Das Verwaltungskonto, vertrauenswürdiger Zugriff und delegierte Administratoren - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Das Verwaltungskonto, vertrauenswürdiger Zugriff und delegierte Administratoren

Das Verwaltungskonto (auch als AWS Organization Management-Konto oder Org Management-Konto bezeichnet) ist einzigartig und unterscheidet sich von allen anderen Konten in AWS Organizations. Es ist das Konto, das die AWS-Organisation erstellt. Von diesem Konto aus können Sie AWS-Konten in der AWS-Organisation erstellen und andere bestehende Konten in die AWS-Organisation einladen (beide Typen werden berücksichtigt-Mitgliedskonten), entfernen Sie Konten aus der AWS-Organisation und wenden Sie IAM-Richtlinien auf das Stammverzeichnis, die OUs oder Konten innerhalb der AWS-Organisation an. 

Das Managementkonto setzt universelle Sicherheitsleitplanken durch SCPs und Servicebereitstellungen (wie AWS) ein. CloudTrail), die sich auf alle Mitgliedskonten in der AWS-Organisation auswirken. Um die Berechtigungen im Verwaltungskonto weiter einzuschränken, können diese Berechtigungen nach Möglichkeit an ein anderes geeignetes Konto delegiert werden, z. B. ein Sicherheitskonto. 

Das Verwaltungskonto hat die Aufgabe eines Zahlungskontos; von ihm gehen sämtliche Gebühren ab, die auf den Mitgliedskonten anfallen. Sie können das Verwaltungskonto einer AWS-Organisation nicht wechseln. Ein AWS-Konto kann jeweils nur einer AWS-Organisation angehören.   

Aufgrund der Funktionalität und des Einflussbereichs des Verwaltungskontos empfehlen wir, den Zugriff auf dieses Konto einzuschränken und nur Rollen Berechtigungen zu erteilen, die diese benötigen. Zwei Funktionen, die Ihnen dabei helfen, sindvertrauenswürdiger Zugriffunddelegated Administrator. Sie können mit dem vertrauenswürdigen Zugriff einem von Ihnen angegebenen AWS-Service, der alsvertrauenswürdiger Service, um in Ihrem Namen Aufgaben für Ihre AWS-Organisation und deren Konten durchzuführen. Dies umfasst das Erteilen von Berechtigungen für den vertrauenswürdigen Service, hat aber keine Auswirkungen auf die Berechtigungen für IAM-Benutzer und -Rollen. Sie können vertrauenswürdigen Zugriff verwenden, um Einstellungs- und Konfigurationsdetails anzugeben, die der vertrauenswürdigen Service in Ihrem Namen in den Konten Ihrer AWS-Organisation pflegen soll. Zum Beispiel, dasOrg-Management-Kontoin der AWS SRA wird erklärt, wie die AWS gewährt wird CloudTrail Dienst vertrauenswürdiger Zugriff zum Erstellen eines CloudTrailOrganisationsnachweis für alle Konten in Ihrer AWS-Organisation.

Einige AWS-Services unterstützen die delegierte Administratorfunktion in AWS Organizations. Mit dieser Funktion,kompatible Services können ein AWS-Mitgliedskonto in der AWS-Organisation als Administrator für die Konten der AWS-Organisation in diesem Service registrieren. Diese Funktion bietet verschiedenen Teams in Ihrem Unternehmen die Flexibilität, je nach ihren Verantwortlichkeiten separate Konten zu verwenden, um AWS-Services in der gesamten Umgebung zu verwalten. Zu den AWS-Sicherheitsservices in der AWS SRA, die derzeit delegierte Administratoren unterstützen, gehören AWS IAM Identity Center (Nachfolger von AWS Single Sign-On), AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector und AWS Systems Manager. Die Verwendung der Funktion für delegierte Administratoren wird in der AWS SRA als Best Practice hervorgehoben, und wir delegieren die Verwaltung sicherheitsrelevanter Services an das Security Tooling-Konto.