Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Das Verwaltungskonto, der vertrauenswürdige Zugriff und delegierte Administratoren
| Nehmen Sie an einer kurzen Umfrage teil |
Das Verwaltungskonto (auch AWS Organisationsverwaltungskonto oder Organisationsverwaltungskonto genannt) ist einzigartig und unterscheidet sich von allen anderen Konten in AWS Organizations. Es ist das Konto, das die AWS Organisation erstellt. Von diesem Konto aus können Sie AWS Konten in der AWS Organisation erstellen, andere bestehende Konten zur AWS Organisation einladen (beide Typen werden als Mitgliedskonten betrachtet), Konten aus der AWS Organisation entfernen und IAM Richtlinien auf das Stammkonto oder Konten innerhalb der AWS Organisation anwenden. OUs
Mit dem Verwaltungskonto werden allgemeine Sicherheitsvorkehrungen SCPs und Dienstbereitstellungen (z. B. AWS CloudTrail) eingerichtet, die sich auf alle Mitgliedskonten in der Organisation auswirken. AWS Um die Berechtigungen im Verwaltungskonto weiter einzuschränken, können diese Berechtigungen nach Möglichkeit an ein anderes geeignetes Konto, z. B. ein Sicherheitskonto, delegiert werden.
Das Verwaltungskonto hat die Aufgabe eines Zahlungskontos; von ihm gehen sämtliche Gebühren ab, die auf den Mitgliedskonten anfallen. Sie können das Verwaltungskonto einer AWS Organisation nicht wechseln. Ein AWS Konto kann jeweils nur Mitglied einer AWS Organisation sein.
Aufgrund der Funktionalität und des Einflussbereichs, den das Verwaltungskonto besitzt, empfehlen wir, den Zugriff auf dieses Konto zu beschränken und Berechtigungen nur Rollen zu gewähren, die diese benötigen. Zwei Funktionen, die Ihnen dabei helfen, sind vertrauenswürdiger Zugriff und delegierter Administrator. Sie können den vertrauenswürdigen Zugriff verwenden, um einen von Ihnen angegebenen AWS Dienst, den so genannten vertrauenswürdigen Dienst, zu aktivieren, um Aufgaben in Ihrer AWS Organisation und deren Konten in Ihrem Namen auszuführen. Dies beinhaltet die Gewährung von Berechtigungen für den vertrauenswürdigen Dienst, wirkt sich aber ansonsten nicht auf die Berechtigungen für IAM Entitäten aus. Mithilfe von Trusted Access können Sie Einstellungen und Konfigurationsdetails angeben, die der vertrauenswürdige Dienst in Ihrem Namen in den Konten Ihrer AWS Organisation verwalten soll. Im Abschnitt Unternehmensverwaltungskonto von wird beispielsweise AWS SRA erklärt, wie Sie dem AWS CloudTrail Dienst vertrauenswürdigen Zugriff gewähren können, um einen CloudTrail Organisationspfad für alle Konten in Ihrer AWS Organisation zu erstellen.
Einige AWS Dienste unterstützen die Funktion für delegierte Administratoren in AWS Organizations. Mit dieser Funktion können kompatible Dienste ein AWS Mitgliedskonto in der AWS Organisation als Administrator für die Konten der AWS Organisation in diesem Dienst registrieren. Diese Funktion bietet verschiedenen Teams innerhalb Ihres Unternehmens die Flexibilität, je nach ihren Zuständigkeiten separate Konten zu verwenden, um AWS Dienste in der gesamten Umgebung zu verwalten. Zu den AWS Sicherheitsdiensten AWSSRA, die derzeit delegierte Administratoren unterstützen, gehören AWS IAM Identity Center (Nachfolger von AWS Single Sign-On), AWS Config, AWS Firewall Manager, Amazon, AWS IAM Access Analyzer GuardDuty, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector und AWS Systems Manager. Die Verwendung der Funktion für delegierte Administratoren wird in der AWS SRA als bewährte Methode hervorgehoben, und wir delegieren die Verwaltung sicherheitsrelevanter Dienste an das Security Tooling-Konto.
