Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Das Verwaltungskonto, vertrauenswürdiger Zugriff und delegierte Administratoren
| Nehmen Sie Einfluss auf die future derAWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen |
Das Verwaltungskonto (auch als AWS Organization Management-Konto oder Org Management-Konto bezeichnet) ist einzigartig und unterscheidet sich von allen anderen Konten in AWS Organizations. Es ist das Konto, das die AWS-Organisation erstellt. Von diesem Konto aus können Sie AWS-Konten in der AWS-Organisation erstellen, andere bestehende Konten zur AWS-Organisation einladen (beide Typen gelten als Mitgliedskonten), Konten aus der AWS-Organisation entfernen und IAM-Richtlinien auf das Stammkonto, die Organisationseinheiten oder Konten innerhalb der AWS-Organisation anwenden.
Das Verwaltungskonto setzt universelle Sicherheitsvorkehrungen durch SCPs und Servicebereitstellungen (wie AWSCloudTrail) ein, die sich auf alle Mitgliedskonten in der AWS-Organisation auswirken. Um die Berechtigungen im Verwaltungskonto weiter einzuschränken, können diese Berechtigungen nach Möglichkeit an ein anderes geeignetes Konto, z. B. ein Sicherheitskonto, delegiert werden.
Das Verwaltungskonto hat die Aufgabe eines Zahlungskontos; von ihm gehen sämtliche Gebühren ab, die auf den Mitgliedskonten anfallen. Sie können das Verwaltungskonto einer AWS-Organisation nicht wechseln. Ein AWS-Konto kann jeweils nur Mitglied einer AWS-Organisation sein.
Aufgrund der Funktionalität und des Einflussbereichs, den das Verwaltungskonto innehat, empfehlen wir, den Zugriff auf dieses Konto zu beschränken und Berechtigungen nur Rollen zu gewähren, die diese benötigen. Zwei Funktionen, die Ihnen dabei helfen, sind vertrauenswürdiger Zugriff und delegierter Administrator. Sie können mit dem vertrauenswürdigen Zugriff einem von Ihnen angegebenen AWS-Service, der als vertrauenswürdiger Service bezeichnet wird, ermöglichen, in Ihrem Namen Aufgaben für Ihre AWS-Organisation und deren Konten durchzuführen. Dies umfasst das Erteilen von Berechtigungen für den vertrauenswürdigen Service, hat aber keine Auswirkungen auf die Berechtigungen für IAM-Entitäten. Sie können den vertrauenswürdigen Zugriff verwenden, um Einstellungen und Konfigurationsdetails anzugeben, die der Trusted Service in Ihrem Namen in den Konten Ihrer AWS-Organisation verwalten soll. Im Abschnitt Org Management Account der AWS SRA wird beispielsweise erklärt, wie Sie demCloudTrail AWS-Service vertrauenswürdigen Zugriff gewähren, um einenCloudTrail Organization Trail für alle Konten in Ihrer AWS-Organisation zu erstellen.
Einige AWS-Services unterstützen die Funktion für delegierte Administratoren in AWS Organizations. Mit dieser Funktion können kompatible Services ein AWS-Mitgliedskonto in der AWS-Organisation als Administrator für die Konten der AWS-Organisation in diesem Service registrieren. Diese Funktion bietet verschiedenen Teams in Ihrem Unternehmen die Flexibilität, je nach ihren Zuständigkeiten separate Konten zu verwenden, um AWS-Services in der gesamten Umgebung zu verwalten. Zu den AWS-Sicherheitsservices in der AWS SRA, die derzeit delegierte Administratoren unterstützen, gehören AWS IAM Identity Center (Nachfolger von AWS Single Sign-On), AWS Config, AWS Firewall ManagerGuardDuty, Amazon, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector und AWS Systems Manager. Die Verwendung der Funktion für delegierte Administratoren wird in der AWS SRA als bewährte Methode hervorgehoben, und wir delegieren die Verwaltung sicherheitsrelevanter Dienste an das Security Tooling-Konto.
