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Löschen Sie die Amazon-SQS-Richtlinie**. Verwenden Sie die folgenden Befehle, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service anzuzeigen und zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **Lassen Sie die Passwortwiederherstellung zu**. Verwenden Sie die folgenden Befehle, um den Benutzernamen anzuzeigen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)