Verwaltung von Zugriffsberechtigungen für Ihre AWS-Organisation - AWS Organizations
AWS Organizations-Ressourcen und -OperationenGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf RessourcenAngeben der Richtlinienelemente: Aktionen, Bedingungen, Effekte und Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Zugriffsberechtigungen für Ihre AWS-Organisation

Alle AWS-Ressourcen, einschließlich der Root-Benutzer, der Organisationseinheiten, der Konten und der Richtlinien in einer Organisation, gehören einem AWS-Konto. Die Berechtigungen zum Erstellen einer Ressource oder zum Zugriff auf eine Ressource werden durch Berechtigungsrichtlinien gesteuert. In einer Organisation ist das Verwaltungskonto Eigentümer aller Ressourcen. Ein Kontoadministrator kann den Zugriff auf AWS-Ressourcen steuern, indem er Berechtigungsrichtlinien zu IAM-Identitäten (Benutzer, Gruppen und Rollen) zuweist.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

Standardmäßig haben IAM-Benutzer, ‑Gruppen und ‑Rollen keine Berechtigungen. Als Administrator im Verwaltungskonto einer Organisation können Sie administrative Aufgaben durchführen oder Administrationsberechtigungen an andere IAM-Benutzer oder ‑Rollen im Verwaltungskonto delegieren. Fügen Sie hier eine IAM-Berechtigungsrichtlinie an einen IAM-Benutzer, eine -Gruppe oder eine -Rolle an. Standardmäßig hat ein Benutzer keine Berechtigungen (implizite Verweigerung). Die Richtlinie überschreibt die implizite Verweigerung mit einer expliziten Zulassung. Diese legt fest, welche Aktionen der Benutzer für welche Ressourcen ausführen kann. Wenn einer Rolle die Berechtigungen erteilt werden, können die Benutzer in anderen Konten der Organisation diese Rolle annehmen.

AWS Organizations-Ressourcen und -Operationen

In diesem Abschnitt wird die Zuordnung der AWS Organizations-Konzepte zu den entsprechenden IAM-Konzepten erläutert.

Ressourcen

In AWS Organizations können Sie den Zugriff auf die folgenden Ressourcen steuern:

  • Der Root-Benutzer und die OUs, aus denen die hierarchische Struktur einer Organisation besteht

  • Die Konten, die Mitglieder einer Organisation sind

  • Die Richtlinien, die Sie an die Entitäten der Organisation anhängen

  • Die Handshakes, die Sie zum Ändern des Status der Organisation verwenden

Jeder dieser Ressourcen ist ein eindeutiger Amazon-Ressourcenname (ARN) zugeordnet. Sie steuern den Zugriff auf eine Ressource, indem Sie dessen ARN im Resource-Element einer IAM-Berechtigung angeben. Eine vollständige Liste der ARN-Formate für Ressourcen, die in verwendet werdenAWS Organizations, finden Sie unter Von definierte Ressourcentypen AWS Organizations in der Service-Autorisierungs-Referenz.

Operationen

AWS stellt verschiedene Vorgänge zur Arbeit mit den Ressourcen in einer Organisation bereit. Diese ermöglichen Ihnen die Durchführung von Aktivitäten wie das Erstellen, Auflisten, Ändern, Zugreifen auf Inhalte und das Löschen von Ressourcen. Die Berechtigungen für die meisten Vorgänge können über das Action-Element einer IAM-Richtlinie gesteuert werden. Eine Liste der AWS Organizations Operationen, die als Berechtigungen in einer IAM-Richtlinie verwendet werden können, finden Sie unter Von AWS Organizations definierte Aktionen in der Service-Autorisierungs-Referenz.

Wenn Sie eine Action und eine Resource in einem einzigen Berechtigungsrichtlinien-Statement kombinieren, können Sie genau steuern, für welche Ressourcen die entsprechenden Aktionen genutzt werden können.

Bedingungsschlüssel

AWS bietet Bedingungsschlüssel, die Sie abfragen können, um über differenziertere Steuerungsmöglichkeiten über bestimmte Aktionen zu verfügen. Sie können auf diese Bedingungsschlüssel im Condition-Element einer IAM-Richtlinie verweisen, um die zusätzlichen Voraussetzungen anzugeben, die erfüllt sein müssen, bevor die Anweisung als zutreffend gilt.

Die folgenden Bedingungsschlüssel sind besonders nützlich für AWS Organizations:

  • aws:PrincipalOrgID – Vereinfacht die Angabe des Principal-Elements in einer ressourcenbasierten Richtlinie. Dieser globale Schlüssel stellt eine Alternative zum Auflisten aller Konto-IDs für alle AWS-Konten in einer Organisation dar. Anstatt alle Konten, die Mitglieder einer Organisation sind, aufzulisten, können Sie die Organisations-ID im Condition-Element angeben.

    Anmerkung

    Diese globale Bedingung gilt auch für das Verwaltungskonto einer Organisation.

    Weitere Informationen finden Sie in der Beschreibung von PrincipalOrgID in AWS globalen Bedingungskontextschlüsseln im IAM-Benutzerhandbuch.

  • aws:PrincipalOrgPaths – Verwenden Sie diesen Bedingungsschlüssel, um Mitglieder eines bestimmten Organisationsstammes, einer OU oder deren untergeordneten Elemente abzugleichen. Der aws:PrincipalOrgPaths-Bedingungsschlüssel gibt „wahr“ zurück, wenn sich der Prinzipal (Stammbenutzer, IAM-Benutzer oder -Rolle), der die Anforderung durchführt, im angegebenen Organisationspfad befindet. Ein Pfad ist eine Textdarstellung der Struktur einer AWS Organizations-Entität. Weitere Informationen zu Pfaden finden Sie unter Verstehen des AWS Organizations Entitätspfads im IAM-Benutzerhandbuch. Weitere Informationen zur Verwendung dieses Bedingungsschlüssels finden Sie unter aws:PrincipalOrgPaths im IAM-Benutzerhandbuch.

    Das folgende Bedingungselement beispielsweise stimmt für Mitglieder einer von zwei OUs in derselben Organisation überein.

                "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }

  • organizations:PolicyType – Mit diesem Bedingungsschlüssel können Sie die richtlinienbezogenen Organizations-API-Vorgänge so einschränken, dass sie nur mit Organizations-Richtlinien des angegebenen Typs funktionieren. Sie können diesen Bedingungsschlüssel auf jede Richtlinienanweisung anwenden, die eine Aktion enthält, die mit Organizations-Richtlinien interagiert.

    Mit diesem Bedingungsschlüssel können Sie die folgenden Werte verwenden:

    • AISERVICES_OPT_OUT_POLICY

    • BACKUP_POLICY

    • SERVICE_CONTROL_POLICY

    • TAG_POLICY

    Mit der folgenden Beispielrichtlinie kann der Benutzer beispielsweise jede Organizations-Operation ausführen. Wenn der Benutzer jedoch einen Vorgang ausführt, der ein Richtlinienargument verwendet, ist der Vorgang nur zulässig, wenn die angegebene Richtlinie eine Tagging-Richtlinie ist. Der Vorgang schlägt fehl, wenn der Benutzer einen anderen Richtlinientyp angibt.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}

  • organizations:ServicePrincipal – Verfügbar als Bedingung, wenn Sie die Operationen AktivierenAWSServiceAccess oder DeaktivierenAWSServiceAccess verwenden, um den vertrauenswürdigen Zugriff mit anderen -AWSServices zu aktivieren oder zu deaktivieren. Sie können organizations:ServicePrincipal verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten.

    Die folgende Richtlinie beispielsweise erlaubt dem Benutzer nur die Angabe von AWS Firewall Manager, wenn der vertrauenswürdige Zugang mit AWS Organizations aktiviert und deaktiviert wird:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Eine Liste aller AWS Organizations-spezifischen Bedingungsschlüssel, die als Berechtigungen in einer IAM-Richtlinie verwendet werden können, finden Sie unter Bedingungsschlüssel für AWS Organizations in der Service-Autorisierungs-Referenz.

Grundlegendes zum Eigentum an Ressourcen

Das AWS-Konto ist Eigentümer aller Ressourcen, die innerhalb des Kontos erstellt werden, unabhängig davon, wer sie erstellt. Genauer gesagt ist der Ressourcenbesitzer das AWS-Konto der Prinzipal-Entität (der Root-Benutzer, ein IAM-Benutzer oder eine IAM-Rolle), die die Ressourcenerstellungsanforderung authentifiziert. Für eine AWS-Organisation, die immer das Verwaltungskonto ist. Sie können keine Vorgänge aufrufen, die Organisationsressourcen aus anderen Mitgliedskonten erstellen oder auf diese zugreifen. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Stammkonto-Anmeldeinformationen für Ihr Verwaltungskonto verwenden, um eine OU zu erstellen, ist Ihr Verwaltungskonto der Eigentümer der Ressource. (In AWS Organizations ist die Ressource die OU).

  • Wenn Sie einen IAM-Benutzer in Ihrem Verwaltungskonto erstellen und diesem Berechtigungen zum Erstellen von OUs erteilen, kann dieser Benutzer eine OU erstellen. Der Eigentümer der OU-Ressource ist jedoch das Verwaltungskonto, dem der Benutzer angehört.

  • Wenn Sie in Ihrem Verwaltungskonto eine IAM-Rolle mit Berechtigungen zum Erstellen einer OU einrichten, kann jeder mit der Rolle eine OU erstellen. Der Eigentümer der OU-Ressource ist das Verwaltungskonto, zu dem die Rolle gehört (nicht der Benutzer mit der Rolle).

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

Dieser Abschnitt behandelt die Verwendung von IAM um Zusammenhang mit AWS Organizations. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie im IAM User Guide. Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angefügte Berechtigungsrichtlinien werden als ressourcenbasierte Richtlinien bezeichnet. AWS Organizations unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Identitätsbasierte Berechtigungsrichtlinien (IAM-Richtlinien)

Sie können Richtlinien IAM-Identitäten zuweisen, damit diese Identitäten Vorgänge für AWS-Ressourcen ausführen können. Sie können z. B. Folgendes tun:

  • Eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto anfügen – Um eine Benutzerberechtigung zum Erstellen einer AWS Organizations-Ressource, z. B. eine Service-Kontrollrichtlinie (SCP) oder eine Organisationseinheit (OU), zu erteilen, können Sie einem Benutzer oder einer Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie anhängen. Der Benutzer oder die Gruppe muss sich in der Organisation des Verwaltungskontos befinden.

  • Eine Berechtigungsrichtlinie zu einer Rolle zuweisen (kontoübergreifende Berechtigungen erteilen) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Zugriffsberechtigungen zu erteilen. Der Administrator im Verwaltungskonto kann beispielsweise folgendermaßen eine Rolle erstellen, um einem Benutzer in einem Mitgliedskonto kontenübergreifende Berechtigungen zu erteilen:

    1. Der Verwaltungskontoadministrator erstellt eine IAM-Rolle und fügt dieser eine Berechtigungsrichtlinie an, die die Berechtigungen für die Ressourcen der Organisation erteilt.

    2. Der Verwaltungskontoadministrator fügt der Rolle eine Vertrauensrichtlinie hinzu. Diese definiert die Mitgliedskonto-ID des Principal, der die Rolle annehmen darf.

    3. Der Mitgliedskontoadministrator kann dann die Berechtigung zum Annehmen der Rolle an jegliche Benutzer im Mitgliedskonto delegieren. Dadurch können Benutzer im Mitgliedskonto Ressourcen im Verwaltungskkonto und in der Organisation erstellen oder auf diese zugreifen. Wenn Sie einem AWS-Service die Berechtigungen zum Annehmen der Rolle erteilen möchten, kann es sich bei dem Prinzipal in der Vertrauensrichtlinie auch um ein AWS-Service-Prinzipal handeln.

    Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Die folgenden Beispiele zeigen Richtlinien, die Benutzern das Ausführen der Aktion CreateAccount in Ihrer Organisation gestatten.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

Außerdem können Sie eine Teil-ARN im Element Resource der Richtlinie zur Angabe des Ressourcentyps einfügen.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

Darüber hinaus können Sie die Erstellung von Konten verweigern, die keine spezifischen Tags für das zu erstellende Konto enthalten.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter IAM-Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Einige Services (beispielsweise Amazon S3) unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem Amazon-S3-Bucket eine ressourcenbasierte Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Organizations bietet keine Unterstützung für ressourcenbasierte Richtlinien.

Angeben der Richtlinienelemente: Aktionen, Bedingungen, Effekte und Ressourcen

Für jede AWS Organizations-Ressource definiert der Service eine Reihe von API-Operationen oder Aktionen, die mit dieser Ressource interagieren oder sie verändern können. Zur Erteilung von Berechtigungen für diese API-Operationen definiert AWS Organizations Aktionen, die Sie in einer Richtlinie angeben können. Für die OU-Ressource (Organisationseinheit) definiert AWS Organizations zum Beispiel die folgenden Aktionen:

  • AttachPolicy und DetachPolicy

  • CreateOrganizationalUnit und DeleteOrganizationalUnit

  • ListOrganizationalUnits und DescribeOrganizationalUnit

In einigen Fällen erfordert die Durchführung einer API-Operation Berechtigungen für mehr als eine Aktion und Ressource.

Die folgenden grundlegenden Elemente können Sie in einer IAM-Berechtigungsrichtlinie verwenden:

  • Aktion – Mit diesem Schlüsselwort können Sie die Operationen (Aktionen) festlegen, die Sie zulassen oder verweigern möchten. Beispielsweise gestattet oder verweigert organizations:CreateAccount je nach Einstellung von Effect in den Benutzerberechtigungen die Durchführung der AWS Organizations-Operation CreateAccount. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Aktion im IAM-Benutzerhandbuch.

  • Ressource – Mit diesem Schlüsselwort legen Sie den ARN (Amazon-Ressourcenname) der Ressource fest, für die die Richtlinienanweisung gilt. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Ressource im IAM-Benutzerhandbuch.

  • Bedingung – Verwenden Sie dieses Schlüsselwort, um eine Bedingung anzugeben, die erfüllt werden muss, damit die Richtlinienanweisung gilt. Condition gibt in der Regel zusätzliche Umstände an, die erfüllt sein müssen, damit die Richtlinie zutrifft. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.

  • Effekt – Mit diesem Schlüsselwort geben Sie an, ob die Richtlinienanweisung die Aktion für die Ressource zulässt oder verweigert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten (bzw. zulassen), wird er automatisch verweigert. Sie können außerdem den Zugriff auf eine Ressource explizit verweigern. So können Sie gewährleisten, dass ein Benutzer die angegebene Aktion für die definierte Ressource nicht ausführen kann (selbst dann nicht, wenn er über eine andere Richtlinie Zugriff erhält). Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Auswirkung im IAM-Benutzerhandbuch.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). AWS Organizations unterstützt derzeit nur identitätsbasierte Richtlinien. Ressourcenbasierte Richtlinien werden nicht unterstützt.

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.