Delegierter Administrator für AWS Organizations

Wir empfehlen, das AWS Organizations Verwaltungskonto und seine Benutzer und Rollen nur für Aufgaben zu verwenden, die von diesem Konto ausgeführt werden müssen. Außerdem sollten Sie die AWS -Ressourcen in anderen Mitgliedskonten in der Organisation speichern und sie aus dem Verwaltungskonto heraushalten. Der Grund dafür ist, dass Sicherheitsfeatures wie die Service-Kontrollrichtlinien (SCPs) von Organizations die Benutzer oder Rollen im Verwaltungskonto nicht einschränken.

Über das Verwaltungskonto der Organisation können Sie die Richtlinienverwaltung für Organizations an bestimmte Mitgliedskonten delegieren, um Richtlinienaktionen auszuführen, die standardmäßig nur für das Verwaltungskonto verfügbar sind.

Erstellen oder Aktualisieren einer ressourcenbasierten Delegierungsrichtlinie

Erstellen oder aktualisieren Sie vom Verwaltungskonto aus eine ressourcenbasierte Delegierungsrichtlinie für Ihre Organisation und fügen Sie eine Erklärung hinzu, die angibt, welche Mitgliedskonten Aktionen im Rahmen von Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben.

Mindestberechtigungen

Um die ressourcenbasierte Delegierungsrichtlinie zu erstellen oder zu aktualisieren, benötigen Sie die Berechtigung, die folgenden Aktionen auszuführen:

• organizations:PutResourcePolicy

• organizations:DescribeResourcePolicy

Darüber hinaus müssen Sie Rollen und Benutzern im delegierten Administratorkonto die entsprechenden IAM-Berechtigungen für die erforderlichen Aktionen gewähren. Ohne IAM-Berechtigungen wird davon ausgegangen, dass der aufrufende Principal nicht über die erforderlichen Berechtigungen zum Verwalten von AWS Organizations Richtlinien verfügt.

AWS Management Console

Verwenden Sie eine der folgenden Methoden, um der ressourcenbasierten Delegierungsrichtlinie in der AWS Management Console Anweisungen hinzuzufügen:

• JSON-Richtlinie – Fügen Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie ein und passen Sie es an, um es in Ihrem Konto zu verwenden, oder geben Sie Ihr eigenes JSON-Richtliniendokument in den JSON-Editor ein.

• Visueller Editor – Erstellen Sie im visuellen Editor eine neue Delegierungsrichtlinie, die Sie beim Erstellen einer Delegierungsrichtlinie unterstützt, ohne JSON-Syntax schreiben zu müssen.

Verwenden des JSON-Richtlinieneditors zum Erstellen oder Aktualisieren einer Delegierungsrichtlinie

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie Settings (Einstellungen) aus.

3. Wählen Sie im Abschnitt Delegierter Administrator für AWS Organizations die Option Delegate (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen. Um eine bestehende Delegierungsrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).

4. Geben oder fügen Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie in der IAM-JSON-Richtlinienreferenz.

5. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen).

Verwenden des visuellen Editors zum Erstellen oder Aktualisieren einer Delegierungsrichtlinie

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie Settings (Einstellungen) aus.

3. Wählen Sie im Abschnitt Delegierter Administrator für AWS Organizations die Option Delegate (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen. Um eine bestehende Delegierungsrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).

4. Wählen Sie auf der Seite Create Delegation policy (Delegierungsrichtlinie erstellen) die Option Add new statement (Neue Anweisung hinzufügen) aus.

5. Stellen Sie Effect (Effekt) auf Allow.

6. Fügen Sie den Principal hinzu, um die Mitgliedskonten zu definieren, an die Sie delegieren möchten. Weitere Informationen zur Syntax finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien.

7. Wählen Sie aus der Liste Actions (Aktionen) die Aktionen aus, die Sie delegieren möchten. Sie können die Auswahl mithilfe der Option Filter actions (Aktionen filtern) eingrenzen.

8. Um anzugeben, ob das delegierte Mitgliedskonto Richtlinien an die Stammorganisation oder die Organisationseinheiten (OUs) anhängen kann, legen Sie Resources fest. Sie müssen auch policy als Ressourcentyp auswählen. Weitere Details finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien. Sie können Ressourcen auf folgende Weise angeben:

   • Wählen Sie Add a resource (Ressource hinzufügen) und erstellen Sie den Amazon-Ressourcennamen (ARN), indem Sie den Anweisungen im Dialogfeld folgen.

   • Listen Sie die Ressourcen-ARNs manuell im Editor auf. Weitere Informationen zur ARN-Syntax finden Sie unter Amazon Resource Name (ARN) im AWS General Reference Guide. Hinweise zur Verwendung von ARNs im Ressourcenelement einer Richtlinie finden Sie unter IAM-JSON-Richtlinienelemente: Ressource.

9. Wählen Sie Add a condition (Bedingung hinzufügen), um weitere Bedingungen anzugeben, einschließlich des Richtlinientyps, den Sie delegieren möchten. Wählen Sie den Condition Key (Bedingungsschlüssel), den Tag key (Tag-Schlüssel), den Qualifier (Qualifizierer) und den Operator (Operator) der Bedingung aus und geben Sie dann einen Value (Wert) ein. Weitere Details finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien. Wählen Sie danach Add condition (Bedingung hinzufügen) aus. Weitere Informationen zum Element Condition (Bedingung) finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung in der IAM-JSON-Richtlinienreferenz.

10. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add new statement (Neue Anweisung hinzufügen). Wiederholen Sie die Schritte 5 bis 9 für jeden Block.

11. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen), um Ihre Arbeit zu speichern.

AWS CLI & AWS SDKs

Erstellen oder Aktualisieren einer Delegierungsrichtlinie

Sie können zum Erstellen oder Aktualisieren einer Richtlinie die folgenden Befehle verwenden:

• AWS CLI: put-resource-policy

  Im folgenden Beispiel wird die Delegierungsrichtlinie erstellt oder aktualisiert.

  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              }
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }

• AWS SDK: PutResourcePolicy

Unterstützte Richtlinienaktionen zur Delegierung

Folgende Aktionen werden in der Delegierungsrichtlinie unterstützt:

• AttachPolicy

• CreatePolicy

• DeletePolicy

• DescribeAccount

• DescribeCreateAccountStatus

• DescribeEffectivePolicy

• DescribeHandshake

• DescribeOrganization

• DescribeOrganizationalUnit

• DescribePolicy

• DescribeResourcePolicy

• DetachPolicy

• DisablePolicyType

• EnablePolicyType

• ListAccounts

• ListAccountsForParent

• ListAWSServiceAccessForOrganization

• ListChildren

• ListCreateAccountStatus

• ListDelegatedAdministrators

• ListDelegatedServicesForAccount

• ListHandshakesForAccount

• ListHandshakesForOrganization

• ListOrganizationalUnitsForParent

• ListParents

• ListPolicies

• ListPoliciesForTarget

• ListRoots

• ListTagsForResource

• ListTargetsForPolicy

• TagResource

• UntagResource

• UpdatePolicy

Unterstützte Bedingungsschlüssel

Nur Bedingungsschlüssel, die von unterstützt werden, AWS Organizations können für Delegierungsrichtlinien verwendet werden. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS Organizations in der Serviceautorisierungsreferenz.

Anzeigen einer ressourcenbasierte Delegierungsrichtlinie

Sehen Sie sich vom Verwaltungskonto aus die ressourcenbasierte Delegierungsrichtlinie Ihrer Organisation an, um zu erfahren, welche delegierten Administratoren Zugriff auf die Verwaltung welcher Richtlinientypen haben.

Mindestberechtigungen

Um die ressourcenbasierte Delegierungsrichtlinie anzuzeigen, benötigen Sie die Berechtigung, die folgende Aktion auszuführen: organizations:DescribeResourcePolicy.

AWS Management Console

So zeigen Sie eine Delegierungsrichtlinie an

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie Settings (Einstellungen) aus.

3. Scrollen Sie im Abschnitt Delegierter Administrator für AWS Organizations, um die vollständige Delegierungsrichtlinie anzuzeigen.

AWS CLI & AWS SDKs

Anzeigen einer Delegierungsrichtlinie

Sie können zum Anzeigen einer Delegierungsrichtlinie den folgenden Befehl verwenden:

• AWS CLI: describe-resource-policy

  Das folgende Beispiel ruft die Richtlinie ab.

  $ aws organizations describe-resource-policy

• AWS SDK: DescribeResourcePolicy

Löschen einer ressourcenbasierte Delegierungsrichtlinie

Wenn Sie die Verwaltung von Richtlinien in Ihrer Organisation nicht mehr delegieren müssen, können Sie die ressourcenbasierte Delegierungsrichtlinie aus dem Verwaltungskonto der Organisation löschen.

Wichtig

Wenn Sie Ihre ressourcenbasierte Delegierungsrichtlinie löschen, können Sie sie nicht wiederherstellen.

Mindestberechtigungen

Um die ressourcenbasierte Delegierungsrichtlinie zu löschen, benötigen Sie die Berechtigung, die folgende Aktion auszuführen: organizations:DeleteResourcePolicy.

AWS Management Console

So löschen Sie eine Delegierungsrichtlinie

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie Settings (Einstellungen) aus.

3. Wählen Sie im Bereich Delegierter Administrator für AWS Organizations die Option Löschen aus.

4. Geben Sie im Bestätigungsdialogfeld Delet policy (Richtlinie löschen) delete ein. Wählen Sie dann Delete policy (Richtlinie löschen).

AWS CLI & AWS SDKs

Löschen einer Delegierungsrichtlinie

Sie können zum Löschen einer Delegierungsrichtlinie den folgenden Befehl verwenden:

• AWS CLI: delete-resource-policy

  Im folgenden Beispiel wird die Richtlinie gelöscht.

  $ aws organizations delete-resource-policy

• AWS SDK: DeleteResourcePolicy