Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations

Wenn Sie als Teil Ihrer Organisation ein Mitgliedskonto erstellen, AWS erstellt automatisch eine Rolle in dem Konto, die IAM Benutzern im Verwaltungskonto, die die Rolle übernehmen können, Administratorrechte gewährt. Standardmäßig hat diese Rolle den Namen OrganizationAccountAccessRole. Weitere Informationen finden Sie unter Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations.

Für Mitgliedskonten allerdings, die Sie zum Beitritt zur Organisation einladen, wird nicht automatisch eine Admin-Rolle erstellt. Sie müssen dies, wie in der folgenden Prozedur gezeigt, manuell erledigen. Die Prozedur dupliziert die automatisch für erstellte Konten eingerichtete Rolle. Wir empfehlen, dass Sie aus Konsistenzgründen und zur leichteren Erkennbarkeit denselben Namen (OrganizationAccountAccessRole) für Ihre manuell erstellten Rollen nutzen.

AWS Management Console
Um eine zu erstellen AWS Organizations Administratorrolle in einem Mitgliedskonto

  1. Melden Sie sich bei der IAM Konsole an unter https://console.aws.amazon.com/iam/. Sie müssen sich im Mitgliedskonto als IAM Benutzer anmelden, eine IAM Rolle annehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden. Der Benutzer oder die Rolle muss berechtigt sein, IAM Rollen und Richtlinien zu erstellen.

  2. Navigieren Sie in der IAM Konsole zu Rollen und wählen Sie dann Rolle erstellen aus.

  3. Wählen Sie aus.AWS-Konto, und wählen Sie dann Andere AWS-Konto.

  4. Geben Sie die 12-stellige Konto-ID des Verwaltungskontos ein, für das Sie Administratorzugriff gewähren möchten. Beachten Sie unter Optionen bitte Folgendes:

    • Da die Konten in Ihrem Unternehmen intern sind, sollten Sie für diese Rolle nicht die Option Externe ID erforderlich auswählen. Weitere Informationen zur Option „Externe ID“ finden Sie unter Wann sollte ich eine externe ID verwenden? im IAMBenutzerhandbuch.

    • Wenn Sie die MFA Option aktiviert und konfiguriert haben, können Sie optional festlegen, dass die Authentifizierung über ein MFA Gerät erforderlich ist. Weitere Informationen MFA dazu finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS im IAM-Benutzerhandbuch.

  5. Wählen Sie Weiter.

  6. Wählen Sie auf der Seite „Berechtigungen hinzufügen“ die AWS verwaltete Richtlinie mit dem Namen AdministratorAccess und wählen Sie dann Weiter aus.

  7. Geben Sie auf der Seite Name, Überprüfung und Erstellung einen Rollennamen und eine optionale Beschreibung an. Wir empfehlen, dass Sie zur Übereinstimmung mit dem Standardnamen für die Rolle in neuen Konten den Namen „OrganizationAccountAccessRole“ verwenden. Wählen Sie Create Role (Rolle erstellen) aus, um Ihre Änderungen zu übernehmen.

  8. Die neue Rolle erscheint in der Liste der verfügbaren Rollen. Wählen Sie den Namen der neuen Rolle aus, um deren Details einzusehen, und achten Sie dabei besonders auf den bereitgestellten LinkURL. Geben Sie diesen URL an Benutzer im Mitgliedskonto weiter, die auf die Rolle zugreifen müssen. Notieren Sie sich auch die Rolle ARN, da Sie sie in Schritt 15 benötigen.

  9. Melden Sie sich bei der IAM Konsole an unter https://console.aws.amazon.com/iam/. Melden Sie sich jetzt als derjenige Benutzer im Verwaltungskonto an, der die Berechtigungen zur Erstellung von Richtlinien hat, und weisen Sie die Richtlinien für die Benutzer oder Gruppen zu.

  10. Navigieren Sie zu Richtlinien und wählen Sie dann Richtlinie erstellen aus.

  11. Wählen Sie unter -Service die Option STS aus.

  12. Für Actions geben Sie AssumeRole in das Feld Filter ein und aktivieren Sie dann das Kontrollkästchen daneben, wenn es angezeigt wird.

  13. Stellen Sie sicher, dass unter Ressourcen die Option Spezifisch ausgewählt ist, und wählen Sie dann Hinzufügen ausARNs.

  14. Geben Sie den AWS Die ID-Nummer des Mitgliedskontos und geben Sie dann den Namen der Rolle ein, die Sie zuvor in den Schritten 1—8 erstellt haben. Wählen Sie „Hinzufügen ARNs“.

  15. Wenn Sie die Berechtigung zur Übernahme der Rolle in mehreren Mitgliedskonten erteilen, wiederholen Sie die Schritte 14 und 15 für jedes Konto.

  16. Wählen Sie Weiter.

  17. Geben Sie auf der Seite Überprüfen und erstellen einen Namen für die neue Richtlinie ein und wählen Sie dann Richtlinie erstellen aus, um Ihre Änderungen zu speichern.

  18. Wählen Sie im Navigationsbereich Benutzergruppen und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, mit der Sie die Verwaltung des Mitgliedskontos delegieren möchten.

  19. Wählen Sie die Registerkarte Berechtigungen.

  20. Wählen Sie Berechtigungen hinzufügen, dann Richtlinien anhängen und wählen Sie dann die Richtlinie aus, die Sie in den Schritten 11—18 erstellt haben.

Die Benutzer, die Mitglieder der ausgewählten Gruppe sind, können nun die DatenURLs, die Sie in Schritt 9 erfasst haben, verwenden, um auf die Rollen der einzelnen Mitgliedskonten zuzugreifen. Sie können auf diese Mitgliedskonten so zugreifen wie beim Zugriff auf ein in der Organisation erstelltes Konto. Weitere Informationen über die Verwendung der Rolle zur Administration eines Mitgliedskontos finden Sie unter Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations.