Grundlegendes zu dienstbezogenen Rollen in Identity Center IAM - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu dienstbezogenen Rollen in Identity Center IAM

Dienstbezogene Rollen sind vordefinierte IAM Berechtigungen, die es IAM Identity Center ermöglichen, zu delegieren und durchzusetzen, auf welche Benutzer AWS-Konten in Ihrem Unternehmen Single Sign-On-Zugriff haben. AWS Organizations Der Dienst ermöglicht diese Funktionalität, indem er in jeder Rolle innerhalb seiner Organisation eine dienstbezogene Rolle bereitstellt. AWS-Konto Der Dienst ermöglicht es dann anderen AWS Diensten wie IAM Identity Center, diese Rollen zur Ausführung dienstbezogener Aufgaben zu nutzen. Weitere Informationen finden Sie unter AWS Organizations Rollen im Zusammenhang mit Diensten.

Wenn Sie IAM Identity Center aktivieren, erstellt IAM Identity Center eine dienstverknüpfte Rolle für alle Konten innerhalb der Organisation in. AWS Organizations IAMIdentity Center erstellt außerdem dieselbe dienstbezogene Rolle in jedem Konto, das anschließend zu Ihrer Organisation hinzugefügt wird. Mit dieser Rolle kann IAM Identity Center in Ihrem Namen auf die Ressourcen der einzelnen Konten zugreifen. Weitere Informationen finden Sie unter AWS-Konto Zugang.

Dienstbezogene Rollen, die in jedem erstellt werden, AWS-Konto sind benanntAWSServiceRoleForSSO. Weitere Informationen finden Sie unter Verwendung von dienstbezogenen Rollen für IAM Identity Center.

Hinweise

  • Wenn Sie beim AWS Organizations Verwaltungskonto angemeldet sind, verwendet es Ihre aktuell angemeldete Rolle und nicht die dienstverknüpfte Rolle. Dies verhindert die Eskalation von Rechten.

  • Wenn IAM Identity Center irgendwelche IAM Operationen im AWS Organizations Verwaltungskonto ausführt, werden alle Operationen mit den Anmeldeinformationen des IAM Prinzipals ausgeführt. Auf diese Weise können die CloudTrail Anmeldungen nachvollziehen, wer alle Berechtigungsänderungen im Verwaltungskonto vorgenommen hat.