Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff AWS Organizations und serviceverknüpfte Rollen

Verwenden von AWS Organizations mit anderen AWS-Services

Sie können mit dem vertrauenswürdigen Zugriff einem von Ihnen angegebenen unterstützten AWS-Service, der als vertrauenswürdiger Service bezeichnet wird, ermöglichen, in Ihrem Namen Aufgaben für Ihre Organisation und deren Konten durchzuführen. Dies umfasst das Erteilen von Berechtigungen für den vertrauenswürdigen Service, hat aber keine Auswirkungen auf die Berechtigungen für Benutzer und Rollen. Wenn Sie den Zugriff aktivieren, kann der vertrauenswürdige Service in jedem Konto Ihrer Organisation immer dann, wenn erforderlich, eine IAM-Rolle erstellen, die als serviceverknüpfte Rolle bezeichnet wird. Der Rolle ist eine Berechtigungsrichtlinie zugeordnet, die es dem vertrauenswürdigen Service ermöglicht, die Aufgaben auszuführen, die in der Dokumentation des Services angegeben sind. Auf diese Weise können Sie Einstellungs- und Konfigurationsdetails angeben, die der vertrauenswürdigen Service in Ihrem Namen in den Konten Ihrer Organisation pflegen soll. Der vertrauenswürdige Service erstellt nur serviceverknüpfte Rollen, wenn er Verwaltungsaktionen für Konten ausführen muss, und nicht unbedingt in allen Konten der Organisation.

Wichtig

Sofern die Option verfügbar ist, sollten Sie den vertrauenswürdigen Zugriff unbedingt aktivieren und deaktivieren, indem Sie ausschließlich die Konsole des vertrauenswürdigen Service, dessen AWS CLI oder entsprechende API-Vorgänge benutzen. Auf diese Weise kann der vertrauenswürdige Service jede erforderliche Initialisierung durchführen, wenn vertrauenswürdigen Zugriff aktiviert wird, z. B. das Erstellen aller erforderlichen Ressourcen und die erforderliche Bereinigung von Ressourcen beim Deaktivieren des vertrauenswürdigen Zugriffs.

Informationen zum Aktivieren oder Deaktivieren des vertrauenswürdigen Dienstzugriffs auf Ihre Organisation mithilfe des vertrauenswürdigen Dienstes finden Sie unter dem Weitere Informationen-Link unter der Spalte Unterstützt vertrauenswürdigen Zugriff unter AWS Dienste, die Sie mit verwenden können AWS Organizations.

Wenn Sie den Zugriff über die Organizationskonsole, CLI-Befehle oder API-Vorgänge deaktivieren, werden folgende Aktionen ausgeführt:

Der Service kann keine serviceverknüpfte Rolle mehr in den Konten Ihrer Organisation erstellen. Dies bedeutet, dass der Service keine Vorgänge in Ihrem Namen für neue Konten in Ihrer Organisation ausführen kann. Der Service kann weiterhin Vorgänge in älteren Konten ausführen, bis der Service seine Bereinigung von AWS Organizations fertigstellt.
Der Service kann keine Aufgaben mehr in den Mitgliedskonten in der Organisation ausführen, es sei denn, diese Vorgänge sind explizit durch die IAM-Richtlinien zulässig, die Ihren Rollen zugeordnet sind. Dies schließt jede Datenaggregation von den Mitgliedskonten zum Verwaltungskonto oder gegebenenfalls zu einem delegierten Administratorkonto ein.
Einige Services erkennen dies und bereinigen alle verbleibenden Daten oder Ressourcen im Zusammenhang mit der Integration, während andere Services nicht mehr auf die Organisation zugreifen, aber alle historischen Daten und Konfigurationen vorhanden lassen, um eine mögliche erneute Aktivierung der Integration zu unterstützen.

Stattdessen stellt die Verwendung der Konsole oder der Befehle des anderen Services zum Deaktivieren der Integration sicher, dass der andere Service alle Ressourcen bereinigen kann, die nur für die Integration erforderlich sind. Wie der Service seine Ressourcen in den Konten der Organisation bereinigt, hängt von diesem Service ab. Weitere Informationen finden Sie in der Dokumentation zu dem anderen AWS-Service.

Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs

Für den vertrauenswürdigen Zugriff sind Berechtigungen für zwei Services erforderlich: für AWS Organizations und für den vertrauenswürdigen Service. Zum Aktivieren des vertrauenswürdigen Zugriffs wählen Sie eines der folgenden Szenarien aus:

Wenn Sie über Anmeldeinformationen mit Berechtigungen in AWS Organizations und den vertrauenswürdigen Service verfügen, aktivieren Sie den Zugriff mithilfe von Tools (Konsole oder AWS CLI), die über den vertrauenswürdigen Service bereitgestellt sind. Auf diese Weise kann der Service den vertrauenswürdigen Zugriff in Ihrem Namen in AWS Organizations aktivieren und alle Ressourcen erstellen, die der Service für die Durchführung seiner Aufgaben in Ihrer Organisation benötigt.

Für diese Anmeldeinformationen sind mindestens die folgenden Berechtigungen erforderlich:
- organizations:EnableAWSServiceAccess. Sie können auch den organizations:ServicePrincipal-Bedingungsschlüssel mit dieser Operation verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten. Weitere Informationen finden Sie unter Bedingungsschlüssel.
- organizations:ListAWSServiceAccessForOrganization – Erforderlich bei Verwendung der AWS Organizations-Konsole
- Die Berechtigungen, die mindestens vom vertrauenswürdigen Service benötigt werden, hängen vom Service ab. Weitere Informationen finden Sie in der Dokumentation zum vertrauenswürdigen Service.
Wenn eine Person über Anmeldeinformationen mit Berechtigungen in AWS Organizations verfügt, jemand anderes aber über Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Service, führen Sie diese Schritte in der folgenden Reihenfolge aus:
1. Die Person, die über Anmeldeinformationen mit Berechtigungen in AWS Organizations verfügt, sollte die AWS Organizations-Konsole, die AWS CLI oder ein AWS-SDK nutzen, um den vertrauenswürdigen Zugriff für den vertrauenswürdigen Service zu aktivieren. Dadurch erhält der andere Service die Berechtigung, die erforderliche Konfiguration in der Organisation durchzuführen, wenn der folgende Schritt (Schritt 2) durchgeführt wird.
  
  Die AWS Organizations-Berechtigungen, die mindestens erforderlich sind, sind:
  - organizations:EnableAWSServiceAccess
  - organizations:ListAWSServiceAccessForOrganization – Nur erforderlich bei Verwendung der AWS Organizations-Konsole
  Informationen zu den spezifischen Schritte zum Aktivieren des vertrauenswürdigen Zugriffs in AWS Organizations finden Sie unter So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff.
2. Die Person, die über Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Service verfügt, ermöglicht diesem Service das Arbeiten mit AWS Organizations. Dadurch wird der Service angewiesen, alle erforderlichen Initialisierungen durchzuführen. Dazu zählt beispielsweise das Erstellen von Ressourcen, die für die Ausführung des vertrauenswürdigen Services in Ihrer Organisation erforderlich sind. Weitere Informationen finden Sie in den servicespezifischen Anleitungen unter AWS Dienste, die Sie mit verwenden können AWS Organizations.

Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs

Wenn Sie nicht mehr möchten, dass der vertrauenswürdige Service in Ihrer Organisation oder deren Konten aktiv ist, wählen Sie eines der folgenden Szenarien aus.

Wichtig

Das Deaktivieren des vertrauenswürdigen Servicezugriffs verhindert nicht, dass Benutzer und Rollen mit entsprechenden Berechtigungen diesen Service verwenden können. Wenn Sie den Zugriff für Benutzer und Rollen auf einen AWS-Service vollständig sperren möchten, können Sie die IAM-Berechtigungen entziehen, durch die der Zugriff möglich war, oder Sie könnenService-Kontrollrichtlinien (SCPs) in AWS Organizations nutzen.

SCPs können nur auf Mitgliedskonten angewendet werden. SCPs gelten nicht für das Verwaltungskonto. Wir empfehlen Ihnen, keine Services im Verwaltungskonto auszuführen. Führen Sie sie stattdessen in Mitgliedskonten aus, in denen Sie die Sicherheit mithilfe von SCPs steuern können.

Wenn Sie über Anmeldeinformationen mit Berechtigungen in AWS Organizations und den vertrauenswürdigen Service verfügen, deaktivieren Sie den Zugriff mithilfe von Tools (Konsole oder AWS CLI), die für den vertrauenswürdigen Service verfügbar sind. Der Service führt dann eine Bereinigung durch, indem er die nicht mehr benötigte Ressource entfernt und den vertrauenswürdigen Zugriff für den Service in Ihrem Namen in AWS Organizations deaktiviert.

Für diese Anmeldeinformationen sind mindestens die folgenden Berechtigungen erforderlich:
- organizations:DisableAWSServiceAccess. Sie können auch den organizations:ServicePrincipal-Bedingungsschlüssel mit dieser Operation verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten. Weitere Informationen finden Sie unter Bedingungsschlüssel.
- organizations:ListAWSServiceAccessForOrganization – Erforderlich bei Verwendung der AWS Organizations-Konsole
- Die Berechtigungen, die mindestens vom vertrauenswürdigen Service benötigt werden, hängen vom Service ab. Weitere Informationen finden Sie in der Dokumentation zum vertrauenswürdigen Service.
Wenn die Anmeldeinformationen mit Berechtigungen in AWS Organizations nicht die Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Service sind, führen Sie diese Schritte in der folgenden Reihenfolge aus:
1. Die Person mit Berechtigungen im vertrauenswürdigen Service deaktiviert zuerst den Zugriff über den Service. Dies weist den vertrauenswürdigen Service an, eine Bereinigung vorzunehmen, indem die für den vertrauenswürdigen Zugriff erforderliche Ressourcen entfernt werden. Weitere Informationen finden Sie in den servicespezifischen Anleitungen unter AWS Dienste, die Sie mit verwenden können AWS Organizations.
2. Die Person, die über Berechtigungen in AWS Organizations verfügt, kann dann über die AWS Organizations-Konsole, AWS CLI oder ein AWS-SDK den Zugriff für den vertrauenswürdigen Service deaktivieren. Dadurch werden die Berechtigungen für den vertrauenswürdigen Service aus der Organisation und deren Konten entfernt.
  
  Die AWS Organizations-Berechtigungen, die mindestens erforderlich sind, sind:
  - organizations:DisableAWSServiceAccess
  - organizations:ListAWSServiceAccessForOrganization – Nur erforderlich bei Verwendung der AWS Organizations-Konsole
  Informationen zu den spezifischen Schritte zum Deaktivieren des vertrauenswürdigen Zugriffs in AWS Organizations finden Sie unter So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff.

So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff

Wenn Sie nur über Berechtigungen für AWS Organizations verfügen und einen vertrauenswürdigen Zugriff auf Ihre Organisation im Namen des Administrators anderer AWS-Services aktivieren oder deaktivieren möchten, führen Sie die folgenden Schritte durch.

Wichtig

Wenn Sie den Zugriff über die Organizationskonsole, CLI-Befehle oder API-Vorgänge deaktivieren, werden folgende Aktionen ausgeführt:

Der Service kann keine serviceverknüpfte Rolle mehr in den Konten Ihrer Organisation erstellen. Dies bedeutet, dass der Service keine Vorgänge in Ihrem Namen für neue Konten in Ihrer Organisation ausführen kann. Der Service kann weiterhin Vorgänge in älteren Konten ausführen, bis der Service seine Bereinigung von AWS Organizations fertigstellt.
Der Service kann keine Aufgaben mehr in den Mitgliedskonten in der Organisation ausführen, es sei denn, diese Vorgänge sind explizit durch die IAM-Richtlinien zulässig, die Ihren Rollen zugeordnet sind. Dies schließt jede Datenaggregation von den Mitgliedskonten zum Verwaltungskonto oder gegebenenfalls zu einem delegierten Administratorkonto ein.
Einige Services erkennen dies und bereinigen alle verbleibenden Daten oder Ressourcen im Zusammenhang mit der Integration, während andere Services nicht mehr auf die Organisation zugreifen, aber alle historischen Daten und Konfigurationen vorhanden lassen, um eine mögliche erneute Aktivierung der Integration zu unterstützen.

AWS Management Console

So aktivieren Sie vertrauenswürdigen Servicezugriff

Melden Sie sich an der AWS Organizations-Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
Suchen Sie auf der Seite Services nach der Zeile für den Service, den Sie aktivieren möchten und wählen Sie den Namen aus.
Wählen Sie Vertrauenswürdigen Zugriff aktivieren.
Aktivieren Sie im Bestätigungsdialogfeld Option zum Aktivieren des vertrauenswürdigen Zugriffs anzeigen, geben Sie enable in das Feld ein und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren.
Wenn Sie den Zugriff aktivieren, informieren Sie den Administrator des anderen AWS-Services darüber, dass nun der andere Service für die Ausführung in AWS Organizations aktiviert werden kann.

So deaktivieren Sie einen vertrauenswürdigen Servicezugriff

Melden Sie sich an der AWS Organizations-Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
Suchen Sie auf der Seite Services nach der Zeile für den Service, den Sie deaktivieren möchten und wählen Sie den Namen aus.
Warten Sie, bis der Administrator des anderen Services Ihnen mitteilt, dass der Service deaktiviert und seine Ressourcen bereinigt wurden.
Geben Sie im Bestätigungsdialogfeld disable in das Feld ein und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren.

AWS CLI, AWS API

So aktivieren oder deaktivieren Sie einen vertrauenswürdigen Servicezugriff

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff aktivieren oder deaktivieren:

AWS CLI: AWS Organizations enable-aws-service-access
AWS CLI: AWS Organizations disable-aws-service-access
AWS-API: EnableAWSServiceAccess
AWS-API: DisableAWSServiceAccess

AWS Organizations und serviceverknüpfte Rollen

AWS Organizations verwendet servicegebundene IAM-Rollen, um vertrauenswürdigen Services die Durchführung von Aufgaben in Ihrem Namen in den Mitgliedskonten Ihrer Organisation zu ermöglichen. Wenn Sie einen vertrauenswürdigen Service konfigurieren und ihn für die Integration in Ihre Organisation autorisieren, kann dieser Service verlangen, dass AWS Organizations in jedem seiner Mitgliedskonten eine servicegebundene Rolle erstellt. Der vertrauenswürdige Service tut dies asynchron – je nach Bedarf – und nicht unbedingt in allen Konten der Organisation gleichzeitig. Die servicegebundene Rolle verfügt über vordefinierte IAM-Berechtigungen, die es dem vertrauenswürdigen Service ermöglichen, nur bestimmte Aufgaben in diesem Konto auszuführen. Im Allgemeinen verwaltet AWS alle servicegebundenen Rollen. Dies bedeutet, dass Sie die Rollen oder die verknüpften Richtlinien in der Regel nicht ändern können.

Um all dies zu ermöglichen, stellt AWS Organizations das Mitgliedskonto mit einer servicegebundenen Rolle namens AWSServiceRoleForOrganizations bereit, sobald Sie ein Konto in einer Organisation erstellen oder eine Einladung annehmen, mit der Ihr bestehendes Konto einer Organisation beitritt. Nur der AWS Organizations-Service selbst kann diese Rolle annehmen. Die Rolle hat Berechtigungen, die AWS Organizations erlauben, servicegebundene Rollen für andere AWS-Services anzulegen. Diese servicegebundene Rolle ist in allen Organisationen vorhanden.

Wenn Ihr Unternehmen nur konsolidierte Fakturierungsfunktionen aktiviert hat, wird die servicegebundene Rolle namens AWSServiceRoleForOrganizations nie verwendet und kann gelöscht werden. Wir empfehlen diese Vorgehensweise jedoch nicht. Wenn Sie später alle Funktionen in Ihrer Organisation aktivieren möchten, ist die Rolle erforderlich und muss wiederhergestellt werden. Die folgenden Prüfungen finden statt, wenn Sie den Prozess starten, um alle Funktionen zu aktivieren:

Für jedes Mitgliedskonto, das zum Beitritt zur Organisation eingeladen wurde – Der Kontoadministrator erhält eine Anforderung zur Zustimmung für die Aktivierung aller Funktionen. Um der Anforderung erfolgreich zustimmen zu können, muss der Administrator sowohl die Berechtigung organizations:AcceptHandshake als auch die Berechtigung iam:CreateServiceLinkedRole besitzen, wenn die serviceverknüpfte Rolle (AWSServiceRoleForOrganizations) nicht bereits vorhanden ist. Wenn die Rolle AWSServiceRoleForOrganizations bereits existiert, benötigt der Administrator nur die Berechtigung organizations:AcceptHandshake, um der Anfrage zuzustimmen. Wenn der Administrator der Anforderung zustimmt, erstellt AWS Organizations die servicegebundene Rolle, wenn sie noch nicht vorhanden ist.
Für jedes Mitgliedskonto, das in der Organisation angelegt wurde – Der Kontoadministrator erhält die Anforderung, die servicegebundene Rolle neu zu erstellen. (Der Administrator des Mitgliedskontos erhält keine Aufforderung, alle Funktionen zu aktivieren, da der Administrator des Verwaltungskontos als Eigentümer der erstellten Mitgliedskonten betrachtet wird.) AWS Organizations erstellt die servicegebundene Rolle, wenn der Administrator des Mitgliedskontos der Anforderung zustimmt. Der Administrator muss sowohl die Berechtigung organizations:AcceptHandshake als auch die Berechtigung iam:CreateServiceLinkedRole besitzen, um den Handshake erfolgreich akzeptieren zu können.

Nachdem Sie alle Funktionen in Ihrer Organisation aktiviert haben, können Sie die servicegebundene Rolle AWSServiceRoleForOrganizations nicht mehr aus einem Konto löschen.

Wichtig

AWS Organizations-Service-Kontrollrichtlinien wirken sich nie auf serviceverknüpfte Rollen aus. Diese Rollen sind von jeglichen Beschränkungen durch Service-Kontrollrichtlinien ausgenommen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Markieren von Ressourcen

Services, die mit Organizations funktionieren