Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen - AWS Control Tower
AWSRessourcen und Betrieb des Control TowerÜber den Besitz von RessourcenGeben Sie die Richtlinienelemente an: Aktionen, Auswirkungen und PrinzipienAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen

Jeder AWS Die Ressource gehört einem AWS-Konto, und die Berechtigungen, eine Ressource zu erstellen oder Zugriff darauf zu erhalten, werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen. Einige Dienste (wie AWS Lambda) unterstützt auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administrator) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMBewährte Methoden.

Wenn Sie für die Erteilung von Berechtigungen für einen Benutzer oder eine Rolle verantwortlich sind, müssen Sie die Benutzer und Rollen, für die Berechtigungen erforderlich sind, die Ressourcen, für die jeder Benutzer und jede Rolle Berechtigungen benötigen, und die spezifischen Aktionen, die für den Betrieb dieser Ressourcen zulässig sein müssen, kennen und nachverfolgen.

Themen

AWSRessourcen und Betrieb des Control Tower

Im AWS Control Tower ist die Hauptressource eine landing zone. AWSControl Tower unterstützt auch einen zusätzlichen Ressourcentyp, Kontrollen, die manchmal auch als Leitplanken bezeichnet werden. Für AWS Control Tower können Sie Steuerungen jedoch nur im Kontext einer vorhandenen landing zone verwalten. Steuerelemente können als Unterressource bezeichnet werden.

Ressourcen und Unterressourcen in AWS ihnen eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet sind, wie im folgenden Beispiel gezeigt.

Ressourcentyp ARNFormat
Dateisystem arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWSControl Tower bietet eine Reihe von API Operationen für die Arbeit mit AWS Control Tower Tower-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Control Tower — die AWS Control Tower API Tower-Referenz.

Weitere Informationen über AWS CloudFormation Ressourcen im AWS Control Tower, siehe AWS CloudFormation Benutzerleitfaden.

Über den Besitz von Ressourcen

Das Tool AWS Das Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Besitzer der Ressource AWS Konto der Hauptentität (d. h. AWS-Konto Root-Benutzer, IAM Identity Center-Benutzer, IAM Benutzer oder IAM Rolle), der die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie das AWS Konto (Root-Benutzeranmeldedaten) Ihres AWS Konto zum Einrichten einer landing zone, dein AWS Konto ist der Besitzer der Ressource.

  • Wenn Sie einen IAM Benutzer in Ihrem erstellen AWS Ein Konto erstellen und diesem Benutzer die Rechte zum Einrichten einer landing zone gewähren. Der Benutzer kann eine landing zone einrichten, sofern sein Konto die Voraussetzungen erfüllt. Ihr AWS Das Konto, zu dem der Benutzer gehört, besitzt die landing zone Zone-Ressource.

  • Wenn Sie eine IAM Rolle in Ihrem erstellen AWS Konto mit Berechtigungen zum Einrichten einer landing zone. Jeder, der die Rolle übernehmen kann, kann eine landing zone einrichten. Ihre AWS Das Konto, zu dem die Rolle gehört, besitzt die landing zone Zone-Ressource.

Geben Sie die Richtlinienelemente an: Aktionen, Auswirkungen und Prinzipien

Sie können Ihre landing zone über die AWS Control Tower Tower-Konsole oder die landing zone einrichten und verwaltenAPIs. Um Ihre landing zone einzurichten, müssen Sie ein IAM Benutzer mit Administratorrechten sein, wie in einer IAM Richtlinie definiert.

Die folgenden Elemente sind die grundlegendsten, die Sie in einer Richtlinie identifizieren können:

  • Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter AWSRessourcen und Betrieb des Control Tower.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Informationen zu den Arten von Aktionen, die ausgeführt werden können, finden Sie unter Von AWS Control Tower definierte Aktionen.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, an den die Richtlinie angehängt ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). AWSControl Tower unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter AWS IAMRichtlinienreferenz im IAMBenutzerhandbuch.

Angeben von Bedingungen in einer Richtlinie

Wenn Sie Berechtigungen erteilen, können Sie in der Sprache der IAM Richtlinie angeben, unter welchen Bedingungen eine Richtlinie in Kraft treten soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

Um Bedingungen auszudrücken, können Sie vordefinierte Bedingungsschlüssel verwenden. Es gibt keine spezifischen Zustandsschlüssel für AWS Control Tower. Es gibt jedoch AWS-breite Zustandstasten, die Sie je nach Bedarf verwenden können. Für eine vollständige Liste von AWS-breite Tasten finden Sie unter Verfügbare Tasten für Bedingungen im IAMBenutzerhandbuch.