Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen - AWS Control Tower
Ressourcen und Betriebsabläufe von AWS Control TowerÜber den Besitz von RessourcenGeben Sie die Richtlinienelemente an: Aktionen, Auswirkungen und PrinzipienAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Control Tower Tower-Ressourcen

Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Einige Dienste (z. B. AWS Lambda) unterstützen auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administrator) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Wenn Sie für die Erteilung von Berechtigungen für einen Benutzer oder eine Rolle verantwortlich sind, müssen Sie die Benutzer und Rollen, für die Berechtigungen erforderlich sind, die Ressourcen, für die jeder Benutzer und jede Rolle Berechtigungen benötigen, und die spezifischen Aktionen, die für den Betrieb dieser Ressourcen zulässig sein müssen, kennen und nachverfolgen.

Themen

Ressourcen und Betriebsabläufe von AWS Control Tower

In AWS Control Tower ist die primäre Ressource eine landing zone. AWS Control Tower unterstützt auch einen zusätzlichen Ressourcentyp, Kontrollen, die manchmal auch als Guardrails bezeichnet werden. Für AWS Control Tower können Sie Kontrollen jedoch nur im Kontext einer vorhandenen landing zone verwalten. Kontrollen können als Unterressource bezeichnet werden.

Ressourcen und Unterressourcen AWS sind mit eindeutigen Amazon-Ressourcennamen (ARNs) verknüpft, wie im folgenden Beispiel gezeigt.

Ressourcentyp ARN-Format
Dateisystem arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

AWS Control Tower bietet eine Reihe von API-Vorgängen für die Arbeit mit AWS Control Tower Tower-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Control Tower, der AWS Control Tower API-Referenz.

Weitere Informationen zu den AWS CloudFormation Ressourcen in AWS Control Tower finden Sie im AWS CloudFormation Benutzerhandbuch.

Über den Besitz von Ressourcen

Das AWS Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. des AWS-Konto Root-Benutzers, eines IAM Identity Center-Benutzers, eines IAM-Benutzers oder einer IAM-Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die AWS Root-Benutzeranmeldedaten Ihres AWS Kontos verwenden, um eine landing zone einzurichten, ist Ihr AWS Konto der Eigentümer der Ressource.

  • Wenn Sie in Ihrem AWS Konto einen IAM-Benutzer erstellen und diesem Benutzer Berechtigungen zum Einrichten einer landing zone gewähren, kann der Benutzer eine landing zone einrichten, sofern sein Konto die Voraussetzungen erfüllt. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Landingzone-Ressource.

  • Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Einrichten einer landing zone erstellen, kann jeder, der die Rolle übernehmen kann, eine landing zone einrichten. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die landing zone Zone-Ressource.

Geben Sie die Richtlinienelemente an: Aktionen, Auswirkungen und Prinzipien

Sie können Ihre landing zone über die AWS Control Tower Tower-Konsole oder die landing zone Zone-APIs einrichten und verwalten. Um Ihre landing zone einzurichten, müssen Sie ein IAM-Benutzer mit Administratorrechten sein, wie in einer IAM-Richtlinie definiert.

Die folgenden Elemente sind die grundlegendsten, die Sie in einer Richtlinie identifizieren können:

  • Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter Ressourcen und Betriebsabläufe von AWS Control Tower.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Informationen zu den Arten von Aktionen, die ausgeführt werden können, finden Sie unter Von AWS Control Tower definierte Aktionen.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Principal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). AWS Control Tower unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Um Bedingungen auszudrücken, können Sie vordefinierte Bedingungsschlüssel verwenden. Es gibt keine spezifischen Bedingungsschlüssel für AWS Control Tower. Es gibt jedoch allgemeine AWS Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch.