Verwaltung von Zugriffsberechtigungen für eine Organisation mit AWS Organizations - AWS Organizations
AWS Organizations Ressourcen und OperationenGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf RessourcenAngeben der Richtlinienelemente: Aktionen, Bedingungen, Effekte und Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Zugriffsberechtigungen für eine Organisation mit AWS Organizations

Alle AWS Ressourcen, einschließlich der StammressourcenOUs, Konten und Richtlinien in einer Organisation, gehören einer AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. In einer Organisation ist das Verwaltungskonto Eigentümer aller Ressourcen. Ein Kontoadministrator kann den Zugriff auf AWS Ressourcen steuern, indem er Berechtigungsrichtlinien an IAM Identitäten (Benutzer, Gruppen und Rollen) anhängt.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

Standardmäßig haben IAM Benutzer, Gruppen und Rollen keine Berechtigungen. Als Administrator im Verwaltungskonto einer Organisation können Sie Verwaltungsaufgaben ausführen oder Administratorberechtigungen an andere IAM Benutzer oder Rollen im Verwaltungskonto delegieren. Dazu fügen Sie einem IAM Benutzer, einer Gruppe oder einer Rolle eine IAM Berechtigungsrichtlinie hinzu. Standardmäßig hat ein Benutzer keine Berechtigungen (implizite Verweigerung). Die Richtlinie überschreibt die implizite Verweigerung mit einer expliziten Zulassung. Diese legt fest, welche Aktionen der Benutzer für welche Ressourcen ausführen kann. Wenn einer Rolle die Berechtigungen erteilt werden, können die Benutzer in anderen Konten der Organisation diese Rolle annehmen.

AWS Organizations Ressourcen und Operationen

In diesem Abschnitt wird erläutert, wie AWS Organizations Konzepte ihren IAM entsprechenden Konzepten zugeordnet werden.

Ressourcen

AWS Organizations In können Sie den Zugriff auf die folgenden Ressourcen steuern:

  • Die Wurzel und OUs das bilden die hierarchische Struktur einer Organisation

  • Die Konten, die Mitglieder einer Organisation sind

  • Die Richtlinien, die Sie an die Entitäten der Organisation anhängen

  • Die Handshakes, die Sie zum Ändern des Status der Organisation verwenden

Jeder dieser Ressourcen ist ein eindeutiger Amazon-Ressourcenname (ARN) zugeordnet. Sie kontrollieren den Zugriff auf eine Ressource, indem Sie sie ARN in Resource einer IAM Berechtigungsrichtlinie angeben. Eine vollständige Liste der ARN Formate für Ressourcen, die in verwendet werden AWS Organizations, finden Sie unter Ressourcentypen definiert von AWS Organizations in der Service Authorization Reference.

Operationen

AWS bietet eine Reihe von Vorgängen für die Arbeit mit den Ressourcen in einer Organisation. Diese ermöglichen Ihnen die Durchführung von Aktivitäten wie das Erstellen, Auflisten, Ändern, Zugreifen auf Inhalte und das Löschen von Ressourcen. Auf die meisten Operationen kann im Action Element einer IAM Richtlinie verwiesen werden, um zu kontrollieren, wer diese Operation verwenden kann. Eine Liste der AWS Organizations Vorgänge, die als Berechtigungen in einer IAM Richtlinie verwendet werden können, finden Sie in der Serviceautorisierungsreferenz unter Von Organisationen definierte Aktionen.

Wenn Sie eine Action und eine Resource in einem einzigen Berechtigungsrichtlinien-Statement kombinieren, können Sie genau steuern, für welche Ressourcen die entsprechenden Aktionen genutzt werden können.

Bedingungsschlüssel

AWS stellt Bedingungsschlüssel bereit, die Sie abfragen können, um bestimmte Aktionen genauer steuern zu können. Sie können im Condition Element einer IAM Richtlinie auf diese Bedingungsschlüssel verweisen, um die zusätzlichen Umstände anzugeben, die erfüllt sein müssen, damit die Aussage als übereinstimmend betrachtet wird.

Die folgenden Bedingungsschlüssel sind besonders nützlich bei AWS Organizations:

  • aws:PrincipalOrgID – Vereinfacht die Angabe des Principal-Elements in einer ressourcenbasierten Richtlinie. Dieser globale Schlüssel bietet eine Alternative zur Auflistung aller Konten IDs für alle AWS-Konten in einer Organisation. Anstatt alle Konten, die Mitglieder einer Organisation sind, aufzulisten, können Sie die Organisations-ID im Condition-Element angeben.

    Anmerkung

    Diese globale Bedingung gilt auch für das Verwaltungskonto einer Organisation.

    Weitere Informationen finden Sie PrincipalOrgID in der Beschreibung der Kontextschlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

  • aws:PrincipalOrgPaths – Verwenden Sie diesen Bedingungsschlüssel, um Mitglieder eines bestimmten Organisationsstammes, einer OU oder deren untergeordneten Elemente abzugleichen. Der aws:PrincipalOrgPaths Bedingungsschlüssel gibt „true“ zurück, wenn sich der Hauptbenutzer (IAMRoot-Benutzer, Benutzer oder Rolle), der die Anfrage stellt, im angegebenen Organisationspfad befindet. Ein Pfad ist eine Textdarstellung der Struktur einer AWS Organizations Entität. Weitere Informationen zu Pfaden finden Sie unter Grundlegendes zum AWS Organizations Entitätspfad im IAMBenutzerhandbuch. Weitere Informationen zur Verwendung dieses Bedingungsschlüssels finden Sie unter aws: PrincipalOrgPaths im IAMBenutzerhandbuch.

    Das folgende Bedingungselement entspricht beispielsweise Mitgliedern von zwei OUs Mitgliedern derselben Organisation.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType— Mit diesem Bedingungsschlüssel können Sie die richtlinienbezogenen API Operationen der Organizations so einschränken, dass sie nur für Organisationsrichtlinien des angegebenen Typs funktionieren. Sie können diesen Bedingungsschlüssel auf jede Richtlinienanweisung anwenden, die eine Aktion enthält, die mit Organizations-Richtlinien interagiert.

    Mit diesem Bedingungsschlüssel können Sie die folgenden Werte verwenden:

    • SERVICE_CONTROL_POLICY

    • BACKUP_POLICY

    • TAG_POLICY

    • CHATBOT_POLICY

    • AISERVICES_OPT_OUT_POLICY

    Mit der folgenden Beispielrichtlinie kann der Benutzer beispielsweise jede Organizations-Operation ausführen. Wenn der Benutzer jedoch einen Vorgang ausführt, der ein Richtlinienargument verwendet, ist der Vorgang nur zulässig, wenn die angegebene Richtlinie eine Tagging-Richtlinie ist. Der Vorgang schlägt fehl, wenn der Benutzer einen anderen Richtlinientyp angibt.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal— Als Bedingung verfügbar, wenn Sie die Operationen E nableAWSService Access oder D Access verwenden, um den vertrauenswürdigen isableAWSService Zugriff mit anderen AWS Diensten zu aktivieren oder zu deaktivieren. Sie können organizations:ServicePrincipal verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten.

    Mit der folgenden Richtlinie kann der Benutzer beispielsweise nur angeben, ob der vertrauenswürdige Zugriff mit AWS Firewall Manager AWS Organizations aktiviert und deaktiviert werden soll.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Eine Liste aller AWS Organizations—spezifischen Bedingungsschlüssel, die als Berechtigungen in einer IAM Richtlinie verwendet werden können, finden Sie unter Bedingungsschlüssel für AWS Organizations in der Service Authorization Reference.

Grundlegendes zum Eigentum an Ressourcen

Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. der Root-Benutzer, ein IAM Benutzer oder eine IAM Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Für eine Organisation ist dies immer das Verwaltungskonto. Sie können keine Vorgänge aufrufen, die Organisationsressourcen aus anderen Mitgliedskonten erstellen oder auf diese zugreifen. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Stammkonto-Anmeldeinformationen für Ihr Verwaltungskonto verwenden, um eine OU zu erstellen, ist Ihr Verwaltungskonto der Eigentümer der Ressource. (In AWS Organizations, die Ressource ist die Organisationseinheit).

  • Wenn Sie in Ihrem Verwaltungskonto einen IAM Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen einer Organisationseinheit gewähren, kann der Benutzer eine Organisationseinheit erstellen. Der Eigentümer der OU-Ressource ist jedoch das Verwaltungskonto, dem der Benutzer angehört.

  • Wenn Sie in Ihrem Verwaltungskonto eine IAM Rolle mit Berechtigungen zum Erstellen einer Organisationseinheit erstellen, kann jeder, der diese Rolle übernehmen kann, eine Organisationseinheit erstellen. Der Eigentümer der OU-Ressource ist das Verwaltungskonto, zu dem die Rolle gehört (nicht der Benutzer mit der Rolle).

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben AWS Organizations. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und Beschreibungen finden Sie in der IAMJSONRichtlinienreferenz im IAMBenutzerhandbuch.

Richtlinien, die mit einer IAM Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. Richtlinien, die mit einer Ressource verknüpft sind, werden als ressourcenbasierte Richtlinien bezeichnet. AWS Organizations unterstützt nur identitätsbasierte Richtlinien (Richtlinien). IAM

Identitätsbasierte Berechtigungsrichtlinien (IAM-Richtlinien)

Sie können Identitäten Richtlinien zuordnen, damit diese IAM Identitäten Operationen mit Ressourcen ausführen können. AWS Sie können z. B. Folgendes tun:

  • Ordnen Sie einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zu — Um einem Benutzer Berechtigungen zum Erstellen einer AWS Organizations Ressource zu gewähren, z. B. einer Dienststeuerungsrichtlinie (SCP) oder einer Organisationseinheit, können Sie einem Benutzer oder einer Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie anhängen. Der Benutzer oder die Gruppe muss sich in der Organisation des Verwaltungskontos befinden.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um einer Organisation kontoübergreifenden Zugriff zu gewähren. Der Administrator im Verwaltungskonto kann beispielsweise folgendermaßen eine Rolle erstellen, um einem Benutzer in einem Mitgliedskonto kontenübergreifende Berechtigungen zu erteilen:

    1. Der Administrator des Verwaltungskontos erstellt eine IAM Rolle und fügt der Rolle eine Berechtigungsrichtlinie hinzu, die Berechtigungen für die Ressourcen der Organisation gewährt.

    2. Der Verwaltungskontoadministrator fügt der Rolle eine Vertrauensrichtlinie hinzu. Diese definiert die Mitgliedskonto-ID des Principal, der die Rolle annehmen darf.

    3. Der Mitgliedskontoadministrator kann dann die Berechtigung zum Annehmen der Rolle an jegliche Benutzer im Mitgliedskonto delegieren. Dadurch können Benutzer im Mitgliedskonto Ressourcen im Verwaltungskkonto und in der Organisation erstellen oder auf diese zugreifen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS Dienstprinzipal sein, wenn Sie einem AWS Dienst die Erlaubnis erteilen möchten, diese Rolle zu übernehmen.

    Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Access Management im IAMBenutzerhandbuch.

Die folgenden Beispiele zeigen Richtlinien, die Benutzern das Ausführen der Aktion CreateAccount in Ihrer Organisation gestatten.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

Sie können auch einen Teil des Resource Elements ARN der Richtlinie angeben, um den Ressourcentyp anzugeben.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

Darüber hinaus können Sie die Erstellung von Konten verweigern, die keine spezifischen Tags für das zu erstellende Konto enthalten.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter IAMIdentitäten (Benutzer, Benutzergruppen und Rollen). IAM

Ressourcenbasierte Richtlinien

Einige Services (beispielsweise Amazon S3) unterstützen ressourcenbasierte Berechtigungsrichtlinien. Sie können beispielsweise eine Richtlinie an einen Amazon S3 S3-Bucket anhängen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Organizations unterstützt derzeit keine ressourcenbasierten Richtlinien.

Angeben der Richtlinienelemente: Aktionen, Bedingungen, Effekte und Ressourcen

Für jede AWS Organizations Ressource definiert der Dienst eine Reihe von API Vorgängen oder Aktionen, die auf irgendeine Weise mit dieser Ressource interagieren oder sie manipulieren können. AWS Organizations Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu gewähren. AWS Organizations Definiert beispielsweise für die OU-Ressource Aktionen wie die folgenden:

  • AttachPolicy und DetachPolicy

  • CreateOrganizationalUnit und DeleteOrganizationalUnit

  • ListOrganizationalUnits und DescribeOrganizationalUnit

In einigen Fällen sind für die Ausführung eines API Vorgangs möglicherweise Berechtigungen für mehr als eine Aktion und möglicherweise Berechtigungen für mehr als eine Ressource erforderlich.

Im Folgenden sind die grundlegendsten Elemente aufgeführt, die Sie in einer IAM Berechtigungsrichtlinie verwenden können:

  • Aktion – Mit diesem Schlüsselwort können Sie die Operationen (Aktionen) festlegen, die Sie zulassen oder verweigern möchten. organizations:CreateAccountErlaubt oder verweigert dem Benutzer beispielsweise je nach Angabe Effect die Berechtigungen zur Ausführung des AWS Organizations CreateAccount Vorgangs. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente: Aktion im IAMBenutzerhandbuch.

  • Ressource — Verwenden Sie dieses Schlüsselwort, um ARN die Ressource anzugeben, für die die Richtlinienerklärung gilt. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente: Ressource im IAMBenutzerhandbuch.

  • Bedingung – Verwenden Sie dieses Schlüsselwort, um eine Bedingung anzugeben, die erfüllt werden muss, damit die Richtlinienanweisung gilt. Condition gibt in der Regel zusätzliche Umstände an, die erfüllt sein müssen, damit die Richtlinie zutrifft. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.

  • Effekt – Mit diesem Schlüsselwort geben Sie an, ob die Richtlinienanweisung die Aktion für die Ressource zulässt oder verweigert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten (bzw. zulassen), wird er automatisch verweigert. Sie können außerdem den Zugriff auf eine Ressource explizit verweigern. So können Sie gewährleisten, dass ein Benutzer die angegebene Aktion für die definierte Ressource nicht ausführen kann (selbst dann nicht, wenn er über eine andere Richtlinie Zugriff erhält). Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Wirkung.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, automatisch und implizit der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Organizations unterstützt derzeit nur identitätsbasierte Richtlinien, keine ressourcenbasierten Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie in der IAMJSONRichtlinienreferenz im Benutzerhandbuch. IAM