AWS Audit Manager und AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Audit Manager und AWS Organizations

AWS Audit Manager hilft Ihnen, Ihre AWS-Nutzung kontinuierlich zu überprüfen, um den Umgang mit Risiken und die Einhaltung von Branchenstandards zu vereinfachen. Audit Manager automatisiert die Sammlung von Beweisen, um die Bewertung zu erleichtern, ob Ihre Richtlinien, Verfahren und Aktivitäten effektiv funktionieren. Wenn es Zeit für eine Prüfung ist, hilft Audit Manager Ihnen, Stakeholder-Reviews Ihrer Steuerelemente zu verwalten und unterstützt Sie dabei, mit viel weniger manuellen Aufwand revisionsfähige Berichte zu erstellen.

Wenn Sie Audit Manager mit AWS Organizations integrieren, können Sie Beweise aus einer breiteren Quelle sammeln, indem Sie mehrere AWS-Konten aus Ihrer Organisation in Ihre Bewertungen einbeziehen.

Weitere Informationen finden Sie unter AWS-Organisationen aktivieren im Audit-Manager-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um AWS Audit Manager mit AWS Organizations zu integrieren.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann Audit Manager unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation ausführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Audit Manager und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

Weitere Informationen zur Verwendung dieser Rolle durch Audit Manager finden Sie unter Verwenden von serviceverknüpften Rollen im AWS Audit Manager-Benutzerhandbuch.

  • AWSServiceRoleForAuditManager

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Audit Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Serviceprinzipale:

  • auditmanager.amazonaws.com

So aktivieren Sie den vertrauenswürdigen Zugriff mit Audit Manager

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Audit Manager erfordert vertrauenswürdigen Zugriff auf AWS Organizations, bevor Sie ein Mitgliedskonto als delegierten Administrator für Ihre Organisation festlegen können.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Audit Manager-Konsole oder über die AWS Organizations-Konsole aktivieren.

Wichtig

Wir empfehlen dringend, dass Sie nach Möglichkeit die AWS Audit Manager-Konsole oder Tools verwenden, um die Integration mit Organisationen zu ermöglichen. Auf diese Weise kann AWS Audit Manager jede erforderliche Konfiguration ausführen, z. B. die vom Service benötigten Ressourcen erstellen. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von AWS Audit Manager bereitgestellten Tools aktivieren können. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS Audit Manager-Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

So aktivieren Sie den vertrauenswürdigen Zugriff über die Audit-Manager-Konsole

Anweisungen zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Einrichten im AWS Audit Manager-Benutzerhandbuch.

Anmerkung

Wenn Sie einen delegierten Administrator mit der AWS Audit Manager-Konsole konfigurieren, aktiviert AWS Audit Manager automatisch den vertrauenswürdigen Zugriff für Sie.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie einen Organizations-AWS CLI-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API
So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff aktivieren:

  • AWS CLI: enable-aws-service-access

    Sie können den folgenden Befehl ausführen, um AWS Audit Manager als vertrauenswürdigen Service für Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \ --service-principal auditmanager.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS-API: EnableAWSServiceAccess

So deaktivieren Sie den vertrauenswürdigen Zugriff mit dem Audit Manager

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator im AWS Organizations-Verwaltungskonto kann den vertrauenswürdigen Zugriff mit AWS Audit Manager deaktivieren.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie einen Organizations-AWS CLI-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API
So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff deaktivieren:

  • AWS CLI: disable-aws-service-access

    Sie können den folgenden Befehl ausführen, um AWS Audit Manager als vertrauenswürdigen Service für Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \ --service-principal auditmanager.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS-API: DisableAWSServiceAccess

So aktivieren Sie ein delegiertes Administratorkonto für Audit Manager

Wenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos administrative Aktionen für Audit Manager ausführen, die andernfalls nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung des Audit Manager zu trennen.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Organizations-Verwaltungskonto mit der folgenden Berechtigung kann ein Mitgliedskonto als delegierter Administrator für Audit Manager in der Organisation konfigurieren:

audit-manager:RegisterAccount

Anweisungen zum Aktivieren eines delegierten Administratorkontos für Audit Manager finden Sie unter Einrichten im AWS Audit Manager-Benutzerhandbuch.

Wenn Sie einen delegierten Administrator mit der AWS Audit Manager-Konsole konfigurieren, aktiviert Audit Manager automatisch den vertrauenswürdigen Zugriff für Sie.

AWS CLI, AWS API

Wenn Sie ein delegiertes Administratorkonto mit der AWS CLI oder einem der AWS SDKs konfigurieren möchten, können Sie die folgenden Befehle verwenden:

  • AWS CLI:

    $ aws audit-manager register-account \ --delegated-admin-account 123456789012
  • AWS-SDK: Rufen Sie die Operation RegisterAccount auf und geben Sie delegatedAdminAccount als Parameter an, um das Administratorkonto zu delegieren.