Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations

Wenn Sie über die AWS Organizations Konsole ein Mitgliedskonto erstellen, AWS Organizations wird automatisch eine IAM Rolle mit dem Namen OrganizationAccountAccessRole des Kontos erstellt. Diese Rolle hat volle administrative Berechtigungen im Mitgliedskonto. Der Zugriffsumfang für diese Rolle umfasst alle Hauptbenutzer im Verwaltungskonto, sodass die Rolle so konfiguriert ist, dass sie diesen Zugriff auf das Verwaltungskonto der Organisation gewährt.

Sie können eine identische Rolle für ein eingeladenes Mitgliedskonto erstellen, indem Sie entsprechend der Schritte in Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations vorgehen.

Um diese Rolle für den Zugriff auf das Mitgliedskonto zu verwenden, müssen Sie sich als Benutzer des Verwaltungskonto anmelden, das Berechtigungen zur Annahme der Rolle hat. Führen Sie das folgende Verfahren aus, um diese Berechtigungen zu konfigurieren. Wir empfehlen, dass Sie Berechtigungen zu Gruppen statt zu Benutzern zuweisen. Dies vereinfacht die Wartung.

AWS Management Console
Um Mitgliedern einer IAM Gruppe im Verwaltungskonto Berechtigungen für den Zugriff auf die Rolle zu gewähren
  1. Melden Sie sich bei der IAM Konsole unter https://console.aws.amazon.com/iam/als Benutzer mit Administratorrechten im Verwaltungskonto an. Dies ist erforderlich, um Berechtigungen an die IAM Gruppe zu delegieren, deren Benutzer auf die Rolle im Mitgliedskonto zugreifen.

  2. Erstellen Sie zunächst die verwaltete Richtlinie, die Sie später in Schritt 14 benötigen.

    Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen) aus.

  3. Wählen Sie auf der Registerkarte Visueller Editor die Option Dienst auswählen aus, geben Sie STS in das Suchfeld ein, um die Liste zu filtern, und wählen Sie dann die STSOption aus.

  4. Geben Sie im Abschnitt Aktionen assume in das Suchfeld ein, um die Liste zu filtern, und wählen Sie dann die AssumeRoleOption aus.

  5. Wählen Sie im Abschnitt Ressourcen die Option Spezifisch und anschließend Hinzufügen aus ARNs

  6. Wählen Sie im Abschnitt „SpezifizierenARN“ die Option „Anderes Konto“ für „Ressource in“ aus.

  7. Geben Sie die ID des Mitgliedskontos ein, das Sie gerade erstellt haben

  8. Geben Sie unter Name der Ressourcenrolle mit Pfad den Namen der Rolle ein, die Sie im vorherigen Abschnitt erstellt haben (wir empfehlen, sie zu benennenOrganizationAccountAccessRole).

  9. Wählen Sie Hinzufügen ARNs, wenn das richtige Dialogfeld angezeigt wirdARN.

  10. (Optional) Wenn Sie eine mehrstufige Authentifizierung (MFA) verlangen oder den Zugriff auf die Rolle von einem bestimmten IP-Adressbereich aus einschränken möchten, erweitern Sie den Abschnitt Anforderungsbedingungen und wählen Sie die Optionen aus, die Sie erzwingen möchten.

  11. Wählen Sie Weiter.

  12. Geben Sie auf der Seite Überprüfen und erstellen einen Namen für die neue Richtlinie ein. Beispiel: GrantAccessToOrganizationAccountAccessRole. Optional können Sie auch eine Beschreibung eingeben.

  13. Wählen Sie Create policy (Richtlinie erstellen) aus, um die neue verwaltete Richtlinie zu speichern.

  14. Da die Richtlinie jetzt verfügbar ist, können Sie diese einer Gruppe anfügen.

    Wählen Sie im Navigationsbereich Benutzergruppen und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, deren Mitglieder Sie die Rolle im Mitgliedskonto übernehmen möchten. Falls erforderlich, können Sie eine neue Gruppe erstellen.

  15. Wählen Sie die Registerkarte Permissions (Berechtigungen), wählen Sie Add permissions (Berechtigungen hinzufügen) und wählen Sie dann Attach policies (Richtlinien anhängen).

  16. (Optional) Sie können im Feld Search (Suchen) mit der Eingabe des Namens Ihrer Richtlinie beginnen, um die Liste zu filtern, bis Ihnen der Name der Richtlinie angezeigt wird, die Sie gerade in Schritt 2 über Schritt 13 erstellt haben. Sie können auch alle AWS verwalteten Richtlinien herausfiltern, indem Sie Alle Typen und dann vom Kunden verwaltet auswählen.

  17. Markieren Sie das Kästchen neben Ihrer Richtlinie und wählen Sie dann Richtlinien anhängen aus.

IAMBenutzer, die Mitglieder der Gruppe sind, sind jetzt berechtigt, mithilfe des folgenden Verfahrens zu der neuen Rolle in der AWS Organizations Konsole zu wechseln.

AWS Management Console
So wechseln Sie zur Rolle für das Mitgliedskonto

Wenn er die Rolle verwendet, hat der Benutzer Administratorberechtigungen im neuen Mitgliedskonto. Weisen Sie Ihre IAM Benutzer, die Mitglieder der Gruppe sind, an, wie folgt zu gehen, um zur neuen Rolle zu wechseln.

  1. Wählen Sie in der oberen rechten Ecke der AWS Organizations Konsole den Link aus, der Ihren aktuellen Anmeldenamen enthält, und klicken Sie dann auf Rolle wechseln.

  2. Geben Sie die von Ihrem Administrator erhaltene Konto-ID und den Rollennamen ein.

  3. Geben Sie unter Display Name (Anzeigename) den Text ein, der während der Verwendung der Rolle in der Navigationsleiste in der oberen rechten Ecke statt Ihres Benutzernamens angezeigt werden soll. Optional können Sie eine Farbe auswählen.

  4. Wählen Sie Switch Role. Nun werden alle von Ihnen ausgeführten Aktionen mit den für die gewählte Rolle gewährten Berechtigungen ausgeführt. Sie verfügen nicht mehr über die mit Ihrem ursprünglichen IAM Benutzer verknüpften Berechtigungen, bis Sie zurückwechseln.

  5. Wenn Sie mit der Ausführung von Aktionen fertig sind, für die die Berechtigungen der Rolle erforderlich sind, können Sie zu Ihrem normalen IAM Benutzer zurückkehren. Wählen Sie den Rollennamen in der oberen rechten Ecke (was auch immer Sie als Anzeigenamen angegeben haben) und wählen Sie dann Zurück zu UserName.