Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Delegierter Administrator für AWS Organizations
Wir empfehlen, das AWS Organizations Verwaltungskonto und seine Benutzer und Rollen nur für Aufgaben zu verwenden, die von diesem Konto ausgeführt werden müssen. Außerdem sollten Sie die AWS
-Ressourcen in anderen Mitgliedskonten in der Organisation speichern und sie aus dem Verwaltungskonto heraushalten. Der Grund dafür ist, dass Sicherheitsfeatures wie die Service-Kontrollrichtlinien (SCPs) von Organizations die Benutzer oder Rollen im Verwaltungskonto nicht einschränken.
Über das Verwaltungskonto der Organisation können Sie die Richtlinienverwaltung für Organizations an bestimmte Mitgliedskonten delegieren, um Richtlinienaktionen auszuführen, die standardmäßig nur für das Verwaltungskonto verfügbar sind.
Erstellen oder Aktualisieren einer ressourcenbasierten Delegierungsrichtlinie
Erstellen oder aktualisieren Sie vom Verwaltungskonto aus eine ressourcenbasierte Delegierungsrichtlinie für Ihre Organisation und fügen Sie eine Erklärung hinzu, die angibt, welche Mitgliedskonten Aktionen im Rahmen von Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben.
Um die ressourcenbasierte Delegierungsrichtlinie zu erstellen oder zu aktualisieren, benötigen Sie die Berechtigung, die folgenden Aktionen auszuführen:
Darüber hinaus müssen Sie Rollen und Benutzern im delegierten Administratorkonto die entsprechenden IAM-Berechtigungen für die erforderlichen Aktionen gewähren. Ohne IAM-Berechtigungen wird davon ausgegangen, dass der aufrufende Principal nicht über die erforderlichen Berechtigungen zum Verwalten von AWS Organizations Richtlinien verfügt.
- AWS Management Console
-
Verwenden Sie eine der folgenden Methoden, um der ressourcenbasierten Delegierungsrichtlinie in der AWS Management Console
Anweisungen hinzuzufügen:
-
JSON-Richtlinie – Fügen Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie ein und passen Sie es an, um es in Ihrem Konto zu verwenden, oder geben Sie Ihr eigenes JSON-Richtliniendokument in den JSON-Editor ein.
-
Visueller Editor – Erstellen Sie im visuellen Editor eine neue Delegierungsrichtlinie, die Sie beim Erstellen einer Delegierungsrichtlinie unterstützt, ohne JSON-Syntax schreiben zu müssen.
Verwenden des JSON-Richtlinieneditors zum Erstellen oder Aktualisieren einer Delegierungsrichtlinie
-
Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
-
Wählen Sie Settings (Einstellungen) aus.
-
Wählen Sie im Abschnitt Delegierter Administrator für AWS Organizations die Option Delegate (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen. Um eine bestehende Delegierungsrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).
-
Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie in der IAM-JSON-Richtlinienreferenz.
-
Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen).
Verwenden des visuellen Editors zum Erstellen oder Aktualisieren einer Delegierungsrichtlinie
-
Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
-
Wählen Sie Settings (Einstellungen) aus.
-
Wählen Sie im Abschnitt Delegierter Administrator für AWS Organizations die Option Delegate (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen. Um eine bestehende Delegierungsrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).
-
Wählen Sie auf der Seite Create Delegation policy (Delegierungsrichtlinie erstellen) die Option Add new statement (Neue Anweisung hinzufügen) aus.
-
Stellen Sie Effect (Effekt) auf Allow
.
-
Fügen Sie den Principal
hinzu, um die Mitgliedskonten zu definieren, an die Sie delegieren möchten. Weitere Informationen zur Syntax finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien.
-
Wählen Sie aus der Liste Actions (Aktionen) die Aktionen aus, die Sie delegieren möchten. Sie können die Auswahl mithilfe der Option Filter actions (Aktionen filtern) eingrenzen.
-
Um anzugeben, ob das delegierte Mitgliedskonto Richtlinien an die Stammorganisation oder die Organisationseinheiten (OUs) anhängen kann, legen Sie Resources
fest. Sie müssen auch policy
als Ressourcentyp auswählen. Weitere Details finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien. Sie können Ressourcen auf folgende Weise angeben:
-
Wählen Sie Add a resource (Ressource hinzufügen) und erstellen Sie den Amazon-Ressourcennamen (ARN), indem Sie den Anweisungen im Dialogfeld folgen.
-
Listen Sie die Ressourcen-ARNs manuell im Editor auf. Weitere Informationen zur ARN-Syntax finden Sie unter Amazon Resource Name (ARN) im AWS General Reference Guide. Hinweise zur Verwendung von ARNs im Ressourcenelement einer Richtlinie finden Sie unter IAM-JSON-Richtlinienelemente: Ressource.
-
Wählen Sie Add a condition (Bedingung hinzufügen), um weitere Bedingungen anzugeben, einschließlich des Richtlinientyps, den Sie delegieren möchten. Wählen Sie den Condition Key (Bedingungsschlüssel), den Tag key (Tag-Schlüssel), den Qualifier (Qualifizierer) und den Operator (Operator) der Bedingung aus und geben Sie dann einen Value
(Wert) ein. Weitere Details finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien. Wählen Sie danach Add condition (Bedingung hinzufügen) aus. Weitere Informationen zum Element Condition (Bedingung) finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung in der IAM-JSON-Richtlinienreferenz.
-
Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add new statement (Neue Anweisung hinzufügen). Wiederholen Sie die Schritte 5 bis 9 für jeden Block.
-
Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen), um Ihre Arbeit zu speichern.
- AWS CLI & AWS SDKs
-
Erstellen oder Aktualisieren einer Delegierungsrichtlinie
Sie können zum Erstellen oder Aktualisieren einer Richtlinie die folgenden Befehle verwenden:
-
AWS CLI: put-resource-policy
Im folgenden Beispiel wird die Delegierungsrichtlinie erstellt oder aktualisiert.
$
aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913
"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024
:root/o-abcdef
/r-pqrstu
",
"arn:aws:organizations::246802468024
:ou/o-abcdef
/*",
"arn:aws:organizations::246802468024
:account/o-abcdef
/*",
"arn:aws:organizations::246802468024
:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
Unterstützte Richtlinienaktionen zur Delegierung
Folgende Aktionen werden in der Delegierungsrichtlinie unterstützt:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
Unterstützte Bedingungsschlüssel
Nur Bedingungsschlüssel, die von unterstützt werden, AWS Organizations können für Delegierungsrichtlinien verwendet werden. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS Organizations in der Serviceautorisierungsreferenz.
Anzeigen einer ressourcenbasierte Delegierungsrichtlinie
Sehen Sie sich vom Verwaltungskonto aus die ressourcenbasierte Delegierungsrichtlinie Ihrer Organisation an, um zu erfahren, welche delegierten Administratoren Zugriff auf die Verwaltung welcher Richtlinientypen haben.
Um die ressourcenbasierte Delegierungsrichtlinie anzuzeigen, benötigen Sie die Berechtigung, die folgende Aktion auszuführen: organizations:DescribeResourcePolicy
.
- AWS Management Console
-
So zeigen Sie eine Delegierungsrichtlinie an
-
Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
-
Wählen Sie Settings (Einstellungen) aus.
-
Scrollen Sie im Abschnitt Delegierter Administrator für AWS Organizations, um die vollständige Delegierungsrichtlinie anzuzeigen.
- AWS CLI & AWS SDKs
-
Anzeigen einer Delegierungsrichtlinie
Sie können zum Anzeigen einer Delegierungsrichtlinie den folgenden Befehl verwenden:
-
AWS CLI: describe-resource-policy
Das folgende Beispiel ruft die Richtlinie ab.
$
aws organizations describe-resource-policy
Löschen einer ressourcenbasierte Delegierungsrichtlinie
Wenn Sie die Verwaltung von Richtlinien in Ihrer Organisation nicht mehr delegieren müssen, können Sie die ressourcenbasierte Delegierungsrichtlinie aus dem Verwaltungskonto der Organisation löschen.
Wenn Sie Ihre ressourcenbasierte Delegierungsrichtlinie löschen, können Sie sie nicht wiederherstellen.
Um die ressourcenbasierte Delegierungsrichtlinie zu löschen, benötigen Sie die Berechtigung, die folgende Aktion auszuführen: organizations:DeleteResourcePolicy
.
- AWS Management Console
-
So löschen Sie eine Delegierungsrichtlinie
-
Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
-
Wählen Sie Settings (Einstellungen) aus.
-
Wählen Sie im Bereich Delegierter Administrator für AWS Organizations die Option Löschen aus.
-
Geben Sie im Bestätigungsdialogfeld Delet policy (Richtlinie löschen) delete
ein. Wählen Sie dann Delete policy (Richtlinie löschen).
- AWS CLI & AWS SDKs
-
Löschen einer Delegierungsrichtlinie
Sie können zum Löschen einer Delegierungsrichtlinie den folgenden Befehl verwenden:
-
AWS CLI: delete-resource-policy
Im folgenden Beispiel wird die Richtlinie gelöscht.
$
aws organizations delete-resource-policy