AWS-Konto Zugang - AWS IAM Identity Center
AWS-Konto Typen Zugriff zuweisen AWS-KontoErfahrung für EndbenutzerErzwingung und Beschränkung des Zugriffs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-Konto Zugang

AWS IAM Identity Center ist in integriert AWS Organizations, sodass Sie Berechtigungen für mehrere Konten zentral verwalten können, AWS-Konten ohne jedes Ihrer Konten manuell konfigurieren zu müssen. Sie können Berechtigungen definieren und diese Berechtigungen Workforce-Benutzern zuweisen, um ihren Zugriff auf bestimmte IAM Identity Center AWS-Konten mithilfe einer Organisationsinstanz zu kontrollieren. Kontoinstanzen von IAM Identity Center unterstützen keinen Kontozugriff.

AWS-Konto Typen

Es gibt zwei Arten von AWS-Konten Einträgen AWS Organizations:

  • Verwaltungskonto — Das Konto AWS-Konto , das zur Erstellung der Organisation verwendet wird.

  • Mitgliedskonten — Die AWS-Konten restlichen Konten gehören zu einer Organisation.

Weitere Informationen zu AWS-Konto Typen finden Sie unter AWS Organizations Terminologie und Konzepte im AWS Organizations Benutzerhandbuch.

Sie können sich auch dafür entscheiden, ein Mitgliedskonto als delegierter Administrator für IAM Identity Center zu registrieren. Benutzer mit diesem Konto können die meisten administrativen Aufgaben von IAM Identity Center ausführen. Weitere Informationen finden Sie unter Delegierte Verwaltung.

Für jede Aufgabe und jeden Kontotyp gibt die folgende Tabelle an, ob die IAM Identity Center-Verwaltungsaufgabe von Benutzern des Kontos ausgeführt werden kann.

IAMAdministrative Aufgaben im Identity Center Mitgliedskonto Delegiertes Administratorkonto Verwaltungskonto
Benutzer oder Gruppen lesen (die Gruppe selbst und die Gruppenmitgliedschaft lesen) Ja Ja Ja
Benutzer oder Gruppen hinzufügen, bearbeiten oder löschen Nein Ja Ja
Benutzerzugriff aktivieren oder deaktivieren Nein Ja Ja
Aktivieren, deaktivieren oder verwalten Sie eingehende Attribute Nein Ja Ja
Identitätsquellen ändern oder verwalten Nein Ja Ja
Vom Kunden verwaltete Anwendungen erstellen, bearbeiten oder löschen Nein Ja Ja
AWS Verwaltete Anwendungen erstellen, bearbeiten oder löschen Ja Ja Ja
Konfigurieren von MFA Nein Ja Ja
Verwalten Sie Berechtigungssätze, die nicht im Verwaltungskonto bereitgestellt wurden Nein Ja Ja
Verwalten Sie die im Verwaltungskonto bereitgestellten Berechtigungssätze Nein Nein Ja
IAMIdentity Center aktivieren Nein Nein Ja
Löschen Sie die IAM Identity Center-Konfiguration Nein Nein Ja
Aktivieren oder deaktivieren Sie den Benutzerzugriff im Verwaltungskonto Nein Nein Ja
Registrieren oder deregistrieren Sie ein Mitgliedskonto als delegierter Administrator Nein Nein Ja

Zugriff zuweisen AWS-Konto

Mithilfe von Berechtigungssätzen können Sie Benutzern und Gruppen in Ihrer Organisation einfacher Zugriff zuweisen AWS-Konten. Berechtigungssätze werden in IAM Identity Center gespeichert und definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Sie können einen einzelnen Berechtigungssatz erstellen und ihn mehreren AWS-Konten innerhalb Ihrer Organisation zuweisen. Sie können demselben Benutzer auch mehrere Berechtigungssätze zuweisen.

Weitere Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze erstellen, verwalten und löschen.

Anmerkung

Sie können Ihren Benutzern auch Single Sign-On-Zugriff auf Anwendungen zuweisen. Weitere Informationen finden Sie unter Zugriff auf Anwendungen.

Erfahrung für Endbenutzer

Das AWS Zugriffsportal bietet IAM Identity Center-Benutzern über ein Webportal Single Sign-On-Zugriff auf alle ihnen zugewiesenen AWS-Konten Anwendungen. Das AWS Zugriffsportal unterscheidet sich von dem AWS Management Console, bei dem es sich um eine Sammlung von Servicekonsolen für die Verwaltung von AWS Ressourcen handelt.

Wenn Sie einen Berechtigungssatz erstellen, wird der Name, den Sie für den Berechtigungssatz angeben, im AWS Access-Portal als verfügbare Rolle angezeigt. Benutzer melden sich beim AWS Access-Portal an, wählen eine AWS-Konto und dann die Rolle aus. Nachdem sie die Rolle ausgewählt haben, können sie mithilfe der auf AWS Dienste zugreifen AWS Management Console oder temporäre Anmeldeinformationen abrufen, um programmgesteuert auf AWS Dienste zuzugreifen.

Um die temporären Anmeldeinformationen für den AWS programmgesteuerten Zugriff zu öffnen AWS Management Console oder abzurufen, führen Benutzer die folgenden Schritte aus:

  1. Benutzer öffnen ein Browserfenster und verwenden die von Ihnen angegebene AnmeldungURL, um zum Access-Portal zu navigieren. AWS

  2. Mit ihren Verzeichnisanmeldedaten melden sie sich beim AWS Access-Portal an.

  3. Nach der Authentifizierung wählen sie auf der AWS Access-Portalseite die Registerkarte Konten aus, um die Liste AWS-Konten anzuzeigen, auf die sie Zugriff haben.

  4. Die Benutzer wählen dann AWS-Konto die aus, die sie verwenden möchten.

  5. Unter dem Namen der werden alle Berechtigungssätze AWS-Konto, denen Benutzer zugewiesen sind, als verfügbare Rollen angezeigt. Wenn Sie dem PowerUser Berechtigungssatz beispielsweise john_stiles einen Benutzer zugewiesen haben, wird die Rolle im AWS Zugriffsportal als angezeigtPowerUser/john_stiles. Benutzer mit mehreren Berechtigungssätzen wählen aus, welche -Rolle verwendet werden soll. Benutzer können ihre Rolle für den Zugriff auf auswählen AWS Management Console.

  6. Zusätzlich zur Rolle können AWS Access-Portal-Benutzer temporäre Anmeldeinformationen für den Befehlszeilen- oder programmgesteuerten Zugriff abrufen, indem sie Zugriffstasten wählen.

step-by-stepAnleitungen, die Sie Ihren Mitarbeitern zur Verfügung stellen können, finden Sie unter Verwendung der AWS Zugangsportal undAbrufen der IAM Identity Center-Benutzeranmeldeinformationen für AWS CLI or AWS SDKs.

Erzwingung und Beschränkung des Zugriffs

Wenn Sie IAM Identity Center aktivieren, erstellt IAM Identity Center eine dienstbezogene Rolle. Sie können auch Richtlinien zur Dienststeuerung (SCPs) verwenden.

Zugriff delegieren und erzwingen

Eine dienstbezogene Rolle ist eine Art von IAM Rolle, die direkt mit einem Dienst verknüpft ist. AWS Nachdem Sie IAM Identity Center aktiviert haben, kann IAM Identity Center AWS-Konto in jedem Ihrer Organisation eine dienstbezogene Rolle erstellen. Diese Rolle bietet vordefinierte Berechtigungen, mit denen IAM Identity Center delegieren und durchsetzen kann, welche Benutzer über Single Sign-On-Zugriff auf bestimmte Bereiche AWS-Konten in Ihrer Organisation verfügen. AWS Organizations Sie müssen einem oder mehreren Benutzern Zugriff auf ein Konto zuweisen, um diese Rolle verwenden zu können. Weitere Informationen erhalten Sie unter Grundlegendes zu dienstbezogenen Rollen in Identity Center IAM und Verwendung von dienstbezogenen Rollen für IAM Identity Center.

Beschränken Sie den Zugriff auf den Identitätsspeicher von Mitgliedskonten aus

Für den von Identity Center verwendeten IAM Identitätsspeicherdienst können Benutzer, die Zugriff auf ein Mitgliedskonto haben, API Aktionen verwenden, für die Leseberechtigungen erforderlich sind. Mitgliedskonten haben Zugriff auf Leseaktionen sowohl für die Namespaces sso-directory als auch für identitystore. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS IAM Identity Center Verzeichnisse und Aktionen, Ressourcen und Bedingungsschlüssel für Identity Store in der Service Authorization Reference. AWS

Um zu verhindern, dass Benutzer in Mitgliedskonten API Operationen im Identitätsspeicher verwenden, können Sie eine Dienststeuerungsrichtlinie anhängen (SCP). Eine SCP ist eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. Das folgende Beispiel SCP verhindert, dass Benutzer mit Mitgliedskonten auf API Vorgänge im Identitätsspeicher zugreifen können.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
Anmerkung

Die Einschränkung des Zugriffs auf Mitgliedskonten kann die Funktionalität von IAM Identity Center-fähigen Anwendungen beeinträchtigen.

Weitere Informationen finden Sie unter Richtlinien zur Dienststeuerung (SCPs) im AWS Organizations Benutzerhandbuch.