AWS IAM Identity Center und AWS Organizations - AWS Organizations
Service-verknüpfte RollenService-PrinzipaleDen vertrauenswürdigen Zugriff aktivierenSo deaktivieren Sie den vertrauenswürdigen ZugriffAktivieren eines delegierten Administrators

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS IAM Identity Center und AWS Organizations

AWS IAM Identity Center bietet Single Sign-On-Zugriff für alle Ihre AWS-Konten und Cloud-Anwendungen. Es stellt eine Verbindung mit Microsoft Active Directory her AWS Directory Service , sodass sich Benutzer in diesem Verzeichnis mit ihren vorhandenen Active Directory-Benutzernamen und -Kennwörtern bei einem personalisierten AWS Zugriffsportal anmelden können. Über das AWS Zugriffsportal haben Benutzer Zugriff auf alle Cloud-Anwendungen, für die sie Berechtigungen haben. AWS-Konten

Weitere Informationen zu IAM Identity Center finden Sie im Benutzerhandbuch von AWS IAM Identity Center.

Verwenden Sie die folgenden Informationen, um Sie bei der Integration AWS IAM Identity Center mit zu unterstützen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann IAM Identity Center unterstützte Vorgänge innerhalb der Konten in Ihrer Organisation ausführen.

Diese Rolle können Sie nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen IAM Identity Center und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

  • AWSServiceRoleForSSO

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von IAM Identity Center verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

  • sso.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit IAM Identity Center

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS IAM Identity Center Konsole oder die AWS Organizations Konsole aktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS IAM Identity Center Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen. Auf diese Weise können AWS IAM Identity Center Sie jede Konfiguration durchführen, die erforderlich ist, z. B. die Erstellung von Ressourcen, die für den Dienst benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von AWS IAM Identity Center bereitgestellten Tools aktivieren können. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS IAM Identity Center Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

Damit IAM Identity Center funktioniert, ist ein vertrauenswürdiger AWS Organizations Zugriff erforderlich. Der vertrauenswürdige Zugriff wird bei der Einrichtung von IAM Identity Center aktiviert. Weitere Informationen finden Sie unter Erste Schritte - Schritt 1: Aktivieren von AWS IAM Identity Center im AWS IAM Identity Center -Benutzerhandbuch.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder eine API-Operation in einem der AWS SDKs aufrufen.

AWS Management Console
So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie im Navigationsbereich Services.

  3. Wählen Sie AWS IAM Identity Centerin der Liste der Dienste aus.

  4. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

  5. Geben Sie im AWS IAM Identity Center Dialogfeld Vertrauenswürdigen Zugriff aktivieren für den Text enable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren aus.

  6. Wenn Sie nur der Administrator von sind AWS Organizations, teilen Sie dem Administrator mit, AWS IAM Identity Center dass er diesen Dienst jetzt über die Konsole aktivieren kann, mit der er arbeiten kann AWS Organizations.

AWS CLI, AWS API
So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

  • AWS CLI: enable-aws-service-access

    Sie können den folgenden Befehl ausführen, um ihn AWS IAM Identity Center als vertrauenswürdigen Dienst bei Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \ 
    --service-principal sso.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: Aktivieren AWSServiceAccess

Deaktivieren des vertrauenswürdigen Zugriffs mit IAM Identity Center

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Für den Betrieb von IAM Identity Center ist ein vertrauenswürdiger AWS Organizations Zugriff mit erforderlich. Wenn Sie den vertrauenswürdigen Zugriff deaktivieren, AWS Organizations während Sie IAM Identity Center verwenden, funktioniert es nicht mehr, da es nicht auf die Organisation zugreifen kann. Benutzer können nicht mithilfe von IAM Identity Center auf Konten zugreifen. Alle von IAM Identity Center erstellten Rollen bleiben erhalten, dessen Service kann aber nicht auf sie zugreifen. Die serviceverknüpften Rollen von IAM Identity Center bleiben erhalten. Wenn Sie den vertrauenswürdigen Zugriff wieder aktivieren, funktioniert IAM Identity Center wie vorher, ohne dass der Service neu konfiguriert werden muss.

Wenn Sie ein Konto aus Ihrer Organisation entfernen, bereinigt IAM Identity Center automatisch alle Metadaten und Ressourcen, wie z. B. die serviceverknüpfte Rolle. Ein eigenständiges Konto, das aus einer Organisation entfernt wurde, funktioniert nicht mehr mit IAM Identity Center.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS SDKs aufrufen.

AWS Management Console
So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie im Navigationsbereich Services.

  3. Wählen Sie AWS IAM Identity Centerin der Liste der Dienste aus.

  4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

  5. Geben Sie im AWS IAM Identity Center Dialogfeld Vertrauenswürdigen Zugriff deaktivieren für zur Bestätigung den Wert disable ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.

  6. Wenn Sie nur der Administrator von sind AWS Organizations, teilen Sie dem Administrator mit, AWS IAM Identity Center dass er diesen Dienst jetzt mithilfe der Konsole oder der Tools deaktivieren kann und nicht mehr verwendet werden kann AWS Organizations.

AWS CLI, AWS API
So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu deaktivieren:

  • AWS CLI: disable-aws-service-access

    Sie können den folgenden Befehl ausführen, um ihn AWS IAM Identity Center als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \
    --service-principal sso.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: Deaktivieren AWSServiceAccess

Aktivieren von Konten für delegierte Administratoren für IAM Identity Center

Wenn Sie ein Mitgliedskonto als delegierten Administrator bzw. als delegierte Administratorin für die Organisation festlegen, können Benutzer und Rollen dieses Kontos Verwaltungsaktionen für IAM Identity Center ausführen, die ansonsten nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dadurch können Sie die Verwaltung der Organisation leichter von der Verwaltung von IAM Identity Center trennen.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Organizations-Verwaltungskonto kann ein Mitgliedskonto als delegierter Administrator für IAM Identity Center in der Organisation konfigurieren.

Anweisungen zum Aktivieren von Konten für delegierte Administratoren für IAM Identity Center finden Sie unter Delegierte Administration im Benutzerhandbuch von AWS IAM Identity Center .