Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff AWS Organizations und dienstbezogene Rollen Verwendung der AWSServiceRoleForDeclarativePoliciesEC2Report serviceverknüpften Rolle

Verwendung AWS Organizations mit anderen AWS-Services

Sie können vertrauenswürdigen Zugriff verwenden, um einen von Ihnen angegebenen unterstützten AWS Dienst, den so genannten vertrauenswürdigen Dienst, zu aktivieren, um Aufgaben in Ihrer Organisation und deren Konten in Ihrem Namen auszuführen. Dies umfasst das Erteilen von Berechtigungen für den vertrauenswürdigen Service, hat aber keine Auswirkungen auf die Berechtigungen für Benutzer und Rollen. Wenn Sie den Zugriff aktivieren, kann der vertrauenswürdige Service in jedem Konto Ihrer Organisation immer dann, wenn erforderlich, eine IAM-Rolle erstellen, die als serviceverknüpfte Rolle bezeichnet wird. Der Rolle ist eine Berechtigungsrichtlinie zugeordnet, die es dem vertrauenswürdigen Service ermöglicht, die Aufgaben auszuführen, die in der Dokumentation des Services angegeben sind. Auf diese Weise können Sie Einstellungs- und Konfigurationsdetails angeben, die der vertrauenswürdigen Service in Ihrem Namen in den Konten Ihrer Organisation pflegen soll. Der vertrauenswürdige Service erstellt nur serviceverknüpfte Rollen, wenn er Verwaltungsaktionen für Konten ausführen muss, und nicht unbedingt in allen Konten der Organisation.

Wichtig

Es wird dringend empfohlen, den vertrauenswürdigen Zugriff, sofern diese Option verfügbar ist, zu aktivieren und zu deaktivieren, indem Sie nur die Konsole des vertrauenswürdigen Dienstes oder dessen AWS CLI oder entsprechende API Funktionen verwenden. Auf diese Weise kann der vertrauenswürdige Service jede erforderliche Initialisierung durchführen, wenn vertrauenswürdigen Zugriff aktiviert wird, z. B. das Erstellen aller erforderlichen Ressourcen und die erforderliche Bereinigung von Ressourcen beim Deaktivieren des vertrauenswürdigen Zugriffs.

Informationen zum Aktivieren oder Deaktivieren des vertrauenswürdigen Dienstzugriffs auf Ihre Organisation mithilfe des vertrauenswürdigen Dienstes finden Sie unter dem Weitere Informationen-Link unter der Spalte Unterstützt vertrauenswürdigen Zugriff unter AWS-Services die du verwenden kannst mit AWS Organizations.

Wenn Sie den Zugriff mithilfe der Organisationskonsole, CLI Befehle oder API Operationen deaktivieren, werden die folgenden Aktionen ausgeführt:

Der Service kann keine serviceverknüpfte Rolle mehr in den Konten Ihrer Organisation erstellen. Dies bedeutet, dass der Service keine Vorgänge in Ihrem Namen für neue Konten in Ihrer Organisation ausführen kann. Der Service kann weiterhin Vorgänge in älteren Konten ausführen, bis der Service seine Bereinigung von AWS Organizations fertigstellt.
Der Dienst kann keine Aufgaben mehr in den Mitgliedskonten der Organisation ausführen, es sei denn, diese Vorgänge sind durch die IAM Richtlinien, die Ihren Rollen zugeordnet sind, ausdrücklich erlaubt. Dies schließt jede Datenaggregation von den Mitgliedskonten zum Verwaltungskonto oder gegebenenfalls zu einem delegierten Administratorkonto ein.
Einige Services erkennen dies und bereinigen alle verbleibenden Daten oder Ressourcen im Zusammenhang mit der Integration, während andere Services nicht mehr auf die Organisation zugreifen, aber alle historischen Daten und Konfigurationen vorhanden lassen, um eine mögliche erneute Aktivierung der Integration zu unterstützen.

Stattdessen stellt die Verwendung der Konsole oder der Befehle des anderen Services zum Deaktivieren der Integration sicher, dass der andere Service alle Ressourcen bereinigen kann, die nur für die Integration erforderlich sind. Wie der Service seine Ressourcen in den Konten der Organisation bereinigt, hängt von diesem Service ab. Weitere Informationen finden Sie in der Dokumentation zu dem anderen AWS -Service.

Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs

Für den vertrauenswürdigen Zugriff sind Berechtigungen für zwei Dienste erforderlich: AWS Organizations und für den vertrauenswürdigen Dienst. Zum Aktivieren des vertrauenswürdigen Zugriffs wählen Sie eines der folgenden Szenarien aus:

Wenn Sie über Anmeldeinformationen mit Berechtigungen AWS Organizations sowohl für den vertrauenswürdigen Dienst als auch für den vertrauenswürdigen Dienst verfügen, aktivieren Sie den Zugriff mithilfe der Tools (Konsole oder AWS CLI), die vom vertrauenswürdigen Dienst bereitgestellt werden. Auf diese Weise kann der Dienst den vertrauenswürdigen Zugriff in AWS Organizations Ihrem Namen aktivieren und alle Ressourcen bereitstellen, die für den Betrieb des Dienstes in Ihrer Organisation erforderlich sind.

Für diese Anmeldeinformationen sind mindestens die folgenden Berechtigungen erforderlich:
- organizations:EnableAWSServiceAccess. Sie können auch den organizations:ServicePrincipal-Bedingungsschlüssel mit dieser Operation verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten. Weitere Informationen finden Sie unter Bedingungsschlüssel.
- organizations:ListAWSServiceAccessForOrganization— Erforderlich, wenn Sie die AWS Organizations Konsole verwenden.
- Die Berechtigungen, die mindestens vom vertrauenswürdigen Service benötigt werden, hängen vom Service ab. Weitere Informationen finden Sie in der Dokumentation zum vertrauenswürdigen Service.
Wenn eine Person über Anmeldeinformationen mit Berechtigungen für den vertrauenswürdigen Dienst verfügt, eine andere Person AWS Organizations jedoch über Anmeldeinformationen mit Berechtigungen für den vertrauenswürdigen Dienst verfügt, führen Sie diese Schritte in der folgenden Reihenfolge aus:
1. Die Person, die über Anmeldeinformationen mit Berechtigungen für verfügt, AWS Organizations sollte die AWS Organizations Konsole, den oder an verwenden AWS CLI, AWS SDK um den vertrauenswürdigen Zugriff für den vertrauenswürdigen Dienst zu aktivieren. Dadurch erhält der andere Service die Berechtigung, die erforderliche Konfiguration in der Organisation durchzuführen, wenn der folgende Schritt (Schritt 2) durchgeführt wird.
  
  Die AWS Organizations Mindestberechtigungen sind die folgenden:
  - organizations:EnableAWSServiceAccess
  - organizations:ListAWSServiceAccessForOrganization— Nur erforderlich, wenn Sie die AWS Organizations Konsole verwenden
  Die Schritte zum Aktivieren des vertrauenswürdigen Zugriffs in AWS Organizations finden Sie unterSo aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff.
2. Die Person, die über Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Service verfügt, ermöglicht diesem Service das Arbeiten mit AWS Organizations. Dadurch wird der Service angewiesen, alle erforderlichen Initialisierungen durchzuführen. Dazu zählt beispielsweise das Erstellen von Ressourcen, die für die Ausführung des vertrauenswürdigen Services in Ihrer Organisation erforderlich sind. Weitere Informationen finden Sie in den servicespezifischen Anleitungen unter AWS-Services die du verwenden kannst mit AWS Organizations.

Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs

Wenn Sie nicht mehr möchten, dass der vertrauenswürdige Service in Ihrer Organisation oder deren Konten aktiv ist, wählen Sie eines der folgenden Szenarien aus.

Wichtig

Das Deaktivieren des vertrauenswürdigen Servicezugriffs verhindert nicht, dass Benutzer und Rollen mit entsprechenden Berechtigungen diesen Service verwenden können. Um Benutzer und Rollen vollständig am Zugriff auf einen AWS Dienst zu hindern, können Sie die IAM Berechtigungen entfernen, die diesen Zugriff gewähren, oder Sie können Dienststeuerungsrichtlinien (SCPs) in verwenden AWS Organizations.

Sie können SCPs den Antrag nur für Mitgliedskonten stellen. SCPsgelten nicht für das Verwaltungskonto. Wir empfehlen Ihnen, keine Services im Verwaltungskonto auszuführen. Führen Sie sie stattdessen in Mitgliedskonten aus, mit denen Sie die Sicherheit kontrollieren könnenSCPs.

Wenn Sie über Anmeldeinformationen mit Berechtigungen AWS Organizations sowohl für den vertrauenswürdigen Dienst als auch für den vertrauenswürdigen Dienst verfügen, deaktivieren Sie den Zugriff mithilfe der Tools (Konsole oder AWS CLI), die für den vertrauenswürdigen Dienst verfügbar sind. Der Service führt dann eine Bereinigung durch, indem er die nicht mehr benötigte Ressource entfernt und den vertrauenswürdigen Zugriff für den Service in Ihrem Namen in AWS Organizations deaktiviert.

Für diese Anmeldeinformationen sind mindestens die folgenden Berechtigungen erforderlich:
- organizations:DisableAWSServiceAccess. Sie können auch den organizations:ServicePrincipal-Bedingungsschlüssel mit dieser Operation verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten. Weitere Informationen finden Sie unter Bedingungsschlüssel.
- organizations:ListAWSServiceAccessForOrganization— Erforderlich, wenn Sie die AWS Organizations Konsole verwenden.
- Die Berechtigungen, die mindestens vom vertrauenswürdigen Service benötigt werden, hängen vom Service ab. Weitere Informationen finden Sie in der Dokumentation zum vertrauenswürdigen Service.
Wenn es sich bei den Anmeldeinformationen mit den Berechtigungen in AWS Organizations nicht um die Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Dienst handelt, führen Sie diese Schritte in der folgenden Reihenfolge durch:
1. Die Person mit Berechtigungen im vertrauenswürdigen Service deaktiviert zuerst den Zugriff über den Service. Dies weist den vertrauenswürdigen Service an, eine Bereinigung vorzunehmen, indem die für den vertrauenswürdigen Zugriff erforderliche Ressourcen entfernt werden. Weitere Informationen finden Sie in den servicespezifischen Anleitungen unter AWS-Services die du verwenden kannst mit AWS Organizations.
2. Die Person mit den entsprechenden Berechtigungen AWS Organizations kann dann die AWS Organizations Konsole oder an verwenden AWS CLI, AWS SDK um den Zugriff für den vertrauenswürdigen Dienst zu deaktivieren. Dadurch werden die Berechtigungen für den vertrauenswürdigen Service aus der Organisation und deren Konten entfernt.
  
  Die AWS Organizations Mindestberechtigungen sind die folgenden:
  - organizations:DisableAWSServiceAccess
  - organizations:ListAWSServiceAccessForOrganization— Nur erforderlich, wenn Sie die AWS Organizations Konsole verwenden
  Die Schritte zum Deaktivieren des vertrauenswürdigen Zugriffs in AWS Organizations finden Sie unterSo aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff.

So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff

Wenn Sie nur über Berechtigungen für den vertrauenswürdigen Zugriff auf Ihre Organisation verfügen AWS Organizations und den vertrauenswürdigen Zugriff auf Ihre Organisation im Namen des Administrators des anderen AWS Dienstes aktivieren oder deaktivieren möchten, gehen Sie wie folgt vor.

Wichtig

Es wird dringend empfohlen, den vertrauenswürdigen Zugriff, sofern diese Option verfügbar ist, zu aktivieren und zu deaktivieren, indem Sie nur die Konsole des vertrauenswürdigen Dienstes AWS CLI oder dessen entsprechende API Betriebskonsole verwenden. Auf diese Weise kann der vertrauenswürdige Service jede erforderliche Initialisierung durchführen, wenn vertrauenswürdigen Zugriff aktiviert wird, z. B. das Erstellen aller erforderlichen Ressourcen und die erforderliche Bereinigung von Ressourcen beim Deaktivieren des vertrauenswürdigen Zugriffs.

Wenn Sie den Zugriff mithilfe der Organisationskonsole, CLI Befehle oder API Operationen deaktivieren, werden die folgenden Aktionen ausgeführt:

Der Service kann keine serviceverknüpfte Rolle mehr in den Konten Ihrer Organisation erstellen. Dies bedeutet, dass der Service keine Vorgänge in Ihrem Namen für neue Konten in Ihrer Organisation ausführen kann. Der Service kann weiterhin Vorgänge in älteren Konten ausführen, bis der Service seine Bereinigung von AWS Organizations fertigstellt.
Der Dienst kann keine Aufgaben mehr in den Mitgliedskonten der Organisation ausführen, es sei denn, diese Vorgänge sind durch die IAM Richtlinien, die Ihren Rollen zugeordnet sind, ausdrücklich erlaubt. Dies schließt jede Datenaggregation von den Mitgliedskonten zum Verwaltungskonto oder gegebenenfalls zu einem delegierten Administratorkonto ein.
Einige Services erkennen dies und bereinigen alle verbleibenden Daten oder Ressourcen im Zusammenhang mit der Integration, während andere Services nicht mehr auf die Organisation zugreifen, aber alle historischen Daten und Konfigurationen vorhanden lassen, um eine mögliche erneute Aktivierung der Integration zu unterstützen.

AWS Management Console

So aktivieren Sie vertrauenswürdigen Servicezugriff

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.
Suchen Sie auf der Seite Services nach der Zeile für den Service, den Sie aktivieren möchten und wählen Sie den Namen aus.
Wählen Sie Vertrauenswürdigen Zugriff aktivieren.
Aktivieren Sie im Bestätigungsdialogfeld Option zum Aktivieren des vertrauenswürdigen Zugriffs anzeigen, geben Sie enable in das Feld ein und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren.
Wenn Sie den Zugriff aktivieren, teilen Sie dem Administrator des anderen AWS Dienstes mit, dass er nun die Arbeit mit dem anderen Dienst aktivieren kann AWS Organizations.

So deaktivieren Sie einen vertrauenswürdigen Servicezugriff

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.
Suchen Sie auf der Seite Services nach der Zeile für den Service, den Sie deaktivieren möchten und wählen Sie den Namen aus.
Warten Sie, bis der Administrator des anderen Services Ihnen mitteilt, dass der Service deaktiviert und seine Ressourcen bereinigt wurden.
Geben Sie im Bestätigungsdialogfeld disable in das Feld ein und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren.

AWS CLI, AWS API

So aktivieren oder deaktivieren Sie einen vertrauenswürdigen Servicezugriff

Sie können die folgenden AWS CLI Befehle oder API Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu aktivieren oder zu deaktivieren:

AWS CLI: AWS Organisationen enable-aws-service-access
AWS CLI: AWS Organisationen disable-aws-service-access
AWS API: E nableAWSService Access
AWS API: D isableAWSService Zugriff

AWS Organizations und dienstbezogene Rollen

AWS Organizations verwendet IAMdienstbezogene Rollen, damit vertrauenswürdige Dienste Aufgaben in den Mitgliedskonten Ihrer Organisation in Ihrem Namen ausführen können. Wenn Sie einen vertrauenswürdigen Service konfigurieren und ihn für die Integration in Ihre Organisation autorisieren, kann dieser Service verlangen, dass AWS Organizations in jedem seiner Mitgliedskonten eine servicegebundene Rolle erstellt. Der vertrauenswürdige Service tut dies asynchron – je nach Bedarf – und nicht unbedingt in allen Konten der Organisation gleichzeitig. Die dienstbezogene Rolle verfügt über vordefinierte IAM Berechtigungen, die es dem vertrauenswürdigen Dienst ermöglichen, nur bestimmte Aufgaben innerhalb dieses Kontos auszuführen. Im Allgemeinen verwaltet AWS alle servicegebundenen Rollen. Dies bedeutet, dass Sie die Rollen oder die verknüpften Richtlinien in der Regel nicht ändern können.

Um all dies zu ermöglichen, stellt AWS Organizations das Mitgliedskonto mit einer servicegebundenen Rolle namens AWSServiceRoleForOrganizations bereit, sobald Sie ein Konto in einer Organisation erstellen oder eine Einladung annehmen, mit der Ihr bestehendes Konto einer Organisation beitritt. Nur der AWS Organizations Dienst selbst kann diese Rolle übernehmen. Die Rolle verfügt über Berechtigungen, die es AWS Organizations ermöglichen, dienstbezogene Rollen für andere AWS-Services zu erstellen. Diese servicegebundene Rolle ist in allen Organisationen vorhanden.

Wenn Ihr Unternehmen nur konsolidierte Fakturierungsfunktionen aktiviert hat, wird die servicegebundene Rolle namens AWSServiceRoleForOrganizations nie verwendet und kann gelöscht werden. Wir empfehlen diese Vorgehensweise jedoch nicht. Wenn Sie später alle Funktionen in Ihrer Organisation aktivieren möchten, ist die Rolle erforderlich und muss wiederhergestellt werden. Die folgenden Prüfungen finden statt, wenn Sie den Prozess starten, um alle Funktionen zu aktivieren:

Für jedes Mitgliedskonto, das zum Beitritt zur Organisation eingeladen wurde – Der Kontoadministrator erhält eine Anforderung zur Zustimmung für die Aktivierung aller Funktionen. Um der Anforderung erfolgreich zustimmen zu können, muss der Administrator sowohl die Berechtigung organizations:AcceptHandshake als auch die Berechtigung iam:CreateServiceLinkedRole besitzen, wenn die serviceverknüpfte Rolle (AWSServiceRoleForOrganizations) nicht bereits vorhanden ist. Wenn die Rolle AWSServiceRoleForOrganizations bereits existiert, benötigt der Administrator nur die Berechtigung organizations:AcceptHandshake, um der Anfrage zuzustimmen. Wenn der Administrator der Anfrage zustimmt, AWS Organizations erstellt er die dienstbezogene Rolle, sofern sie noch nicht vorhanden ist.
Für jedes Mitgliedskonto, das in der Organisation angelegt wurde – Der Kontoadministrator erhält die Anforderung, die servicegebundene Rolle neu zu erstellen. (Der Administrator des Mitgliedskontos erhält keine Aufforderung, alle Funktionen zu aktivieren, da der Administrator des Verwaltungskontos als Eigentümer der erstellten Mitgliedskonten betrachtet wird.) AWS Organizations erstellt die servicegebundene Rolle, wenn der Administrator des Mitgliedskontos der Anforderung zustimmt. Der Administrator muss sowohl die Berechtigung organizations:AcceptHandshake als auch die Berechtigung iam:CreateServiceLinkedRole besitzen, um den Handshake erfolgreich akzeptieren zu können.

Nachdem Sie alle Funktionen in Ihrer Organisation aktiviert haben, können Sie die servicegebundene Rolle AWSServiceRoleForOrganizations nicht mehr aus einem Konto löschen.

Wichtig

AWS Organizations SCPswirkt sich niemals auf dienstbezogene Rollen aus. Diese Rollen sind von jeglichen SCP Einschränkungen ausgenommen.

Verwendung der AWSServiceRoleForDeclarativePoliciesEC2Report serviceverknüpften Rolle

Die AWSServiceRoleForDeclarativePoliciesEC2Report serviceverknüpfte Rolle wird von Organizations verwendet, um den Status von Kontoattributen für Mitgliedskonten zu beschreiben und Berichte über deklarative Richtlinien zu erstellen. Die Berechtigungen der Rolle sind in der definiert. AWS verwaltete Richtlinie: DeclarativePoliciesEC2Report

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Hinzufügen, Aktualisieren und Entfernen von Tags

Services, die mit Organizations funktionieren