Delegierte Verwaltung - AWS IAM Identity Center
Bewährte MethodenVoraussetzungenRegistrieren Sie ein MitgliedskontoAufheben der Registrierung eines MitgliedskontosSehen Sie sich an, welches Mitgliedskonto als delegierter Administrator registriert wurde

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Delegierte Verwaltung

Delegierte Administration bietet zugewiesenen Benutzern in einem registrierten Mitgliedskonto eine bequeme Möglichkeit, die meisten Verwaltungsaufgaben in IAM Identity Center auszuführen. Wenn Sie IAM Identity Center aktivieren, wird Ihre IAM Identity Center-Instanz standardmäßig im Verwaltungskonto erstellt. AWS Organizations Dies wurde ursprünglich so konzipiert, dass IAM Identity Center Rollen für alle Mitgliedskonten Ihrer Organisation bereitstellen, deren Bereitstellung aufheben und aktualisieren kann. Auch wenn sich Ihre IAM Identity Center-Instanz immer im Verwaltungskonto befinden muss, können Sie sich dafür entscheiden, die Verwaltung von IAM Identity Center an ein Mitgliedskonto in zu delegieren AWS Organizations, wodurch die Möglichkeit erweitert wird, IAM Identity Center von außerhalb des Verwaltungskontos zu verwalten.

Die Aktivierung der delegierten Administration bietet die folgenden Vorteile:

  • Minimiert die Anzahl der Personen, die Zugriff auf das Verwaltungskonto benötigen, um Sicherheitsbedenken auszuräumen

  • Ermöglicht ausgewählten Administratoren, Benutzern und Gruppen Anwendungen und Mitgliedskonten Ihrer Organisation zuzuweisen

Weitere Informationen zur Verwendung von IAM Identity Center finden Sie AWS Organizations unterZugriff verwalten auf AWS-Konten. Weitere Informationen und ein Beispiel für ein Unternehmensszenario zur Konfiguration der delegierten Administration finden Sie unter Erste Schritte mit der delegierten IAM Identity Center-Administration im Sicherheits-Blog.AWS

Bewährte Methoden

Im Folgenden finden Sie einige bewährte Methoden, die Sie berücksichtigen sollten, bevor Sie die delegierte Administration konfigurieren.

  • Gewähren Sie dem Verwaltungskonto die geringsten Rechte — In dem Wissen, dass es sich bei dem Verwaltungskonto um ein Konto mit hohen Rechten handelt und dass Sie sich an das Prinzip der geringsten Rechte halten, empfehlen wir dringend, den Zugriff auf das Verwaltungskonto auf so wenige Personen wie möglich zu beschränken. Mit der Funktion für delegierte Administratoren soll die Anzahl der Personen minimiert werden, die Zugriff auf das Verwaltungskonto benötigen.

  • Erstellen Sie Berechtigungssätze, die nur im Verwaltungskonto verwendet werden können — Dies erleichtert die Verwaltung von Berechtigungssätzen, die speziell auf Benutzer zugeschnitten sind, die auf Ihr Verwaltungskonto zugreifen, und hilft, sie von den Berechtigungssätzen zu unterscheiden, die von Ihrem delegierten Administratorkonto verwaltet werden.

  • Berücksichtigen Sie Ihren Active Directory-Standort — Wenn Sie Active Directory als Ihre IAM Identity Center-Identitätsquelle verwenden möchten, suchen Sie das Verzeichnis in dem Mitgliedskonto, in dem Sie die Funktion für delegierte Administratoren von IAM Identity Center aktiviert haben. Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis in dem delegierten IAM Identity Center-Administrator-Mitgliedskonto befinden (diesem gehören), falls eines existiert; andernfalls muss es sich im Verwaltungskonto befinden.

  • Benutzerzuweisungen nur im Verwaltungskonto erstellen — Der delegierte Administrator kann die im Verwaltungskonto bereitgestellten Berechtigungssätze nicht ändern. Delegierte Administratoren können jedoch Gruppen und Gruppenzuweisungen hinzufügen, bearbeiten und löschen.

Voraussetzungen

Bevor Sie ein Konto als delegierter Administrator registrieren können, müssen Sie zunächst die folgende Umgebung bereitstellen:

  • AWS Organizations muss zusätzlich zu Ihrem Standard-Verwaltungskonto mit mindestens einem Mitgliedskonto aktiviert und konfiguriert sein.

  • Wenn Ihre Identitätsquelle auf Active Directory eingestellt ist, muss die Konfigurierbare AD-Synchronisierung von IAM Identity Center Funktion aktiviert sein.

Registrieren Sie ein Mitgliedskonto

Um die delegierte Administration zu konfigurieren, müssen Sie zunächst ein Mitgliedskonto in Ihrer Organisation als delegierter Administrator registrieren. Benutzer in diesem Mitgliedskonto, die über ausreichende Berechtigungen verfügen, haben Administratorzugriff auf IAM Identity Center. Nachdem ein Mitgliedskonto erfolgreich für die delegierte Verwaltung registriert wurde, wird es als delegiertes Administratorkonto bezeichnet. Weitere Informationen zu den Aufgaben, die das delegierte Administratorkonto ausführen kann, finden Sie unter. AWS-Konto Typen

IAM Identity Center unterstützt die Registrierung jeweils nur eines Mitgliedskontos als delegierter Administrator. Sie können ein Mitgliedskonto nur registrieren, wenn Sie mit den Anmeldeinformationen des Verwaltungskontos angemeldet sind.

Gehen Sie wie folgt vor, um Administratorzugriff auf IAM Identity Center zu gewähren, indem Sie ein bestimmtes Mitgliedskonto in Ihrer AWS Organisation als delegierten Administrator registrieren.

Wichtig

Durch diesen Vorgang wird der Administratorzugriff für IAM Identity Center an Administratorbenutzer in diesem Mitgliedskonto delegiert. Alle Benutzer, die über ausreichende Berechtigungen für dieses delegierte Administratorkonto verfügen, können alle administrativen Aufgaben von IAM Identity Center von diesem Konto aus ausführen, mit Ausnahme von:

  • IAM Identity Center aktivieren

  • Löschen von IAM Identity Center-Konfigurationen

  • Verwaltung der im Verwaltungskonto bereitgestellten Berechtigungssätze

  • Registrierung oder Abmeldung anderer Mitgliedskonten als delegierte Administratoren

  • Benutzerzugriff im Verwaltungskonto aktivieren oder deaktivieren

Der delegierte Administrator kann die Gruppenmitgliedschaft bearbeiten.

Um ein Mitgliedskonto zu registrieren

  1. Melden Sie sich AWS Management Console mit den Anmeldeinformationen Ihres Verwaltungskontos unter an AWS Organizations. Für die Ausführung der RegisterDelegatedAdministratorAPI sind Anmeldeinformationen für das Verwaltungskonto erforderlich.

  2. Wählen Sie die Region aus, in der IAM Identity Center aktiviert ist, und öffnen Sie dann die IAM Identity Center-Konsole.

  3. Wählen Sie Einstellungen und dann die Registerkarte Verwaltung aus.

  4. Wählen Sie im Bereich Delegierter Administrator die Option Konto registrieren aus.

  5. Wählen Sie auf der Seite Delegierten Administrator registrieren den Administrator aus, den AWS-Konto Sie registrieren möchten, und klicken Sie dann auf Konto registrieren.

Aufheben der Registrierung eines Mitgliedskontos

Sie können ein Mitgliedskonto nur abmelden, wenn Sie mit den Anmeldeinformationen des Verwaltungskontos angemeldet sind.

Gehen Sie wie folgt vor, um den Administratorzugriff auf IAM Identity Center zu entfernen, indem Sie ein Mitgliedskonto in Ihrer AWS Organisation abmelden, das zuvor als delegierter Administrator benannt wurde.

Wichtig

Wenn Sie ein Konto abmelden, entziehen Sie effektiv allen Administratorbenutzern die Möglichkeit, IAM Identity Center von diesem Konto aus zu verwalten. Daher können sie IAM Identity Center-Identitäten, Zugriffsmanagement, Authentifizierung oder Anwendungszugriff von diesem Konto aus nicht mehr verwalten. Dieser Vorgang wirkt sich nicht auf die in IAM Identity Center konfigurierten Berechtigungen oder Zuweisungen aus und hat daher keine Auswirkungen auf Ihre Endbenutzer, da diese weiterhin Zugriff auf ihre Apps haben, und zwar vom Zugriffsportal AWS-Konten aus. AWS

Um ein Mitgliedskonto abzumelden

  1. Melden Sie sich AWS Management Console mit den Anmeldeinformationen Ihres Verwaltungskontos unter an. AWS Organizations Für die Ausführung der DeregisterDelegatedAdministratorAPI sind Anmeldeinformationen für das Verwaltungskonto erforderlich.

  2. Wählen Sie die Region aus, in der IAM Identity Center aktiviert ist, und öffnen Sie dann die IAM Identity Center-Konsole.

  3. Wählen Sie Einstellungen und dann die Registerkarte Verwaltung aus.

  4. Wählen Sie im Bereich Delegierter Administrator die Option Konto abmelden aus.

  5. Überprüfen Sie im Dialogfeld „Konto abmelden“ die Sicherheitsauswirkungen und geben Sie dann den Namen des Mitgliedskontos ein, um zu bestätigen, dass Sie damit einverstanden sind.

  6. Wählen Sie Konto abmelden.

Sehen Sie sich an, welches Mitgliedskonto als delegierter Administrator registriert wurde

Gehen Sie wie folgt vor, um herauszufinden, welches Mitgliedskonto in Ihrem Konto als delegierter Administrator für IAM Identity Center konfiguriert AWS Organizations wurde.

Um Ihr registriertes Mitgliedskonto einzusehen

  1. Öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Suchen Sie im Abschnitt Details unter Delegierter Administrator nach dem registrierten Kontonamen. Sie können diese Informationen auch finden, indem Sie die Registerkarte Verwaltung auswählen und sie im Bereich Delegierter Administrator anzeigen.