Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen - AWS Control Tower
AWSRessourcen und Betrieb des Control TowerÜber den Besitz von RessourcenGeben Sie die Richtlinienelemente an: Aktionen, Auswirkungen und PrinzipienAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen

Jede AWS Ressource gehört einer AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen. Einige Dienste (z. B. AWS Lambda) unterstützen auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administrator) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMBewährte Methoden.

Wenn Sie für die Erteilung von Berechtigungen für einen Benutzer oder eine Rolle verantwortlich sind, müssen Sie die Benutzer und Rollen, für die Berechtigungen erforderlich sind, die Ressourcen, für die jeder Benutzer und jede Rolle Berechtigungen benötigen, und die spezifischen Aktionen, die für den Betrieb dieser Ressourcen zulässig sein müssen, kennen und nachverfolgen.

Themen

AWSRessourcen und Betrieb des Control Tower

Im AWS Control Tower ist die Hauptressource eine landing zone. AWS Control Tower unterstützt auch einen zusätzlichen Ressourcentyp, Kontrollen, die manchmal auch als Leitplanken bezeichnet werden. Für AWS Control Tower können Sie Steuerungen jedoch nur im Kontext einer vorhandenen landing zone verwalten. Steuerelemente können als Unterressource bezeichnet werden.

Ressourcen und Unterressourcen AWS sind mit eindeutigen Amazon-Ressourcennamen (ARNs) verknüpft, wie im folgenden Beispiel gezeigt.

Ressourcentyp ARNFormat
Dateisystem arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWSControl Tower bietet eine Reihe von API Operationen für die Arbeit mit AWS Control Tower Tower-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Control Tower — die AWS Control Tower API Tower-Referenz.

Weitere Informationen zu den AWS CloudFormation Ressourcen in AWS Control Tower finden Sie im AWS CloudFormation Benutzerhandbuch.

Über den Besitz von Ressourcen

Das AWS Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. des AWS-Konto Root-Benutzers, eines IAM Identity Center-Benutzers, eines IAM Benutzers oder einer IAM Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die AWS Root-Benutzeranmeldedaten Ihres AWS Kontos verwenden, um eine landing zone einzurichten, ist Ihr AWS Konto der Eigentümer der Ressource.

  • Wenn Sie in Ihrem AWS Konto einen IAM Benutzer erstellen und diesem Benutzer Berechtigungen zum Einrichten einer landing zone gewähren, kann der Benutzer eine landing zone einrichten, sofern sein Konto die Voraussetzungen erfüllt. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Landingzone-Ressource.

  • Wenn Sie in Ihrem AWS Konto eine IAM Rolle mit Berechtigungen zum Einrichten einer landing zone erstellen, kann jeder, der die Rolle übernehmen kann, eine landing zone einrichten. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die landing zone Zone-Ressource.

Geben Sie die Richtlinienelemente an: Aktionen, Auswirkungen und Prinzipien

Sie können Ihre landing zone über die AWS Control Tower Tower-Konsole oder die landing zone einrichten und verwaltenAPIs. Um Ihre landing zone einzurichten, müssen Sie ein IAM Benutzer mit Administratorrechten sein, wie in einer IAM Richtlinie definiert.

Die folgenden Elemente sind die grundlegendsten, die Sie in einer Richtlinie identifizieren können:

  • Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter AWSRessourcen und Betrieb des Control Tower.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Informationen zu den Arten von Aktionen, die ausgeführt werden können, finden Sie unter Von AWS Control Tower definierte Aktionen.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, an den die Richtlinie angehängt ist, der implizite Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Control Tower unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter AWS IAMRichtlinienreferenz im IAMBenutzerhandbuch.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

Um Bedingungen auszudrücken, können Sie vordefinierte Bedingungsschlüssel verwenden. Es gibt keine spezifischen Zustandsschlüssel für AWS Control Tower. Es gibt jedoch allgemeine AWS Zustandstasten, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel für Bedingungen.