So zeigen Sie Informationen zum letzten Zugriff für Organizations an - AWS Identitäts- und Zugriffsverwaltung
Der AWS Organizations -EntitätspfadAnzeigen von Informationen für Organizations (Konsole)Anzeigen von Informationen für Organizations (AWS CLI)Informationen für Organizations anzeigen (AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So zeigen Sie Informationen zum letzten Zugriff für Organizations an

Sie können Informationen zum zuletzt aufgerufenen Dienst für die AWS Organizations Verwendung der IAM-Konsole oder AWS API anzeigen. AWS CLI Für wichtige Informationen über die Daten, die erforderlichen Berechtigungen, Fehlerbehebungen und unterstützte Regionen finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Wenn Sie sich mit den Anmeldeinformationen für das AWS Organizations Verwaltungskonto bei der IAM-Konsole anmelden, können Sie Informationen für jede Entität in Ihrer Organisation einsehen. Zu den Organizations einheiten gehören der Organisationsstamm, die Organisationseinheiten (OUs) und die Konten. Sie können die IAM-Konsole auch verwenden, um sich Informationen für alle Service-Kontrollrichtlinien (Service Control Policies, SCPs) in Ihrer Organisation anzeigen zu lassen. IAM zeigt eine Liste der Services, die von allen SCPs, die auf die Entity angewendet werden, zugelassen sind. Für jeden Dienst können Sie die neuesten Kontoinformationen für die gewählte Organisationseinheit oder die Kinder der Einheit einsehen.

Wenn Sie die AWS API AWS CLI oder mit den Anmeldeinformationen für das Verwaltungskonto verwenden, können Sie einen Bericht für alle Entitäten oder Richtlinien in Ihrer Organisation erstellen. Ein programmgesteuerter Bericht für eine Entity enthält eine Liste der Dienste, die von allen SCPs, die auf die Entity angewendet werden, zugelassen sind. Für jeden Service enthält der Bericht die aktuellen Aktivitäten für Konten in der angegebenen Organizations-Entity oder der Unterstruktur der Entität.

Wenn Sie einen programmatischen Bericht für eine Richtlinie erstellen, müssen Sie eine Organisationseinheit angeben. Dieser Bericht enthält eine Liste der Services, die im Rahmen der angegebenen SCP zugelassen sind. Für die einzelnen Services sind die neuesten Kontoaktivitäten der Entity oder der untergeordneten Elemente der Entity enthalten, denen aufgrund der Richtlinie eine Berechtigung erteilt wird. Weitere Informationen finden Sie unter aws iam generate-organizations-access-report oder GenerateOrganizationsAccessReport.

Bevor Sie sich den Bericht anzeigen lassen, stellen Sie sicher, dass Sie die Anforderungen an das Hauptkonto und die Daten, den Berichtszeitraum, die Entitäten, über die berichtet wird, als auch die ausgewerteten Richtlinientypen verstehen. Weitere Details finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

Der AWS Organizations -Entitätspfad

Wenn Sie die AWS API AWS CLI oder verwenden, um einen AWS Organizations Zugriffsbericht zu generieren, müssen Sie einen Entitätspfad angeben. Ein Pfad ist eine Textdarstellung der Struktur einer Organizations-Entität.

Sie können einen Entitätspfad mithilfe der bekannten Struktur Ihrer Organisation erstellen. Gehen Sie beispielsweise davon aus, dass Sie über die folgende Organisationsstruktur verfügen AWS Organizations.

Organisationspfadstruktur

Der Pfad für die Organisationseinheit des Dev Managers (Entwicklungsmanagers) wird mithilfe der IDs der Organisation, des Stammes und aller Organisationseinheiten im Pfad bis einschließlich der Organisationseinheit erstellt. 

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

Der Pfad für das Konto in der Organisationseinheit Production (Produktion) wird mithilfe der IDs der Organisation, des Stammes, der Organisationseinheit und der Kontonummer erstellt. 

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
Anmerkung

Organisations-IDs sind global eindeutig, Organisationeinheiten-IDs und Stamm-IDs sind jedoch nur innerhalb einer Organisation eindeutig. Dies bedeutet, dass keine zwei Organisationen dieselbe Organisations-ID verwenden. Eine andere Organisation verfügt jedoch möglicherweise über eine Organisationseinheit oder ein Stammverzeichnis mit derselben ID wie Ihre. Es wird empfohlen, immer die Organisations-ID anzugeben, wenn Sie eine Organisationseinheit oder ein Stammverzeichnis angeben.

Anzeigen von Informationen für Organizations (Konsole)

Sie können die IAM-Konsole verwenden, um Informationen zum letzten Servicezugriff für den Stamm, die Organisationseinheit, das Konto oder die Richtlinie anzeigen zu lassen.

So zeigen Sie Informationen für das Stammverzeichnis (Konsole) an:

  1. Melden Sie sich AWS Management Console mit den Anmeldeinformationen für das Verwaltungskonto using Organizations an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Organization activity (Organisationsaktivität).

  3. Wählen Sie auf der Seite Organization activity (Organisationsaktivität) die Option Root (Stamm).

  4. Überprüfen Sie auf der Registerkarte Details and activity (Details und Aktivitäten) den Bereich Service access report (Service-Zugriffsbericht). Die Informationen enthalten eine Liste der Services, die aufgrund der Richtlinien, die dem Stamm direkt angefügt wurden, zulässig sind. Die Informationen zeigen Ihnen, von welchem Konto aus und wann zuletzt auf den Service zugegriffen wurde. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und zeigen Sie die Informationen zum letzten IAM-Servicezugriff an.

  5. Wählen Sie die Registerkarte Attached SCPs (Angehängte SCPs), um die Liste der Dienstkontrollrichtlinien (SCPs) anzuzeigen, die an den Stamm angehängt sind. IAM zeigt Ihnen die Anzahl der Zielentitäten an, denen die einzelnen Richtlinien zugeordnet sind. Sie können diese Informationen verwenden, um zu entscheiden, welche SCP Sie überprüfen möchten.

  6. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

  7. Klicken Sie auf Bearbeiten in AWS Organizations, um weitere Details anzuzeigen und den SCP in der Organizationsationskonsole zu bearbeiten. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations -Leitfaden.

So zeigen Sie Informationen zu einer Organisationseinheit oder einem Konto an (Konsole):

  1. Melden Sie sich AWS Management Console mit den Anmeldeinformationen für das Verwaltungskonto using Organizations an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Organization activity (Organisationsaktivität).

  3. Erweitern Sie auf der Seite Organization activity (Organizationsaktivität) die Struktur Ihrer Organisation. Wählen Sie anschließend den Namen der Organisationseinheit oder jedes beliebigen Kontos aus, welches Sie anzeigen möchten, mit Ausnahme des Hauptkontos.

  4. Überprüfen Sie auf der Registerkarte Details and activity (Details und Aktivitäten) den Bereich Service access report (Service-Zugriffsbericht). Die Informationen enthalten eine Liste der Services, die im Rahmen der SCPs, die der Organisationseinheit oder dem Konto und allen übergeordneten Elementen angefügt wurden, zulässig sind. Die Informationen zeigen Ihnen, von welchem Konto aus und wann zuletzt auf den Service zugegriffen wurde. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und zeigen Sie die Informationen zum letzten IAM-Servicezugriff an.

  5. Wählen Sie die Registerkarte Angehängte SCPs, um die Liste der Dienstkontrollrichtlinien (SCPs) anzuzeigen, die direkt mit der Organisationseinheit oder dem Konto verbunden sind. IAM zeigt Ihnen die Anzahl der Zielentitäten an, denen die einzelnen Richtlinien zugeordnet sind. Sie können diese Informationen verwenden, um zu entscheiden, welche SCP Sie überprüfen möchten.

  6. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

  7. Klicken Sie auf Bearbeiten in AWS Organizations, um weitere Details anzuzeigen und den SCP in der Organizationsationskonsole zu bearbeiten. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations -Leitfaden.

So zeigen Sie Informationen zum Hauptkonto an (Konsole):

  1. Melden Sie sich AWS Management Console mit den Anmeldeinformationen für das Verwaltungskonto using Organizations an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Organization activity (Organisationsaktivität).

  3. Erweitern Sie auf der Seite Organization activity (Organisationsaktivität) die Struktur Ihrer Organisation und wählen Sie den Namen Ihres Hauptkontos.

  4. Überprüfen Sie auf der Registerkarte Details and activity (Details und Aktivitäten) den Bereich Service access report (Service-Zugriffsbericht). Die Informationen enthalten eine Liste aller AWS -Services. Das Hauptkonto ist nicht durch SCPs eingeschränkt. Die Informationen geben darüber Auskunft, ob und wann das Konto zuletzt auf den Service zugegriffen hat. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und zeigen Sie die Informationen zum letzten IAM-Servicezugriff an.

  5. Wählen Sie die Registerkarte Attached SCPs (Angefügte SCPs) aus, um zu bestätigen, dass keine angefügten SCPs vorhanden sind, da es sich bei dem Konto um das Hauptkonto handelt.

So zeigen Sie Informationen zu einer Richtlinie an (Konsole):

  1. Melden Sie sich AWS Management Console mit den Anmeldeinformationen für das Verwaltungskonto using Organizations an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Service control policies (SCPs) (Service-Kontrollrichtlinien (SCPs)).

  3. Auf der Seite Service Control Policies (SCPs) (Service-Kontrollrichtlinien) finden Sie eine Liste der Richtlinien Ihrer Organisation. Sie können die Anzahl der Ziel-Entitäten anzeigen lassen, an die die einzelnen Richtlinien angefügt sind.

  4. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

  5. Klicken Sie auf Bearbeiten in AWS Organizations, um weitere Details anzuzeigen und den SCP in der Organizationsationskonsole zu bearbeiten. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations -Leitfaden.

Anzeigen von Informationen für Organizations (AWS CLI)

Sie können den verwenden AWS CLI , um Informationen zum letzten Zugriff auf den Dienst für den Stamm, die Organisationseinheit, das Konto oder die Richtlinie Ihres Unternehmens abzurufen.

Um Informationen über den letzten Zugriff auf den Organisationsdienst anzuzeigen (AWS CLI)

  1. Verwenden Sie die Anmeldedaten für Ihr Organisationsmanagementkonto mit den erforderlichen IAM- und Organisationsberechtigungen und stellen Sie sicher, dass SCPs für Ihr Stammverzeichnis aktiviert sind. Weitere Informationen finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

  2. Erstellen Sie einen Bericht. Die Anforderung muss den Pfad der Organizations-Entität umfassen (Stamm, Organisationseinheit oder Konto), für die Sie einen Bericht erstellen möchten. Sie können optional einen organization-policy-id-Parameter einschließen, um den Bericht für eine bestimmte Richtlinie zu sehen. Der Befehl gibt eine job-id zurück, die Sie im Anschluss daran mit dem get-organizations-access-report-Befehl verwenden können, um den job-status zu überwachen, bis der Auftrag abgeschlossen ist.

  3. Rufen Sie Details zum Bericht mithilfe des Parameters job-id aus dem vorherigen Schritt ab.

    Dieser Befehl gibt eine Liste der Dienste zurück, auf die Entity-Mitglieder zugreifen können. Für jeden Service gibt der Befehl das Datum und die Uhrzeit des letzten Versuchs eines Kontomitglieds sowie den Entity-Pfad des Kontos zurück. Außerdem wird die Gesamtanzahl der Dienste angezeigt, auf die zugegriffen werden kann, als auch die Anzahl der Services, auf die nicht zugegriffen wurde. Wenn Sie den optionalen organizations-policy-id-Parameter angegeben haben, handelt es sich bei den Diensten, die für den Zugriff verfügbar sind, um die Dienste, die von der angegebenen Richtlinie zugelassen sind.

Informationen für Organizations anzeigen (AWS API)

Sie können die AWS API verwenden, um Informationen zum zuletzt aufgerufenen Dienst für den Stamm, die Organisationseinheit, das Konto oder die Richtlinie Ihres Unternehmens abzurufen.

So zeigen Sie Informationen zum zuletzt aufgerufenen Service der Organizations an (AWS API)

  1. Verwenden Sie die Anmeldedaten für Ihr Organisationsmanagementkonto mit den erforderlichen IAM- und Organisationsberechtigungen und stellen Sie sicher, dass SCPs für Ihr Stammverzeichnis aktiviert sind. Weitere Informationen finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

  2. Erstellen Sie einen Bericht. Die Anforderung muss den Pfad der Organizations-Entität umfassen (Stamm, Organisationseinheit oder Konto), für die Sie einen Bericht erstellen möchten. Sie können optional einen OrganizationsPolicyId-Parameter einschließen, um den Bericht für eine bestimmte Richtlinie zu sehen. Durch die Operation wird eine JobId zurückgegeben, die Sie in der Operation GetOrganizationsAccessReport verwenden können, um den JobStatus zu überwachen, bis der Auftrag abgeschlossen ist.

  3. Rufen Sie Details zum Bericht mithilfe des Parameters JobId aus dem vorherigen Schritt ab.

    Diese Operation gibt eine Liste der Dienste zurück, auf die von den Entity-Mitgliedern zugegriffen werden kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Versuchs eines Kontomitglieds sowie den Entity-Pfad des Kontos zurück. Außerdem wird die Gesamtanzahl der Dienste angezeigt, auf die zugegriffen werden kann, als auch die Anzahl der Services, auf die nicht zugegriffen wurde. Wenn Sie den optionalen OrganizationsPolicyId-Parameter angegeben haben, handelt es sich bei den Diensten, die für den Zugriff verfügbar sind, um die Dienste, die von der angegebenen Richtlinie zugelassen sind.