Delegierter Administrator für AWS -Services diese Arbeit mit Organizations - AWS Organizations
An Konten für delegierte Administratoren erteilte Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Delegierter Administrator für AWS -Services diese Arbeit mit Organizations

Es wird empfohlen, das AWS Organizations Verwaltungskonto und seine Benutzer und Rollen nur für Aufgaben zu verwenden, die von diesem Konto ausgeführt werden müssen. Wir empfehlen Ihnen außerdem, Ihre AWS Ressourcen in anderen Mitgliedskonten der Organisation zu speichern und sie außerhalb des Verwaltungskontos zu halten. Dies liegt daran, dass Sicherheitsfunktionen wie die Dienststeuerungsrichtlinien von Organizations (SCPs) die Benutzer oder Rollen im Verwaltungskonto nicht einschränken. Durch die Trennung der Ressourcen vom Verwaltungskonto können Sie außerdem die Kosten auf Ihren Rechnungen leichter nachvollziehen.

Viele AWS -Services , die in Organizations integriert sind, ermöglichen es Ihnen, die Nutzung des Verwaltungskontos zu reduzieren. Mithilfe dieser Services können Sie ein oder mehrere Mitgliedskonten als Administratoren registrieren, die alle im Service verwendeten Konten der Organisation verwalten können. Diese Konten werden als delegierte Administratoren für den betreffenden Service bezeichnet. Durch die Registrierung eines Mitgliedskontos als delegierten Administrator für einen AWS -Service gewähren Sie diesem Konto einige Administratorberechtigungen für den Service sowie reine Leseberechtigungen für Organizations.

Führen Sie folgende Schritte aus, bevor Sie ein Konto als delegierten Administrator für einen Service registrieren:

  • Vergewissern Sie sich, dass der Service delegierte Administratoren unterstützt. Der Tabelle unter AWS -Services die du verwenden kannst mit AWS Organizations können Sie entnehmen, welche Services delegierte Administratoren unterstützen.

  • Aktivieren Sie vertrauenswürdigen Zugriff für den betreffenden Service.

Anmerkung

Um zu erfahren, wie Sie einen delegierten Administrator für einen Service aktivieren, rufen Sie die Tabelle unter AWS -Services die du verwenden kannst mit AWS Organizations auf und wählen Sie den Link Weitere Informationen in der Spalte Unterstützt delegierten Administrator für den jeweiligen Service aus.

An Konten für delegierte Administratoren erteilte Berechtigungen

Jedes servicespezifische Konto für einen delegierte Administrator verfügt über Berechtigungen, die vom betreffenden Service erteilt werden. Um mehr zu erfahren, rufen Sie die Tabelle unter AWS -Services die du verwenden kannst mit AWS Organizations auf und wählen Sie den Link Weitere Informationen in der Spalte Unterstützt delegierten Administrator für den jeweiligen Service aus.

Ein Konto für einen delegierten Administrator verfügt außerdem über die folgenden reinen Leseberechtigungen:

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

Mit diesen Berechtigungen lassen sich die folgenden Konsolenelemente anzeigen, aber nicht ändern:

  • Organisationsstruktur, alle Konten und OUs Unternehmensrichtlinien

  • Mitgliedschaften

  • Alle Konten undOUs.

  • Organisationsrichtlinien