Single Sign-On-Zugriff auf AWS-Konten - AWS IAM Identity Center
Weisen Sie Benutzerzugriff zu AWS-KontenEntfernen Sie den Benutzer- und GruppenzugriffWiderrufen Sie eine aktive Sitzung mit BerechtigungssätzenDelegieren Sie, wer Benutzern und Gruppen im Verwaltungskonto Single Sign-On-Zugriff zuweisen kann

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Single Sign-On-Zugriff auf AWS-Konten

Sie können Benutzern in Ihrem verbundenen Verzeichnis AWS Organizations basierend auf den allgemeinen Aufgabenfunktionen Berechtigungen für das Verwaltungskonto oder die Mitgliedskonten in Ihrer Organisation zuweisen. Alternativ können Sie benutzerdefinierte Berechtigungen verwenden, um Ihre spezifischen Sicherheitsanforderungen zu erfüllen. Beispielsweise können Sie Datenbankadministratoren umfassende Berechtigungen für Amazon RDS in Entwicklungskonten gewähren, ihre Berechtigungen jedoch in Produktionskonten einschränken. IAM Identity Center konfiguriert automatisch alle erforderlichen Benutzerberechtigungen in Ihrem AWS-Konten .

Anmerkung

Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um im AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die FullAccessIAM-Richtlinie oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

Weisen Sie Benutzerzugriff zu AWS-Konten

Gehen Sie wie folgt vor, um Benutzern und Gruppen in Ihrem verbundenen Verzeichnis Single Sign-On-Zugriff zuzuweisen und mithilfe von Berechtigungssätzen deren Zugriffsebene zu bestimmen.

Informationen zum Überprüfen vorhandener Benutzer- und Gruppenzugriffe finden Sie unterBenutzer- und Gruppenzuweisungen anzeigen.

Anmerkung

Zur vereinfachten Administration der Zugriffsberechtigungen wird empfohlen, den Zugriff direkt den Gruppen zuzuweisen (und nicht einzelnen Benutzern). Bei Gruppen können Sie Berechtigungen für Benutzergruppen gewähren oder verweigern, anstatt dies für jede Einzelperson individuell zu tun. Wenn ein Benutzer zu einer anderen Organisation wechselt, verschieben Sie diesen Benutzer einfach in eine andere Gruppe. Er erhält dann automatisch die Berechtigungen für die neue Organisation.

So weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten

  1. Öffnen Sie die IAM Identity Center-Konsole.

    Anmerkung

    Stellen Sie sicher, dass die IAM Identity Center-Konsole die Region verwendet, in der sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.

  2. Wählen Sie im Navigationsbereich unter Berechtigungen für mehrere Konten die Option. AWS-Konten

  3. Auf der AWS-KontenSeite wird eine Strukturansicht Ihrer Organisation angezeigt. Aktivieren Sie das Kontrollkästchen neben einem oder mehreren, denen AWS-Konten Sie Single Sign-On-Zugriff zuweisen möchten.

    Anmerkung

    Sie können pro Berechtigungssatz bis zu 10 AWS-Konten gleichzeitig auswählen, wenn Sie Benutzern und Gruppen Single Sign-On-Zugriff zuweisen. Um derselben Gruppe von Benutzern und Gruppen mehr als 10 AWS-Konten zuzuweisen, wiederholen Sie dieses Verfahren nach Bedarf für die zusätzlichen Konten. Wenn Sie dazu aufgefordert werden, wählen Sie dieselben Benutzer, Gruppen und denselben Berechtigungssatz aus.

  4. Wählen Sie Benutzer oder Gruppen zuweisen aus.

  5. Gehen Sie für Schritt 1: Benutzer und Gruppen auswählen auf der Seite Benutzer und Gruppen zu "AWS-account-name" zuweisen wie folgt vor:

    1. Wählen Sie auf der Registerkarte Benutzer einen oder mehrere Benutzer aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie zunächst den Namen des gewünschten Benutzers in das Suchfeld ein.

    2. Wählen Sie auf der Registerkarte Gruppen eine oder mehrere Gruppen aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie zunächst den Namen der gewünschten Gruppe in das Suchfeld ein.

    3. Um die ausgewählten Benutzer und Gruppen anzuzeigen, klicken Sie auf das seitliche Dreieck neben Ausgewählte Benutzer und Gruppen.

    4. Nachdem Sie bestätigt haben, dass die richtigen Benutzer und Gruppen ausgewählt sind, wählen Sie Weiter.

  6. Gehen Sie für Schritt 2: Berechtigungssätze auswählen auf der Seite "AWS-account-name" Berechtigungssätze zuweisen wie folgt vor:

    1. Wählen Sie einen oder mehrere Berechtigungssätze aus. Bei Bedarf können Sie neue Berechtigungssätze erstellen und auswählen.

      • Um einen oder mehrere vorhandene Berechtigungssätze auszuwählen, wählen Sie unter Berechtigungssätze die Berechtigungssätze aus, die Sie auf die Benutzer und Gruppen anwenden möchten, die Sie im vorherigen Schritt ausgewählt haben.

      • Um einen oder mehrere neue Berechtigungssätze zu erstellen, wählen Sie Berechtigungssatz erstellen aus und folgen Sie den Schritten unterBerechtigungssatz erstellen. Nachdem Sie die Berechtigungssätze erstellt haben, die Sie anwenden möchten, kehren Sie in der IAM Identity Center-Konsole zu den Anweisungen zurück AWS-Kontenund folgen Sie den Anweisungen, bis Sie zu Schritt 2: Berechtigungssätze auswählen gelangen. Wenn Sie diesen Schritt erreicht haben, wählen Sie die neuen Berechtigungssätze aus, die Sie erstellt haben, und fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.

    2. Nachdem Sie bestätigt haben, dass die richtigen Berechtigungssätze ausgewählt wurden, wählen Sie Weiter.

  7. Gehen Sie für Schritt 3: Überprüfen und abschicken auf der Seite Aufgaben überprüfen und an "AWS-account-name" senden wie folgt vor:

    1. Überprüfen Sie die ausgewählten Benutzer, Gruppen und Berechtigungssätze.

    2. Nachdem Sie sich vergewissert haben, dass die richtigen Benutzer, Gruppen und Berechtigungssätze ausgewählt wurden, wählen Sie Senden aus.

      Wichtig

      Der Vorgang der Benutzer- und Gruppenzuweisung kann einige Minuten dauern. Lassen Sie diese Seite geöffnet, bis der Vorgang erfolgreich abgeschlossen ist.

      Anmerkung

      Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um mit dem AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die FullAccessIAM-Richtlinie oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

Entfernen Sie den Benutzer- und Gruppenzugriff

Gehen Sie wie folgt vor, um den Single Sign-On-Zugriff AWS-Konto für einen oder mehrere Benutzer und Gruppen in Ihrem verbundenen Verzeichnis zu entfernen.

So entfernen Sie den Benutzer- und Gruppenzugriff auf ein AWS-Konto

  1. Öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie im Navigationsbereich unter Berechtigungen für mehrere Konten die Option. AWS-Konten

  3. Auf der AWS-KontenSeite wird eine Strukturansicht Ihrer Organisation angezeigt. Wählen Sie den Namen der Datei aus AWS-Konto , die die Benutzer und Gruppen enthält, für die Sie den Single Sign-On-Zugriff entfernen möchten.

  4. Wählen Sie auf der Übersichtsseite für unter Zugewiesene Benutzer und Gruppen den Namen eines oder mehrerer Benutzer oder Gruppen aus, und wählen Sie Zugriff entfernen aus. AWS-Konto

  5. Vergewissern Sie sich im Dialogfeld Zugriff entfernen, dass die Namen der Benutzer oder Gruppen korrekt sind, und wählen Sie Zugriff entfernen aus.

Widerrufen Sie aktive IAM-Rollensitzungen, die mit Berechtigungssätzen erstellt wurden

Im Folgenden finden Sie ein allgemeines Verfahren zum Widerrufen einer aktiven Berechtigungssatz-Sitzung für einen IAM Identity Center-Benutzer. Das Verfahren geht davon aus, dass Sie einem Benutzer, dessen Anmeldeinformationen kompromittiert wurden, oder einem böswilligen Akteur, der sich im System befindet, jeglichen Zugriff entziehen möchten. Voraussetzung ist, dass Sie die Anweisungen in Bereiten Sie sich darauf vor, eine aktive IAM-Rollensitzung zu widerrufen, die mit einem Berechtigungssatz erstellt wurde befolgt haben. Wir gehen davon aus, dass die Richtlinie „Alle verweigern“ in einer Service Control Policy (SCP) enthalten ist.

Anmerkung

AWS empfiehlt, dass Sie eine Automatisierung für alle Schritte einrichten, mit Ausnahme von Vorgängen, die nur auf der Konsole ausgeführt werden.

  1. Besorgen Sie sich die Benutzer-ID der Person, deren Zugriff Sie widerrufen müssen. Sie können die Identitätsspeicher-APIs verwenden, um den Benutzer anhand seines Benutzernamens zu finden.

  2. Aktualisieren Sie die Deny-Richtlinie, um die Benutzer-ID aus Schritt 1 zu Ihrer Service Control Policy (SCP) hinzuzufügen. Nach Abschluss dieses Schritts verliert der Zielbenutzer den Zugriff und kann keine Aktionen mit Rollen ausführen, die von der Richtlinie betroffen sind.

  3. Entfernen Sie alle Zuweisungen von Berechtigungssätzen für den Benutzer. Wenn der Zugriff über Gruppenmitgliedschaften zugewiesen wird, entfernen Sie den Benutzer aus allen Gruppen und allen direkten Zuweisungen von Berechtigungssätzen. Dieser Schritt verhindert, dass der Benutzer zusätzliche IAM-Rollen übernimmt. Wenn ein Benutzer über eine aktive AWS Access-Portal-Sitzung verfügt und Sie den Benutzer deaktivieren, kann er weiterhin neue Rollen annehmen, bis Sie ihm den Zugriff entziehen.

  4. Wenn Sie einen Identitätsanbieter (IdP) oder Microsoft Active Directory als Identitätsquelle verwenden, deaktivieren Sie den Benutzer in der Identitätsquelle. Durch die Deaktivierung des Benutzers wird die Erstellung zusätzlicher AWS Access-Portal-Sitzungen verhindert. Verwenden Sie Ihre IdP- oder Microsoft Active Directory-API-Dokumentation, um zu erfahren, wie Sie diesen Schritt automatisieren können. Wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, deaktivieren Sie den Benutzerzugriff noch nicht. In Schritt 6 deaktivieren Sie den Benutzerzugriff.

  5. Suchen Sie in der IAM Identity Center-Konsole nach dem Benutzer und löschen Sie seine aktive Sitzung.

    1. Wählen Sie Users (Benutzer) aus.

    2. Wählen Sie den Benutzer aus, dessen aktive Sitzung Sie löschen möchten.

    3. Wählen Sie auf der Detailseite des Benutzers den Tab Aktive Sitzungen aus.

    4. Aktivieren Sie die Kontrollkästchen neben den Sitzungen, die Sie löschen möchten, und wählen Sie Sitzung löschen aus.

    Dadurch wird sichergestellt, dass die AWS Access-Portal-Sitzung des Benutzers innerhalb von etwa 60 Minuten beendet wird. Erfahren Sie mehr über die Sitzungsdauer.

  6. Deaktivieren Sie in der IAM Identity Center-Konsole den Benutzerzugriff.

    1. Wählen Sie Users (Benutzer) aus.

    2. Wählen Sie den Benutzer aus, dessen Zugriff Sie deaktivieren möchten.

    3. Erweitern Sie auf der Detailseite des Benutzers den Bereich Allgemeine Informationen und klicken Sie auf die Schaltfläche Benutzerzugriff deaktivieren, um weitere Anmeldungen des Benutzers zu verhindern.

  7. Lassen Sie die Ablehnungsrichtlinie mindestens 12 Stunden lang bestehen. Andernfalls hat der Benutzer mit einer aktiven IAM-Rollensitzung Aktionen mit der IAM-Rolle wiederhergestellt. Wenn Sie 12 Stunden warten, laufen aktive Sitzungen ab und der Benutzer kann nicht mehr auf die IAM-Rolle zugreifen.

Wichtig

Wenn Sie den Zugriff eines Benutzers deaktivieren, bevor Sie die Benutzersitzung beenden (Sie haben Schritt 6 abgeschlossen, ohne Schritt 5 abgeschlossen zu haben), können Sie die Benutzersitzung nicht mehr über die IAM Identity Center-Konsole beenden. Wenn Sie versehentlich den Benutzerzugriff deaktivieren, bevor Sie die Benutzersitzung beenden, können Sie den Benutzer erneut aktivieren, seine Sitzung beenden und dann seinen Zugriff wieder deaktivieren.

Sie können jetzt die Anmeldeinformationen des Benutzers ändern, falls sein Passwort kompromittiert wurde, und seine Zuweisungen wiederherstellen.

Delegieren Sie, wer Benutzern und Gruppen im Verwaltungskonto Single Sign-On-Zugriff zuweisen kann

Die Zuweisung von Single Sign-On-Zugriff auf das Verwaltungskonto mithilfe der IAM Identity Center-Konsole ist eine privilegierte Aktion. Standardmäßig kann nur ein Benutzer Root-Benutzer des AWS-Kontos oder ein Benutzer, dem die Richtlinien zugewiesen AWSSSOMasterAccountAdministratorund IAMFullAccess AWS verwaltet wurden, dem Verwaltungskonto Single Sign-On-Zugriff zuweisen. Die IAMFullAccessRichtlinien AWSSSOMasterAccountAdministratorund verwalten den Single Sign-On-Zugriff auf das Verwaltungskonto innerhalb einer AWS Organizations Organisation.

Gehen Sie wie folgt vor, um Berechtigungen zur Verwaltung des Single Sign-On-Zugriffs an Benutzer und Gruppen in Ihrem Verzeichnis zu delegieren.

So gewähren Sie Benutzern und Gruppen in Ihrem Verzeichnis Berechtigungen zur Verwaltung des Single Sign-On-Zugriffs

  1. Melden Sie sich bei der IAM Identity Center-Konsole als Root-Benutzer des Verwaltungskontos oder mit einem anderen Benutzer an, der über Administratorrechte für das Verwaltungskonto verfügt.

  2. Folgen Sie den Schritten unterBerechtigungssatz erstellen, um einen Berechtigungssatz zu erstellen, und gehen Sie dann wie folgt vor:

    1. Aktivieren Sie auf der Seite Neuen Berechtigungssatz erstellen das Kontrollkästchen Benutzerdefinierten Berechtigungssatz erstellen und wählen Sie dann Weiter: Details aus.

    2. Geben Sie auf der Seite Neuen Berechtigungssatz erstellen einen Namen für den benutzerdefinierten Berechtigungssatz und optional eine Beschreibung an. Ändern Sie bei Bedarf die Sitzungsdauer und geben Sie eine Relay-Status-URL an.

      Anmerkung

      Für die Relay-State-URL müssen Sie eine URL angeben, die sich in der befindet AWS Management Console. Beispielsweise:

      https://console.aws.amazon.com/ec2/

      Weitere Informationen finden Sie unter Stellen Sie den Relay-Status ein.

    3. Unter Welche Richtlinien möchten Sie in Ihren Berechtigungssatz aufnehmen? , aktivieren Sie das Kontrollkästchen AWS Verwaltete Richtlinien anhängen.

    4. Wählen Sie in der Liste der IAM-Richtlinien sowohl die als auch die AWSSSOMasterAccountAdministratorIAMFullAccess AWS verwalteten Richtlinien aus. Diese Richtlinien gewähren allen Benutzern und Gruppen, denen in future Zugriff auf diesen Berechtigungssatz zugewiesen wird, Berechtigungen.

    5. Wählen Sie Weiter: Markierungen.

    6. Geben Sie unter Tags hinzufügen (optional) Werte für Schlüssel und Wert (optional) an und wählen Sie dann Weiter: Überprüfen aus. Weitere Informationen zu Tags erhalten Sie unter Markieren von AWS IAM Identity Center-Ressourcen.

    7. Überprüfen Sie die von Ihnen getroffenen Auswahlen und wählen Sie dann Erstellen aus.

  3. Folgen Sie den Schritten unterWeisen Sie Benutzerzugriff zu AWS-Konten, um dem soeben erstellten Berechtigungssatz die entsprechenden Benutzer und Gruppen zuzuweisen.

  4. Teilen Sie den zugewiesenen Benutzern Folgendes mit: Wenn sie sich beim AWS Zugriffsportal anmelden und die Registerkarte Konten auswählen, müssen sie den entsprechenden Rollennamen auswählen, um mit den Berechtigungen authentifiziert zu werden, die Sie gerade delegiert haben.