Teilen Sie eine Gruppe mit verifiziertem Zugriff mit einer anderen AWS-Konto - AWS Verifizierter Zugriff
ÜberlegungenGemeinsam genutzte Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Teilen Sie eine Gruppe mit verifiziertem Zugriff mit einer anderen AWS-Konto

Wenn Sie eine Gruppe mit verifiziertem Zugriff, deren Inhaber Sie sind, mit anderen AWS Konten teilen, ermöglichen Sie diesen Konten, Endpunkte mit verifiziertem Zugriff in Ihrer Gruppe zu erstellen. Das Konto, in dem die Gruppe mit verifiziertem Zugriff erstellt wurde, wird als Besitzerkonto bezeichnet. Das Konto, das eine gemeinsam genutzte Gruppe verwendet, wird als Verbraucherkonto bezeichnet.

Das folgende Diagramm veranschaulicht die Vorteile der gemeinsamen Nutzung einer Gruppe mit verifiziertem Zugriff. Das zentrale Sicherheitsteam ist für Konto A verantwortlich. Es verwaltet Benutzer und Gruppen sowie die Ressourcen für verifizierten Zugriff AWS IAM Identity Center, die für den Zugriff auf interne Anwendungen erforderlich sind, wie z. B. Vertrauensanbieter mit verifiziertem Zugriff, Instanzen mit verifiziertem Zugriff, Gruppen mit verifiziertem Zugriff und Richtlinien für verifizierten Zugriff. Das Anwendungsteam ist Eigentümer von Konto B. Es verwaltet die Ressourcen, die für die Ausführung der internen Anwendung erforderlich sind, z. B. den Load Balancer, die Auto Scaling Scaling-Gruppe, die DNS Konfiguration in Amazon Route 53 und TLS Zertifikate von AWS Certificate Manager (ACM). Nachdem das zentrale Sicherheitsteam eine Verified Access-Gruppe mit Konto B gemeinsam genutzt hat, kann das Anwendungsteam mithilfe der gemeinsam genutzten Gruppe Verified Access-Endpunkte erstellen. Der Zugriff auf die Anwendung wird auf der Grundlage der Richtlinien, die das zentrale Sicherheitsteam für die Verified Access-Gruppe erstellt hat, erlaubt oder verweigert.

Gemeinsame Nutzung einer Gruppe mit verifiziertem Zugriff für mehrere Konten in einer Organisation.

Überlegungen

Die folgenden Überlegungen gelten für gemeinsam genutzte Gruppen mit verifiziertem Zugriff.

Eigentümer

  • Um eine Gruppe mit verifiziertem Zugriff gemeinsam nutzen zu können, müssen Benutzer über die folgenden Berechtigungen verfügen: ec2:PutResourcePolicy undec2:DeleteResourcePolicy.

  • Um eine Gruppe mit verifiziertem Zugriff teilen zu können, müssen Sie Eigentümer dieser Gruppe sein. Sie können eine Gruppe mit verifiziertem Zugriff, die mit Ihnen geteilt wurde, nicht teilen.

  • Wenn Sie das Teilen mit den Konten in Ihrer Organisation aktivieren, können Sie Ressourcen wie Gruppen mit verifiziertem Zugriff gemeinsam nutzen, ohne Einladungen zu verwenden. Andernfalls erhält der Verbraucher eine Einladung und muss sie annehmen, um auf die gemeinsam genutzte Gruppe zugreifen zu können. Um das Teilen zu aktivieren, öffnen Sie vom Verwaltungskonto Ihrer Organisation aus die Seite Einstellungen in der AWS RAM Konsole und wählen Sie Teilen aktivieren mit aus AWS Organizations.

  • Sie können eine Gruppe nicht löschen, wenn ihnen Verified Access-Endpunkte zugeordnet sind. Sie können die von Kundenkonten erstellten Endpunkte auf der Seite mit verifiziertem Zugriff in Ihrem Konto einsehen. Die Konto-ID des Besitzers eines Endpunkts spiegelt sich im Amazon-Ressourcennamen (ARN) des Zertifikats für den Endpunkt wider.

Konsumenten

  • Um sich die Gruppen mit verifiziertem Zugriff anzusehen, die mit Ihnen geteilt wurden, öffnen Sie die Seite mit verifiziertem Zugriff in der Konsole oder rufen Sie uns an describe-verified-access-groups. Die Konto-ID des Besitzers wird im Feld Besitzer und im Amazon-Ressourcennamen (ARN) der Gruppe wiedergegeben.

  • Wenn Sie einen Endpunkt mit verifiziertem Zugriff erstellen, können Sie alle Gruppen mit verifiziertem Zugriff angeben, die für Sie freigegeben wurden.

  • Sie können keine Endpoints anzeigen, die der gemeinsam genutzten Gruppe zugeordnet sind, aber nicht Ihnen gehören.

  • Wenn der Besitzer der Gruppe mit verifiziertem Zugriff die Ressourcenfreigabe löscht, können Sie in der Gruppe keinen neuen Endpunkt mit verifiziertem Zugriff erstellen. Alle Endpunkte mit verifiziertem Zugriff, die Sie vor dem Löschen der Ressourcenfreigabe erstellt haben, sind von der Löschung der Ressourcenfreigabe nicht betroffen. Der Besitzer der gemeinsam genutzten Gruppe kann Ihre Endpoints jedoch löschen.

Gemeinsam genutzte Ressourcen

Um eine Gruppe mit verifiziertem Zugriff gemeinsam zu nutzen, müssen Sie sie zu einer Ressourcenfreigabe hinzufügen. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die Benutzer, die die gemeinsam genutzten Ressourcen nutzen können.

Um eine Gruppe mit verifiziertem Zugriff gemeinsam zu nutzen

  1. Öffnen Sie die AWS RAM Konsole unter https://console.aws.amazon.com/ram.

  2. Wenn Sie noch keine Ressourcenfreigabe für Ihre Organisation haben, erstellen Sie eine. Für den Prinzipal können Sie Ihre gesamte Organisation, eine Organisationseinheit oder bestimmte AWS Konten auswählen.

  3. Wählen Sie Ihren Ressourcenanteil aus und klicken Sie auf Ändern.

  4. Wählen Sie für Resources Verifizierte Zugriffsgruppen als Ressourcentyp und wählen Sie dann die Ressourcengruppe aus, die Sie teilen möchten.

  5. Wählen Sie „Direkt zu: Überprüfen und aktualisieren“.

  6. Wählen Sie „Ressourcenfreigabe aktualisieren“.

Weitere Informationen finden Sie unter Erstellen einer Ressourcenfreigabe im AWS RAM -Benutzerhandbuch.