Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Verwalten Sie AWS IAM Identity Center Berechtigungssätze als Code, indem Sie AWS CodePipeline - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsBewährte MethodenEpenFehlerbehebungZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten Sie AWS IAM Identity Center Berechtigungssätze als Code, indem Sie AWS CodePipeline

PDF

Erstellt von Andre Cavalcante (AWS) und Claison Amorim (AWS)

Übersicht

AWS IAM Identity Center hilft Ihnen dabei, den Single Sign-On (SSO) -Zugriff auf all Ihre Anwendungen zentral zu verwalten. AWS-Konten Sie können Benutzeridentitäten in IAM Identity Center erstellen und verwalten, oder Sie können eine Verbindung zu einer vorhandenen Identitätsquelle herstellen, z. B. einer Microsoft Active Directory-Domäne oder einem externen Identitätsanbieter (IdP). IAM Identity Center bietet eine einheitliche Administrationserfahrung, mit der Sie mithilfe von Berechtigungssätzen einen detaillierten Zugriff auf Ihre AWS Umgebung definieren, anpassen und zuweisen können. Berechtigungssätze gelten für die verbundenen Benutzer und Gruppen aus Ihrem IAM Identity Center-Identitätsspeicher oder Ihrem externen IdP.

Dieses Muster hilft Ihnen dabei, IAM Identity Center-Berechtigungssätze als Code in Ihrer Umgebung mit mehreren Konten zu verwalten, die als Organisation in verwaltet wird. AWS Organizations Mit diesem Muster können Sie Folgendes erreichen:

  • Berechtigungssätze erstellen, löschen und aktualisieren

  • Erstellen, aktualisieren oder löschen Sie Berechtigungssatz-Zuweisungen zum Ziel AWS-Konten, zu den Organisationseinheiten (OUs) oder zum Stammverzeichnis Ihrer Organisation.

Um IAM Identity Center-Berechtigungen und -Zuweisungen als Code zu verwalten, stellt diese Lösung eine CI/CD-Pipeline (Continuous Integration and Continuous Delivery) bereit, die und verwendet. AWS CodeBuild AWS CodePipeline Sie verwalten die Berechtigungssätze und Zuweisungen in JSON-Vorlagen, die Sie in einem Remote-Repository speichern. Wenn EventBridge Amazon-Regeln eine Änderung am Repository oder Änderungen an den Konten in der Ziel-OU erkennen, wird eine AWS Lambda Funktion gestartet. Die Lambda-Funktion initiiert die CI/CD-Pipeline, die die Berechtigungssätze und Zuweisungen in IAM Identity Center aktualisiert.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Eine Umgebung mit mehreren Konten, die als Organisation in verwaltet wird. AWS Organizations Weitere Informationen finden Sie unter Organisation erstellen.

  • IAM Identity Center, aktiviert und konfiguriert mit einer Identitätsquelle. Weitere Informationen finden Sie unter Erste Schritte in der IAM Identity Center-Dokumentation.

  • Ein Mitgliedskonto, das als delegierter Administrator für Folgendes registriert ist: AWS-Services

    • IAM Identity Center — Anweisungen finden Sie in der IAM Identity Center-Dokumentation unter Ein Mitgliedskonto registrieren.

    • AWS Organizations — Anweisungen finden Sie unter Delegierter Administrator für. AWS Organizations Dieses Konto muss berechtigt sein, Konten aufzulisten und zu beschreiben und OUs.

    Anmerkung

    Sie müssen für beide Dienste dasselbe Konto wie der delegierte Administrator verwenden.

  • Berechtigungen zum Bereitstellen von AWS CloudFormation Stacks im delegierten Administratorkonto von IAM Identity Center und im Verwaltungskonto der Organisation. Weitere Informationen finden Sie in der Dokumentation unter Zugriffskontrolle. CloudFormation

  • Ein Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto von IAM Identity Center. Sie laden den Artefaktcode in diesen Bucket hoch. Anweisungen finden Sie in der Amazon S3 S3-Dokumentation unter Bucket erstellen.

  • Die Konto-ID des Verwaltungskontos der Organisation. Anweisungen finden Sie unter Ihre AWS-Konto ID finden.

  • Ein Repository auf Ihrem Quellcode-Host, z. GitHub B.

Einschränkungen

  • Dieses Muster kann nicht zur Verwaltung oder Zuweisung von Berechtigungssätzen für Umgebungen mit nur einem Konto oder für Konten verwendet werden, die nicht als Organisation in AWS Organizations verwaltet werden.

  • Die Namen der Berechtigungssätze, die Zuweisung IDs und die IAM Identity Center-Prinzipaltypen können nach der Bereitstellung IDs nicht geändert werden.

  • Dieses Muster hilft Ihnen bei der Erstellung und Verwaltung benutzerdefinierter Berechtigungen. Sie können dieses Muster nicht verwenden, um vordefinierte Berechtigungen zu verwalten oder zuzuweisen.

  • Dieses Muster kann nicht verwendet werden, um einen Berechtigungssatz für das Verwaltungskonto der Organisation zu verwalten.

Architektur

Zielarchitektur

Verwendung einer CI/CD-Pipeline zur Verwaltung von Berechtigungssätzen in IAM Identity Center

Das Diagramm zeigt den folgenden Workflow:

  1. Ein Benutzer nimmt eine der folgenden Änderungen vor:

    • Übergibt eine oder mehrere Änderungen an das Remote-Repository, z. B. GitHub

    • Ändert die Konten in der Organisationseinheit in AWS Organizations

  2. Wenn der Benutzer eine Änderung am Remote-Repository in den Hauptzweig übernommen hat, wird die Pipeline gestartet.

    Wenn der Benutzer die Konten in der Organisationseinheit geändert hat, erkennt die MoveAccount EventBridge Regel die Änderung und startet eine Lambda-Funktion im Verwaltungskonto der Organisation.

  3. Die initiierte Lambda-Funktion startet die CI/CD-Pipeline in. CodePipeline

  4. CodePipeline startet das Projekt. TemplateValidation CodeBuild Das TemplateValidation CodeBuild Projekt verwendet ein Python-Skript im Remote-Repository, um die Berechtigungssatz-Vorlagen zu validieren. CodeBuild validiert Folgendes:

    • Die Namen der Berechtigungssätze sind eindeutig.

    • Die Zuweisungsanweisung IDs (Sid) ist einzigartig.

    • Richtliniendefinitionen sind im CustomPolicy Parameter enthalten und gültig. (Diese Überprüfung verwendet AWS Identity and Access Management Access Analyzer.)

    • Die Amazon-Ressourcennamen (ARNs) der verwalteten Richtlinien sind gültig.

  5. Die PermissionSet Aktionsgruppe im Deploy CodeBuild Projekt wird verwendet, AWS SDK for Python (Boto3) um die Berechtigungssätze im IAM Identity Center zu löschen, zu erstellen oder zu aktualisieren. Nur Berechtigungssätze mit dem SSOPipeline:true Tag sind betroffen. Alle Berechtigungssätze, die über diese Pipeline verwaltet werden, haben dieses Tag.

  6. Die Assignments Aktionsgruppe im Deploy CodeBuild Projekt verwendet Terraform, um die Aufgaben im IAM Identity Center zu löschen, zu erstellen oder zu aktualisieren. Die Terraform-Backend-Statusdateien werden in einem Amazon S3 S3-Bucket im selben Konto gespeichert.

  7. CodeBuild aktualisiert die Berechtigungssätze und Zuweisungen im IAM Identity Center.

Automatisierung und Skalierung

Da alle neuen Konten in einer Umgebung mit mehreren Konten in eine bestimmte Organisationseinheit verschoben werden AWS Organizations, wird diese Lösung automatisch ausgeführt und gewährt allen Konten, die Sie in den Zuweisungsvorlagen angeben, die erforderlichen Berechtigungssätze. Es sind keine zusätzlichen Automatisierungen oder Skalierungsaktionen erforderlich.

In großen Umgebungen kann die Anzahl der API-Anfragen an IAM Identity Center dazu führen, dass diese Lösung langsamer ausgeführt wird. Terraform und Boto3 verwalten die Drosselung automatisch, um Leistungseinbußen zu minimieren.

Tools

AWS-Services

  • AWS CloudFormationhilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über und zu verwalten. AWS-Konten AWS-Regionen

  • AWS CodeBuildist ein vollständig verwalteter Build-Service, der Ihnen hilft, Quellcode zu kompilieren, Komponententests durchzuführen und Artefakte zu erstellen, die sofort einsatzbereit sind. 

  • AWS CodePipelinehilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind.

  • Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten

  • AWS IAM Identity Centerhilft Ihnen dabei, den Single Sign-On (SSO) -Zugriff auf all Ihre Anwendungen AWS-Konten und Cloud-Anwendungen zentral zu verwalten.

  • AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.

  • AWS SDK for Python (Boto3)ist ein Softwareentwicklungskit, mit dem Sie Ihre Python-Anwendung, -Bibliothek oder Ihr Skript integrieren können AWS-Services.

  • Amazon Simple Storage Service (Amazon S3) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.

Code-Repository

Der Code für dieses Muster ist im Repository aws-iam-identity-center-pipeline verfügbar. Der Vorlagenordner im Repository enthält Beispielvorlagen für Berechtigungssätze und Zuweisungen. Er enthält auch AWS CloudFormation Vorlagen für die Bereitstellung der CI/CD-Pipeline und der AWS Ressourcen in den Zielkonten.

Bewährte Methoden

  • Bevor Sie mit der Änderung des Berechtigungssatzes und der Zuweisungsvorlagen beginnen, empfehlen wir Ihnen, die Berechtigungssätze für Ihre Organisation zu planen. Überlegen Sie, wie die Berechtigungen aussehen sollen, für welche Konten oder OUs welcher Berechtigungssatz gelten soll und für welche IAM Identity Center-Prinzipale (Benutzer oder Gruppen) der Berechtigungssatz gelten soll. Die Namen des Berechtigungssatzes, die Zuordnung IDs und die IAM Identity Center-Prinzipaltypen können nach der IDs Bereitstellung nicht geändert werden.

  • Halten Sie sich an das Prinzip der geringsten Rechte und gewähren Sie nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der AWS Identity and Access Management (IAM-) Dokumentation unter Gewährung der geringsten Rechte und bewährte Methoden zur Sicherheit.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Klonen Sie das Repository

Geben Sie in einer Bash-Shell den folgenden Befehl ein. Dadurch wird das aws-iam-identity-center-pipeline Repository von geklont. GitHub

git clone https://github.com/aws-samples/aws-iam-identity-center-pipeline.git
DevOps Ingenieur

Definieren Sie die Berechtigungssätze.

  1. Navigieren Sie im geklonten Repository zu dem templates/permissionsets Ordner und öffnen Sie dann eine der verfügbaren Vorlagen.

  2. Geben Sie im Name Parameter einen Namen für den Berechtigungssatz ein. Dieser Wert muss eindeutig sein und kann nach der Bereitstellung nicht geändert werden.

  3. Beschreiben Sie im Description Parameter kurz den Berechtigungssatz, z. B. seinen Anwendungsfall.

  4. Geben Sie im SessionDuration Parameter an, wie lange ein Benutzer angemeldet sein kann AWS-Konto. Verwenden Sie das ISO-8601-Dauerformat (Wikipedia), z. B. PT4H für 4 Stunden. Wenn kein Wert definiert ist, ist der Standardwert in IAM Identity Center 1 Stunde.

  5. Geben Sie im RelayState Parameter die URL an, die einen schnellen Zugriff auf die Konsole ermöglicht und für die Rolle des Benutzers am besten geeignet ist.

  6. Passen Sie die Richtlinien im Berechtigungssatz an. Alle folgenden Parameter sind optional und können nach der Bereitstellung geändert werden. Sie müssen mindestens einen der Parameter verwenden, um die Richtlinien im Berechtigungssatz zu definieren:

    • Geben Sie im ManagedPolicies Parameter die ARNs aller AWS verwalteten Richtlinien ein, die Sie zuweisen möchten.

    • Geben Sie im CustomerManagedPolicies Parameter die Namen aller vom Kunden verwalteten Richtlinien ein, die Sie zuweisen möchten. Verwenden Sie den ARN nicht.

    • Gehen Sie im PermissionBoundary Parameter wie folgt vor, um eine Berechtigungsgrenze zuzuweisen:

      • Wenn Sie eine AWS verwaltete Richtlinie als Berechtigungsgrenze verwendenPolicyType, geben Sie inAWS, und inPolicy, den ARN der Richtlinie ein.

      • Wenn Sie eine vom Kunden verwaltete Richtlinie als Berechtigungsgrenze verwendenPolicyType, geben Sie inCustomer, und inPolicy, den Namen der Richtlinie ein. Verwenden Sie den ARN nicht.

    • Definieren Sie im CustomPolicy Parameter alle benutzerdefinierten Richtlinien im JSON-Format, die Sie zuweisen möchten. Weitere Informationen zur JSON-Richtlinienstruktur finden Sie unter Überblick über JSON-Richtlinien.

  7. Speichern und schließen Sie die Vorlage für den Berechtigungssatz. Es wird empfohlen, die Datei unter einem Namen zu speichern, der dem Namen des Berechtigungssatzes entspricht.

  8. Wiederholen Sie diesen Vorgang, um so viele Berechtigungssätze zu erstellen, wie für Ihre Organisation erforderlich sind, und löschen Sie alle Beispielvorlagen, die nicht benötigt werden.

DevOps Ingenieur

Definieren Sie die Aufgaben.

  1. Navigieren Sie im geklonten Repository zu dem templates/assignments Ordner, und öffnen iam-identitycenter-assigments.json Sie ihn. In dieser Datei wird beschrieben, wie Sie die Berechtigungssätze AWS-Konten oder OUs zuweisen möchten.

  2. Geben Sie im SID Parameter einen Bezeichner für die Zuweisung ein. Dieser Wert muss eindeutig sein und kann nach der Bereitstellung nicht geändert werden.

  3. Definieren Sie im Target Parameter die Konten oder Organisationen, auf die Sie den Berechtigungssatz anwenden möchten. Gültige Werte sind Konto IDs OUs, oderroot. rootweist den Berechtigungssatz allen Mitgliedskonten in der Organisation zu, mit Ausnahme des Verwaltungskontos. Geben Sie die Werte in doppelte Anführungszeichen ein und trennen Sie mehrere Werte durch Kommas. Konto IDs und OUs sollte dem Muster folgen: {{account_name}}:{{account_id}} oder{{ou_name}}:{{ou_id}}. Wenn Sie Nested rekursiv Berechtigungen zuweisen möchten OUs, verwenden Sie das OU-Muster mit einem Platzhalter am Ende. Beispiel: {{ou_name}}:{{ou_id}}:*

  4. Geben Sie im PrincipalType Parameter den Typ des IAM Identity Center-Prinzipals ein, auf den sich der Berechtigungssatz auswirkt. Gültige Werte sind USER oder GROUP. Dieser Wert kann nach der Bereitstellung nicht geändert werden.

  5. Geben Sie im PrincipalID Parameter den Namen des Benutzers oder der Gruppe im IAM Identity Center-Identitätsspeicher ein, für den der Berechtigungssatz gilt. Dieser Wert kann nach der Bereitstellung nicht geändert werden.

  6. Geben Sie im PermissionSetName Parameter den Namen des Berechtigungssatzes ein, den Sie zuweisen möchten.

  7. Wiederholen Sie die Schritte 2—6, um in dieser Datei so viele Aufgaben wie nötig zu erstellen. In der Regel gibt es für jeden Berechtigungssatz eine Zuweisung. Löschen Sie alle Beispielzuweisungen, die nicht erforderlich sind.

  8. Speichern und schließen Sie die Datei iam-identitycenter-assigments.json.

DevOps Ingenieur

Planen Sie Berechtigungssätze und Zuweisungen

AufgabeBeschreibungErforderliche Fähigkeiten

Klonen Sie das Repository

Geben Sie in einer Bash-Shell den folgenden Befehl ein. Dadurch wird das aws-iam-identity-center-pipeline Repository von geklont. GitHub

git clone https://github.com/aws-samples/aws-iam-identity-center-pipeline.git
DevOps Ingenieur

Definieren Sie die Berechtigungssätze.

  1. Navigieren Sie im geklonten Repository zu dem templates/permissionsets Ordner und öffnen Sie dann eine der verfügbaren Vorlagen.

  2. Geben Sie im Name Parameter einen Namen für den Berechtigungssatz ein. Dieser Wert muss eindeutig sein und kann nach der Bereitstellung nicht geändert werden.

  3. Beschreiben Sie im Description Parameter kurz den Berechtigungssatz, z. B. seinen Anwendungsfall.

  4. Geben Sie im SessionDuration Parameter an, wie lange ein Benutzer angemeldet sein kann AWS-Konto. Verwenden Sie das ISO-8601-Dauerformat (Wikipedia), z. B. PT4H für 4 Stunden. Wenn kein Wert definiert ist, ist der Standardwert in IAM Identity Center 1 Stunde.

  5. Geben Sie im RelayState Parameter die URL an, die einen schnellen Zugriff auf die Konsole ermöglicht und für die Rolle des Benutzers am besten geeignet ist.

  6. Passen Sie die Richtlinien im Berechtigungssatz an. Alle folgenden Parameter sind optional und können nach der Bereitstellung geändert werden. Sie müssen mindestens einen der Parameter verwenden, um die Richtlinien im Berechtigungssatz zu definieren:

    • Geben Sie im ManagedPolicies Parameter die ARNs aller AWS verwalteten Richtlinien ein, die Sie zuweisen möchten.

    • Geben Sie im CustomerManagedPolicies Parameter die Namen aller vom Kunden verwalteten Richtlinien ein, die Sie zuweisen möchten. Verwenden Sie den ARN nicht.

    • Gehen Sie im PermissionBoundary Parameter wie folgt vor, um eine Berechtigungsgrenze zuzuweisen:

      • Wenn Sie eine AWS verwaltete Richtlinie als Berechtigungsgrenze verwendenPolicyType, geben Sie inAWS, und inPolicy, den ARN der Richtlinie ein.

      • Wenn Sie eine vom Kunden verwaltete Richtlinie als Berechtigungsgrenze verwendenPolicyType, geben Sie inCustomer, und inPolicy, den Namen der Richtlinie ein. Verwenden Sie den ARN nicht.

    • Definieren Sie im CustomPolicy Parameter alle benutzerdefinierten Richtlinien im JSON-Format, die Sie zuweisen möchten. Weitere Informationen zur JSON-Richtlinienstruktur finden Sie unter Überblick über JSON-Richtlinien.

  7. Speichern und schließen Sie die Vorlage für den Berechtigungssatz. Es wird empfohlen, die Datei unter einem Namen zu speichern, der dem Namen des Berechtigungssatzes entspricht.

  8. Wiederholen Sie diesen Vorgang, um so viele Berechtigungssätze zu erstellen, wie für Ihre Organisation erforderlich sind, und löschen Sie alle Beispielvorlagen, die nicht benötigt werden.

DevOps Ingenieur

Definieren Sie die Aufgaben.

  1. Navigieren Sie im geklonten Repository zu dem templates/assignments Ordner, und öffnen iam-identitycenter-assigments.json Sie ihn. In dieser Datei wird beschrieben, wie Sie die Berechtigungssätze AWS-Konten oder OUs zuweisen möchten.

  2. Geben Sie im SID Parameter einen Bezeichner für die Zuweisung ein. Dieser Wert muss eindeutig sein und kann nach der Bereitstellung nicht geändert werden.

  3. Definieren Sie im Target Parameter die Konten oder Organisationen, auf die Sie den Berechtigungssatz anwenden möchten. Gültige Werte sind Konto IDs OUs, oderroot. rootweist den Berechtigungssatz allen Mitgliedskonten in der Organisation zu, mit Ausnahme des Verwaltungskontos. Geben Sie die Werte in doppelte Anführungszeichen ein und trennen Sie mehrere Werte durch Kommas. Konto IDs und OUs sollte dem Muster folgen: {{account_name}}:{{account_id}} oder{{ou_name}}:{{ou_id}}. Wenn Sie Nested rekursiv Berechtigungen zuweisen möchten OUs, verwenden Sie das OU-Muster mit einem Platzhalter am Ende. Beispiel: {{ou_name}}:{{ou_id}}:*

  4. Geben Sie im PrincipalType Parameter den Typ des IAM Identity Center-Prinzipals ein, auf den sich der Berechtigungssatz auswirkt. Gültige Werte sind USER oder GROUP. Dieser Wert kann nach der Bereitstellung nicht geändert werden.

  5. Geben Sie im PrincipalID Parameter den Namen des Benutzers oder der Gruppe im IAM Identity Center-Identitätsspeicher ein, für den der Berechtigungssatz gilt. Dieser Wert kann nach der Bereitstellung nicht geändert werden.

  6. Geben Sie im PermissionSetName Parameter den Namen des Berechtigungssatzes ein, den Sie zuweisen möchten.

  7. Wiederholen Sie die Schritte 2—6, um in dieser Datei so viele Aufgaben wie nötig zu erstellen. In der Regel gibt es für jeden Berechtigungssatz eine Zuweisung. Löschen Sie alle Beispielzuweisungen, die nicht erforderlich sind.

  8. Speichern und schließen Sie die Datei iam-identitycenter-assigments.json.

DevOps Ingenieur
AufgabeBeschreibungErforderliche Fähigkeiten

Stellen Sie Ressourcen im delegierten IAM Identity Center-Administratorkonto bereit.

  1. Öffnen Sie im delegierten IAM Identity Center-Administratorkonto die Konsole.AWS CloudFormation

  2. Stellen Sie die Vorlage bereit. iam-identitycenter-pipeline.yaml Geben Sie dem Stack einen klaren und aussagekräftigen Namen und aktualisieren Sie die Parameter gemäß den Anweisungen. Anweisungen finden Sie in der Dokumentation unter Einen Stack erstellen. CloudFormation

DevOps Ingenieur

Stellen Sie Ressourcen im AWS Organizations Verwaltungskonto bereit.

  1. Melden Sie sich beim Verwaltungskonto der Organisation an.

  2. Öffnen Sie die AWS CloudFormation -Konsole.

  3. Wählen Sie in der Navigationsleiste den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie dann die us-east-1 Region aus. Diese Region ist erforderlich, damit die MoveAccount EventBridge Regel AWS CloudTrail Ereignisse im Zusammenhang mit Organisationsänderungen erkennen kann.

  4. Stellen Sie die iam-identitycenter-organization Vorlage bereit. Geben Sie dem Stack einen klaren und aussagekräftigen Namen und aktualisieren Sie die Parameter gemäß den Anweisungen. Anweisungen finden Sie in der Dokumentation unter Einen Stack erstellen. CloudFormation

DevOps Ingenieur

Beenden Sie die Einrichtung des Remote-Repositorys.

Ändern Sie den Status der AWS CodeConnections Verbindung von PENDING zuAVAILABLE. Diese Verbindung wurde erstellt, als Sie den CloudFormation Stack bereitgestellt haben. Anweisungen finden Sie in der CodeConnections Dokumentation unter Aktualisieren einer ausstehenden Verbindung.

DevOps Ingenieur

Laden Sie Dateien in das Remote-Repository hoch.

Laden Sie alle Dateien, die Sie aus dem aws-samples Repository heruntergeladen und in den vorherigen Schritten bearbeitet haben, in das Remote-Repository hoch. Änderungen an der main Verzweigung starten die Pipeline, die die Berechtigungssätze und Zuweisungen erstellt oder aktualisiert.

DevOps Ingenieur

Stellen Sie die Berechtigungssätze und Zuweisungen bereit

AufgabeBeschreibungErforderliche Fähigkeiten

Stellen Sie Ressourcen im delegierten IAM Identity Center-Administratorkonto bereit.

  1. Öffnen Sie im delegierten IAM Identity Center-Administratorkonto die Konsole.AWS CloudFormation

  2. Stellen Sie die Vorlage bereit. iam-identitycenter-pipeline.yaml Geben Sie dem Stack einen klaren und aussagekräftigen Namen und aktualisieren Sie die Parameter gemäß den Anweisungen. Anweisungen finden Sie in der Dokumentation unter Einen Stack erstellen. CloudFormation

DevOps Ingenieur

Stellen Sie Ressourcen im AWS Organizations Verwaltungskonto bereit.

  1. Melden Sie sich beim Verwaltungskonto der Organisation an.

  2. Öffnen Sie die AWS CloudFormation -Konsole.

  3. Wählen Sie in der Navigationsleiste den Namen der aktuell angezeigten Datei aus AWS-Region. Wählen Sie dann die us-east-1 Region aus. Diese Region ist erforderlich, damit die MoveAccount EventBridge Regel AWS CloudTrail Ereignisse im Zusammenhang mit Organisationsänderungen erkennen kann.

  4. Stellen Sie die iam-identitycenter-organization Vorlage bereit. Geben Sie dem Stack einen klaren und aussagekräftigen Namen und aktualisieren Sie die Parameter gemäß den Anweisungen. Anweisungen finden Sie in der Dokumentation unter Einen Stack erstellen. CloudFormation

DevOps Ingenieur

Beenden Sie die Einrichtung des Remote-Repositorys.

Ändern Sie den Status der AWS CodeConnections Verbindung von PENDING zuAVAILABLE. Diese Verbindung wurde erstellt, als Sie den CloudFormation Stack bereitgestellt haben. Anweisungen finden Sie in der CodeConnections Dokumentation unter Aktualisieren einer ausstehenden Verbindung.

DevOps Ingenieur

Laden Sie Dateien in das Remote-Repository hoch.

Laden Sie alle Dateien, die Sie aus dem aws-samples Repository heruntergeladen und in den vorherigen Schritten bearbeitet haben, in das Remote-Repository hoch. Änderungen an der main Verzweigung starten die Pipeline, die die Berechtigungssätze und Zuweisungen erstellt oder aktualisiert.

DevOps Ingenieur
AufgabeBeschreibungErforderliche Fähigkeiten

Aktualisieren Sie die Berechtigungssätze und Zuweisungen.

Wenn die MoveAccount EventBridge Amazon-Regel Änderungen an den Konten in der Organisation feststellt, wendet die CI/CD pipeline automatically starts and updates the permission sets. For example, if you add an account to an OU specified in the assignments JSON file, then the CI/CD Pipeline den Berechtigungssatz auf das neue Konto an.

Wenn Sie die bereitgestellten Berechtigungssätze und Zuweisungen ändern möchten, aktualisieren Sie die JSON-Dateien und übertragen Sie sie dann in das Remote-Repository.

Beachten Sie Folgendes, wenn Sie die CI/CD-Pipeline verwenden, um zuvor bereitgestellte Berechtigungssätze und Zuordnungen zu verwalten:

  • Wenn Sie den Namen eines Berechtigungssatzes ändern, löscht die CI/CD-Pipeline den ursprünglichen Berechtigungssatz und erstellt einen neuen.

  • Diese Pipeline verwaltet nur Berechtigungssätze, die das Tag enthalten. SSOPipeline:true

  • Sie können mehrere Berechtigungssätze und Vorlagen für Zuweisungen in demselben Ordner im Repository haben.

  • Wenn Sie eine Vorlage löschen, löscht die Pipeline die Zuweisung oder den Berechtigungssatz.

  • Wenn Sie einen gesamten JSON-Block für eine Zuweisung löschen, löscht die Pipeline die Zuweisung aus dem IAM Identity Center.

  • Sie können keinen Berechtigungssatz löschen, der einem zugewiesen ist. AWS-Konto Zunächst müssen Sie die Zuweisung des Berechtigungssatzes aufheben.

DevOps Ingenieur

Aktualisierung der Berechtigungssätze und Zuweisungen

AufgabeBeschreibungErforderliche Fähigkeiten

Aktualisieren Sie die Berechtigungssätze und Zuweisungen.

Wenn die MoveAccount EventBridge Amazon-Regel Änderungen an den Konten in der Organisation feststellt, wendet die CI/CD pipeline automatically starts and updates the permission sets. For example, if you add an account to an OU specified in the assignments JSON file, then the CI/CD Pipeline den Berechtigungssatz auf das neue Konto an.

Wenn Sie die bereitgestellten Berechtigungssätze und Zuweisungen ändern möchten, aktualisieren Sie die JSON-Dateien und übertragen Sie sie dann in das Remote-Repository.

Beachten Sie Folgendes, wenn Sie die CI/CD-Pipeline verwenden, um zuvor bereitgestellte Berechtigungssätze und Zuordnungen zu verwalten:

  • Wenn Sie den Namen eines Berechtigungssatzes ändern, löscht die CI/CD-Pipeline den ursprünglichen Berechtigungssatz und erstellt einen neuen.

  • Diese Pipeline verwaltet nur Berechtigungssätze, die das Tag enthalten. SSOPipeline:true

  • Sie können mehrere Berechtigungssätze und Vorlagen für Zuweisungen in demselben Ordner im Repository haben.

  • Wenn Sie eine Vorlage löschen, löscht die Pipeline die Zuweisung oder den Berechtigungssatz.

  • Wenn Sie einen gesamten JSON-Block für eine Zuweisung löschen, löscht die Pipeline die Zuweisung aus dem IAM Identity Center.

  • Sie können keinen Berechtigungssatz löschen, der einem zugewiesen ist. AWS-Konto Zunächst müssen Sie die Zuweisung des Berechtigungssatzes aufheben.

DevOps Ingenieur

Fehlerbehebung

ProblemLösung

Fehler aufgrund einer Zugriffsverweigerung

Vergewissern Sie sich, dass Sie über die erforderlichen Berechtigungen verfügen, um die CloudFormation Vorlagen und die darin definierten Ressourcen bereitzustellen. Weitere Informationen finden Sie in der CloudFormation Dokumentation unter Zugriffskontrolle.

Pipeline-Fehler in der Validierungsphase

Dieser Fehler tritt auf, wenn der Berechtigungssatz oder die Zuweisungsvorlagen Fehler enthalten.

  1. Sehen Sie CodeBuild sich unter die Build-Details an.

  2. Suchen Sie im Build-Log nach dem Validierungsfehler, der weitere Informationen darüber enthält, was zum Fehlschlagen des Builds geführt hat.

  3. Aktualisieren Sie den Berechtigungssatz oder die Zuweisungsvorlagen, und übertragen Sie sie anschließend in das Repository.

  4. Die CI/CD-Pipeline startet das Projekt neu. CodeBuild Überwachen Sie den Status, um sicherzustellen, dass der Validierungsfehler behoben wurde.

Zugehörige Ressourcen

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.