Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Praktische Anleitung: Erstellen und Konfigurieren einer Organisation
<a name="orgs_tutorials_basic"></a>

In diesem Tutorial erstellen Sie Ihre Organisation und konfigurieren sie mit zwei AWS Mitgliedskonten. Sie erstellen eines der Mitgliedskonten in Ihrer Organisation und laden das andere Konto zum Beitritt Ihrer Organisation ein. Als Nächstes geben Sie mithilfe der [Whitelist](orgs_manage_policies_scps_evaluation.md#how_scps_allow)-Technik an, dass die Kontoadministratoren nur explizit aufgelistete Services und Aktionen delegieren können. Auf diese Weise können Administratoren jeden neuen Dienst, der AWS eingeführt wird, validieren, bevor sie die Nutzung durch andere Personen in Ihrem Unternehmen zulassen. Auf diese Weise bleibt die AWS Einführung eines neuen Dienstes solange verboten, bis ein Administrator den Dienst der Zulassungsliste in der entsprechenden Richtlinie hinzufügt. Das Tutorial zeigt Ihnen auch, wie Sie mithilfe einer [Sperrliste](orgs_manage_policies_scps_evaluation.md#how_scps_deny) sicherstellen können, dass kein Benutzer eines Mitgliedskontos die Konfiguration der erstellten Audit-Logs ändern kann. AWS CloudTrail 

Die folgende Abbildung zeigt die wichtigsten Schritte der praktischen Anleitung.

![\[Four-step process for creating an organization, units, policies, and testing restrictions.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/tutorialorgs.png)

**[Schritt 1: Erstellen Ihrer Organisation](#tutorial-orgs-step1)**  
In diesem Schritt erstellen Sie eine Organisation mit Ihrem aktuellen AWS-Konto Verwaltungskonto. Sie laden auch eine AWS-Konto Person ein, Ihrer Organisation beizutreten, und erstellen ein zweites Konto als Mitgliedskonto.

**[Schritt 2: Erstellen der Organisationseinheiten](#tutorial-orgs-step2)**  
Als Nächstes erstellen Sie zwei Organisationseinheiten (OUs) in Ihrer neuen Organisation und platzieren die Mitgliedskonten in diesen OUs.

**[Schritt 3: Erstellen von Service-Kontrollrichtlinien](#tutorial-orgs-step3)**  
Mithilfe von [Dienststeuerungsrichtlinien (SCPs)](orgs_manage_policies_scps.md) können Sie einschränken, welche Aktionen an Benutzer und Rollen in den Mitgliedskonten delegiert werden können. In diesem Schritt erstellen Sie zwei SCPs und fügen sie den OUs in Ihrer Organisation hinzu.

**[Schritt 4: Testen der Organisationsrichtlinien](#tutorial-orgs-step4)**  
Sie können sich von jedem der Testkonten aus als Benutzer anmelden und sehen, welche Auswirkungen diese auf die Konten SCPs haben.

Für keinen der Schritte in diesem Tutorial fallen Kosten auf Ihre AWS Rechnung an. AWS Organizations ist ein kostenloser Service.

## Voraussetzungen
<a name="tut-basic-prereqs"></a>

In diesem Tutorial wird davon ausgegangen, dass Sie Zugriff auf zwei bestehende haben AWS-Konten (ein drittes erstellen Sie im Rahmen dieses Tutorials) und dass Sie sich jeweils als Administrator anmelden können.

Die praktische Anleitung bezieht sich auf folgende Konten:
+ `111111111111` – Das Konto, das Sie zur Erstellung der Organisation verwenden. Dieses Konto wird zum Verwaltungskonto. Der Inhaber dieses Kontos hat die E-Mail-Adresse `OrgAccount111@example.com`.
+ `222222222222` – Ein Konto, das Sie zum Beitritt zur Organisation als Mitgliedskonto einladen. Der Inhaber dieses Kontos hat die E-Mail-Adresse `member222@example.com`.
+ `333333333333` – Ein Konto, das Sie als Mitglied der Organisation erstellen. Der Inhaber dieses Kontos hat die E-Mail-Adresse `member333@example.com`.

Ersetzen Sie die obigen Wert mit den Werten für Ihre Testkonten. Wir empfehlen Ihnen, keine Produktionskonten für diese praktische Anleitung zu verwenden.

## Schritt 1: Erstellen Ihrer Organisation
<a name="tutorial-orgs-step1"></a>

In diesem Schritt melden Sie sich am Konto 111111111111 als Administrator an, erstellen eine Organisation mit diesem Konto als Verwaltungskonto und laden ein vorhandenes Konto 222222222222 zum Beitritt zur Organisation als Mitgliedskonto ein.

------
#### [ AWS-Managementkonsole ]

1. [Melden Sie sich AWS als Administrator des Kontos 111111111111 an und öffnen Sie die Konsole.AWS Organizations](https://console.aws.amazon.com/organizations/v2)

1. Wählen Sie auf der Einführungsseite **Create organization (Organisation erstellen)** aus.

1. Wählen Sie im Bestätigungsdialogfeld **Organisation erstellen**.
**Anmerkung**  
Standardmäßig wird die Organisation mit allen Funktionen aktiviert erstellt. Sie können auch angeben, dass für die erstellte Organisation nur [Funktionen für die konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/useconsolidatedbilling-procedure.html) aktiviert sein sollen.

   AWS erstellt die Organisation und zeigt Ihnen die Seite. **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** Wenn Sie sich auf einer anderen Seite befinden, wählen Sie **AWS-Konten** auf der linken Seite des Navigationsbereichs.

   Wenn die E-Mail-Adresse des von Ihnen verwendeten Kontos noch nie von AWS verifiziert wurde, wird automatisch eine Verifizierungs-E-Mail an die Adresse gesendet, die Ihrem Verwaltungskonto zugeordnet ist. Es kann eine Verzögerung eintreten, bevor Sie die Verifizierungs-E-Mail erhalten.

1. Überprüfen Sie Ihre E-Mail-Adresse innerhalb von 24 Stunden. Weitere Informationen finden Sie unter [Überprüfung der E-Mail-Adresse mit AWS Organizations](about-email-verification.md).

------

Sie haben nun eine Organisation mit Ihrem Konto als einziges Mitglied. Dies ist das Verwaltungskonto der Organisation.

### Einladen eines vorhandenen Kontos zum Beitritt Ihrer Organisation
<a name="tut-basic-invite-existing"></a>

Nachdem Sie eine Organisation erstellt haben, können Sie Konten hinzufügen. In den Schritten dieses Abschnitts laden Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation als Mitglied ein.

------
#### [ AWS-Managementkonsole ]

**Einladen eines vorhandenen Kontos zum Beitritt**

1. Navigieren Sie zu **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** und wählen Sie **Hinzufügen eines AWS-Konto** aus.

1. Wählen Sie auf der AWS-Konto Seite **[Eine Seite hinzufügen](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** die **Option Bestehende Seite einladen** aus AWS-Konto.

1. Geben Sie in das Feld **E-Mail-Adresse oder Konto-ID eines AWS-Konto einladen** die E-Mail-Adresse des Kontoinhabers ein, den Sie einladen möchten, z. B. **member222@example.com**. Wenn Sie die AWS-Konto ID-Nummer kennen, können Sie sie stattdessen auch eingeben.

1. Geben Sie den gewünschten Text in das Feld **In die Einladungs-E-Mail-Nachricht einzuschließende Nachricht** ein. Dieser Text ist in der E-Mail enthalten, die an den Kontoinhaber gesendet wird.

1. Wählen Sie **Einladung senden**. AWS Organizations sendet die Einladung an den Kontoinhaber.
**Wichtig**  
Erweitern Sie die Fehlermeldung, falls angegeben. Wenn der Fehler darauf hinweist, dass Sie Ihr Kontolimit für die Organisation überschritten haben oder dass Sie kein Konto hinzufügen können, weil Ihre Organisation noch initialisiert wird, warten Sie eine Stunde nach Erstellung der Organisation und versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an den [AWS -Support](https://console.aws.amazon.com/support/home#/).

1. Im Rahmen dieser praktischen Anleitung müssen Sie nun Ihre eigene Einladung annehmen. Führen Sie einen der folgenden Schritte aus, um die Seite **Invitations** in der Konsole aufzurufen:
   + Öffnen Sie die E-Mail, die vom Verwaltungskonto AWS gesendet wurde, und wählen Sie den Link, um die Einladung anzunehmen. Wenn Sie dazu aufgefordert werden, melden Sie sich als Administrator am eingeladenen Mitgliedskonto an. 
   + Öffnen Sie die [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) und navigieren Sie zur Seite **[Einladungen](https://console.aws.amazon.com/organizations/v2/home/accounts/invitations)**.

1. Wählen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** **Annehmen** und danach **Bestätigen**.
**Tipp**  
Der Eingang der Einladung kann sich verzögern und Sie müssen möglicherweise warten, bis Sie die Einladung annehmen können.

1. Melden Sie sich von Ihrem Mitgliedskonto ab, und melden Sie sich als Administrator an Ihrem Verwaltungskonto an. 

------

### Erstellen eines Mitgliedskontos
<a name="tut-basic-create-new"></a>

In den Schritten in diesem Abschnitt erstellen Sie eine AWS-Konto , die automatisch Mitglied der Organisation ist. In diesem Tutorial bezeichnen wir dieses Konto als 333333333333.

------
#### [ AWS-Managementkonsole ]

**Erstellen eines Mitgliedskontos**

1. Wählen Sie in der AWS Organizations Konsole auf der **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**Seite **Hinzufügen** aus AWS-Konto.

1. Wählen Sie auf der Seite **[Hinzufügen eines AWS-Konto](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** **Erstellen eines AWS-Konto** aus. 

1. Geben Sie unter **AWS-Konto -Name)** einen Namen für das Konto ein, z. B. **MainApp Account**.

1. Geben Sie unter **E-Mail des Stammbenutzerkontos** die E-Mail-Adresse der Person ein, die Mitteilungen zu diesem Konto erhalten soll. Dieser Wert muss global eindeutig sein. Zwei Konten können nicht dieselbe E-Mail-Adresse haben. Sie können beispielsweise etwas verwenden wie: **mainapp@example.com**.

1. Für **IAM role name (IAM-Rollenname)** können Sie das Feld leer lassen und automatisch den Standardrollenamen `OrganizationAccountAccessRole` verwenden oder Ihren eigenen Namen angeben. Mit dieser Rolle können Sie auf das neue Mitgliedskonto zugreifen, wenn Sie am Verwaltungskonto als IAM-Benutzer angemeldet sind. Lassen Sie das Feld im Rahmen dieser Anleitung leer, um AWS Organizations anzuweisen, die Rolle mit dem Standardnamen zu erstellen.

1. Wählen Sie **Erstellen AWS-Konto** aus. Möglicherweise müssen Sie kurz warten und die Seite aktualisieren, damit das neue Konto auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** angezeigt wird.
**Wichtig**  
Wenn Sie einen Fehler erhalten, der darauf hinweist, dass Sie Ihr Kontolimit für die Organisation überschritten haben oder dass Sie kein Konto hinzufügen können, weil Ihre Organisation noch initialisiert wird, warten Sie eine Stunde nach Erstellung der Organisation und versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an den [AWS -Support](https://console.aws.amazon.com/support/home#/).

------

## Schritt 2: Erstellen der Organisationseinheiten
<a name="tutorial-orgs-step2"></a>

In den Schritten in diesem Abschnitt erstellen Sie Organisationseinheiten (OUs) und platzieren Ihre Mitgliedskonten darin. Sie erhalten am Ende eine Hierarchie, wie in der folgenden Abbildung dargestellt. Das Verwaltungskonto bleibt im Stamm. Ein Mitgliedskonto wird in die Produktionsorganisationseinheit verschoben, und das andere Mitgliedskonto wird in die MainApp Organisationseinheit verschoben, die ein untergeordnetes Element von Production ist. 

![\[Die Organisationsstruktur des Tutorials zeigt Produktion und Sicherheit OUs mit einer MainApp untergeordneten Organisationseinheit\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/orgs-lab-structure.jpg)


------
#### [ AWS-Managementkonsole ]

**Um das zu erstellen und zu füllen OUs**
**Anmerkung**  
In den folgenden Schritten interagieren Sie mit Objekten, für die Sie entweder den Namen des Objekts selbst oder das Optionsfeld neben dem Objekt auswählen können.  
Wenn Sie den Namen des Objekts auswählen, öffnen Sie eine neue Seite, auf der die Objektdetails angezeigt werden.
Wenn Sie das Optionsfeld neben dem Objekt auswählen, identifizieren Sie das Objekt, auf das eine andere Aktion angewendet werden soll, z. B. eine Menüoption.
Die folgenden Schritte haben Sie das Optionsfeld zu wählen, so dass Sie dann auf das zugeordnete Objekt reagieren können, indem Sie Menüoptionen vornehmen.

1. Navigieren Sie in der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) zur Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**.

1. Aktivieren Sie das ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png)-Kontrollkästchen neben dem **Stamm**-Container.

1. Wählen Sie das Drop-down-Menü **Aktionen** und dann unter **Organisationseinheit** die Option Neu **erstellen** aus.

1. Geben Sie auf der Seite **Organisationseinheit im Stamm erstellen** für den **Namen der Organisationseinheit** **Production** ein und wählen Sie dann **Organisationseinheit erstellen**.

1. Aktivieren Sie das Kontrollkästchen ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png) neben der neuen **Produktions-**OU.

1. Wählen Sie **Aktionen** und dann unter **Organisationseinheit** die Option **Neu erstellen** aus.

1. Geben Sie auf der Seite **Organisationseinheit in Produktion erstellen** für den Namen der zweiten Organisationseinheit **MainApp** ein und wählen Sie dann **Organisationseinheit erstellen**.

   Jetzt können Sie Ihre Mitgliedskonten in diese OUs verschieben.

1. Kehren Sie zur Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** zurück, und erweitern Sie dann den Baum unter Ihrer **Produktions**-OU, indem Sie das Dreieck ![\[Gray cloud icon with an arrow pointing downward, indicating download or cloud storage.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/expand-icon.png) daneben auswählen. Dadurch wird die **MainApp**Organisationseinheit als untergeordnetes Element von **Production** angezeigt.

1. Aktivieren Sie neben **333333333333** das Kontrollkästchen ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png) (nicht seinen Namen), wählen Sie **Aktionen** und dann unter **AWS-Konto** die Option **Verschieben**.

1. **Wählen Sie auf der Seite **Move AWS-Konto '3333333333'** das Dreieck neben Production aus, um es zu erweitern.** **Wählen Sie neben dem **MainApp**Optionsfeld das Optionsfeld ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/radio-button-selected.png) (nicht den Namen) und anschließend das Optionsfeld „Verschieben“ aus. AWS-Konto**

1. Aktivieren Sie neben **222222222222** das Kontrollkästchen ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/checkbox-selected.png) (nicht seinen Namen), wählen Sie **Aktionen** und dann unter **AWS-Konto** die Option **Verschieben** aus.

1. **Wählen Sie auf der **Move-Seite AWS-Konto „222222222222“** neben **Produktion** das Optionsfeld (nicht den Namen) und anschließend „Verschieben“ aus. AWS-Konto**

------

## Schritt 3: Erstellen von Service-Kontrollrichtlinien
<a name="tutorial-orgs-step3"></a>

In den Schritten in diesem Abschnitt erstellen Sie drei [Dienststeuerungsrichtlinien (SCPs)](orgs_manage_policies_scps.md) und hängen sie an das Stammverzeichnis und an die an, OUs um einzuschränken, was Benutzer in den Konten der Organisation tun können. Der erste SCP verhindert, dass jemand in einem der Mitgliedskonten von Ihnen konfigurierte AWS CloudTrail Protokolle erstellt oder ändert. Das Verwaltungskonto ist von keinem SCP betroffen. Nachdem Sie das CloudTrail SCP angewendet haben, müssen Sie daher alle Protokolle vom Verwaltungskonto aus erstellen.

### Aktivieren des Service-Kontrollrichtlinientyps für die Organisation
<a name="tutorial-orgs-step3-enable-scp"></a>

Bevor Sie einen Richtlinientyp an einen Root oder eine beliebige Organisationseinheit innerhalb des Roots anfügen können, müssen Sie den Richtlinientyp für die Organisation aktualisieren. Richtlinientypen sind nicht standardmäßig aktiviert. In diesem Abschnitt erfahren Sie, wie Sie den Service-Kontrollrichtlinientyp (SCP) in Ihrer Organisation aktivieren.

------
#### [ AWS-Managementkonsole ]

**Um es SCPs für Ihre Organisation zu aktivieren**

1. Navigieren Sie zu **[Richtlinien](https://console.aws.amazon.com/organizations/v2/home/policies)** und wählen Sie dann **Service-Kontrollrichtlinien** aus.

1. Wählen Sie auf der Seite **[Service-Kontrollrichtlinien](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)** **Aktivieren von Service-Kontrollrichtlinien** aus.

   Es erscheint ein grünes Banner, das Sie darüber informiert, dass Sie jetzt SCPs in Ihrer Organisation Inhalte erstellen können.

------

### Erstelle deine SCPs
<a name="tutorial-orgs-step3-create-pols"></a>

Nachdem Servicesteuerungsrichtlinien in Ihrer Organisation aktiviert sind, können Sie die drei Richtlinien erstellen, die Sie für dieses Lernprogramm benötigen.

------
#### [ AWS-Managementkonsole ]

**Um den ersten SCP zu erstellen, der CloudTrail Konfigurationsaktionen blockiert**

1. Navigieren Sie zu **[Richtlinien](https://console.aws.amazon.com/organizations/v2/home/policies)** und wählen Sie dann **Service-Kontrollrichtlinien** aus.

1. Wählen Sie auf der Seite **[Service-Kontrollrichtlinien](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)** die Option **Richtlinie erstellen** aus.

1. Geben Sie unter **Policy name** (Richtlinienname) **Block CloudTrail Configuration Actions** ein.

1. Wählen Sie im Abschnitt **Richtlinie** in der Liste der Dienste auf der rechten Seite CloudTrail den Dienst aus. Wählen Sie dann die folgenden Aktionen aus: **AddTags**CreateTrail**DeleteTrail******, **RemoveTags**, **StartLogging**, **StopLogging**, und **UpdateTrail**.

1. Wählen Sie im rechten Bereich die Optionen **Ressource hinzufügen** und angeben **CloudTrail**und **Alle Ressourcen** aus. Wählen Sie dann **Add resource (Ressource hinzufügen)**.

   Die Richtlinienanweisung auf der linken Seite sollte in etwa wie folgt aussehen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Stmt1234567890123",
               "Effect": "Deny",
               "Action": [
                   "cloudtrail:AddTags",
                   "cloudtrail:CreateTrail",
                   "cloudtrail:DeleteTrail",
                   "cloudtrail:RemoveTags",
                   "cloudtrail:StartLogging",
                   "cloudtrail:StopLogging",
                   "cloudtrail:UpdateTrail"
               ],
               "Resource": [
                   "*"
               ]
           }
       ]
   }
   ```

------

1. Wählen Sie **Richtlinie erstellen** aus.

------

Die zweite Richtlinie definiert eine [Whitelist](orgs_manage_policies_scps_evaluation.md#how_scps_allow) aller Services und Aktionen, die Sie für Benutzer und Rollen in der Produktionsorganisationseinheit aktivieren möchten. Wenn Sie fertig sind, können Benutzer in der Organisationseinheit "Production" ***nur*** auf die die aufgelisteten Services und Aktionen zugreifen.

------
#### [ AWS-Managementkonsole ]

**So erstellen Sie die zweiten Richtlinie zur Aufnahme von genehmigten Services in die Whitelist für die Produktionsorganisationseinheit**

1. Wählen Sie auf der Seite **[Service-Kontrollrichtlinien](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)** die Option **Richtlinie erstellen** aus.

1. Geben Sie unter **Policy name** (Richtlinienname) **Allow List for All Approved Services** ein.

1. Positionieren Sie den Cursor im rechten Bereich des Abschnitts **Policy (Richtlinie)** und fügen Sie eine Richtlinie wie die folgende ein.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Stmt1111111111111",
               "Effect": "Allow",
               "Action": [ 
                   "ec2:*",
                   "elasticloadbalancing:*",
                   "codecommit:*",
                   "cloudtrail:*",
                   "codedeploy:*"
                 ],
               "Resource": [ "*" ]
           }
       ]
   }
   ```

------

1. Wählen Sie **Richtlinie erstellen** aus.

------

Die endgültige Richtlinie enthält eine [Liste](orgs_manage_policies_scps_evaluation.md#how_scps_deny) der Dienste, deren Nutzung in der MainApp Organisationseinheit gesperrt ist. In diesem Tutorial blockieren Sie den Zugriff auf Amazon DynamoDB für alle Konten, die sich in der **MainApp**Organisationseinheit befinden.

------
#### [ AWS-Managementkonsole ]

**Um die dritte Richtlinie zu erstellen, die den Zugriff auf Dienste verweigert, die in der Organisationseinheit nicht verwendet werden können MainApp**

1. Wählen Sie auf der Seite **[Service-Kontrollrichtlinien](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)** die Option **Richtlinie erstellen** aus.

1. Geben Sie unter **Policy name** (Richtlinienname) **Deny List for MainApp Prohibited Services** ein.

1. Wählen Sie im Abschnitt **Policy (Richtlinie)** auf der linken Seite **Amazon DynamoDB** für den Service aus. Wählen Sie für die Aktion **All actions (Alle Aktionen)** aus.

1. Wählen Sie ebenfalls auf der linken Seite **Ressource hinzufügen** und geben Sie **DynamoDB** und **Alle Ressourcen** an. Wählen Sie dann **Add resource (Ressource hinzufügen)**.

   Die Richtlinienanweisung auf der rechten Seite wird aktualisiert und sieht in etwa wie folgt aus.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": [ "dynamodb:*" ],
         "Resource": [ "*" ]
       }
     ]
   }
   ```

------

1. Wählen Sie **Create Policy (Richtlinie erstellen)**, um die SCP zu speichern.

------

### Hängen Sie das an SCPs Ihr an OUs
<a name="tut-basic-attach-scp"></a>

Nun, da sie SCPs existieren und für Ihren Root aktiviert sind, können Sie sie an den Root anhängen und OUs.

------
#### [ AWS-Managementkonsole ]

**Um die Richtlinien an das Stammverzeichnis anzuhängen und OUs**

1. Navigieren Sie zur Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**.

1. Wählen Sie auf der Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** **Stamm** (seinen Namen, nicht das Optionsfeld) aus, um zur Detailseite zu navigieren.

1. Wählen Sie auf der Seite **Stamm**-Details die Registerkarte **Richtlinien** aus, und wählen Sie dann unter **Service-Kontrollrichtlinien** die Option **Anfügen** aus.

1. Wählen Sie auf der Seite **Service-Kontrollrichtlinie anfügen** das Optionsfeld neben dem SCP mit dem Namen `Block CloudTrail Configuration Actions` aus und wählen Sie dann **Anfügen** aus. In diesem Tutorial hängen Sie es an das Stammverzeichnis an, sodass es sich auf alle Mitgliedskonten auswirkt, um zu verhindern, dass jemand die Art und Weise ändert, wie Sie es konfiguriert CloudTrail haben. 

   Auf der Seite mit den **Root-Details** auf der Registerkarte **Richtlinien** wird nun angezeigt, dass zwei an das Stammverzeichnis angehängt SCPs sind: das, das Sie gerade angehängt haben, und das `FullAWSAccess` Standard-SCP. 

1. Navigieren Sie zurück zur Seite **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)** und wählen Sie die **Produktions**-OU (der Name, nicht das Optionsfeld), um zur Detailseite zu navigieren.

1. Wählen Sie auf der Detailseite der **Produktions**-OU die Registerkarte **Richtlinien** aus. 

1. Wählen Sie unter **Service-Kontrollrichtlinien** die Option **Anfügen** aus.

1. Wählen Sie auf der Seite **Service-Kontrollrichtlinie anfügen** das Optionsfeld neben `Allow List for All Approved Services` aus und wählen Sie dann **Anfügen** aus. Dadurch können Benutzer oder Rollen in Mitgliedskonten in der **Produktions**organisationseinheit auf die genehmigten Services zugreifen.

1. Wählen Sie erneut die Registerkarte **Richtlinien**, um zu sehen, dass zwei an die Organisationseinheit angehängt SCPs sind: die, die Sie gerade angehängt haben, und die `FullAWSAccess` Standard-SCP. Da die `FullAWSAccess`-SCP jedoch auch eine Whitelist ist, mit der alle Services und Aktionen freigegeben werden, müssen Sie jetzt die Zuweisung dieser SCP aufheben, um sicherzustellen, dass nur Ihre genehmigten Services zulässig sind.

1. Um die Standardrichtlinie aus der **Produktionsorganisationseinheit** zu entfernen, wählen Sie das Optionsfeld „**Vollständig**“AWSAccess, dann „**Trennen**“ und anschließend im Bestätigungsdialogfeld die Option „Richtlinie **trennen**“ aus.

   Nachdem Sie die Standardrichtlinie entfernt haben, verlieren alle der **Produktions**-OU untergeordneten Mitgliedskonten den Zugriff auf sämtliche Aktionen und Services, die nicht in der im vorherigen Schritt zugewiesenen Whitelist-SCP enthalten sind. Alle Anforderungen zur Verwendung von Aktionen, die nicht in der **Allow List for All Approved Services (Whitelist für alle zugelassenen Services)** enthalten sind, werden verweigert. Dies gilt auch dann, wenn ein Administrator in einem Konto Zugriff auf einen anderen Service gewährt, indem er einem Benutzer in einem der Mitgliedskonten eine IAM-Berechtigungsrichtlinie zuweist.

1. Jetzt können Sie den SCP mit dem Namen anhängen`Deny List for MainApp Prohibited services`, um zu verhindern, dass jemand in den Konten in der MainApp Organisationseinheit einen der eingeschränkten Dienste nutzt.

   Navigieren Sie dazu zu der **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**Seite, wählen Sie das dreieckige Symbol, um den Zweig der **Produktionseinheit** zu erweitern, und wählen Sie dann die **MainApp**Organisationseinheit (ihren Namen, nicht das Optionsfeld), um zum Inhalt zu gelangen.

1. Wählen Sie auf der **MainApp**Detailseite die Registerkarte **Richtlinien** aus.

1. Wählen Sie unter **Service Control-Richtlinien** die Option Anhängen aus und wählen Sie dann in der Liste der verfügbaren Richtlinien das Optionsfeld neben **Liste für MainApp verbotene Dienste ablehnen** aus, und wählen Sie dann **Richtlinie anhängen** aus.

------

## Schritt 4: Testen der Organisationsrichtlinien
<a name="tutorial-orgs-step4"></a>

Sie können sich jetzt als Benutzer bei einem der Mitgliedskonten [anmelden](https://docs.aws.amazon.com//signin/latest/userguide/what-is-sign-in.html) und versuchen, verschiedene AWS -Aktionen auszuführen:
+ Wenn Sie sich als Benutzer am Verwaltungskonto anmelden, können Sie jede Operation ausführen, die Ihre IAM-Berechtigungsrichtlinien zulassen. Sie wirken sich SCPs nicht auf Benutzer oder Rollen im Verwaltungskonto aus, unabhängig davon, in welchem Stamm oder in welcher Organisationseinheit sich das Konto befindet.
+ Wenn Sie sich als Benutzer im Konto 222222222222 anmelden, können Sie alle Aktionen ausführen, die in der Zulassungsliste zulässig sind. AWS Organizations verweigert jeden Versuch, eine Aktion in einem Dienst auszuführen, der nicht auf der Zulassungsliste steht. Lehnt AWS Organizations außerdem jeden Versuch ab, eine der CloudTrail Konfigurationsaktionen durchzuführen.
+ Wenn Sie sich als ein Benutzer in Konto „333333333333“ anmelden, können Sie sämtliche Aktionen ausführen, die laut Whitelist zulässig und laut Sperrliste nicht blockiert sind. AWS Organizations lehnt jede Aktion ab, die nicht in der Whitelist-Richtlinie enthalten ist, sowie jede Aktion, die in der Sperrlistenrichtlinie aufgeführt ist. Lehnt AWS Organizations außerdem jeden Versuch ab, eine der CloudTrail Konfigurationsaktionen durchzuführen.