Das Verwaltungskonto, der vertrauenswürdige Zugriff und die delegierten Administratoren - AWS Prescriptive Guidance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Das Verwaltungskonto, der vertrauenswürdige Zugriff und die delegierten Administratoren

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

Das Verwaltungskonto (auch AWS Organization Management-Konto oder Org Management-Konto genannt) ist einzigartig und unterscheidet sich von allen anderen Konten in AWS Organizations. Es ist das Konto, das die AWS-Organisation erstellt. Von diesem Konto aus können Sie AWS-Konten in der AWS-Organisation erstellen, andere bestehende Konten zur AWS-Organisation einladen (beide Typen werden als Mitgliedskonten betrachtet), Konten aus der AWS-Organisation entfernen und IAM-Richtlinien auf das Stammkonto, die Organisationseinheiten oder Konten innerhalb der AWS-Organisation anwenden. 

Das Verwaltungskonto stellt durch SCPs und Servicebereitstellungen (wie AWS CloudTrail) allgemeine Sicherheitsvorkehrungen bereit, die sich auf alle Mitgliedskonten in der AWS-Organisation auswirken. Um die Berechtigungen im Verwaltungskonto weiter einzuschränken, können diese Berechtigungen nach Möglichkeit an ein anderes geeignetes Konto, z. B. ein Sicherheitskonto, delegiert werden. 

Das Verwaltungskonto hat die Aufgabe eines Zahlungskontos; von ihm gehen sämtliche Gebühren ab, die auf den Mitgliedskonten anfallen. Sie können das Verwaltungskonto einer AWS-Organisation nicht wechseln. Ein AWS-Konto kann jeweils nur Mitglied einer AWS-Organisation sein.   

Aufgrund der Funktionalität und des Einflussbereichs, den das Verwaltungskonto besitzt, empfehlen wir, den Zugriff auf dieses Konto zu beschränken und Berechtigungen nur Rollen zu gewähren, die diese benötigen. Zwei Funktionen, die Ihnen dabei helfen, sind vertrauenswürdiger Zugriff und delegierter Administrator. Sie können Trusted Access verwenden, um einen von Ihnen angegebenen AWS-Service, den so genannten Trusted Service, zu aktivieren, um Aufgaben in Ihrer AWS-Organisation und deren Konten in Ihrem Namen auszuführen. Dies beinhaltet die Erteilung von Berechtigungen für den vertrauenswürdigen Service, hat aber ansonsten keine Auswirkungen auf die Berechtigungen für IAM-Entitäten. Sie können Trusted Access verwenden, um Einstellungen und Konfigurationsdetails anzugeben, die der Trusted Service in Ihrem Namen in den Konten Ihrer AWS-Organisation verwalten soll. Im Abschnitt Org Management-Konto der AWS-SRA wird beispielsweise erklärt, wie Sie dem CloudTrail AWS-Service vertrauenswürdigen Zugriff gewähren, um einen CloudTrail Organisationspfad für alle Konten in Ihrer AWS-Organisation zu erstellen.

Einige AWS-Services unterstützen die Funktion für delegierte Administratoren in AWS Organizations. Mit dieser Funktion können kompatible Services ein AWS-Mitgliedskonto in der AWS-Organisation als Administrator für die Konten der AWS-Organisation in diesem Service registrieren. Diese Funktion bietet den verschiedenen Teams in Ihrem Unternehmen die Flexibilität, je nach ihren Aufgaben separate Konten zu verwenden, um AWS-Services in der gesamten Umgebung zu verwalten. Zu den AWS-Sicherheitsservices in der AWS-SRA, die derzeit delegierte Administratoren unterstützen, gehören AWS IAM Identity Center (Nachfolger von AWS Single Sign-On), AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector und AWS Systems Manager. Die Verwendung der Funktion für delegierte Administratoren wird in der AWS-SRA als bewährte Methode hervorgehoben, und wir delegieren die Verwaltung sicherheitsrelevanter Services an das Security Tooling-Konto.