aws organizations - benutzerhandbuch · aws organizations benutzerhandbuch aws...

AWS OrganizationsBenutzerhandbuch

AWS Organizations Benutzerhandbuch

AWS Organizations: BenutzerhandbuchCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsWas ist AWS Organizations? ............................................................................................................... 1

AWS Organizations-Funktionen ..................................................................................................... 1AWS Organizations-Preise ........................................................................................................... 3Zugriff auf AWS Organizations ..................................................................................................... 3Support und Feedback zu AWS Organizations ................................................................................ 4

Sonstige AWS-Ressourcen .................................................................................................. 4Erste Schritte mit AWS Organizations .................................................................................................... 5

Informationen über... ................................................................................................................... 5Terminologie und Konzepte von AWS Organizations ........................................................................ 5

Tutorials ............................................................................................................................................ 9Tutorial: Erstellen und Konfigurieren einer Organisation .................................................................... 9

Prerequisites .................................................................................................................... 10Schritt 1: Erstellen Ihrer Organisation ................................................................................... 10Schritt 2: Erstellen der Organisationseinheiten ....................................................................... 12Schritt 3: Erstellen der Service-Kontrollrichtlinien .................................................................... 13Schritt 4: Testen der Richtlinien Ihrer Organisation ................................................................. 16

Tutorial: Überwachen mit CloudWatch-Ereignisse .......................................................................... 17Prerequisites .................................................................................................................... 18Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl ......................................................... 18Schritt 2: Konfigurieren einer Lambda-Funktion ...................................................................... 19Schritt 3: Erstellen eines Amazon SNS-Themas, das E-Mails an Abonnenten sendet .................... 20Schritt 4: Erstellen einer CloudWatch-Ereignisse-Regel ........................................................... 20Schritt 5: Testen Ihrer CloudWatch-Ereignisse-Regel .............................................................. 21Bereinigen: Entfernen Sie die Ressourcen, die Sie nicht mehr benötigen. ................................... 22

Bewährte Methoden für AWS Organizations .......................................................................................... 24Bewährte Methoden für das Managementkonto ............................................................................. 24

Verwenden Sie das Management-Konto nur für Aufgaben, die das Management-Konto requirebetreffen. ......................................................................................................................... 24Verwenden einer Gruppen-E-Mail-Adresse für den Root-Benutzer des Verwaltungskontos ............ 25Verwenden Sie ein komplexes Passwort für die Stammbenutzer des Managementkontos. ............. 25Aktivieren von MFA für Ihre Root-Benutzer-Anmeldeinformationen ............................................ 25Hinzufügen einer Telefonnummer zu den Kontokontaktinformationen ......................................... 26Überprüfen und Nachverfolgen, wer Zugriff hat ..................................................................... 26Dokumentieren der Prozesse für die Verwendung der Anmeldeinformationen desStammbenutzers ............................................................................................................... 27Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationendes Stammbenutzers ......................................................................................................... 28

Bewährte Methoden für Mitgliedskonten ....................................................................................... 28Verwenden einer Gruppen-E-Mail-Adresse für alle Stammbenutzer von Mitgliedskonten ............... 28Verwenden Sie ein komplexes Passwort für Root-Benutzer von Mitgliedskonten von . .................. 29Aktivieren von MFA für Ihre Root-Benutzer-Anmeldeinformationen ............................................ 29Hinzufügen der Telefonnummer des Managementkontos zu den Kontaktinformationen desMitgliedskontos ................................................................................................................. 30Überprüfen und Nachverfolgen, wer Zugriff hat ..................................................................... 30Dokumentieren der Prozesse für die Verwendung der Anmeldeinformationen desStammbenutzers ............................................................................................................... 31Verwenden einer SCP, um einzuschränken, was der Root-Benutzer in Ihren Mitgliedskonten tunkann ............................................................................................................................... 32Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationendes Stammbenutzers ......................................................................................................... 32

Erstellen und Verwalten einer Organisation ........................................................................................... 33Erstellen einer Organisation ........................................................................................................ 33

Erstellen einer Organisation ................................................................................................ 34Verifizierung über E-Mail-Adresse ........................................................................................ 35

iii


Aktivieren aller Funktionen ......................................................................................................... 36Bevor Sie alle Funktionen aktivieren .................................................................................... 36Beginn des Prozesses zur Aktivierung aller Funktionen ........................................................... 37Genehmigung der Anforderung zum Aktivieren aller Funktionen oder zum Neuanlegen derservicegebundenen Rolle ................................................................................................... 38Abschließen des Prozesses der Aktivierung aller Funktionen ................................................... 39

Anzeigen von Organisationsdetails .............................................................................................. 40Anzeigen von Details zu einer Organisation über das Managementkonto ................................... 41Anzeigen von Details zu einem Root ................................................................................... 41Anzeigen von Details zu einer OU ....................................................................................... 42Anzeigen von Details zu einem Konto .................................................................................. 43Anzeigen der Details einer Richtlinie .................................................................................... 43

Löschen der Organisation .......................................................................................................... 44Verwalten von Konten ....................................................................................................................... 46

Auswirkungen auf ein AWS-Konto, das Sie zum Beitritt zu einer Organisation einladen ......................... 46Auswirkungen auf ein AWS-Konto, das Sie in einer Organisation erstellen ......................................... 47Einladen eines Kontos zu Ihrer Organisation ................................................................................. 47

Senden von Einladungen an AWS-Konten ............................................................................ 48Verwalten schwebender Einladungen für Ihre Organisation ...................................................... 49Akzeptieren oder Ablehnen einer Einladung von einer Organisation .......................................... 50

Erstellen eines -Kontos .............................................................................................................. 52Erstellen eines AWS-Kontos, das Teil Ihrer Organisation ist ..................................................... 53

Zugreifen auf Mitgliedskonten ..................................................................................................... 55Zugreifen auf ein Mitgliedskonto als Root-Benutzer ................................................................ 55Erstellen der OrganizationAccountAccessRole in einem eingeladenen Mitgliedskonto ................... 56Zugreifen auf ein Mitgliedskonto mit einer Zugriffsrolle für ein Management-Konto ....................... 58

Entfernen eines Mitgliedskontos .................................................................................................. 59Vor dem Entfernen eines Kontos aus einer Organisation ......................................................... 60Entfernen eines Mitgliedskontos aus Ihrer Organisation ........................................................... 61Verlassen einer Organisation als Mitgliedskonto .................................................................... 62

Schließen eines -Kontos ............................................................................................................ 64Verwalten vonOUs ............................................................................................................................ 67

Navigieren in der Hierarchie von Stammverzeichnis und Organisationseinheit ..................................... 67Erstellen einer OU .................................................................................................................... 68Umbenennen einer OU .............................................................................................................. 69Bearbeiten von Tags, die einer Organisationseinheit zugeordnet sind ................................................ 70Verschieben eines Kontos in eine Organisationseinheit oder zwischen dem Root und OUs .................... 71Löschen einer OU ..................................................................................................................... 72

Verwalten von -Richtlinien .................................................................................................................. 73Richtlinientypen ........................................................................................................................ 73

Autorisierungsrichtlinien ...................................................................................................... 73Management-Richtlinien ..................................................................................................... 73

Verwenden von Richtlinien in Ihrer Organisation ............................................................................ 74Aktivieren und Deaktivieren von Richtlinientypen ............................................................................ 74

Aktivieren eines Richtlinientyps ........................................................................................... 74Deaktivieren eines Richtlinientyps ........................................................................................ 75

Abrufen von Richtliniendetails ..................................................................................................... 76Auflisten aller Richtlinien .................................................................................................... 76Auflisten aller Richtlinien, die einem Root, einer Organisationseinheit oder einem zugewiesensind ................................................................................................................................ 77Auflisten aller Roots, OUs und Konten, an die eine Richtlinie angefügt ist ................................... 78Abrufen von Details zu einer Richtlinie ................................................................................. 78

Grundlegendes zur Richtlinienvererbung ....................................................................................... 79Vererbung für Service-Kontrollrichtlinien ............................................................................... 80Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen ............................................... 82

Service-Kontrollrichtlinien ............................................................................................................ 93Service-Kontrollrichtlinien (Service Control Policies, SCPs) ...................................................... 93

iv


Erstellen, Aktualisieren und Löschen .................................................................................... 96Anfügen und Trennen ...................................................................................................... 102Strategien zur Verwendung von SCPs ................................................................................ 103SCP-Syntax .................................................................................................................... 106Beispiel SCPs ................................................................................................................. 113

AI services opt-out-Richtlinien ................................................................................................... 123Erste Schritte .................................................................................................................. 124Erstellen, Aktualisieren und Löschen .................................................................................. 124Anfügen und Trennen ...................................................................................................... 128Anzeigen effektiver AI services opt-out-Richtlinien ................................................................ 129AI services opt-out-Richtliniensyntax und Beispiele ............................................................... 131AWS CLI- und AI services opt-out-Richtlinien ...................................................................... 135

Sicherungsrichtlinien ................................................................................................................ 138Erste Schritte .................................................................................................................. 139Voraussetzungen und Berechtigungen ................................................................................ 139Bewährte Methoden ......................................................................................................... 140Erstellen, Aktualisieren und Löschen .................................................................................. 142Anfügen und Trennen ...................................................................................................... 147Anzeigen effektiver Sicherungsrichtlinien ............................................................................. 149Syntax und Beispiele für Sicherungsrichtlinien ..................................................................... 150Verwenden von Sicherungsrichtlinien in der AWS CLI ........................................................... 169

Tag-Richtlinien ........................................................................................................................ 172Was sind Tags? .............................................................................................................. 172Was sind Tag-Richtlinien? ................................................................................................ 173Voraussetzungen und Berechtigungen ................................................................................ 174Bewährte Methoden ......................................................................................................... 175Erste Schritte .................................................................................................................. 176Anzeigen effektiver Tag-Richtlinien .................................................................................... 186Verwendung von CloudWatch-Ereignisse zur Überwachung nicht konformer Tags ...................... 187Grundlegendes zur Durchsetzung ...................................................................................... 188Syntax und Beispiele für Tag-Richtlinien ............................................................................. 194Verwendung von Tag-Richtlinien im AWS CLI ..................................................................... 198Unterstützte Regionen ...................................................................................................... 203

Markieren von Ressourcen ............................................................................................................... 205Verwenden von Tags ............................................................................................................... 205Hinzufügen von Tags ............................................................................................................... 206

Hinzufügen eines Tags zu einer Ressource, wenn Sie sie erstellen ......................................... 206So fügen Sie ein Tag zu einer vorhandenen Ressource hinzu ................................................ 206

Anzeigen von Tags für Ressourcen in Ihrer Organisation ............................................................... 207Bearbeiten von Tag-Werten ...................................................................................................... 208Löschen von Tags ................................................................................................................... 209

Verwenden anderer AWS-Services .................................................................................................... 210Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs ............................... 210Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs ........................... 211So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff ................................................. 212AWS Organizations und serviceverknüpfte Rollen ........................................................................ 213Services, die mit Organisationen arbeiten ................................................................................... 214

AWS Artifact ................................................................................................................... 230AWS Audit Manager ........................................................................................................ 233AWS Backup .................................................................................................................. 235AWS CloudFormation StackSets ........................................................................................ 238AWS CloudTrail .............................................................................................................. 240AWS Compute Optimizer .................................................................................................. 242AWS Config ................................................................................................................... 244AWS Directory Service ..................................................................................................... 246AWS Firewall Manager .................................................................................................... 247Amazon GuardDuty ......................................................................................................... 248

v


AWS Health ................................................................................................................... 252AWS License Manager .................................................................................................... 254Amazon Macie ................................................................................................................ 256AWS Marketplace ............................................................................................................ 258AWS Resource Access Manager ....................................................................................... 259AWS Security Hub .......................................................................................................... 262Amazon S3 Storage Lens ................................................................................................. 263AWS Service Catalog ...................................................................................................... 265Servicekontingente .......................................................................................................... 268AWS – Einmaliges Anmelden ............................................................................................ 271AWS Systems Manager ................................................................................................... 272AWS Trusted Advisor ...................................................................................................... 275Tag-Richtlinien ................................................................................................................ 277

Sicherheit ....................................................................................................................................... 279IAM und Organisationen ........................................................................................................... 279

Authentication ................................................................................................................. 280Zugriffskontrolle ............................................................................................................... 281Verwaltung von Zugriffsberechtigungen für Ihre AWS-Organisation .......................................... 281Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Organizations ............... 287Attributbasierte Zugriffskontrolle mit Tags ............................................................................ 290

Protokollierung und Überwachung .............................................................................................. 293Protokollieren von AWS Organizations-API-Aufrufen mit AWS CloudTrail ................................. 294Amazon CloudWatch Events ............................................................................................. 299

Compliance-Validierung ............................................................................................................ 300Resilienz ................................................................................................................................ 300Sicherheit der Infrastruktur ........................................................................................................ 301

AWS Organizations-Referenz ............................................................................................................ 302Kontingente für AWS Organizations ........................................................................................... 302

Vorgaben für die Benennung ............................................................................................ 302Höchst- und Mindestwerte ................................................................................................ 302

Verwaltete Richtlinien ............................................................................................................... 304Verwaltete AWS Organizations-Service-Kontrollrichtlinien ...................................................... 304

Fehlerbehebung für AWS Organizations ............................................................................................. 306Fehlerbehebung bei allgemeinen Problemen ............................................................................... 306

Ich erhalte eine "Zugriff verweigert"-Meldung, wenn ich eine Anfrage an AWS Organizationsstelle. ............................................................................................................................ 306Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporärenSicherheitsanmeldeinformationen erstelle ............................................................................ 307Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich versuche, eine Organisationals Mitgliedskonto zu verlassen oder ein Mitgliedskonto als Managementkonto (früher als„Hauptkonto“ bezeichnet) zu entfernen. .............................................................................. 307Ich erhalte eine Meldung „Kontingent überschritten“, wenn ich versuche, meiner Organisation einKonto hinzuzufügen. ........................................................................................................ 308Ich erhalte die Meldung "Diese Operation benötigt eine Wartezeit", wenn ich Konten hinzufügeoder entferne. ................................................................................................................. 308Ich erhalte eine Meldung, dass die Organisation immer noch initialisiert wird, wenn ich versuche,meiner Organisation ein Konto hinzuzufügen. ...................................................................... 308Ich erhalte die Meldung „Einladungen sind deaktiviert“, wenn ich versuche, ein Konto zu meinerOrganisation einzuladen. .................................................................................................. 308Beim Erstellen eines Mitgliedkontos habe ich eine falsche E-Mail-Adresse verwendet ................. 308Änderungen, die ich vornehme, sind nicht immer direkt sichtbar .............................................. 309

Fehlerbehebung bei -Richtlinien ................................................................................................. 309Service-Kontrollrichtlinien .................................................................................................. 309

Erstellen von HTTP-Abfrageanforderungen .......................................................................................... 312Endpoints ............................................................................................................................... 312HTTPS erforderlich .................................................................................................................. 312Signieren von AWS Organizations-API-Anforderungen .................................................................. 313

vi


Dokumentverlauf ............................................................................................................................. 314AWS-Glossar .................................................................................................................................. 319.................................................................................................................................................. cccxx

vii

AWS Organizations BenutzerhandbuchAWS Organizations-Funktionen

Was ist AWS Organizations?AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einerzentral erstellten und verwalteten Organisation konsolidieren können. AWS Organizations umfasstKontoverwaltungs- und konsolidierte Fakturierungsservices, die es Ihnen ermöglichen, die Budget-,Sicherheits- und Compliance-Anforderungen Ihres Unternehmens besser zu erfüllen. Als Administratoreiner Organisation können Sie Konten in Ihrer Organisation anlegen und bestehende Konten einladen, derOrganisation beizutreten.

Note

AWS Organizations ändert den Namen des „Masterkontos“ in „Managementkonto“. Dies ist nureine Namensänderung und es gibt keine Änderung der Funktionalität. Möglicherweise sehen Sieweiterhin einige Instances der alten Laufzeit, während wir die Arbeit abschließen, um zur neuerenLaufzeit zu wechseln. Wenn Sie einen verpassten haben, verwenden Sie den Link Feedback obenauf dieser Seite, um uns mitzuteilen.

Dieses Benutzerhandbuch definiert wichtige Konzepte für AWS Organizations, stellt Tutorials zurVerfügung und erklärt, wie eine Organisation erstellt und verwaltet wird.

Themen• AWS Organizations-Funktionen (p. 1)• AWS Organizations-Preise (p. 3)• Zugriff auf AWS Organizations (p. 3)• Support und Feedback zu AWS Organizations (p. 4)

AWS Organizations-FunktionenAWS Organizations bietet folgende Funktionen:

Zentrale Verwaltung aller Ihrer AWS-Konten

Sie können Ihre bestehenden Konten in einer Organisation zusammenfassen und diese Kontendann zentral verwalten. Sie können Konten erstellen, die automatisch Teil Ihrer Organisation werden,und Sie können andere Kunden zum Beitritt zu Ihrer Organisation einladen. Sie können außerdemRichtlinien anhängen, die sich auf einige oder alle Konten auswirken.

Konsolidierte Fakturierung für alle Mitgliedskonten

Die konsolidierte Fakturierung ist eine Funktion von AWS Organizations. Sie können dasManagementkonto (früher als "Masterkonto" bezeichnet) Ihrer Organisation verwenden, um alleMitgliedskonten zu konsolidieren und zu bezahlen. In der konsolidierten Fakturierung könnenVerwaltungskonten auch auf die Fakturierungsdaten, Kontoinformationen und Kontoaktivitäten vonMitgliedskonten in ihrer Organisation zugreifen. Diese Informationen können für Services wie CostExplorer verwendet werden, mit denen die Verwaltungskonten die Kostenleistung ihrer Organisationverbessern können.

Hierarchische Gruppierung Ihrer Konten zur Umsetzung Ihrer Budget-, Sicherheits- und Compliance-Anforderungen

Sie können Ihre Konten mit Hilfe von Organisationseinheiten (OUs) gruppieren und an jede OU andereZugriffsrichtlinien anhängen. Wenn Sie zum Beispiel Konten nutzen, die nur auf die AWS-Servicesmit bestimmten gesetzlichen Anforderungen zugreifen sollen, dann können Sie diese Konten in

1

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html

AWS Organizations BenutzerhandbuchAWS Organizations-Funktionen

einer Organisationseinheit zusammenfassen. Dann hängen Sie eine Richtlinie an die OU an, die denZugriff auf Services ohne die erforderlichen gesetzlichen Anforderungen blockiert. Sie können OUsin anderen OUs mit einer Tiefe von fünf Ebenen verschachteln, was Flexibilität bei der StrukturierungIhrer Kontogruppen bietet.

Richtlinien zur Zentralisierung der Kontrolle über die AWS-Services und API-Aktionen, auf die jedes Kontozugreifen kann

Als Administrator des Verwaltungskontos einer Organisation können Sie Service-Kontrollrichtlinien(Service Control Policies, SCPs) verwenden, um die maximalen Berechtigungen für Mitgliedskontenin der Organisation anzugeben. In SCPs können Sie einschränken, auf welche AWS-Services,Ressourcen und einzelnen API-Aktionen die Benutzer und Rollen in jedem Mitgliedskonto zugreifenkönnen. Sie können auch Bedingungen für den Zeitpunkt festlegen, wann der Zugriff auf dieAWS-Services, -Ressourcen und API-Aktionen eingeschränkt werden soll. Diese Einschränkungüberschreibt sogar die Administratoren von Mitgliedskonten in der Organisation. Wenn der Zugriffauf einen Service, eine Ressource oder eine API-Aktion für ein Mitgliedskonto in AWS Organizationsblockiert, hat ein Benutzer oder eine Rolle in diesem Konto keinen Zugriff darauf. Diese Blockierungbleibt auch dann bestehen, wenn ein Administrator eines Mitgliedskontos solche Berechtigungenmittels einer IAM-Richtlinie explizit erteilt.

Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (p. 93).Richtlinien zum Standardisieren von Tags für alle Ressourcen in den Konten Ihrer Organisation

Sie können mit Tag-Richtlinien eine konsistente Tag-Verwaltung sicherstellen, auch in Bezug auf diebevorzugte Fallbehandlung von Tag-Schlüsseln und Tag-Werten.

Weitere Informationen finden Sie unter Tag-Richtlinien (p. 172)Richtlinien zur Steuerung, wie AWS-Dienste für künstliche Intelligenz (KI) und Machine Learning Datensammeln und speichern können.

Sie können AI services opt-out-Richtlinien verwenden, um die Datenerfassung und -speicherung für dieAWS-AI-Services, die Sie nicht verwenden möchten, zu deaktivieren.

Weitere Informationen finden Sie unter AI services opt-out-Richtlinien (p. 123)Richtlinien, die automatische Sicherungen für die Ressourcen in den Konten Ihrer Organisationkonfigurieren

Sie können Sicherungsrichtlinien verwenden, um AWS Backup-Pläne zu konfigurieren undautomatisch auf Ressourcen in allen Konten Ihrer Organisation anzuwenden.

Weitere Informationen finden Sie unter Sicherungsrichtlinien (p. 138)Integration und Unterstützung für AWS Identity and Access Management (IAM)

IAM ermöglicht eine genaue Kontrolle über die Benutzer und Rollen in den einzelnen Konten. AWSOrganizations erweitert diese Kontrolle auf die Kontoebene. Sie erhalten die Kontrolle darüber,was Benutzer und Rollen in einem Konto oder einer Kontengruppe durchführen können. Die soentstehenden Berechtigungen ergeben sich aus der Schnittmenge der Berechtigungen, die von AWSOrganizations auf Kontoebene zugelassen wurden, und der explizit per IAM auf Endbenutzer- oderRollenebene des Kontos gewährten Berechtigungen. Der Benutzer kann also nur auf das zugreifen,was in den - undAWS Organizations IAM-Richtlinien zugelassen ist. Wenn eine Operation in einem derElemente blockiert ist, kann der Benutzer diese nicht durchführen.

Integration mit anderen AWS-Services

Sie können die in AWS Organizations verfügbaren Services für die Multikontenverwaltung fürbestimmte AWS-Services nutzen, um Aufgaben für alle Konten auszuführen, die Mitglied IhrerOrganisation sind. Eine Liste der Services und die Vorteile der Verwendung der einzelnen Services aufunternehmensweiter Ebene finden Sie unter AWS-Services, die Sie mit AWS Organizations verwendenkönnen (p. 214).

2

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

AWS Organizations BenutzerhandbuchAWS Organizations-Preise

Wenn Sie einen AWS-Service aktivieren, um in Ihrem Namen Aufgaben in den Mitgliedskonten IhrerOrganisation auszuführen, erstellt AWS Organizations in jedem Mitgliedskonto eine serviceverknüpfteIAM-Rolle für diesen Service. Die servicegebundene Rolle hat vordefinierte IAM-Berechtigungen, diees dem anderen AWS-Service ermöglichen, bestimmte Aufgaben in Ihrer Organisation und derenKonten auszuführen. Damit dies funktioniert, verfügen alle Konten in einer Organisation automatischüber eine serviceverknüpfte Rolle. Diese Rolle ermöglicht dem AWS Organizations-Service dasErstellen der serviceverknüpften Rollen, die für AWS-Services erforderlich sind, für die Sie denvertrauenswürdigen Zugriff aktivieren. Diese zusätzlichen serviceverknüpften Rollen sind an IAM-Berechtigungsrichtlinien angefügt, mit denen der angegebene Service nur die Aufgaben ausführenkann, die für Ihre Konfigurationsoptionen erforderlich sind. Weitere Informationen finden Sie unterVerwenden von AWS Organizations mit anderen AWS-Services (p. 210).

Globaler Zugriff

AWS Organizations ist ein globaler Service mit einem einzelnen Endpunkt, der in allen AWS-Regionenfunktioniert. Sie müssen nicht explizit eine Region auswählen, in der Sie arbeiten möchten.

Eventually-Consistent-Datenreplikation

Wie viele andere AWS-Services, arbeitet auch AWS Organizations mit einem Eventually Consistency-Konzept. AWS Organizations erreicht eine Hochverfügbarkeit, indem die Daten über mehrere AWS-Rechenzentren in seiner Region repliziert werden. Wenn eine Anforderung zur Änderung von Datenerfolgreich ist, wird die Änderung übernommen und sicher gespeichert. Die Änderung muss dannjedoch auf die verschiedenen Server repliziert werden. Weitere Informationen finden Sie unterÄnderungen, die ich vornehme, sind nicht immer direkt sichtbar (p. 309).

Kostenlos

AWS Organizations ist eine Funktion Ihres AWS-Kontos, die ohne zusätzliche Gebühren angebotenwird. Ihnen werden nur Gebühren berechnet, wenn Sie von den Konten in Ihrer Organisation aus aufandere AWS-Services zugreifen. Weitere Informationen zu den Preisen anderer AWS-Produkte findenSie auf der Seite mit den Amazon Web Services-Preisen.

AWS Organizations-PreiseAWS Organizations wird ohne Aufpreis angeboten. Ihnen werden nur die AWS-Ressourcen berechnet,die die Benutzer und Rollen in Ihren Mitgliedskonten verwenden. Ihnen werden zum Beispiel dieStandardgebühren für Amazon EC2-Instances berechnet, die von den Benutzern oder Rollen in IhrenMitgliedskonten verwendet werden. Informationen zu den Preisen anderer AWS-Services finden Sie unterAWS-Preise.

Zugriff auf AWS OrganizationsSie können AWS Organizations auf folgende Art und Weise nutzen:

AWS Management Console

Die AWS Organizations-Konsole ist eine browserbasierte Schnittstelle, über die Sie Ihre Organisationund Ihre AWS-Ressourcen verwalten können. Sie können mithilfe der Konsole sämtliche Aufgaben inIhrer Organisation ausführen.

AWS Befehlszeilen-Tools

Mit den Befehlszeilen-Tools von AWS können Sie Befehle in der Befehlszeile Ihres Systems ausgebenund AWS Organizations- und AWS-Aufgaben durchführen. Die Arbeit mit der Befehlszeile kann

3

http://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role

https://wikipedia.org/wiki/Eventual_consistency

http://aws.amazon.com/pricing/

https://aws.amazon.com/pricing/services/

https://console.aws.amazon.com/organizations/

AWS Organizations BenutzerhandbuchSupport und Feedback zu AWS Organizations

schneller und bequemer sein als die Verwendung der Konsole. Die Befehlszeilen-Tools sind auchhilfreich, wenn Sie Skripts erstellen möchten, die AWS-Aufgaben ausführen.

AWS bietet zwei Sätze an Befehlszeilen-Tools:• AWS-Befehlszeilenschnittstelle (AWS CLI) Weitere Informationen zur Installation und Verwendung

der AWS CLI finden Sie im Benutzerhandbuch für AWS Command Line Interface.• <AWS-Konto-ID>AWS Tools für Windows PowerShell<AWS-ID>. Weitere Informationen zur

Installation und Verwendung der Tools für Windows PowerShell finden Sie unter AWS-Tools fürWindows PowerShell-Benutzerhandbuch.

AWS SDKs

Das AWS SDKs besteht aus Bibliotheken und Beispiel-Code für verschiedene Programmiersprachenund Plattformen (z. B. Java, Python, Ruby, .NET, iOS und Android). Die SDKs übernimmt Aufgabenwie das kryptografische Signieren von Anforderungen, das Verwalten von Fehlern und dasautomatische Wiederholen von Anforderungen. Weitere Informationen zum AWS SDKs, einschließlichHerunterladen und Installation, finden Sie unter Tools für Amazon Web Services.

AWS Organizations HTTPS-Abfrage-API

Die AWS Organizations-HTTPS-Query-API bietet programmgesteuerten Zugriff auf AWSOrganizations und AWS. Mit der HTTPS-Query-API können Sie HTTPS-Anforderungen direkt an denService richten. Wenn Sie die HTTPS-API nutzen, müssen Sie Code zur digitalen Signierung vonAnfragen über Ihre Anmeldeinformationen einsetzen. Weitere Informationen finden Sie unter Aufrufender API über die HTTP-Query-Requests und im AWS Organizations-API-Referenz.

Support und Feedback zu AWS OrganizationsWir freuen uns über Ihr Feedback. Sie können Ihre Kommentare an [email protected] senden. Sie können Ihr Feedback und Ihre Fragen auch im AWSOrganizations-Support-Forum posten. Weitere Informationen zu den AWS-Support-Foren finden Sie unterForenhilfe.

Sonstige AWS-Ressourcen

• AWS Training und Kurse – Links zu rollenbasierten und speziellen Kursen sowie Übungseinheiten zumSelbststudium zur Verbesserung der AWS-Kompetenzen und für praktische Erfahrung.

• AWS-Entwicklertools – Links zu Entwicklertools und -Ressourcen mit Dokumentationen, Codebeispielen,Versionshinweisen und sonstigen Informationen für die Entwicklung innovativer Anwendungen mit AWS.

• AWS Support-Center – Der zentrale Ort für die Erstellung und Verwaltung Ihrer AWS-Support-Fälle.Bietet außerdem Links zu hilfreichen Ressourcen wie z. B. Foren, technischen FAQs, Servicestatus undAWS Trusted Advisor.

• AWS Support – Die Hauptwebsite mit Informationen zum AWS-Support ist ein persönlicher undreaktionsschneller Support-Kanal, der Sie beim Konfigurieren und Ausführen von Anwendungen in derCloud unterstützt.

• Kontaktieren Sie uns – Ein zentraler Kontaktpunkt für Anfragen zur AWS-Abrechnung, Konten,Missbrauch und anderen Problemen.

• Nutzungsbedingungen für die AWS-Website – Detaillierte Informationen zu unseren Copyright- undMarkenbestimmungen, Ihrem Konto, den Lizenzen und anderen Themen.

4

https://aws.amazon.com/cli/

https://docs.aws.amazon.com/cli/latest/userguide/

https://aws.amazon.com/powershell/

https://docs.aws.amazon.com/powershell/latest/userguide/

https://docs.aws.amazon.com/powershell/latest/userguide/

https://aws.amazon.com/tools/#sdk

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_query-requests.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_query-requests.html

https://docs.aws.amazon.com/organizations/latest/APIReference/

mailto:[email protected]

mailto:[email protected]

https://forums.aws.amazon.com/forum.jspa?forumID=219

https://forums.aws.amazon.com/forum.jspa?forumID=219

https://forums.aws.amazon.com/help.jspa

https://aws.amazon.com/training/course-descriptions/

https://aws.amazon.com/developertools/

https://console.aws.amazon.com/support/home#/

https://aws.amazon.com/premiumsupport/

https://aws.amazon.com/contact-us/

https://aws.amazon.com/terms/

AWS Organizations BenutzerhandbuchInformationen über...

Erste Schritte mit AWS OrganizationsDie folgenden Themen enthalten Informationen, die Sie bei den ersten Schritten mit AWS Organizationsunterstützen.

Informationen über...Terminologie und Konzepte von AWS Organizations (p. 5)

Informieren Sie sich über die Terminologie und zentralen Konzepte zu AWS Organizations. DieserAbschnitt beschreibt die einzelnen Komponenten einer Organisation und die Grundlagen ihrerZusammenarbeit, um ein neues Level der Kontrolle darüber zu ermöglichen, was Benutzer in diesenKonten tun können.

Konsolidierte Fakturierung für Organisationen

Eine der wichtigsten Funktionen von AWS Organizations ist die Konsolidierung der Abrechnung allerKonten in Ihrer Organisation. Erfahren Sie mehr darüber, wie die Fakturierung in einer Organisationabgewickelt wird und wie verschiedene Rabatte funktionieren, wenn sie über mehrere Konten verteiltwerden. Dieser Content ist in der Benutzerhandbuch für AWS Billing and Cost Management.

Terminologie und Konzepte von AWS OrganizationsIn diesem Thema werden die wichtigsten Konzepte vorgestellt, um Ihnen den Einstieg in AWSOrganizations zu erleichtern.

Das folgende Diagramm zeigt eine einfache Organisation, die aus sieben Konten in vierOrganisationseinheiten (OU) unterhalb des Roots besteht. Die Organisation verfügt außerdem übermehrere Richtlinien, die einigen der OUs oder Konten direkt angefügt sind. Eine Beschreibung dereinzelnen Elemente finden Sie in den Definitionen in diesem Thema.

5

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html

AWS Organizations BenutzerhandbuchTerminologie und Konzepte von AWS Organizations

Note


Organisation

Eine Entität, die Sie erstellen, um Ihre AWS-Konten (p. 6) zu konsolidieren, damit Sie sie alseinzelne Einheit verwalten können. In der AWS Organizations-Konsole können Sie alle Konten derOrganisation zentral anzeigen und verwalten. Eine Organisation hat ein Verwaltungskonto zusammenmit null oder mehr Mitgliedskonten. Die Konten lassen sich in einer hierarchischen Baumstrukturmit dem Root (p. 6) an der Spitze und Organisationseinheiten (p. 6) unterhalb des Rootsanordnen. Jedes Konto kann sich direkt im Stammverzeichnis befinden oder in einer der OUs in derHierarchie platziert werden. Eine Organisation verfügt über die Funktionalität, die von der aktivierenFunktionsgruppe (p. 7) bestimmt wird.

Root

Der übergeordnete Container für alle Konten Ihrer Organisation. Wenn Sie einem Root eineRichtlinie zuordnen, gilt diese für alle Organisationseinheiten (p. 6) und Konten (p. 6) in derOrganisation.

Note

Derzeit ist nur ein Root möglich. AWS Organizations erstellt diesen automatisch bei derEinrichtung der Organisation.

Organisationseinheit (OU)

Ein Container für Konten (p. 6) in einem Root (p. 6). Eine Organisationseinheit kann auchandere OUs enthalten, sodass Sie eine Hierarchie erstellen können, die einer umgekehrten Strukturähnelt, mit einem Stamm an der Spitze und Verzweigungen von OUs, die nach unten gelangen,die auf Konten endet, die Blätter der Struktur sind. Wenn Sie einem der Knoten in der Hierarchieeine Richtlinie zuordnen, gilt diese für nachgeordnete Entitäten und wirkt sich auf alle folgendenOrganisationseinheiten und Konten aus. Eine Organisationseinheit kann nur ein übergeordnetesElement haben und derzeit kann jedes Konto genau einer Organisationseinheit angehören.

Konto

Ein AWS-Standardkonto mit AWS-Ressourcen. Sie können einem Konto eine Richtlinie zuordnen unddamit eine bestimmte Steuerung nur auf dieses Konto anwenden.

Es gibt zwei Arten von Konten in einer Organisation: ein einzelnes Konto, das als Managementkontofestgelegt ist, und Mitgliedskonten.• Das Managementkonto ist das Konto, mit dem Sie die Organisation erstellen. Sie können über das

Managementkonto der Organisation Folgendes ausführen:• Erstellen von Konten in der Organisation• Einladen anderer vorhandener Konten zur Organisation• Entfernen von Konten aus der Organisation• Verwalten von Einladungen• Anwenden von Richtlinien auf Entitäten (Roots, OUs oder Konten) innerhalb der Organisation

Das Managementkonto hat die Verantwortung eines Zahlerkontos und ist für die Zahlungaller Gebühren verantwortlich, die durch Mitgliedskonten aufgelaufen sind. Sie können dasVerwaltungskonto einer Organisation nicht ändern.

• Die restlichen Konten, die zu einer Organisation gehören, werden als Mitgliedskonten bezeichnet.Ein Konto kann jeweils nur einer Organisation angehören.

6



Einladung

Hiermit ist der Prozess der Einladung eines anderen Kontos (p. 6) zum Beitritt zu IhrerOrganisation (p. 6) gemeint. Eine Einladung kann nur vom Managementkonto der Organisationausgegeben werden. Die Einladung wird entweder auf die Konto-ID oder die E-Mail-Adresseerweitert, die dem eingeladenen Konto zugeordnet ist. Wenn das eingeladene Konto eine Einladungannimmt, wird es zum Mitgliedskonto in der Organisation. Einladungen können auch an alle aktuellenMitgliedskonten gesendet werden – nämlich dann, wenn alle Mitglieder den Wechsel von derUnterstützung der Funktionen für konsolidierte Fakturierung (p. 7) zur Unterstützung allerFunktionen (p. 7) genehmigen sollen. Die Verarbeitung von Einladungen erfolgt durch denAustausch von Handshakes (p. 7) durch die Konten. Möglicherweise werden beim Arbeiten in derAWS Organizations-Konsole keine Handshakes angezeigt. Wenn Sie aber die AWS CLI oder AWSOrganizations-API verwenden, müssen Sie direkt mit Handshakes arbeiten.

Handshake

Ein aus mehreren Schritten bestehender Prozess des Informationsaustauschs zwischen zwei Parteien.In AWS Organizations dienen Handshakes hauptsächlich als Grundlage für Einladungen (p. 7).Handshake-Nachrichten werden zwischen dem Handshake-Initiator und dem Empfänger übergeben,und beide Parteien reagieren darauf. Die Nachrichten werden so übergeben, dass beide Parteien denaktuellen Status kennen. Handshakes werden auch eingesetzt, wenn die Organisation einen Wechselvon der Unterstützung der Funktionen für konsolidierte Fakturierung (p. 7) zur Unterstützung allervon AWS Organizations bereitgestellten Funktionen (p. 7) plant. Im Allgemeinen haben Sie es nurdann direkt mit Handshakes zu tun, wenn Sie mit der AWS Organizations-API oder Befehlszeilen-Toolswie der AWS CLI arbeiten.

Verfügbare Funktionssätze•

Alle Funktionen – Der standardmäßige Funktionssatz für AWS Organizations. Dieser enthält jedeFunktionalität der konsolidierten Fakturierung sowie erweiterte Funktionen, mit denen Sie die Kontenin Ihrer Organisation besser steuern können. Wenn beispielsweise alle Funktionen aktiviert sind,hat das Managementkonto der Organisation die volle Kontrolle darüber, was Mitgliedskonten tunkönnen. Das Managementkonto kann SCPs (p. 93) anwenden, um die Services und Aktioneneinzuschränken, auf die Benutzer (einschließlich des Root-Benutzers) und Rollen in einem Kontozugreifen können. Das Managementkonto kann außerdem verhindern, dass Mitgliedskonten dieOrganisation verlassen.Sie können entweder eine Organisation erstellen, in der alle Funktionenbereits aktiviert sind, oder alle Funktionen in einer Organisation aktivieren, die ursprünglich nurdie konsolidierte Fakturierung unterstützt hat. Um alle Funktionen zu aktivieren, müssen alleeingeladenen Mitgliedskonten die Änderung genehmigen, indem sie die Einladung annehmen, diegesendet wird, wenn das Managementkonto den Prozess startet.

•Konsolidierte Fakturierung – Dieser Funktionssatz enthält gemeinsame Abrechnungsfunktionen,nicht jedoch die erweiterten Funktionen von AWS Organizations. So können Sie beispielsweise dieAktionen von Benutzern und Rollen in verschiedenen Konten nicht mit Richtlinien beschränken. ZurVerwendung der erweiterten AWS Organizations-Funktionen müssen Sie alle Funktionen (p. 7)in Ihrer Organisation aktivieren.

Service-Kontrollrichtlinie (SCP)

Eine Richtlinie mit einer Liste der Services und Aktionen, die Benutzer und Rollen in denvon der SCP (p. 93) betroffenen Konten ausführen dürfen. SCPs sind ähnlich wie IAM-Berechtigungsrichtlinien, mit der Ausnahme, dass sie keine Berechtigungen erteilen. Geben Siestattdessen die maximalen Berechtigungen für eine Organisation, Organisationseinheit (OU) oder einKonto an.SCPs Wenn Sie eine SCP an den Stamm Ihrer Organisation oder eine Organisationseinheitanfügen, beschränkt die SCP die Berechtigungen für die Entitys in den Mitgliedskonten.

Whitelists im Vergleich zu Sperrlisten

Whitelists und Sperrlisten sind ergänzende Strategien, mit denen Sie SCPs (p. 93) zum Filtern derBerechtigungen verwenden können, die für Konten verfügbar sind.

7


•Whitelist-Strategie – Hier geben Sie explizit an, dass ein bestimmter Zugriff erlaubt ist. Alle anderenZugriffe werden stillschweigend blockiert. Standardmäßig fügt AWS Organizations eine von AWSverwaltete Richtlinie namens FullAWSAccess an alle Roots, OUs und Konten an. Auf dieseWeise wird sichergestellt, dass beim Aufbau Ihrer Organisation nichts blockiert wird, bis Sie eswünschen. Mit anderen Worten, standardmäßig sind alle Berechtigungen zugelassen. Wenn Siedie Berechtigungen beschränken möchten, ersetzen Sie die FullAWSAccess-Richtlinie durch eineRichtlinie, die die gewünschten Einschränkungen enthält. Benutzer und Rollen in den betroffenenKonten können dann nur in diesem Maß auf Services und Aktionen zugreifen, auch wenn gemäßihren IAM-Richtlinien alle Aktionen zugelassen sind. Wenn Sie die Standardrichtlinie für den Root-Benutzer ersetzen, wirken sich die Einschränkungen auf alle Konten in der Organisation aus. Es istnicht möglich, Berechtigungen auf einer unteren Hierarchieebene wieder hinzuzufügen, denn eineSCP gewährt Berechtigungen nicht, sondern filtert sie nur.

•Sperrlisten-Strategie – Hier geben Sie explizit an, dass ein bestimmter Zugriff nicht erlaubtist. Alle anderen Zugriffe sind möglich. In diesem Szenario werden alle Berechtigungengewährt, es sei denn, sie werden explizit gesperrt. Dies ist das Standardverhalten von AWSOrganizations. Standardmäßig fügt AWS Organizations eine von AWS verwaltete Richtlinienamens FullAWSAccess an alle Roots, OUs und Konten an. Auf diese Weise kann jedes Kontouneingeschränkt auf alle AWS Organizations–Services und -Operationen zugreifen. Anders als beiden oben beschriebenen Whitelists bleibt bei Verwendung von Sperrlisten die FullAWSAccess-Standardrichtlinie („Alle zulassen“) aktiv. Sie fügen dann aber zusätzliche Richtlinien hinzu, dieden Zugriff auf unerwünschte Services und Aktionen explizit verweigern. Ähnlich wie bei IAM-Berechtigungsrichtlinien wird eine Zugriffserlaubnis durch eine explizite Zugriffsverweigerungüberschrieben.

Richtlinie für die Abmeldung von AI-Services (Artificial Intelligence)

Eine Art von Richtlinie, mit der Sie Ihre Einstellungen für die Abmeldung für AWS-AI-Services füralle Konten in Ihrer Organisation standardisieren können. Bestimmte AWS AI-Services könnenKundeninhalte speichern und verwenden, die von diesen Services verarbeitet werden, um Amazon AI-Services und -Technologien zu entwickeln und kontinuierlich zu verbessern. Als AWS-Kunde könnenSie Richtlinien zur Abmeldung von AI-Services (p. 123) verwenden, um festzulegen, dass Ihre Inhaltegespeichert oder für Service-Verbesserungen verwendet werden.

Sicherungsrichtlinie

Ein Richtlinientyp, der Ihnen hilft, eine Sicherungsstrategie für die Ressourcen für alle Konten in IhrerOrganisation zu standardisieren und zu implementieren. In einer Sicherungsrichtlinie (p. 138) könnenSie Sicherungspläne für Ihre Ressourcen konfigurieren und bereitstellen.

Tag-Richtlinie

Ein Richtlinientyp, der Ihnen hilft, Tags für alle Ressourcen in allen Konten in Ihrer Organisationzu standardisieren. In einer Tag-Richtlinie (p. 172) können Sie Tagging-Regeln für bestimmteRessourcen angeben.

8

AWS Organizations BenutzerhandbuchTutorial: Erstellen und Konfigurieren einer Organisation

AWS Organizations-TutorialsVerwenden Sie die Tutorials in diesem Abschnitt, um zu erfahren, wie Sie Aufgaben mit AWSOrganizations durchführen.

Tutorial: Erstellen und Konfigurieren einer Organisation (p. 9)

Einrichtung mit Schritt-für-Schritt-Anleitungen zum Erstellen Ihrer Organisation, Einladen der erstenMitgliedskonten Erstellen einer einfachen Organisationseinheitshierarchie mit Ihren Konten undAnwenden einiger Service-Kontrollrichtlinien (SCPs).

Tutorial: Überwachen wichtiger Änderungen an Ihrer Organisation mit CloudWatch-Ereignisse (p. 17)

Überwachen Sie wichtige Änderungen in Ihrer Organisation, indem Sie Amazon CloudWatch Eventskonfigurieren, so dass bei von Ihnen angegebenen Aktionen in der Organisation ein Alarm in Formeiner E-Mail, einer SMS oder eines Protokolleintrags ausgelöst wird. Viele Unternehmen möchtenbeispielsweise wissen, wann ein neues Konto erstellt wird, oder wann ein Konto versucht, dasUnternehmen zu verlassen.

Tutorial: Erstellen und Konfigurieren einerOrganisation

In dieser praktischen Anleitung erstellen Sie Ihre Organisation und konfigurieren diese mit zwei AWS-Mitgliedskonten. Sie erstellen eines der Mitgliedskonten in Ihrer Organisation und laden das andereKonto zum Beitritt Ihrer Organisation ein. Als Nächstes verwenden Sie die Whitelist (p. 8)-Technik,um anzugeben, dass Kontoadministratoren nur explizit aufgelistete Services und Aktionen delegierenkönnen. So können Administratoren jeden neuen Service, den AWS einführt, überprüfen, bevor sieden Benutzern in Ihrem Unternehmens erlauben, ihn zu verwenden. Wenn AWS einen neuen Serviceeinführt, bleibt dieser auf diese Weise verboten, bis ein Administrator den Service der Whitelist inder entsprechenden Richtlinie hinzufügt. Das Tutorial zeigt Ihnen auch, wie Sie eine Sperrliste (p. 8)verwenden, um sicherzustellen, dass keine Benutzer in einem Mitgliedskonto die Konfiguration für dieAuditing-Protokolle ändern können, die AWS CloudTrail erstellt.

Die folgende Abbildung zeigt die wichtigsten Schritte der praktischen Anleitung.

Schritt 1: Erstellen Ihrer Organisation (p. 10)

In diesem Schritt erstellen Sie eine Organisation mit Ihrem aktuellen AWS-Konto als Managementkonto(früher als „Masterkonto“ bezeichnet). Sie laden außerdem ein AWS-Konto zum Beitritt IhrerOrganisation ein und erstellen ein zweites Konto als Mitgliedskonto.

Schritt 2: Erstellen der Organisationseinheiten (p. 12)

Als Nächstes erstellen Sie zwei Organisationseinheiten in Ihrer neuen Organisation und platzieren dieMitgliedskonten in diesen OUs.

Schritt 3: Erstellen der Service-Kontrollrichtlinien (p. 13)

Sie können die Aktionen, die an Benutzer und Rollen in den Mitgliedskonten delegiert werden, anhandder Service-Kontrollrichtlinien (SCPs) (p. 93) einschränken. In diesem Schritt erstellen Sie zweiSCPs und fügen sie der OUs in Ihrer Organisation an.

9

AWS Organizations BenutzerhandbuchPrerequisites

Schritt 4: Testen der Richtlinien Ihrer Organisation (p. 16)

Sie können sich als Benutzer von jedem der Testkonten anmelden und die Auswirkungen sehen, diedie SCPs auf die Konten haben.

Bei keinem der Schritte in dieser praktischen Anleitung fallen Kosten an, die auf Ihre AWS-Rechnunggesetzt werden. AWS Organizations ist ein kostenloser Service.

PrerequisitesIn dieser praktischen Anleitung wird davon ausgegangen, dass Sie Zugriff auf zwei vorhandene AWS-Konten haben (ein drittes Konto erstellen Sie im Rahmen dieser Anleitung) und dass Sie sich an beiden alsAdministrator anmelden können.

Die praktische Anleitung bezieht sich auf folgende Konten:

• 111111111111 – Das Konto, das Sie zur Erstellung der Organisation verwenden. DiesesKonto wird zum Managementkonto. Der Inhaber dieses Kontos hat die [email protected].

• 222222222222 – Ein Konto, das Sie zum Beitritt zur Organisation als Mitgliedskonto einladen. DerInhaber dieses Kontos hat die E-Mail-Adresse [email protected].

• 333333333333 – Ein Konto, das Sie als Mitglied der Organisation erstellen. Der Inhaber dieses Kontoshat die E-Mail-Adresse [email protected].

Ersetzen Sie die obigen Wert mit den Werten für Ihre Testkonten. Wir empfehlen Ihnen, keineProduktionskonten für diese praktische Anleitung zu verwenden.

Schritt 1: Erstellen Ihrer OrganisationIn diesem Schritt melden Sie sich am Konto 111111111111 als Administrator an, erstellen eineOrganisation mit diesem Konto als Verwaltungskonto und laden ein vorhandenes Konto, 222222222222,zum Beitritt zur Organisation als Mitgliedskonto ein.

1. Melden Sie sich bei AWS als Administrator von Konto 111111111111 an und öffnen Sie die AWSOrganizations-Konsole unter https://console.aws.amazon.com/organizations/.

2. Wählen Sie auf der Einführungsseite Create organization (Organisation erstellen) aus.3. Wählen Sie im Bestätigungsdialogfeld Create organization (Organisation erstellen) die Option Create

organization (Organisation erstellen) aus.Note

Standardmäßig wird die Organisation mit allen Funktionen aktiviert erstellt. Sie könnenauch angeben, dass für die erstellte Organisation nur Funktionen für die konsolidierteFakturierung (p. 7) aktiviert sein sollen.

Die Organisation wird erstellt. Nun wird die Registerkarte Accounts (Konten) angezeigt. Der Sternneben der Konto-E-Mail zeigt an, dass es sich um das Managementkonto handelt.

Eine Verifizierungs-E-Mail wird automatisch an die Adresse gesendet, die Ihrem Managementkontozugeordnet ist. Es kann eine Verzögerung eintreten, bevor Sie die Verifizierungs-E-Mail erhalten.

4. Überprüfen Sie Ihre E-Mail-Adresse innerhalb von 24 Stunden. Weitere Informationen finden Sie imVerifizierung über E-Mail-Adresse (p. 35).

Sie haben nun eine Organisation mit Ihrem Konto als einziges Mitglied. Dies ist das Verwaltungskonto derOrganisation.

10


AWS Organizations BenutzerhandbuchSchritt 1: Erstellen Ihrer Organisation

Einladen eines vorhandenen Kontos zum Beitritt IhrerOrganisationNachdem Sie eine Organisation erstellt haben, können Sie Konten hinzufügen. In den Schritten diesesAbschnitts laden Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation als Mitglied ein.

Einladen eines vorhandenen Kontos zum Beitritt

1. Open the Organisationen console at https://console.aws.amazon.com/organizations/.2. Wählen Sie die Registerkarte Accounts. Der Stern neben dem Kontonamen zeigt an, dass es sich um

das Managementkonto handelt.

Jetzt können Sie andere Konten zum Beitritt als Mitgliedskonten einladen.3. Wählen Sie auf der Registerkarte Accounts Add account und anschließend Invite account.4. Geben Sie im Feld Account ID or email (Konto-ID oder E-Mail) die E-Mail-Adresse des Kontoinhabers

ein, den Sie einladen möchten, z. B.: [email protected]:5. Geben Sie den gewünschten Text in das Feld Notes ein. Dieser Text ist in der E-Mail enthalten, die an

den Kontoinhaber gesendet wird.6. Klicken Sie auf Invite. AWS Organizations sendet die Einladung an den Kontoinhaber.

Important

Wenn Sie einen Fehler erhalten, der darauf hinweist, dass Sie Ihr Kontolimit für dieOrganisation überschritten haben oder dass Sie kein Konto hinzufügen können, weil IhreOrganisation noch initialisiert wird, warten Sie eine Stunde nach Erstellung der Organisationund versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich bitte anden AWS-Support.

7. Im Rahmen dieser praktischen Anleitung müssen Sie nun Ihre eigene Einladung annehmen. FührenSie einen der folgenden Schritte aus, um die Seite Invitations in der Konsole aufzurufen:

• Öffnen Sie die E-Mail, die AWS vom Managementkonto gesendet hat, und wählen Sie den Link zurAnnahme der Einladung. Wenn Sie dazu aufgefordert werden, melden Sie sich als Administrator ameingeladenen Mitgliedskonto an.

• Öffnen Sie die AWS Organizations-Konsole (https://console.aws.amazon.com/organizations/) undmelden Sie sich als Administrator des Mitgliedskontos an. Wählen Sie Invitations. Die Zahl nebendem Link gibt an, wie viele Einladungen für dieses Konto vorliegen.

8. Wählen Sie auf der Seite Invitations Accept und danach Confirm.9. Melden Sie sich von Ihrem Mitgliedskonto ab und melden Sie sich als Administrator an Ihrem

Managementkonto an.

Erstellen eines MitgliedskontosIn den Schritten in diesem Abschnitt erstellen Sie ein AWS-Konto, das automatisch ein Mitglied derOrganisation ist. In diesem Tutorial bezeichnen wir dieses Konto als 333333333333.

Erstellen eines Mitgliedskontos

1. Wählen Sie auf der AWS Organizations-Konsole auf der Registerkarte Accounts Add account.2. Geben Sie unter Full name (Vollständiger Name) einen Namen für das Konto ein, z. B. MainApp

Account.3. Geben Sie unter Email (E-Mail) die E-Mail-Adresse der Person ein, die Mitteilungen zu diesem Konto

erhalten soll. Dieser Wert muss global eindeutig sein. Zwei Konten können nicht dieselbe E-Mail-Adresse haben. Sie können beispielsweise etwas verwenden wie: [email protected].

11




AWS Organizations BenutzerhandbuchSchritt 2: Erstellen der Organisationseinheiten

4. Für IAM role name (IAM-Rollenname) können Sie das Feld leer lassen und automatisch denStandardrollenamen OrganizationAccountAccessRole verwenden oder Ihren eigenen Namenangeben. Diese Rolle ermöglicht Ihnen den Zugriff auf das neue Mitgliedskonto, wenn Sie als IAM-Benutzer am Managementkonto angemeldet sind. Lassen Sie das Feld im Rahmen dieser Anleitungleer, um AWS Organizations anzuweisen, die Rolle mit dem Standardnamen zu erstellen.

5. Wählen Sie Create (Erstellen) aus. Möglicherweise müssen Sie kurz warten und die Seiteaktualisieren, damit das neue Konto auf der Registerkarte Accounts angezeigt wird.

Important

Wenn Sie einen Fehler erhalten, der darauf hinweist, dass Sie Ihr Kontolimit für dieOrganisation überschritten haben oder dass Sie kein Konto hinzufügen können, weil IhreOrganisation noch initialisiert wird, warten Sie eine Stunde nach Erstellung der Organisationund versuchen Sie es erneut. Wenn das Problem weiterhin besteht, wenden Sie sich bitte anden AWS-Support.

Schritt 2: Erstellen der OrganisationseinheitenIn den Schritten in diesem Abschnitt erstellen Sie Organisationseinheiten und platzieren IhreMitgliedskonten in diese Einheiten. Sie erhalten am Ende eine Hierarchie, wie in der folgendenAbbildung dargestellt. Das Managementkonto verbleibt im Root. Ein Mitgliedskonto wird in dieProduktionsorganisationseinheit und das andere Mitgliedskonto in die MainApp-Organisationseinheitverschoben, die der Produktion untergeordnet ist.

12


AWS Organizations BenutzerhandbuchSchritt 3: Erstellen der Service-Kontrollrichtlinien

So erstellen und füllen Sie den OUs

1. Wählen Sie in der AWS Organizations-Konsole die Registerkarte Organize Accounts (Kontenorganisieren) und danach + New organizational unit (+ Neue Organisationseinheit).

2. Geben Sie als Namen der Organisationseinheit Production ein und wählen Sie dann Createorganizational unit (Organisationseinheit erstellen) aus.

3. Wählen Sie die neue Organisationseinheit Production, um dorthin zu wechseln, und wählen Sie dann +New organizational unit (+ Neue Organisationseinheit) aus.

4. Geben Sie als Namen der zweiten Organisationseinheit MainApp ein und wählen Sie dann Createorganizational unit (Organisationseinheit erstellen) aus.

Jetzt können Sie Ihre Mitgliedskonten in diese OUs verschieben.5. Wählen Sie in der Strukturansicht auf der linken Seite Root (Stamm).6. Wählen Sie das erste Mitgliedskonto 222222222222 und dann Move (Verschieben).7. Wählen Sie im Dialogfeld Move accounts Production und anschließend Move.8. Wählen Sie das zweite Mitgliedskonto 333333333333 und dann Move (Verschieben).9. Wählen Sie im Dialogfeld Move accounts (Konten verschieben) die Option Production (Produktion)

aus, um MainApp bereitzustellen. Wählen Sie MainApp und dann Move (Verschieben) aus.

Schritt 3: Erstellen der Service-KontrollrichtlinienIn den Schritten in diesem Abschnitt erstellen Sie drei Service-Kontrollrichtlinien (Service ControlPolicies, SCPs) (p. 93) und fügen sie dem Stammverzeichnis und der OUs hinzu, um die Aktioneneinzuschränken, die Benutzer in den Konten der Organisation ausführen können. Die erste SCP verhindert,dass ein Benutzer in einem der Mitgliedskonten AWS CloudTrail-Protokolle erstellt oder von Ihnenkonfigurierte Protokolle ändert. Das Managementkonto wird von keiner SCP beeinflusst. Nachdem Sie dieCloudTrail-SCP angewendet haben, müssen Sie Protokolle aus dem Managementkonto erstellen.

Erstellen der ersten SCP, die CloudTrail-Konfigurationsaktionen blockiert

1. Wählen Sie die Registerkarte Policies (Richtlinien) und anschließend Create Policy (Richtlinieerstellen).

2. Geben Sie unter Policy name (Richtlinienname) „Block CloudTrail Configuration Actions“ein.

3. Wählen Sie im Abschnitt Policy (Richtlinie) auf der linken Seite CloudTrail für den Service aus. WählenSie dann die folgenden Aktionen aus: AddTags, CreateTrail, DeleteTrail, RemoveTags, StartLogging,StopLogging und .UpdateTrail

4. Wählen Sie ebenfalls auf der linken Seite Add resource (Ressource hinzufügen) und geben SieCloudTrail und All Resources (Alle Ressourcen) an. Wählen Sie dann Add resource (Ressourcehinzufügen).

Die Richtlinienanweisung auf der rechten Seite wird aktualisiert und sieht in etwa wie folgt aus.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags",

13


"cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": [ "*" ] } ]}

5. Klicken Sie auf Create Policy.

Die zweite Richtlinie definiert eine Whitelist (p. 8) aller Services und Aktionen, die Sie für Benutzer undRollen in der Produktionsorganisationseinheit aktivieren möchten. Wenn Sie fertig sind, können Benutzer inder Organisationseinheit "Production" nur auf die die aufgelisteten Services und Aktionen zugreifen.

So erstellen Sie die zweiten Richtlinie zur Aufnahme von genehmigten Services in die Whitelist fürdie Produktionsorganisationseinheit

1. Wählen Sie in der Liste der Richtlinien Create policy (Richtlinie erstellen) aus.2. Geben Sie unter Policy name (Richtlinienname) „Allow List for All Approved Services“ ein.3. Positionieren Sie den Cursor im rechten Bereich des Abschnitts Policy (Richtlinie) und fügen Sie eine

Richtlinie wie die folgende ein.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1111111111111", "Effect": "Allow", "Action": [ "ec2:*", "elasticloadbalancing:*", "codecommit:*", "cloudtrail:*", "codedeploy:*" ], "Resource": [ "*" ] } ]}

4. Klicken Sie auf Create Policy.

Die endgültige Richtlinie enthält eine Sperrliste (p. 8) der Services, die nicht in der MainApp-Organisationseinheit verwendet werden können. In diesem Tutorial blockieren Sie den Zugriff auf AmazonDynamoDB in allen Konten, die sich in der MainApp-Organisationseinheit befinden.

So erstellen Sie die dritte Richtlinie, die den Zugriff auf Services verweigert, die in der MainApp-Organisationseinheit nicht verwendet werden können

1. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Create policy (Richtlinie erstellen)aus.

2. Geben Sie unter Policy name (Richtlinienname) „Deny List for MainApp ProhibitedServices“ ein.

3. Wählen Sie im Abschnitt Policy (Richtlinie) auf der linken Seite Amazon DynamoDB für den Serviceaus. Wählen Sie für die Aktion All actions (Alle Aktionen) aus.

14


4. Wählen Sie ebenfalls auf der linken Seite Add resource (Ressource hinzufügen) und geben SieDynamoDB und All Resources (Alle Ressourcen) an. Wählen Sie dann Add resource (Ressourcehinzufügen).

Die Richtlinienanweisung auf der rechten Seite wird aktualisiert und sieht in etwa wie folgt aus.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "dynamodb:*" ], "Resource": [ "*" ] } ]}

5. Wählen Sie Create Policy (Richtlinie erstellen), um die SCP zu speichern.

Aktivieren des Service-Kontrollrichtlinientyps im RootBevor Sie einen Richtlinientyp an einen Root oder eine beliebige Organisationseinheit innerhalb des Rootsanfügen können, müssen Sie den Richtlinientyp für den Root aktualisieren. Richtlinientypen sind in keinemStamm standardmäßig aktiviert. In diesem Abschnitt erfahren Sie, wie Sie den Service-Kontrollrichtlinientyp(SCP) für den Root in Ihrer Organisation aktivieren.

Note

Derzeit ist nur ein Root-Element je Organisation möglich. Er wird mit dem Namen Root erstellt,wenn Sie Ihre Organisation erstellen.

So aktivieren Sie SCPs für Ihren Root

1. Wählen Sie auf der Registerkarte Organize accounts (Konten organisieren) das Stammverzeichnisaus.

2. Wählen Sie im Bereich Details auf der rechten Seite unter ENABLE/DISABLE POLICYTYPES (Richtlinientypen aktivieren/deaktivieren) und neben Service control policies (Service-Kontrollrichtlinien) die Option Enable (Aktivieren) aus.

Anfügen der SCPs an Ihre OUsNachdem die SCPs nun vorhanden und für Ihren Root aktiviert ist, können Sie sie dem Root und OUsanfügen.

So fügen Sie die Richtlinien an den Root und die OUs an

1. Wählen Sie weiterhin auf der Registerkarte Organize accounts (Konten organisieren) im BereichDetails auf der rechten Seite unter POLICIES (Richtlinien) die Option SERVICE CONTROL POLICIES(Service-Kontrollrichtlinien) aus.

2. Wählen Sie Attach (Zuweisen) neben der SCP namens Block CloudTrail ConfigurationActions, um zu verhindern, dass ein Benutzer das von Ihnen konfigurierten CloudTrail-Protokolländern kann. In dieser Anleitung hängen Sie die SCP an den Root an, sodass sie sich auf alleMitgliedskonten auswirkt.

Der Bereich Details wird jetzt mit zwei hervorgehoben, die an den Root angehängt sind: die eine, dieSie gerade erstellt haben, und die standardmäßige SCPs-SCP.FullAWSAccess

15

AWS Organizations BenutzerhandbuchSchritt 4: Testen der Richtlinien Ihrer Organisation

3. Wählen Sie die Organisationseinheit Production (nicht das Kontrollkästchen) aus, um zu seinem Inhaltzu navigieren.

4. Wählen Sie unter POLICIES (RICHTLINIEN) die Option SERVICE CONTROL POLICIES (SERVICE-KONTROLLRICHTLINIEN) und danach Attach (Zuweisen) neben Allow List for All ApprovedServices, um es Benutzern und Rollen in Mitgliedskonten in der Organisationseinheit "Production" zuermöglichen, auf die genehmigten Services zuzugreifen.

5. Der Informationsbereich zeigt jetzt, dass zwei SCPs an die Organisationseinheit angefügt sind:die eine, die Sie soeben angefügt haben, und die standardmäßige FullAWSAccess-SCP. Da dieFullAWSAccess-SCP jedoch auch eine Whitelist ist, mit der alle Services und Aktionen freigegebenwerden, müssen Sie die Zuweisung dieser SCP aufheben, um sicherzustellen, dass nur Ihregenehmigten Services zulässig sind.

6. Um die Standardrichtlinie aus der Produktionsorganisationseinheit zu entfernen, wählen Sie nebenFullAWSAccess die Option Trennen aus. Nachdem Sie die Standardrichtlinie entfernt haben, verlierenalle dem Root untergeordneten Mitgliedskonten den Zugriff auf sämtliche Aktionen und Services, dienicht in der im vorherigen Schritt zugewiesenen Whitelist-SCP enthalten sind. Alle Anforderungenzur Verwendung von Aktionen, die nicht in der Allow List for All Approved Services (Whitelist für allezugelassenen Services) enthalten sind, werden verweigert. Dies gilt auch dann, wenn ein Administratorin einem Konto Zugriff auf einen anderen Service gewährt, indem er einem Benutzer in einem derMitgliedskonten eine IAM-Berechtigungsrichtlinie zuweist.

7. Jetzt können Sie die SCP namens Deny List for MainApp Prohibited services anfügen,um zu verhindern, dass ein Benutzer in den Konten der MainApp-Organisationseinheit einen dereingeschränkten Services verwendet.

Wählen Sie dazu die OU MainApp (nicht das Kontrollkästchen) aus, um zu den entsprechendenInhalten zu navigieren.

8. Erweitern Sie im Bereich Details unter POLICIES (Richtlinien) den Abschnitt Service control policies(Service-Kontrollrichtlinien). Wählen Sie in der Liste der verfügbaren Richtlinien neben Deny List forMainApp Prohibited Services die Option Attach aus.

Schritt 4: Testen der Richtlinien Ihrer OrganisationSie können sich jetzt als Benutzer an einem der Mitgliedskonten anmelden und versuchen, verschiedeneAWS-Aktionen auszuführen:

• Wenn Sie sich als Benutzer am Managementkonto anmelden, können Sie jede Operation ausführen,die gemäß Ihren IAM-Berechtigungsrichtlinien zulässig ist. Die SCPs wirkt sich nicht auf Benutzeroder Rollen im Managementkonto aus, unabhängig davon, in welchem Root oder welcherOrganisationseinheit sich das Konto befindet.

• Wenn Sie sich als Root- oder als IAM-Benutzer im Konto „222222222222“ anmelden, können Siesämtliche Aktionen ausführen, die laut Whitelist zulässig sind. AWS Organizations lehnt jede Aktion inallen Services ab, die nicht in der Whitelist enthalten sind. Außerdem lehnt AWS Organizations jedenVersuch ab, eine der CloudTrail-Konfigurationsaktionen auszuführen.

• Wenn Sie sich als ein Benutzer in Konto „333333333333“ anmelden, können Sie sämtliche Aktionenausführen, die laut Whitelist zulässig und laut Sperrliste nicht blockiert sind. AWS Organizationslehnt jede Aktion ab, die nicht in der Whitelist-Richtlinie enthalten ist, sowie jede Aktion, die in derSperrlistenrichtlinie aufgeführt ist. Außerdem lehnt AWS Organizations jeden Versuch ab, eine derCloudTrail-Konfigurationsaktionen auszuführen.

16

AWS Organizations BenutzerhandbuchTutorial: Überwachen mit CloudWatch-Ereignisse

Tutorial: Überwachen wichtiger Änderungen anIhrer Organisation mit CloudWatch-Ereignisse

In diesem Tutorial wird gezeigt, wie CloudWatch-Ereignisse zur Überwachung der Änderungen an IhrerOrganisation konfiguriert wird. Konfigurieren Sie zunächst eine Regel, die ausgelöst wird, wenn Benutzerbestimmte AWS Organizations-Operationen aufrufen. Dann konfigurieren Sie CloudWatch-Ereignisse so,dass beim Auslösen der Regel eine AWS Lambda-Funktion ausgeführt wird. Zudem konfigurieren SieAmazon SNS so, dass eine E-Mail mit Details zum Ereignis versendet wird.

Die folgende Abbildung zeigt die wichtigsten Schritte der praktischen Anleitung.

Schritt 1: Konfigurieren einer Trail- und Ereignisauswahl (p. 18)

Erstellen Sie ein Protokoll namens in Trail in AWS CloudTrail. Es wird auf die Erfassung aller API-Aufrufe konfiguriert.

Schritt 2: Konfigurieren einer Lambda-Funktion (p. 19)

Erstellen Sie eine AWS Lambda-Funktion, die Details über das Ereignis in einem S3-Bucketprotokolliert.

Schritt 3: Erstellen eines Amazon SNS-Themas, das E-Mails an Abonnenten sendet (p. 20)

Erstellen Sie ein Amazon SNS-Thema, das E-Mails an Abonnenten sendet und abonnieren Sie dasThema selbst.

Schritt 4: Erstellen einer CloudWatch-Ereignisse-Regel (p. 20)

Erstellen Sie eine Regel, die CloudWatch-Ereignisse anweist, Details zu bestimmten API-Aufrufen andie Lambda-Funktion und die SNS-Themaabonnenten weiterzuleiten.

Schritt 5: Testen Ihrer CloudWatch-Ereignisse-Regel (p. 21)

Testen Sie die neue Regel, indem Sie eine der überwachten Operationen ausführen. In diesemTutorial erstellt die überwachte Operation eine Organisationseinheit (OU). Sie zeigen denProtokolleintrag an, den die Lambda-Funktion erstellt, und Sie zeigen die E-Mail an, die von AmazonSNS an Abonnenten gesendet wird.

Tip

Außerdem können Sie dieses Tutorial als Leitfaden beim Konfigurieren ähnlicher Operationenverwenden, wie z. B. das Senden von E-Mail-Benachrichtigungen, wenn die Kontoerstellung

17

AWS Organizations BenutzerhandbuchPrerequisites

abgeschlossen ist. Da die Erstellung eines Kontos eine asynchrone Operation ist, werden Siestandardmäßig nicht benachrichtigt, wenn sie abgeschlossen ist. Weitere Informationen zurVerwendung von AWS CloudTrail und CloudWatch-Ereignisse mit AWS Organizations finden Sieunter Protokollierung und Überwachung in AWS Organizations (p. 293).

PrerequisitesIn diesem Tutorial wird von Folgendem ausgegangen:

• Sie können sich bei der AWS Management Console als IAM-Benutzer des Managementkontos(früher als „Masterkonto“ bezeichnet) in Ihrer Organisation anmelden. Der IAM-Benutzer muss überBerechtigungen zum Erstellen und Konfigurieren eines Protokolls in CloudTrail, einer Funktion inLambda, eines Themas in Amazon SNS und einer Regel in CloudWatch verfügen. Weitere Informationenzum Erteilen von Berechtigungen finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch oder imLeitfaden für den Service, für den Sie den Zugriff konfigurieren möchten.

• Sie haben Zugriff auf ein vorhandenes Amazon Simple Storage Service (Amazon S3) -Bucket (oderverfügen über die Berechtigung zum Erstellen eines Buckets), um das im ersten Schritt erstellteCloudTrail-Protokoll zu erhalten.

Important

Derzeit wird AWS Organizations nur in der Region USA Ost (Nord-Virginia) bereitgestellt (auchwenn es weltweit verfügbar ist). Zum Ausführen der Schritte in diesem Tutorial müssen Sie dieAWS Management Console für die Verwendung dieser Region konfigurieren.

Schritt 1: Konfigurieren einer Trail- undEreignisauswahlIn diesem Schritt melden Sie sich beim Managementkonto an und konfigurieren ein Protokoll (densogenannten Trail) in AWS CloudTrail. Außerdem konfigurieren Sie eine Ereignisauswahl auf dem Trail,um alle Lese-/Schreib-API-Aufrufe aufzuzeichnen, damit CloudWatch-Ereignisse über Aufrufe als Auslöserverfügt.

Sie erstellen einen Trail wie folgt:

1. Melden Sie sich bei AWS als Administrator des Verwaltungskontos der Organisation an und öffnen Siedie CloudTrail-Konsole unter https://console.aws.amazon.com/cloudtrail/.

2. Wählen Sie in der Navigationsleiste in der oberen rechten Ecke der Konsole die Region USA Ost(Nord-Virginia) aus. Wenn Sie eine andere Region auswählen, wird AWS Organizations nicht alsOption in den CloudWatch-Ereignisse-Konfigurationseinstellungen angezeigt, und CloudTrail erfasstkeine Informationen zu AWS Organizations.

3. Wählen Sie im Navigationsbereich Trails aus.4. Wählen Sie Create Trail (Trail erstellen) aus.5. Geben Sie für Trail name (Trail-Name) den Namen My-Test-Trail ein.6. Führen Sie eine der folgenden Optionen aus, um anzugeben, wohin CloudTrail die Protokolle senden

soll:

• Wenn Sie bereits einen Bucket haben, wählen Sie No neben Create a new S3 bucket undanschließend den Bucket-Namen aus der Liste S3 bucket.

• Wenn Sie einen Bucket erstellen müssen, wählen Sie Yes (Ja) neben Create a new S3 bucket(Neuen S3-Bucket erstellen) und geben Sie dann unter S3 bucket (S3-Bucket) einen Namen für denneuen Bucket ein.

18

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://console.aws.amazon.com/cloudtrail/

AWS Organizations BenutzerhandbuchSchritt 2: Konfigurieren einer Lambda-Funktion

Note

S3-Bucket-Namen müssen global eindeutig sein.7. Wählen Sie Create (Erstellen) aus.8. Wählen Sie den Trail My-Test-Trail aus, den Sie soeben erstellt haben.9. Wählen Sie das Stiftsymbol neben Management events.10. Wählen Sie unter Read/Write events (Ereignisse lesen/schreiben)) All (Alle), dann Save (Speichern)

und schließlich Configure (Konfigurieren) aus.

Mit CloudWatch-Ereignisse können Sie zwischen verschiedenen Möglichkeiten zum Senden vonWarnungen wählen, wenn eine Alarmregel mit einem eingehenden API-Aufruf übereinstimmt. In diesemTutorial werden zwei Methoden gezeigt: das Aufrufen einer Lambda-Funktion, die den API-Aufrufprotokollieren kann, und das Senden von Informationen an ein Amazon SNS-Thema, das eine E-Mail oderTextnachricht an die Abonnenten des Themas sendet. In den nächsten zwei Schritten erstellen Sie dieerforderlichen Komponenten: die Lambda-Funktion und das Amazon SNS-Thema.

Schritt 2: Konfigurieren einer Lambda-FunktionIn diesem Schritt erstellen Sie eine Lambda-Funktion für die Protokollierung der API-Aktivität, die sie vonder später noch zu konfigurierenden CloudWatch-Ereignisse-Regel erhält.

So erstellen Sie eine Lambda-Funktion für die Protokollierung von CloudWatch-Ereignisse-Ereignissen

1. Öffnen Sie die AWS Lambda-Konsole unter https://console.aws.amazon.com/lambda/.2. Wenn Sie Lambda zum ersten Mal verwenden, wählen Sie auf der Willkommensseite Get Started Now

(Jetzt beginnen); wählen Sie andernfalls Create a function (Funktion erstellen) aus.3. Wählen Sie auf der Seite Create function die Option Blueprints aus.4. Geben Sie im Suchfeld Blueprints den Suchbegriff hello für den Filter ein und wählen Sie den

Blueprint hello-world aus.5. Wählen Sie Konfigurieren aus.6. Führen Sie auf der Seite Basic information (Grundlegende Informationen) folgende Schritte aus:

a. Geben Sie für den Lambda-Funktionsnamen den Namen LogOrganizationEvents in dasTextfeld Name ein.

b. Wählen Sie unter Role Create a custom role und anschließend unten auf der Seite AWS Lambdarequires access to your resources Allow. Diese Rolle gewährt Ihrer Lambda-Funktion dieBerechtigung für den Zugriff auf die erforderlichen Daten zum Schreiben des Ausgabeprotokolls.

c. Wählen Sie Create function (Funktion erstellen).7. Bearbeiten Sie auf der nächsten Seite den Code für die Lambda-Funktion wie im folgenden Beispiel

gezeigt.

console.log('Loading function');

exports.handler = async (event, context) => { console.log('LogOrganizationsEvents'); console.log('Received event:', JSON.stringify(event, null, 2)); return event.key1; // Echo back the first key value // throw new Error('Something went wrong');};

Mit diesem Beispiel-Code wird das Ereignis mit einer LogOrganizationEvents-Markierungsfolgegefolgt von der JSON-Zeichenfolge protokolliert, die das Ereignis ausmacht.

19

https://console.aws.amazon.com/lambda/

AWS Organizations BenutzerhandbuchSchritt 3: Erstellen eines Amazon SNS-

Themas, das E-Mails an Abonnenten sendet

8. Wählen Sie Save aus.

Schritt 3: Erstellen eines Amazon SNS-Themas, dasE-Mails an Abonnenten sendetIn diesem Schritt erstellen Sie ein Amazon SNS-Thema, das Informationen per E-Mail an Abonnentensendet. Sie machen das Thema zum "Ziel" der CloudWatch-Ereignisse-Regel, die Sie später nocherstellen.

So erstellen Sie ein Amazon SNS-Thema zum Senden einer E-Mail an Abonnenten

1. Öffnen Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/v3/.2. Wählen Sie im Navigationsbereich Topics aus.3. Wählen Sie Create new topic.

a. Geben Sie in das Feld Topic name (Themenname) den NamenOrganizationsCloudWatchTopic.

b. Geben Sie unter Display name (Anzeigename) OrgsCWEvnt ein.c. Wählen Sie Create topic (Thema erstellen) aus.

4. Jetzt können Sie einen Abonnementen für das Thema erstellen. Wählen Sie die ARN für das Themaaus, das Sie soeben erstellt haben.

5. Wählen Sie Create subscription aus.

a. Wählen Sie auf der Seite Create subscription unter Protocol Email aus.b. Geben Sie unter Endpunkt Ihre E-Mail-Adresse ein.c. Wählen Sie Create subscription. AWS sendet eine E-Mail an die im vorherigen Schritt

angegebene E-Mail-Adresse. Warten Sie, bis die E-Mail ankommt und wählen Sie dann den LinkConfirm subscription darin aus, um den erfolgreichen Erhalt der E-Mail zu bestätigen.

d. Kehren Sie zur Konsole zurück und aktualisieren Sie die Seite. Die Nachricht Pendingconfirmation wird ausgeblendet und durch die nun gültige Abonnement-ID ersetzt.

Schritt 4: Erstellen einer CloudWatch-Ereignisse-RegelNachdem die erforderliche Lambda-Funktion auf Ihrem Konto vorhanden ist, erstellen Sie eineCloudWatch-Ereignisse-Regel zum Aufruf dieser Funktion, wenn die Kriterien in der Regel erfüllt sind.

So erstellen Sie eine CloudWatch-Ereignisse-Regel

1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.2. Wie zuvor müssen Sie die Konsole auf die Region USA Ost (Nord-Virginia) einstellen oder

Informationen zu Organisationen sind nicht verfügbar. Wählen Sie in der Navigationsleiste in deroberen rechten Ecke der Konsole die Region USA Ost (Nord-Virginia) aus.

3. Wählen Sie im Navigationsbereich Rules (Regeln) und anschließend Create rule (Regel erstellen) aus.4. Führen Sie für Ereignisquelle folgende Schritte aus:

a. Wählen Sie Event pattern (Ereignismuster) aus.b. Wählen Sie Build event pattern to match events by service aus.c. Wählen Sie unter Service Name Organizations.d. Wählen Sie in Event Type (Ereignistyp) die Option AWS API Call via CloudTrail (AWS-API-Aufruf

über CloudTrail) aus.

20

https://console.aws.amazon.com/sns/v3/

https://console.aws.amazon.com/cloudwatch/

AWS Organizations BenutzerhandbuchSchritt 5: Testen Ihrer CloudWatch-Ereignisse-Regel

e. Wählen Sie Specific operation(s) (Spezifische Operation(en)) aus und geben Sie dann dieAPIs ein, die überwacht werden soll: CreateAccount und CreateOrganizationalUnit. Sie könnenauch andere gewünschte Einträge auswählen. Eine vollständige Liste der verfügbaren AWSOrganizations APIs finden Sie unter AWS Organizations-API-Referenz.

5. Wählen Sie unter Targets (Ziele) für Function (Funktion) die Funktion aus, die Sie im vorherigenVorgang erstellt haben.

6. Wählen Sie unter Targets Add target.7. Wählen Sie in der neuen Zeile für Ziele den Dropdown-Header und dann SNS topic (SNS-Thema) aus.8. Wählen Sie für Topic (Thema) das Thema mit dem Namen OrganizationCloudWatchTopic aus, das Sie

im vorherigen Verfahren erstellt haben.9. Wählen Sie Configure details.10. Geben Sie auf der Seite Configure rule details (Regeldetails konfigurieren) unter Name den Namen

OrgsMonitorRule ein, lassen Sie State (Status) ausgewählt und wählen Sie dann Create rule (Regelerstellen) aus.

Schritt 5: Testen Ihrer CloudWatch-Ereignisse-RegelIn diesem Schritt erstellen Sie eine Organisationseinheit (OU), und beobachten, wie die CloudWatch-Ereignisse-Regel einen Protokolleintrag erstellt und Ihnen eine E-Mail mit Details zum Ereignis sendet.

So erstellen Sie eine OU

1. Öffnen Sie die AWS Organizations-Konsole unter https://console.aws.amazon.com/organizations/.2. Wählen Sie die Registerkarte Organize Accounts (Konten organisieren) und dann New organizational

unit (Neue Organisationseinheit aus.3. Geben Sie als Namen der Organisationseinheit TestCWEOU ein und wählen Sie dann Create

organizational unit (Organisationseinheit erstellen) aus.

Anzeigen des CloudWatch-Ereignisse-Protokolleintrags

1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.2. Wählen Sie auf der Navigationsseite Logs (Protokolle).3. Wählen Sie auf der Seite Log Groups (Protokollgruppen) die Gruppe aus, die Ihrer Lambda-Funktion

zugeordnet ist: /aws/lambda/LogOrganizationEvents.4. Jede Gruppe enthält mindestens einen Stream. Außerdem sollte eine Gruppe für heute vorhanden

sein. Wählen Sie diese aus.5. Zeigen Sie das Protokoll an. Es sollten Zeilen angezeigt werden, die den folgenden ähneln:

6. Wählen Sie die mittlere Zeile des Eintrags aus, um den vollständigen JSON-Text des erhaltenenEreignisses anzuzeigen. Sie können alle Details der API-Anforderung in den requestParameters-und responseElements-Teilen der Ausgabe sehen.

2017-03-09T22:45:05.101Z 0999eb20-051a-11e7-a426-cddb46425f16 Received event:{ "version": "0", "id": "123456-EXAMPLE-GUID-123456", "detail-type": "AWS API Call via CloudTrail", "source": "aws.organizations", "account": "123456789012", "time": "2017-03-09T22:44:26Z",

21




AWS Organizations BenutzerhandbuchBereinigen: Entfernen Sie die

Ressourcen, die Sie nicht mehr benötigen.

"region": "us-east-1", "resources": [], "detail": { "eventVersion": "1.04", "userIdentity": { ... }, "eventTime": "2017-03-09T22:44:26Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.1", "userAgent": "AWS Organizations Console, aws-internal/3", "requestParameters": { "parentId": "r-exampleRootId", "name": "TestCWEOU" }, "responseElements": { "organizationalUnit": { "name": "TestCWEOU", "id": "ou-exampleRootId-exampleOUId", "arn": "arn:aws:organizations::1234567789012:ou/o-exampleOrgId/ou-exampleRootId-exampeOUId" } }, "requestID": "123456-EXAMPLE-GUID-123456", "eventID": "123456-EXAMPLE-GUID-123456", "eventType": "AwsApiCall" }}

7. Überprüfen Sie Ihr E-Mail-Konto auf eine Nachricht von OrgsCWEvnt (der Anzeigename Ihres AmazonSNS-Themas). Der E-Mail-Text enthält den gleichen JSON-Text als Ausgabe, wie der im vorherigenSchritt gezeigte Protokolleintrag.

Bereinigen: Entfernen Sie die Ressourcen, die Sienicht mehr benötigen.Um anfallende Gebühren zu vermeiden, sollten Sie alle für dieses Tutorial erstellten AWS-Ressourcen, dieSie nicht behalten möchten, löschen.

Bereinigen Ihrer AWS-Umgebung

1. Verwenden Sie die CloudTrail-Konsole unter https://console.aws.amazon.com/cloudtrail/ zum Löschender Funktion namens My-Test-Trail, die Sie in Schritt 1 erstellt haben.

2. Wenn Sie in Schritt 1 einen Amazon S3-Bucket erstellt haben, verwenden Sie die Amazon S3-Konsoleunter https://console.aws.amazon.com/s3/, um ihn zu löschen.

3. Verwenden Sie die Lambda-Konsole unter https://console.aws.amazon.com/lambda/ zum Löschen derFunktion namens LogOrganizationEvents, die Sie in Schritt 2 erstellt haben.

4. Verwenden Sie die Amazon SNS-Konsole unter https://console.aws.amazon.com/sns/ zum Löschendes Amazon SNS-Themas namens OrganizationsCloudWatchTopic, das Sie in Schritt 3 erstellthaben.

5. Verwenden Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/ zumLöschen der CloudWatch-Regel namens OrgsMonitorRule, die Sie in Schritt 4 erstellt haben.

Das war's. In diesem Tutorial haben Sie CloudWatch-Ereignisse zur Überwachung der Änderungen anIhrer Organisation konfiguriert. Sie haben eine Regel konfiguriert, die ausgelöst wird, wenn Benutzer

22

https://console.aws.amazon.com/cloudtrail/

https://console.aws.amazon.com/s3/

https://console.aws.amazon.com/lambda/

https://console.aws.amazon.com/sns/


AWS Organizations BenutzerhandbuchBereinigen: Entfernen Sie die

Ressourcen, die Sie nicht mehr benötigen.

bestimmte AWS Organizations-Operationen aufrufen. Mit der Regel wurde eine Lambda-Funktionausgeführt, die mit der das Ereignis protokolliert und eine E-Mail mit Details zum Ereignis gesendet wurde.

23

AWS Organizations BenutzerhandbuchBewährte Methoden für das Managementkonto

Bewährte Methoden für AWSOrganizations

Wir empfehlen Ihnen, diese bewährten Methoden beim Erstellen und Betreiben Ihrer Organisation zubefolgen.

Themen• Bewährte Methoden für das Managementkonto (p. 24)• Bewährte Methoden für Mitgliedskonten (p. 28)

Bewährte Methoden für das ManagementkontoBefolgen Sie diese Empfehlungen, um die Sicherheit des Managementkontos (früher als „Masterkonto“bezeichnet) in AWS Organizations zu schützen. Diese Empfehlungen gehen davon aus, dass Sie sich auchan die bewährte Methode halten, den Stammbenutzer nur für die Aufgaben zu verwenden, die ihn wirklichbenötigen.

Note


Themen• Verwenden Sie das Management-Konto nur für Aufgaben, die das Management-Konto require

betreffen. (p. 24)• Verwenden einer Gruppen-E-Mail-Adresse für den Root-Benutzer des Verwaltungskontos (p. 25)• Verwenden Sie ein komplexes Passwort für die Stammbenutzer des Managementkontos. (p. 25)• Aktivieren von MFA für Ihre Root-Benutzer-Anmeldeinformationen (p. 25)• Hinzufügen einer Telefonnummer zu den Kontokontaktinformationen (p. 26)• Überprüfen und Nachverfolgen, wer Zugriff hat (p. 26)• Dokumentieren der Prozesse für die Verwendung der Anmeldeinformationen des

Stammbenutzers (p. 27)• Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationen des

Stammbenutzers (p. 28)

Verwenden Sie das Management-Konto nur fürAufgaben, die das Management-Konto requirebetreffen.Wir empfehlen, dass Sie das Managementkonto und seine Benutzer und Rollen nur für Aufgabenverwenden, die nur von diesem Konto ausgeführt werden können. Speichern Sie alle IhreAWS-Ressourcen in anderen AWS-Konten in der Organisation und entfernen Sie sie aus demManagementkonto. Die einzige Ausnahme besteht darin, dass wir empfehlen, dass Sie AWS CloudTrailaktivieren und relevante CloudTrail-Trails und Protokolle im Managementkonto beibehalten.

24

https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html


AWS Organizations BenutzerhandbuchVerwenden einer Gruppen-E-Mail-Adresse für

den Root-Benutzer des Verwaltungskontos

Ein wichtiger Grund, Ihre Ressourcen in anderen Konten zu halten, besteht darin, dass Organisationen-Service-Kontrollrichtlinien (Service Control Policies, SCPs) nicht funktionieren, um Benutzer oder Rollen imManagementkonto einzuschränken.

Wenn Sie Ihre Ressourcen von Ihrem Managementkonto trennen, können Sie die Gebühren auf IhrenRechnungen besser verstehen.

Verwenden einer Gruppen-E-Mail-Adresse für denRoot-Benutzer des Verwaltungskontos• Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird. Verwenden Sie keinen

öffentlichen E-Mail-Anbieter oder einen E-Mail-Anbieter, der von einem Dritten verwaltet wird.• Verwenden Sie eine E-Mail-Adresse, die empfangene Nachrichten direkt an eine Liste leitender

Unternehmensleiter weiterleitet. Falls AWS den Eigentümer des Kontos kontaktieren muss,beispielsweise um den Zugriff zu bestätigen, wird die E-Mail-Nachricht an mehrere Parteien verteilt.Dieser Ansatz trägt dazu bei, das Risiko von Verzögerungen bei der Reaktion auf zu verringern, auchwenn die Mitarbeiter aufbereitet sind, verantworten oder das Unternehmen verlassen.

Verwenden Sie ein komplexes Passwort für dieStammbenutzer des Managementkontos.• Die Sicherheit der Stammbenutzer Ihres Kontos hängt von der Stärke des Passworts ab. Wir empfehlen,

dass Sie ein Passwort verwenden, das lang, komplex und an keiner anderen Stelle verwendet wird.Zahlreiche Passwortmanager und komplexe Algorithmen und Tools für die Passwortgenerierung könnenIhnen dabei helfen, diese Ziele zu erreichen.

• Wenn Sie ein sicheres Passwort verwenden, wie im vorherigen Punkt beschrieben, und Sie nur seltenauf den Stammbenutzer zugreifen, empfehlen wir, dass Sie das Passwort nicht regelmäßig ändern. Einehäufigere Änderung des Passworts als Ihre Nutzung erhöht das Risiko einer Kompromittierung.

• Verlassen Sie sich für die Verwaltung der langfristigen Speicherung und des Zugriffs auf dasStammbenutzerpasswort auf die Informationssicherheitsrichtlinie Ihres Unternehmens. Dieser Ansatzkann bedeuten, dass Sie einen der folgenden Schritte ausführen:• Drucken Sie das Passwort aus und speichern Sie es sicher.• Teilen Sie das Passwort in mehrere Teile auf und verteilen Sie die Teile an leitende Geschäftsleiter.• Speichern Sie das Passwort in einem Passwortmanagersystem oder -tool unter weiteren Kontrollen

und Prozessen. Wenn Sie einen Passwortmanager verwenden, empfehlen wir, dass er offline ist. Umdas Erstellen eines Zirkelbezugs zu vermeiden, speichern Sie das Passwort des Stammbenutzersnicht mit Tools, die von AWS-Services abhängen, bei denen Sie sich mit dem geschützten Kontoanmelden.

Unabhängig von der Methode, die Sie auswählen, empfehlen wir, dass die Methode widerstandsfähig istund mehrere Akteure einbezogen werden müssen, um die Risiken für die Klärung zu verringern.

• Jeder Zugriff auf das Passwort oder seinen Speicherort sollte protokolliert und überwacht werden.

Aktivieren von MFA für Ihre Root-Benutzer-AnmeldeinformationenAnweisungen zum Aktivieren der Multi-Factor Authentication (MFA) finden Sie unter Verwenden der Multi-Factor Authentication (MFA) in AWS.

25

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


AWS Organizations BenutzerhandbuchHinzufügen einer Telefonnummerzu den Kontokontaktinformationen

• Verwenden Sie ein Hardware-basiertes Gerät, das sich bei der Generierung des einmaligen Passworts(OTP) nicht auf eine Batterie verlässt. Dieser Ansatz hilft sicherzustellen, dass die MFA nicht dupliziertwerden kann und keinen Batterieüberblendungsrisiken unterliegt, während sie langfristig gespeichertwird.• Wenn Sie sich für die Verwendung einer batteriebasierten MFA entscheiden, stellen Sie sicher, dass

Sie regelmäßig Prozesse hinzufügen, um das Gerät zu überprüfen, und ersetzen Sie es, wenn sichdas Ablaufdatum nähert.

• Erstellen Sie einen Plan, um die Notwendigkeit zu bewältigen, rund um die Uhr auf das Tokenzuzugreifen, falls es erforderlich ist.

• Es wird dringend empfohlen, diese physische MFA nicht für andere Zwecke als den Schutz diesesManagementkontos wiederzuverwenden. Wenn Sie die physische MFA wiederverwenden, kann diessowohl zu betrieblicher Verwirrung als auch unnötiger Exposition der MFA führen.

• Speichern Sie das MFA-Gerät gemäß Ihrer Informationssicherheitsrichtlinie, aber nicht an derselbenStelle wie das zugehörige Passwort für den Benutzer. Stellen Sie sicher, dass der Prozess für denZugriff auf das Passwort und der Prozess für den Zugriff auf die MFA einen unterschiedlichen Zugriff aufverschiedene Ressourcen (Personen, Daten und Tools) erfordern.

• Jeder Zugriff auf das MFA-Gerät oder seinen Speicherort sollte protokolliert und überwacht werden.

Hinzufügen einer Telefonnummer zu denKontokontaktinformationen• Obwohl es einige akzeptable Angriffsvektoren für Festnetz-, SIP- und Mobiltelefonnummern gibt,

werden die Risiken durch die Komplexität dieser Vektoren überwiegt. Wenn Sie diesen Mechanismusverwenden, um den Root-Zugriff wiederherzustellen, stehen dem AWS Support-Vertreter andereFaktoren zur Verfügung, um diese Risiken zu verwalten. Daher empfehlen wir, dem Prozess eineTelefonnummer als nützliche zusätzliche Einschränkung hinzuzufügen.

• Es gibt mehrere Optionen für die Bereitstellung einer Telefonnummer. Wir empfehlen jedocheine dedizierte SIM-Karte und ein Telefon, die langfristig als sicher gespeichert werden. Es istwichtig sicherzustellen, dass das für die Zahlung der mobilen Rechnung für diesen Telefonvertragverantwortliche Team die Wichtigkeit der Nummer verstehen, auch wenn es offensichtlich keine Anrufegibt, die über einen langen Zeitraum gesendet oder empfangen wurden.

• Es ist wichtig, dass diese Telefonnummer im Unternehmen nicht gut bekannt ist. Dokumentieren Sie esauf der Konsolenseite KontaktinformationenAWS und geben Sie die Details an Ihr Fakturierungsteamweiter. Dokumentieren Sie es nicht an einer anderen Stelle. Dieser Ansatz trägt dazu bei, das Risiko vonAngriffsvektoren zu verringern, die mit dem Verschieben der an die SIM gebundenen Telefonnummer zueiner anderen SIM verbunden sind.

• Speichern Sie das Telefon gemäß Ihrer vorhandenen Richtlinie zur Informationssicherheit. Speichern Siedas Telefon jedoch nicht an demselben Ort wie die anderen zugehörigen Anmeldeinformationen.

• Jeder Zugriff auf das Telefon oder seinen Speicherort sollte protokolliert und überwacht werden.

Überprüfen und Nachverfolgen, wer Zugriff hat• Um sicherzustellen, dass Sie auch regelmäßig auf das Managementkonto zugreifen können, überprüfen

Sie regelmäßig die Mitarbeiter in Ihrem Unternehmen, die Zugriff auf die E-Mail-Adresse, das Passwort,die MFA und die Telefonnummer haben. Richten Sie Ihre Prüfung an vorhandenen Geschäftsverfahrenaus. Allerdings lohnt es sich, eine monatliche oder vierteljährliche Überprüfung dieser Informationenhinzuzufügen, um sicherzustellen, dass nur die richtigen Personen Zugriff haben.

• Stellen Sie sicher, dass der Prozess zum Wiederherstellen oder Zurücksetzen des Zugriffs auf dieAnmeldeinformationen des Stammbenutzers nicht von einer bestimmten Person abhängig ist, dieabgeschlossen werden soll. Alle Prozesse sollten sich an das Risiko richten, dass Personen nichtverfügbar sind.

26

AWS Organizations BenutzerhandbuchDokumentieren der Prozesse für die Verwendungder Anmeldeinformationen des Stammbenutzers

• Stellen Sie sicher, dass der Prozess zum Wiederherstellen oder Zurücksetzen des Zugriffs auf dieAnmeldeinformationen des Stammbenutzers nicht von einer einzelnen Person abgeschlossen werdenkann. Es ist wichtig, dass dieser Prozess erfordert, dass mehrere Mitarbeiter beschäftigt sind.

Dokumentieren der Prozesse für die Verwendung derAnmeldeinformationen des Stammbenutzers• Es ist üblich, dass wichtige Prozesse, wie z. B. die Erstellung des Managementkontos der Organisation,

ein geplanter Prozess sind, der mehrere Schritte mit mehreren Mitarbeitern umfasst. Wir empfehlenIhnen, diesen Plan zu dokumentieren und zu veröffentlichen, einschließlich der durchzuführendenSchritte und ihrer Reihenfolge der Fertigstellung. Dieser Ansatz hilft sicherzustellen, dass die getroffenenEntscheidungen korrekt befolgt werden.

• Dokumentieren Sie die Leistung wichtiger Prozesse, während sie durchgeführt werden, umsicherzustellen, dass Sie über eine Aufzeichnung der Personen verfügen, die an jedem Schritt beteiligtsind, und der verwendeten Werte. Es ist auch wichtig, eine Dokumentation über alle auftretendenAusnahmen und unvorhergesehenen Ereignisse bereitzustellen.

Wenn ein Ausnahmeereignis oder ein unvorhergesehenes Ereignis auftritt, dokumentieren Sie dieUhrzeit, wann es stattfand, wer den Raum verlassen hat und was entfernt wurde. Sie sollten dann auchdokumentieren, wer zum Raum zurückgekehrt ist und was zurückgekommen ist.

• Erstellen Sie eine Reihe von veröffentlichten Prozessen zur Verwendung der Anmeldeinformationen desStammbenutzers in verschiedenen Szenarien, z. B. beim Zurücksetzen des Passworts. Wenn Sie sichin einem bestimmten Szenario hinsichtlich des Interaktionsprozesses mit AWS Support nicht sicher sind,erstellen Sie ein Support-Ticket, um aktuelle Anleitungen zur Ausführung dieser Aufgabe zu erhalten.

Zu den Szenarien, die Sie dokumentieren sollten, gehören die folgenden:• Der Zugriff auf den Root-Benutzer, um eine der Operationen auszuführen, die nur der Root-Benutzer

ausführen kann.• Zurücksetzen eines Stammbenutzerpassworts, wenn der Zugriff verloren geht.• Ändern des Stammbenutzerpassworts, wenn Sie noch Zugriff haben.• Zurücksetzen der Stammbenutzer-MFA, wenn der Zugriff auf das Gerät verloren geht.• Ändern der Stammbenutzer-MFA bei Verwendung eines batteriebasierten Geräts.• Zurücksetzen der E-Mail-Adresse des Stammbenutzers, wenn der Zugriff auf das E-Mail-Konto

verloren geht.• Ändern der E-Mail-Adresse des Stammbenutzers, wenn Sie noch Zugriff haben.• Zurücksetzen der Telefonnummer des Stammbenutzers, wenn der Zugriff auf die Telefonnummer

verloren geht.• Ändern der Telefonnummer des Stammbenutzers, wenn Sie noch Zugriff haben.• Löschen des Organisationsverwaltungskontos.

• Testen und überprüfen Sie, ob Sie weiterhin Zugriff auf den Stammbenutzer haben und dieMobiltelefonnummer mindestens vierteljährlich betriebsbereit ist. Dieser Zeitplan hilft sicherzustellen,dass der Prozess funktioniert und dass Sie den Zugriff beibehalten. Es zeigt auch, dass diese Custodiansdes Zugriffs die Schritte verstehen, die sie durchführen müssen, damit der Prozess erfolgreich ist.Sie möchten sich nie in einer Position befinden, in der die Mitarbeiter, die an einem Prozess beteiligtsind, nicht verstehen, was sie tun sollen. Wie bei Feuer-Brillen entwickelt die Praxis Wettbewerbe undreduziert magische Momente.

Nutzen Sie bei jedem Test die Möglichkeit, die Erfahrung zu berücksichtigen und Verbesserungenam Prozess vorzuschlagen. Untersuchen Sie alle Schritte, die falsch ausgeführt wurden oder zuunerwarteten Ergebnissen führten. Wie können Sie den Prozess ändern, um ihn beim nächsten Mal zuverbessern?

27

AWS Organizations BenutzerhandbuchAnwenden von Steuerelementen zur Überwachung des

Zugriffs auf die Anmeldeinformationen des Stammbenutzers

Einige Kunden verwenden diese Tests als Möglichkeit, Passwörter zu rotieren. Wir empfehlen,Passwörter nicht zu rotieren. Behalten Sie stattdessen das gleiche komplexe Passwort bei. Sie solltendas Passwort nur dann aktualisieren, wenn Sie vermuten, dass es kompromittiert wurde.

Anwenden von Steuerelementen zur Überwachungdes Zugriffs auf die Anmeldeinformationen desStammbenutzers• Der Zugriff auf die Anmeldeinformationen des Stammbenutzers sollte ein seltenes Ereignis sein.

Erstellen Sie Warnungen mit Tools wie Amazon CloudWatch Events, um die Anmeldung undVerwendung der Anmeldeinformationen des Stammbenutzers des Managementkontos zu kündigen.Diese Ankündigung sollte die für den Stammbenutzer selbst verwendete E-Mail-Adresse umfassen, sollteaber nicht darauf beschränkt sein. Diese Ankündigung sollte erheblich und schwer zu verfehlen sein,unabhängig davon, ob die Verwendung gültig oder böswillig ist. Ein Beispiel finden Sie unter Überwachenund Benachrichtigen zu AWS-Konto-Root-Benutzer-Aktivitäten.

• Stellen Sie sicher, dass Mitarbeiter, die eine solche Ankündigung erhalten, wissen, wie man sich darüberinformiert, dass der Root-Benutzer-Zugriff erwartet wird und wie er eskaliert wird, wenn er der Meinungist, dass ein Sicherheitsvorfall stattfindet.

Bewährte Methoden für MitgliedskontenBefolgen Sie diese Empfehlungen, um die Sicherheit der Mitgliedskonten in Ihrer Organisation zuschützen. Diese Empfehlungen gehen davon aus, dass Sie sich auch an die bewährte Methode halten, denStammbenutzer nur für die Aufgaben zu verwenden, für die er wirklich benötigt wird.

Themen• Verwenden einer Gruppen-E-Mail-Adresse für alle Stammbenutzer von Mitgliedskonten (p. 28)• Verwenden Sie ein komplexes Passwort für Root-Benutzer von Mitgliedskonten von . (p. 29)• Aktivieren von MFA für Ihre Root-Benutzer-Anmeldeinformationen (p. 29)• Hinzufügen der Telefonnummer des Managementkontos zu den Kontaktinformationen des

Mitgliedskontos (p. 30)• Überprüfen und Nachverfolgen, wer Zugriff hat (p. 30)• Dokumentieren der Prozesse für die Verwendung der Anmeldeinformationen des

Stammbenutzers (p. 31)• Verwenden einer SCP, um einzuschränken, was der Root-Benutzer in Ihren Mitgliedskonten tun

kann (p. 32)• Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationen des

Stammbenutzers (p. 32)

Verwenden einer Gruppen-E-Mail-Adresse für alleStammbenutzer von Mitgliedskonten• Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird. Verwenden Sie keinen

öffentlichen E-Mail-Anbieter oder einen E-Mail-Anbieter, der von einem Dritten verwaltet wird.• Verwenden Sie eine E-Mail-Adresse, die empfangene Nachrichten direkt an eine Liste leitender

Unternehmensleiter weiterleitet. Falls AWS den Eigentümer des Kontos kontaktieren muss,

28

https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/




AWS Organizations BenutzerhandbuchVerwenden Sie ein komplexes Passwort für

Root-Benutzer von Mitgliedskonten von .

beispielsweise um den Zugriff zu bestätigen, wird die E-Mail an mehrere Parteien verteilt. Dieser Ansatzträgt dazu bei, das Risiko von Verzögerungen bei der Reaktion auf zu verringern, auch wenn dieMitarbeiter aufbereitet, verwahrlost sind oder das Unternehmen verlassen.

Verwenden Sie ein komplexes Passwort für Root-Benutzer von Mitgliedskonten von .• Die Sicherheit der Root-Benutzer Ihres Kontos hängt von der Stärke des Passworts ab. Wir empfehlen,

ein Passwort zu verwenden, das lang, komplex und an keiner anderen Stelle verwendet wird. ZahlreichePasswortmanager und komplexe Algorithmen und Tools für die Passwortgenerierung können Ihnendabei helfen, diese Ziele zu erreichen.

• Wenn Sie ein sicheres Passwort verwenden, wie im vorherigen Punkt beschrieben, und Sie nur seltenauf den Stammbenutzer zugreifen, empfehlen wir, dass Sie das Passwort nicht regelmäßig ändern. Einehäufigere Änderung des Passworts als Ihre Nutzung erhöht das Risiko einer Kompromittierung.

• Verlassen Sie sich für die Verwaltung der langfristigen Speicherung und des Zugriffs auf die Passwörterfür die Stammbenutzer Ihres Mitgliedskontos auf die Sicherheitsrichtlinie Ihres Unternehmens. ImGegensatz zum -Managementkonto (früher als "Masterkonto" bezeichnet) ist es jedoch sinnvoll, dasPasswort in einem akzeptablen und geschäftsgenehmigten Passwortmanager-System oder -Tool zuspeichern.

Speichern Sie das Passwort in einem Passwortmanagersystem oder -tool unter weiteren Kontrollen undProzessen. Wenn Sie einen Passwortmanager verwenden, empfehlen wir, dass er offline ist. Um dasErstellen eines Zirkelbezugs zu vermeiden, speichern Sie das Passwort nicht mit Tools, die von AWS-Services abhängen, bei denen Sie sich mit dem geschützten Konto anmelden.

Unabhängig von der Methode, die Sie auswählen, empfehlen wir, dass die Methode widerstandsfähig istund mehrere Akteure einbezogen werden müssen, um das Risiko der Ab Vergewissernheit zu verringern.

• Alternativ können Sie das Passwort für einen Stammbenutzer eines Mitgliedskontos sicher mithilfe derAnleitung für den Stammbenutzer des Managementkontos (p. 25) speichern.

• Sie sollten keine Anmeldeinformationen für den Stammbenutzer in erstellten Mitgliedskonten aktivieren.Standardmäßig weist Organisationen ein zufälliges, komplexes und sehr langes Passwort zu, das Sienicht verwenden können. Um auf den Stammbenutzer zuzugreifen, müssen Sie die Schritte für diePasswortwiederherstellung ausführen. Wir empfehlen, dies nur zu tun, wenn Sie eine Aufgabe ausführenmüssen, die nur vom Root-Benutzer im Konto ausgeführt werden kann. Weitere Informationen finden Sieunter Zugreifen auf ein Mitgliedskonto als Root-Benutzer (p. 55).

• Sie können jedoch eine Service-Kontrollrichtlinie (Service Control Policy, SCP) anwenden, die verhindert,dass die Stammbenutzer der Mitgliedskonten AWS APIs aufrufen. Wenn Sie jedoch auf ein signifikantesSicherheitsereignis in einem Mitgliedskonto reagieren müssen, benötigen Sie möglicherweise schnellenZugriff auf den Stammbenutzer dieses Kontos. Daher wird die Verwendung eines komplexen Passwortsfür den Stammbenutzer des Mitgliedskontos und das Erstellen von Verfahren für den Zugriff und dieVerwendung im Voraus weiterhin empfohlen, wie in den vorherigen Punkten beschrieben.

Aktivieren von MFA für Ihre Root-Benutzer-AnmeldeinformationenAnweisungen zum Aktivieren der Multi-Factor Authentication (MFA) finden Sie unter Verwenden der Multi-Factor Authentication (MFA) in AWS.

• Wir empfehlen, dass Sie ein hardwarebasiertes Gerät verwenden, das sich nicht auf eine Batterie stützt,um das einmalige Passwort (OTP) zu generieren. Dieser Ansatz trägt dazu bei, dass die MFA nicht

29



AWS Organizations BenutzerhandbuchHinzufügen der Telefonnummer des Managementkontos

zu den Kontaktinformationen des Mitgliedskontos

dupliziert werden kann und keinen Batterieüberblendungsrisiken unterliegt, während sie sich in derlangfristigen Speicherung befindet.• Wenn Sie sich für die Verwendung einer batteriebasierten MFA entscheiden, stellen Sie sicher, dass

Sie Prozesse hinzufügen, um das Gerät regelmäßig zu überprüfen, und ersetzen Sie es, wenn sichdas Ablaufdatum nähert.

• Erstellen Sie einen Plan, um die Notwendigkeit zu bewältigen, rund um die Uhr auf das Tokenzuzugreifen, falls es erforderlich ist.

• Wenn Sie eine virtuelle MFA-Anwendung verwenden möchten, können Sie im Gegensatz zu unsererEmpfehlung für den Root-Benutzer für Mitgliedskonten ein einzelnes MFA-Gerät für mehrereMitgliedskonten wiederverwenden. (p. 25) Sie können geografische Einschränkungen durchDrucken und sicheres Speichern des QR-Codes, der für die Konfiguration des Kontos in der virtuellenMFA-Anwendung verwendet wurde, beheben. Dokumentieren Sie den Zweck des QR-Codes undverschlüsseln und speichern Sie ihn entsprechend Ihrer Informationssicherheitsrichtlinie in zugänglichenSicherheitszonen, in denen Sie arbeiten. Wenn dann der Zugriff an einem anderen geografischenStandort erforderlich ist, kann die lokale Kopie des QR-Codes abgerufen und verwendet werden, um einevirtuelle MFA-App am neuen Standort zu konfigurieren.

• Speichern Sie das MFA-Gerät gemäß Ihrer Informationssicherheitsrichtlinie, nicht an derselben Stelle wiedas zugehörige Passwort für den Root-Benutzer. Stellen Sie sicher, dass der Prozess für den Zugriff aufdas Passwort und der Prozess für den Zugriff auf das MFA-Gerät unterschiedliche Zugriffsverfahren vonverschiedenen Ressourcen (Personen, Daten und Tools) erfordern.

• Jeder Zugriff auf das MFA-Gerät oder seinen Speicherort sollte protokolliert und überwacht werden.• Wenn Sie Ihr MFA-Gerät verlieren oder beschädigen, müssen Sie sich möglicherweise an den Kunden-

Support wenden, um die MFA aus Ihrem Konto zu entfernen. Bevor sie dies tun können, müssen sieüberprüfen, ob die Person, die die Anfrage stellt, im Besitz der E-Mail-Adresse, Telefonnummer undSicherheitsfragen ist, die dem Konto zugeordnet sind. Stellen Sie daher sicher, dass Sie über dieseInformationen verfügen und sie auf dem neuesten Stand halten und sicher speichern.

Hinzufügen der Telefonnummer desManagementkontos zu den Kontaktinformationen desMitgliedskontos• Normalerweise können Sie für alle kritischen Kontowiederherstellungen die Telefonnummer aus

dem Verwaltungskonto der Organisation (p. 26) verwenden. Aus diesem Grund gehen wirdavon aus, dass es sich um einen unnötigen Betriebsaufwand für die Verwaltung einer separatenTelefonnummer zu den Kontaktinformationen für ein Mitgliedskonto handelt. Daher empfehlen wir,dass Sie dieselbe Telefonnummer wie das Managementkonto hinzufügen. Unabhängig davon, ob Siedieselbe Nummer wie das Managementkonto verwenden oder nicht, halten Sie eine genaue Liste derverwendeten Telefonnummern und alle aktiven Sicherheitsfragen an einem sicheren Ort, ähnlich wie dieAnmeldeinformationen selbst.

Überprüfen und Nachverfolgen, wer Zugriff hat• Wie für das Managementkonto empfohlen (p. 26), sollten Sie regelmäßig die Mitarbeiter in Ihrem

Unternehmen überprüfen, die Zugriff auf die E-Mail-Adresse, das Passwort, MFA und die Telefonnummerfür den Root-Benutzer Ihres Mitgliedskontos haben. Richten Sie Ihre Prüfung an vorhandenenGeschäftsverfahren aus. Allerdings lohnt es sich, eine monatliche oder vierteljährliche Überprüfungdieser Informationen hinzuzufügen, um sicherzustellen, dass nur die richtigen Personen Zugriff haben.

• Stellen Sie sicher, dass der Prozess zum Wiederherstellen oder Zurücksetzen des Zugriffs auf dieAnmeldeinformationen des Stammbenutzers nicht von einer bestimmten Person abhängig ist, die

30

AWS Organizations BenutzerhandbuchDokumentieren der Prozesse für die Verwendungder Anmeldeinformationen des Stammbenutzers

abgeschlossen werden soll. Alle Prozesse sollten die Möglichkeit berücksichtigen, dass Personen nichtverfügbar sind.

• Stellen Sie sicher, dass der Prozess zum Wiederherstellen oder Zurücksetzen des Zugriffs auf dieAnmeldeinformationen des Stammbenutzers nicht von einer einzelnen Person abgeschlossen werdenkann. Es ist wichtig, dass dieser Prozess erfordert, dass mehrere Mitarbeiter beschäftigt sind.

Dokumentieren der Prozesse für die Verwendung derAnmeldeinformationen des Stammbenutzers• Es ist üblich, dass wichtige Prozesse, wie z. B. die Erstellung des Managementkontos der Organisation,

ein geplanter Prozess sind, der mehrere Schritte mit mehreren Mitarbeitern umfasst. Wir empfehlen,dass Sie diesen Plan dokumentieren und veröffentlichen, einschließlich der durchzuführenden Schritteund deren Reihenfolge der Fertigstellung. Dieser Ansatz hilft sicherzustellen, dass die getroffenenEntscheidungen korrekt befolgt werden.

• Dokumentieren Sie die Leistung wichtiger Prozesse, während sie ausgeführt werden, um sicherzustellen,dass Sie über eine Aufzeichnung der an jedem Schritt beteiligten Personen und der verwendetenWerte verfügen. Es ist auch wichtig, Dokumentation über alle auftretenden Ausnahmen undunvorhergesehenen Ereignisse bereitzustellen.

Wenn eine Ausnahme oder ein unvorhergesehenes Ereignis auftritt, dokumentieren Sie die Uhrzeit,zu der es stattfand, wer den Raum verlassen hat und was entfernt wurde. Sie sollten dann auchdokumentieren, wer zum Raum zurückgekehrt ist und was zurückgekommen ist.

• Erstellen und veröffentlichen Sie Prozesse zur Verwendung der Anmeldeinformationen von Root-Benutzern in verschiedenen Szenarien, wie z. B. beim Zurücksetzen des Passworts. Wenn Sie sichhinsichtlich des Prozesses für die Interaktion mit AWS Support in einem bestimmten Szenario nichtsicher sind, erstellen Sie ein Support-Ticket, um aktuelle Anleitungen zur Ausführung dieser Aufgabe zuerhalten.

Zu den Szenarien, die Sie dokumentieren sollten, gehören die folgenden:• Der Zugriff auf den Root-Benutzer zum Ausführen einer der Operationen, die nur der Root-Benutzer

ausführen kann.• Zurücksetzen eines Stammbenutzerpassworts, wenn der Zugriff verloren geht.• Ändern des Stammbenutzerpassworts, wenn Sie noch Zugriff haben.• Zurücksetzen der Stammbenutzer-MFA, wenn der Zugriff auf das Gerät verloren geht.• Ändern der Stammbenutzer-MFA bei Verwendung eines batteriebasierten Geräts.• Zurücksetzen der E-Mail-Adresse des Stammbenutzers, wenn der Zugriff auf das E-Mail-Konto

verloren geht.• Ändern der E-Mail-Adresse des Stammbenutzers, wenn Sie noch Zugriff haben.• Zurücksetzen der Telefonnummer des Stammbenutzers, wenn der Zugriff auf die Telefonnummer

verloren geht.• Ändern der Telefonnummer des Stammbenutzers, wenn Sie noch Zugriff haben.• Löschen des Organisationsverwaltungskontos.

• Testen und überprüfen Sie, ob Sie weiterhin Zugriff auf den Stammbenutzer haben und dieMobiltelefonnummer für das Mitgliedskonto (sofern zugewiesen) mindestens vierteljährlich funktioniert.Diese Zeitpläne tragen dazu bei, dass das Geschäft funktioniert und Sie den Zugriff beibehalten. Es zeigtauch, dass diese Custodians des Zugriffs die Schritte verstehen, die sie durchführen müssen, damitder Prozess erfolgreich ist. Sie möchten sich nie in einer Position befinden, in der die Mitarbeiter, diean einem Prozess beteiligt sind, nicht verstehen, was sie tun sollen. Wie bei Feuer-Brillen entwickelt diePraxis Wettbewerbe und reduziert magische Momente.

31

AWS Organizations BenutzerhandbuchVerwenden einer SCP, um einzuschränken, was

der Root-Benutzer in Ihren Mitgliedskonten tun kann

Nutzen Sie bei jedem Test die Möglichkeit, die Erfahrung zu berücksichtigen und Verbesserungenam Prozess vorzuschlagen. Untersuchen Sie alle Schritte, die falsch ausgeführt wurden oder zuunerwarteten Ergebnissen führten. Wie können Sie den Prozess ändern, um ihn beim nächsten Mal zuverbessern?

Einige Kunden verwenden diese Tests als Möglichkeit, Passwörter zu rotieren. Wir empfehlen, dies nichtzu tun und dasselbe komplexe Passwort beizubehalten. Sie sollten das Passwort nur dann aktualisieren,wenn Sie vermuten, dass es kompromittiert wurde.

Verwenden einer SCP, um einzuschränken, was derRoot-Benutzer in Ihren Mitgliedskonten tun kannWir empfehlen Ihnen, eine Service-Kontrollrichtlinie (Service Control Policy, SCP) in der Organisationzu erstellen und sie an den Organisationsstamm anzufügen, damit sie für alle Mitgliedskonten gilt. Diefolgende Beispiel-SCP verhindert, dass der Root-Benutzer in einem beliebigen Mitgliedskonto AWS-Service-API-Aufrufe ausführen kann.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ]}

In den meisten Fällen können alle administrativen Aufgaben von einer AWS Identity and AccessManagement (IAM)-Rolle im Mitgliedskonto mit relevanten Administratorberechtigungen ausgeführtwerden. Für alle diese Rollen sollten geeignete Kontrollen angewendet werden, die Aktivitäten begrenzen,protokollieren und überwachen.

Anwenden von Steuerelementen zur Überwachungdes Zugriffs auf die Anmeldeinformationen desStammbenutzers• Wenn Sie den Zugriff auf die Anmeldeinformationen des Stammbenutzers aktivieren, sollte ein solches

Zugriff nur selten auftreten. Erstellen Sie Warnungen mit Tools wie Amazon CloudWatch Events,um die Anmeldung und Verwendung der Stammbenutzer-Anmeldeinformationen zu kündigen. DieseAnkündigung sollte erheblich und schwer zu verfehlen sein, unabhängig davon, ob die Verwendunggültig oder böswillig ist. Ein Beispiel finden Sie unter Überwachen und Benachrichtigen zu AWS-Konto-Root-Benutzer-Aktivitäten.

• Stellen Sie sicher, dass Mitarbeiter, die eine solche Ankündigung erhalten, wissen, wie man sich darübervalidiert, dass der Root-Benutzer-Zugriff erwartet wird und wie er eskaliert wird, wenn er der Meinung ist,dass ein Sicherheitsvorfall stattfindet.

32



AWS Organizations BenutzerhandbuchErstellen einer Organisation

Erstellen und Verwalten einerOrganisation

Über die AWS Organizations-Konsole können Sie die folgenden Aufgaben ausführen:

• Erstellen einer Organisation (p. 33). Erstellen Sie Ihre Organisation mit Ihrem aktuellen Kontoals Verwaltungskonto (früher als „Masterkonto“ bezeichnet). Erstellen Sie Mitgliedskonten in derOrganisation und laden Sie andere Konten ein, sich der Organisation anzuschließen.

• Aktivieren aller Funktionen in der Organisation (p. 36). Für das Arbeiten mit AWS Organizationswird empfohlen, alle Funktionen zu aktiveren. Wenn Sie eine Organisation erstellen, haben Sie dieMöglichkeit, alle Funktionen oder nur einen Teil der Funktionen für die konsolidierte Abrechnung zuaktivieren. Standardmäßig sind alle Funktionen aktiviert, auch die Funktionen für die konsolidierteAbrechnung.

Wenn alle Funktionen aktiviert sind, können Sie die Funktionen der erweiterten Kontoverwaltung vonAWS Organizations wie z. B. Service-Kontrollrichtlinien (SCPs) (p. 93) verwenden. SCPs bietet einezentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation,sodass Sie sicherstellen können, dass Ihre Konten die Zugriffskontrollrichtlinien Ihrer Organisationeinhalten.

• Anzeigen von Details zur Organisation (p. 40). Sie können Details zu Ihrer Organisation und denRoots, Organisationseinheiten (OUs) und Konten anzeigen.

• Löschen einer Organisation (p. 44). Eine nicht mehr benötigte Organisation können Sie löschen.

Note

In den Verfahren in diesem Abschnitt werden die Mindestberechtigungen angegeben, die fürdie Durchführung der Aufgaben erforderlich sind. Diese gelten in der Regel für die API oder denZugriff auf das Befehlszeilen-Tool.Für die Ausführung einer Aufgabe über die Konsole können zusätzliche Berechtigungenerforderlich sein. Sie können beispielsweise allen Benutzern in der OrganisationLeseberechtigungen einräumen und später für ausgewählte Benutzer weitere Berechtigungen fürdie Ausführung bestimmter Aufgaben hinzufügen.

Erstellen einer OrganisationNote


Sie können eine Organisation erstellen, die mit Ihrem AWS-Konto als Managementkonto (früher als„Masterkonto“ bezeichnet) beginnt. Wenn Sie eine Organisation erstellen, können Sie auswählen, ob

33

AWS Organizations BenutzerhandbuchErstellen einer Organisation

die Organisation nur die Funktionen der konsolidierten Fakturierung oder alle Funktionen (empfohlen)unterstützt.

Note

Derzeit ist nur ein Root-Element je Organisation möglich.

Nachdem Sie eine Organisation erstellt haben, können Sie Ihrer Organisation auf folgende Weise über dasManagementkonto Konten hinzufügen:

• Erstellen weiterer AWS-Konten (p. 52), die Ihrer Organisation automatisch als Mitgliedskontenhinzugefügt werden

• Nachdem Sie Ihre E-Mail-Adresse verifiziert haben, laden Sie vorhandene AWS-Konten (p. 48) ein,Ihrer Organisation als Mitgliedskonten beizutreten.

Erstellen einer OrganisationSie können eine Organisation entweder mit der AWS Management Console oder mit einem Befehl aus derAWS CLI oder einem der SDK APIs erstellen.

Mindestberechtigungen

Um eine Organisation mit Ihrem aktuellen AWS-Konto zu erstellen, benötigen Sie folgendeBerechtigungen:

• organizations:CreateOrganization

• iam:CreateServiceLinkedRole

Sie können diese Berechtigung nur auf den Serviceprinzipalorganizations.amazonaws.com beschränken.


So erstellen Sie eine -Organisation:

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der AWS Organizations-Konsole an. Sie müssen sich als im Verwaltungskonto der Organisation ein IAM-Benutzeranmelden, eine IAM-Rolle annehmen oder sich als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie auf der Einführungsseite Create organization (Organisation erstellen) aus.3. Wählen Sie im Bestätigungsdialogfeld Create organization (Organisation erstellen) die Option

Create organization (Organisation erstellen) aus.

Note

Standardmäßig wird die Organisation mit allen Funktionen aktiviert erstellt. Sie könnenauch angeben, dass für die erstellte Organisation nur Funktionen für die konsolidierteFakturierung (p. 7) aktiviert sein sollen.

Die Organisation wird erstellt. Nun wird die Registerkarte Accounts (Konten) angezeigt. Der Sternneben der Konto-E-Mail zeigt an, dass es sich um das Managementkonto handelt.

Eine Verifizierungs-E-Mail wird automatisch an die Adresse gesendet, die IhremManagementkonto zugeordnet ist. Es kann eine Verzögerung eintreten, bevor Sie dieVerifizierungs-E-Mail erhalten.

4. Überprüfen Sie Ihre E-Mail-Adresse innerhalb von 24 Stunden. Weitere Informationen finden Sieim Verifizierung über E-Mail-Adresse (p. 35).

34


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials

AWS Organizations BenutzerhandbuchVerifizierung über E-Mail-Adresse

5. Fügen Sie Ihrer Organisation wie folgt Konten hinzu:

• Informationen zu Erstellen eines AWS-Kontos, das automatisch Teil Ihrer AWS-Organisation ist,finden Sie unter Erstellen eines AWS-Kontos Ihrer Organisation (p. 52).

• Informationen zum Einladen eines vorhandenen Kontos zu Ihrer Organisation finden Sie unterEinladen eines AWS-Konto zu Ihrer Organisation (p. 47).

Note

Sie können Ihrer Organisation neue Konten hinzufügen, ohne die E-Mail-Adresse IhresVerwaltungskontos zu überprüfen. Um vorhandene Konten einzuladen, müssen Siezuerst die betreffende E-Mail-Adresse überprüfen.

AWS CLI, AWS API

So erstellen Sie eine -Organisation:

Sie können einen der folgenden Befehle verwenden, um eine Organisation zu erstellen:

• AWS CLI: aws organizations create-organization• AWS-API:CreateOrganization

Verifizierung über E-Mail-AdresseNachdem Sie eine Organisation erstellt haben und bevor Sie Konten zum Beitritt einladen können, müssenSie verifizieren, dass Sie die für das Managementkonto in der Organisation angegebene E-Mail-Adressebesitzen.

Wenn Sie eine Organisation erstellen, sendet AWS automatisch eine Verifizierungs-E-Mail an dieangegebene E-Mail-Adresse. Es kann eine Verzögerung eintreten, bevor Sie die Verifizierungs-E-Mailerhalten.

Befolgen Sie innerhalb von 24 Stunden die Anweisungen in der E-Mail zum Verifizieren Ihrer E-Mail-Adresse.

Wenn Sie Ihre E-Mail-Adresse nicht innerhalb von 24 Stunden verifizieren, können Sie dieVerifizierungsanforderung erneut senden, sodass Sie andere AWS-Konten zu Ihrer Organisation einladenkönnen. Wenn Sie keine Verifizierungs-E-Mail erhalten, überprüfen Sie, ob Ihre E-Mail-Adresse richtig ist,und korrigieren Sie sie ggf.

• Informationen dazu, welche E-Mail-Adresse mit Ihrem Management-Konto verknüpft ist, finden Sie unterAnzeigen von Details zu einer Organisation über das Managementkonto (p. 41).

• Informationen zum Ändern der E-Mail-Adresse, die Ihrem Managementkonto zugeordnet ist, finden Sieunter Verwalten eines AWS-Kontos im Benutzerhandbuch für AWS Billing and Cost Management.

So senden Sie die Verifizierungsanforderung erneut

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der AWS Organizations-Konsole an. Sie müssen sich als im Verwaltungskonto der Organisation ein IAM-Benutzer anmelden,eine IAM-Rolle annehmen oder sich als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie die Registerkarte "Settings" (Einstellungen) und danach Send verification request(Verifizierungsanforderung senden).

3. Überprüfen Sie Ihre E-Mail-Adresse innerhalb von 24 Stunden.

35

https://docs.aws.amazon.com/cli/latest/reference/organizations/create-organization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganization.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html



AWS Organizations BenutzerhandbuchAktivieren aller Funktionen

Nachdem Ihre E-Mail-Adresse verifiziert wurde, können Sie andere AWS-Konten zu IhrerOrganisation einladen. Weitere Informationen finden Sie im Einladen eines AWS-Konto zu IhrerOrganisation (p. 47).

Wenn Sie die E-Mail-Adresse des Managementkontos ändern, wird der Status des Kontos auf "emailunverified" zurückgesetzt und Sie müssen den Verifizierungsprozess für Ihre neue E-Mail-Adresseabschließen.

Aktivieren aller Funktionen in der OrganisationAWS Organizations bietet zwei Funktionsgruppen:

• All features (Alle Funktionen) (p. 7) – Diese Funktionsgruppe ist die bevorzugte Methode für das ArbeitenAWS Organizations. Sie umfasst auch die konsolidierte Fakturierung. Wenn Sie eine Organisationerstellen, ist die Aktivierung aller Funktionen die Standardeinstellung. Wenn alle Funktionen aktiviert sind,können Sie die Funktionen der erweiterten Kontoverwaltung von AWS Organizations wie z. B. Service-Kontrollrichtlinien (SCPs) (p. 93) und Tag-Richtlinien (p. 172) verwenden.

• Consolidated billing features (Funktionen der konsolidierten Fakturierung) (p. 7) – Diese Funktionenwerden von allen Organisationen unterstützt. Sie stellen grundlegende Verwaltungs-Tools bereit, mitdenen Sie die Konten in Ihrer Organisation zentral verwalten können.

Wenn Sie eine Organisation nur mit der konsolidierten Fakturierung erstellen, können Sie auch später nochalle Funktionen aktivieren. Auf dieser Seite wird die Aktivierung aller Funktionen beschrieben.

Bevor Sie alle Funktionen aktivierenBevor Sie von einer Organisation, die nur die Funktionen für die konsolidierte Fakturierung unterstützt, zueiner Organisation wechseln, die alle Funktionen unterstützt, beachten Sie Folgendes:

• Beim Starten des Aktivierungsprozesses sendet AWS Organizations eine Anforderung an jedesMitgliedskonto, das Sie zum Beitritt in die Organisation eingeladen haben. Jedes eingeladene Kontomuss durch Annahme der Anforderung die Aktivierung aller Funktionen genehmigen. Nur dann könnenSie den Vorgang abschließen und alle Funktionen in Ihrer Organisation aktivieren. Wenn ein Kontodie Anforderung ablehnt, müssen Sie das Konto entweder aus Ihrer Organisation entfernen oder dieAnforderung erneut senden. Die Anforderung muss angenommen werden, bevor Sie den Vorgangabschließen und alle Funktionen aktivieren können. Konten, die Sie mithilfe von erstellt habenAWSOrganizations, erhalten keine Anforderung, weil sie die zusätzliche Kontrolle nicht genehmigen müssen.

• Organisationen überprüfen außerdem, ob jedes Konto über eine serviceverknüpfte Rolle mit dem NamenAWSServiceRoleForOrganizations verfügt. Diese Rolle ist in allen Konten obligatorisch, um alleFunktionen zu aktivieren. Wenn Sie die Rolle in einem eingeladenen Konto gelöscht haben und danndie Einladung annehmen, wird die Rolle zur Unterstützung aller Funktionen neu erstellt. Wenn Sie dieRolle in einem Konto gelöscht haben, das mit Hilfe von AWS Organizations angelegt wurde, erhält diesesKonto eine Einladung, diese Rolle neu zu erstellen. Alle Einladungen müssen angenommen werden,damit die Organisation den Prozess der Aktivierung aller Funktionen abschließen kann.

• Während der Aktivierung aller Funktionen können Sie weiterhin Konten innerhalb der Organisationerstellen, aber keine vorhandenen Konten zum Beitritt zur Organisation einladen. Um Konten einladenzu können, müssen Sie warten, bis der Vorgang der Aktivierung aller Funktionen abgeschlossen ist.Alternativ können Sie den Vorgang zum Aktivieren aller Funktionen abbrechen, die Konten einladen, undden Vorgang zum Aktivieren aller Funktionen erneut starten.

• Da die Aktivierung aller Funktionen die Verwendung von SCPs (p. 93) ermöglicht, stellen Siesicher, dass Ihre Kontoadministratoren die Auswirkungen der Zuordnung von SCPs zu Organisation,

36

AWS Organizations BenutzerhandbuchBeginn des Prozesses zur Aktivierung aller Funktionen

Organisationseinheiten oder Konten verstehen. SCPs kann die Aktionen von Benutzern und sogarAdministratoren in betroffenen Konten einschränken. Beispielsweise kann das Managementkonto(früher als "Masterkonto" bezeichnet) SCPs anwenden, um zu verhindern, dass Mitgliedskonten dieOrganisation verlassen.

• Das Managementkonto wird von keiner SCP beeinflusst. Sie können nicht einschränken, was Benutzerund Rollen im Managementkonto tun können, indem Sie SCPs anwenden. SCPs wirkt sich nur aufMitgliedskonten aus.

• Die Migration von Funktionen für die konsolidierte Fakturierung in alle Funktionen kann nicht rückgängiggemacht werden. Es ist nicht möglich, eine Organisation, in der alle Funktionen aktiviert sind, auf dieFunktionen für die konsolidierte Fakturierung zurückzusetzen.

• Wenn in Ihrer Organisation nur Funktionen für die konsolidierte Fakturierung aktiviert sind,können Administratoren von Mitgliedskonten die serviceverknüpfte Rolle mit dem NamenAWSServiceRoleForOrganizations löschen. Wenn Sie jedoch alle Funktionen in einer Organisationaktivieren, ist diese Rolle erforderlich und wird im Rahmen der Einladung zur Aktivierung aller Funktionenin allen Konten neu erstellt. Weitere Informationen darüber, wie AWS Organizations diese Rolle nutzt,finden Sie unter AWS Organizations und serviceverknüpfte Rollen (p. 213).

Beginn des Prozesses zur Aktivierung aller FunktionenWenn Sie sich mit den entsprechenden Berechtigungen am Verwaltungskonto Ihrer Organisationanmelden, können Sie mit der Aktivierung aller Funktionen beginnen. Führen Sie dazu die folgendenSchritte aus.


Zum Aktivieren aller Funktionen in der Organisation benötigen Sie die folgende Berechtigung:

• organizations:EnableAllFeatures


So bitten Sie die eingeladenen Mitgliedskonten um Zustimmung für die Aktivierung alleFunktionen in der Organisation


2. Wählen Sie auf der Registerkarte Settings (Einstellungen) Begin process to enable all features(Prozess zum Aktivieren aller Funktionen beginnen).

3. Durch Klicken auf Begin process to enable all features (Prozess zum Aktivieren aller Funktionenbeginnen) bestätigen Sie, dass Sie verstanden haben, dass nach der Umstellung eine Rückkehrzur Funktion für die konsolidierte Fakturierung nicht mehr möglich ist. AWS Organizations sendeteine Anforderung an jedes eingeladene (nicht jedes erstellte) Konto in der Organisation undbittet um Genehmigung zur Aktivierung aller Funktionen. Wenn Sie Konten haben, die mit AWSOrganizations erstellt wurden, und der Administrator des Mitgliedskontos die servicegebundeneRolle mit dem Namen AWSServiceRoleForOrganizations gelöscht hat, sendet AWSOrganizations diesem Konto eine Aufforderung, die Rolle neu zu erstellen.

4. Um den Status der Anfragen anzuzeigen, wählen Sie View all feature request approval status(Genehmigungsstatus aller Funktionen anzeigen).

Die Seite All feature request approval status (Genehmigungsstatus aller Funktionsanforderungen)zeigt den aktuellen Status der Anfragen für jedes Konto in der Organisation an. Konten, dieder Anfrage zugestimmt haben, werden mit einem grünen Häkchen und dem entsprechenden

37



AWS Organizations BenutzerhandbuchGenehmigung der Anforderung zumAktivieren aller Funktionen oder zum

Neuanlegen der servicegebundenen RolleDatum (Acceptance) versehen. Konten, die noch nicht angenommen haben, haben ein gelbesAusrufezeichen und zeigen das Datum an, an dem die Anfrage mit dem Status Open gesendetwurde.

Note

• Mit dem Zeitpunkt des Anforderungsversands an die Mitgliedskonten beginntein Countdown von 90 Tagen. Alle Konten müssen die Anforderung innerhalbdieses Zeitraums genehmigen; ansonsten läuft sie ab. In diesem Fall werden alleAnforderungen im Zusammenhang mit dem Versuch storniert, und Sie müssen denVorgang mit Schritt 2 erneut einleiten.

• In der Zeit von der Erstellung der Anforderung bis zu ihrer Annahme durch alleKonten bzw. bis zum Auftreten der Zeitüberschreitung werden alle ausstehendenEinladungen an andere Konten, der Organisation beizutreten, automatisch storniert.Bis zum Abschluss der Aktivierung aller Funktionen können keine neue Einladungenausgegeben werden.

• Nach Abschluss der Aktivierung aller Funktionen können Sie die Konten erneutzum Beitritt zur Organisation einladen. Der Prozess bleibt unverändert, aber in derEinladung wird der Empfänger darüber informiert, dass er bei Annahme allen geltendenRichtlinien unterliegt.

5. Sollte ein Konto der Anforderung nicht zustimmen, können Sie das Konto auf dieser Seiteauswählen und dann Remove (Entfernen) wählen. Dadurch wird die Anforderung für dasausgewählte Konto storniert und das Konto wird aus der Organisation entfernt, damit es dieAktivierung aller Funktionen nicht mehr behindert.

6. Wenn alle Konten die Anforderungen genehmigt haben, können Sie den Prozess abschließenund alle Funktionen aktivieren. Sie können den Prozess auch sofort abschließen, sofern IhreOrganisation keine eingeladenen Mitgliedskonten aufweist. Der Abschluss des Prozessesbedarf nur weniger Klicks in der Konsole. Siehe Abschließen des Prozesses der Aktivierung allerFunktionen (p. 39).

AWS CLI, AWS API

So bitten Sie die eingeladenen Mitgliedskonten um Zustimmung für die Aktivierung alle Funktionen inder Organisation

Sie können einen der folgenden Befehle verwenden, um alle Funktionen in einer Organisation zuaktivieren:

• AWS CLI: aws organizations enable-all-features• AWS -API: EnableAllFeatures

Genehmigung der Anforderung zum Aktivierenaller Funktionen oder zum Neuanlegen derservicegebundenen RolleWenn Sie mit den Berechtigungen an einem der eingeladenen Mitgliedskonten der Organisationangemeldet sind, können Sie eine Anforderung des Managementkontos genehmigen. Wenn Ihr Kontoursprünglich zum Beitritt zur Organisation eingeladen wurde, dann dient die Einladung dazu, alleFunktionen zu aktivieren und beinhaltet implizit die Genehmigung für die Neuerstellung der RolleAWSServiceRoleForOrganizations, falls erforderlich. Wenn Ihr Konto stattdessen mit AWSOrganizations erstellt wurde und Sie die servicegebundene Rolle AWSServiceRoleForOrganizationsgelöscht haben, dann erhalten Sie nur eine Einladung zur Neuerstellung der Rolle. Führen Sie dazu diefolgenden Schritte aus.

38

https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-all-features.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAllFeatures.html

AWS Organizations BenutzerhandbuchAbschließen des Prozesses der Aktivierung aller Funktionen

Important

Wenn Sie die Schritte im folgenden Verfahren ausführen, kann das Managementkonto in derOrganisation Ihrem Mitgliedskonto richtlinienbasierte Kontrollen zuweisen. Diese Steuerelementekönnen die Aktionen von Benutzern und sogar von Administratoren wie Ihnen im Kontoeinschränken. Solche Einschränkungen können verhindern, dass Ihr Konto die Organisationverlässt.


Zum Genehmigen einer Anforderung für die Aktivierung aller Funktionen für Ihr Mitgliedskontobenötigen Sie die folgende Berechtigung:

• organizations:AcceptHandshake

• iam:CreateServiceLinkedRole – Nur erforderlich, wenn dieAWSServiceRoleForOrganizations-Rolle im Mitgliedskonto neu erstellt werden muss.

• organizations:DescribeOrganization – Nur erforderlich, wenn Sie den Handshakemithilfe der Organisationen-Konsole akzeptieren möchten.

• organizations:ListHandshakesForOrganizationNur erforderlich, wenn Sie denHandshake mithilfe der –-Konsole akzeptieren möchtenOrganisationen


So stimmen Sie der Anforderung für die Aktivierung aller Funktionen in der Organisation zu

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der AWS Organizations-Konsole an. Sie müssen sich im Mitgliedskonto der Organisation als IAM-Benutzer anmelden, eineIAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Lesen Sie, welche Konsequenzen die Annahme der Anfrage für alle Funktionen in derOrganisation für Ihr Konto hat, und klicken Sie dann auf Accept. Die Seite zeigt den Prozess solange als unvollständig an, bis alle Konten in der Organisation die Anforderungen akzeptieren undder Administrator des Managementkontos den Prozess abschließt.

AWS CLI, AWS API

So stimmen Sie der Anforderung für die Aktivierung aller Funktionen in der Organisation zu

Wenn Sie der Anforderung zustimmen möchten, müssen Sie den Handshake mit "Action":"APPROVE_ALL_FEATURES" annehmen.

• AWS CLI: aws organizations accept-handshake• AWS -API: AcceptHandshake

Abschließen des Prozesses der Aktivierung allerFunktionenAlle eingeladenen Mitgliedskonten müssen die Anforderung genehmigen, um alle Funktionen zu aktivieren.Wenn die Organisation keine eingeladen Mitgliedskonten hat, wird auf der Seite Enable all featuresprogress (Alle Funktionen aktivieren – Fortschritt) mit einem grünen Banner signalisiert, dass Sie denProzess abschließen können.

39



https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html

AWS Organizations BenutzerhandbuchAnzeigen von Organisationsdetails


Zum Abschließen des Prozesses der Aktivierung aller Funktionen in der Organisation benötigenSie die folgende Berechtigung:

• organizations:AcceptHandshake


So schließen Sie den Prozess der Aktivierung aller Funktionen ab


2. Wählen Sie auf der Registerkarte Settings (Einstellungen) unter dem Feld ENABLE ALLFEATURES (ALLE FUNKTIONEN AKTIVIEREN) View all feature request approval status(Genehmigungsstatus aller Funktionsanforderungen anzeigen).

3. Wenn alle Konten die Anforderung zur Aktivierung aller Funktionen angenommen haben, wählenSie im grünen Feld oben auf der Seite die Option Prozess der Aktivierung aller Funktionenabschließen aus. Wählen Sie im Bestätigungsfenster erneut die Option Prozess der Aktivierungaller Funktionen abschließen aus.

4. Bei der Organisation wurden jetzt alle Funktionen aktiviert. Im nächsten Schritt aktivieren Sie diezu verwendenden Richtlinientypen. Anschließend können Sie Richtlinien für die Verwaltung derKonten in Ihrer Organisation zuordnen. Weitere Informationen finden Sie unter Verwalten vonAWS Organizations-Richtlinien (p. 73).

AWS CLI, AWS API

So schließen Sie den Prozess der Aktivierung aller Funktionen ab

Wenn Sie Prozess abschließen möchten, müssen Sie den Handshake mit "Action":"ENABLE_ALL_FEATURES" annehmen.

• AWS CLI: aws organizations accept-handshake• AWS -API: AcceptHandshake

Anzeigen von Details zu Ihrer OrganisationSie können die folgenden Aufgaben ausführen, um Details zu Elementen Ihrer Organisation anzuzeigen.

Themen• Anzeigen von Details zu einer Organisation über das Managementkonto (p. 41)• Anzeigen von Details zu einem Root (p. 41)• Anzeigen von Details zu einer OU (p. 42)• Anzeigen von Details zu einem Konto (p. 43)• Anzeigen der Details einer Richtlinie (p. 43)

40





AWS Organizations BenutzerhandbuchAnzeigen von Details zu einer

Organisation über das Managementkonto

Anzeigen von Details zu einer Organisation über dasManagementkonto


Zum Anzeigen von Details zu einer Organisation benötigen Sie die folgende Berechtigung:

• organizations:DescribeOrganization


So zeigen Sie Details zu einer Organisation an

Wenn Sie sich in der AWS Organizations-Konsole beim Verwaltungskonto der Organisationangemeldet haben (früher als "Masterkonto" bezeichnet), können Sie die Details der Organisationanzeigen.

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der Organisationen-Konsole an. Sie müssen sich im Managementkonto der Organisation als IAM-Benutzer anmelden,eine IAM-Rolle annehmen oder sich als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie die Registerkarte Settings.

Die Konsole zeigt Details zur Organisation an, einschließlich der ID und der E-Mail-Adresse desInhabers des Managementkontos.

AWS CLI, AWS API

So zeigen Sie Details zu einer Organisation an

Sie können einen der folgenden Befehle verwenden, um die Details einer Organisation anzuzeigen:

• AWS CLI: aws organizations describe-organization• AWS-API:DescribeOrganization

Anzeigen von Details zu einem RootMindestberechtigungen

Zum Anzeigen der Details zu einem Root benötigen Sie folgende Berechtigungen:

• organizations:DescribeOrganization (nur Konsole)• organizations:ListRoots


So zeigen Sie Details zu einem Root an

Wenn Sie sich bei der AWS Organizations-Konsole am Managementkonto der Organisationangemeldet haben, können Sie die Details zu einem Root-Benutzer anzeigen.

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der Organisationen-Konsole an. Sie müssen sich im Managementkonto der Organisation als IAM-Benutzer anmelden,eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

41




https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganization.html




AWS Organizations BenutzerhandbuchAnzeigen von Details zu einer OU

2. Wählen Sie die Registerkarte Organize accounts und dann Home.3. Wählen Sie die Entität Root. Root ist der Standardname; Sie können ihn über die API oder die

Befehlszeilen-Tools ändern.

Der Bereich Root rechts auf der Seite enthält Details zum Root-Benutzer.

AWS CLI, AWS API

So zeigen Sie Details zu einem Root an

Sie können einen der folgenden Befehle verwenden, um die Details eines Root-Benutzers anzuzeigen:

• AWS CLI: aws organizations list-roots• AWS-API:ListRoots

Anzeigen von Details zu einer OUMindestberechtigungen

Zum Anzeigen von Details zu einer Organisationseinheit benötigen Sie die folgendeBerechtigungen:

• organizations:DescribeOrganizationalUnit

• organizations:DescribeOrganization (nur Konsole)• organizations:ListOrganizationsUnitsForParent (nur Konsole)• organizations:ListRoots (nur Konsole)


So zeigen Sie Details zu einer Organisationseinheit an

Wenn Sie sich bei der AWS Organizations-Konsole am Verwaltungskonto der Organisationangemeldet haben, können Sie die Details der OUs in Ihrer Organisation anzeigen.


2. Navigieren Sie auf der Registerkarte Organize accounts zu der Organisationseinheit, die überprüftwerden soll. Wenn die gewünschte Organisationseinheit einer anderen Organisationseinheituntergeordnet ist, wählen Sie in der Hierarchie alle Organisationseinheiten aus, um diegewünschte zu finden.

3. Aktivieren Sie das Kontrollkästchen für die Organisationseinheit.

Im Detailbereich rechts auf der Seite werden Ihnen Informationen zur Organisationseinheitangezeigt.

AWS CLI, AWS API

So zeigen Sie Details zu einer Organisationseinheit an

Sie können einen der folgenden Befehle verwenden, um die Details einer Organisationseinheitanzuzeigen:

• AWS CLI: aws organizations describe-organizational-unit

42

https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html




https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html

AWS Organizations BenutzerhandbuchAnzeigen von Details zu einem Konto

• AWS-API:DescribeOrganizationalUnit

Anzeigen von Details zu einem KontoMindestberechtigungen

Zum Anzeigen der Details zu einem AWS-Konto benötigen Sie folgende Berechtigungen:

• organizations:DescribeAccount

• organizations:DescribeOrganization (nur Konsole)• organizations:ListAccounts (nur Konsole)


So zeigen Sie Details zu einem AWS-Konto an

Wenn Sie bei der AWS Organizations-Konsole am Managementkonto der Organisation angemeldetsind, können Sie Details zu Ihren Konten anzeigen.


2. Führen Sie eine der folgenden Aufgaben aus:

• Wählen Sie auf der Registerkarte Accounts das Konto, das Sie untersuchen möchten.• Navigieren Sie auf der Registerkarte Organize accounts zu einer Kontokarte und wählen Sie sie

aus.

Der Bereich Account summary rechts auf der Seite zeigt Details des ausgewählten Kontos an.

Note

Standardmäßig sind fehlgeschlagene Kontoerstellungsanträge90 Tage lang verfügbar undauf der Registerkarte Accounts (Konten) ausgeblendet. Um eine Liste anzuzeigen, diefehlgeschlagene Kontoerstellungsanträge enthält, wählen Sie den Schalter oben aus, um ihnin Show (Anzeigen) zu ändern.

So zeigen Sie Details zu einem Konto an

Sie können einen der folgenden Befehle verwenden, um die Details eines Kontos anzuzeigen:

• AWS CLI: aws organizations describe-account• AWS-API:DescribeAccount

Anzeigen der Details einer RichtlinieMindestberechtigungen

Um die Details einer Richtlinie anzuzeigen, benötigen Sie die folgenden Berechtigungen:

• organizations:DescribePolicy

• organizations:ListPolicies

43

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganizationalUnit.html




https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-account.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeAccount.html

AWS Organizations BenutzerhandbuchLöschen der Organisation


So zeigen Sie Details zu einer Richtlinie an

Wenn Sie sich bei der AWS Organizations-Konsole am Managementkonto der Organisationangemeldet haben, können Sie Details zu Ihren Richtlinien anzeigen.


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Richtlinie aus, die Sie überprüfenmöchten.

3. Wählen Sie View policy details (Richtliniendetails anzeigen) im Bereich rechts auf der Seite aus.

AWS CLI, AWS API

So zeigen Sie Details zu einer Richtlinie an

Sie können einen der folgenden Befehle verwenden, um die Details einer Richtlinie anzuzeigen:

• AWS CLI: aws organizations describe-policy• AWS-API:DescribePolicy

Löschen der Organisation durch Entfernen desManagementkontos

Wenn Sie Ihre Organisation nicht mehr benötigen, können Sie sie löschen. Dadurch wird dasManagementkonto (früher als "Masterkonto" bezeichnet) aus der Organisation entfernt und dieOrganisation selbst wird gelöscht. Das frühere Managementkonto wird zu einem eigenständigen AWS-Konto. Sie haben dann drei Möglichkeiten: Sie können es weiterhin als eigenständiges Konto verwenden,Sie können es verwenden, um eine andere Organisation zu erstellen, oder Sie können eine Einladung voneiner anderen Organisation annehmen, um das Konto dieser Organisation als Mitgliedskonto hinzuzufügen.

Important

• Wenn Sie eine Organisation löschen, können Sie sie nicht wiederherstellen. Wenn SieRichtlinien innerhalb der Organisation erstellt haben, werden sie ebenfalls gelöscht und könnennicht wiederhergestellt werden.

• Sie können eine Organisation erst löschen, nachdem Sie alle Mitgliedskonten aus derOrganisation entfernt haben. Wenn Sie einige Ihrer Mitgliedskonten mithilfe von AWSOrganizations erstellt haben, werden Sie diese Konten möglicherweise nicht entfernen können.Sie können ein Mitgliedskonto nur entfernen, wenn es über alle Informationen verfügt, diefür den Betrieb als eigenständiges AWS-Konto erforderlich sind. Weitere Informationen zumBereitstellen dieser Informationen und zum Entfernen des Kontos finden Sie unter Verlasseneiner Organisation als Mitgliedskonto (p. 62).

• Wenn sich Mitgliedskonten in einem gesperrten Status befinden, weil Sie sie vor dem Entfernenaus der Organisation geschlossen haben, können Sie sie erst dann aus der Organisationentfernen, wenn sie endgültig geschlossen sind. Dies kann bis zu 90 Tage dauern und kannverhindern, dass Sie die Organisation bis dahin löschen.

Wenn Sie das Managementkonto durch Löschen der Organisation aus einer Organisation entfernen, ist dasKonto wie folgt betroffen:

44




https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribePolicy.html

AWS Organizations BenutzerhandbuchLöschen der Organisation

• Das Konto ist nur für die Zahlung seiner eigenen Gebühren und nicht mehr für die Kosten verantwortlich,die durch ein anderes Konto entstehen.

• Die Integration mit anderen Services wird möglicherweise deaktiviert. Beispielsweise benötigt AWS– Einmaliges Anmelden eine aktive Organisation; wenn Sie also ein Konto aus einer Organisationentfernen, die AWS SSO unterstützt, können die Benutzer in diesem Konto diesen Service nicht mehrnutzen.

Das Managementkonto einer Organisation wird nie von Service-Kontrollrichtlinien (Service Control Policies,SCPs) beeinflusst, sodass es keine Änderungen in den Berechtigungen gibt, nachdem SCPs nicht mehrverfügbar sind.


Um eine Organisation zu löschen, müssen Sie sich als IAM-Benutzer oder -Rolle imManagementkonto anmelden und über die folgenden Berechtigungen verfügen:

• organizations:DeleteOrganization

• organizations:DescribeOrganization (nur Konsole)


So entfernen Sie das Management-Konto aus einer Organisation und löschen die Organisation

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der Organisationen-Konsole an. Sie müssen sich im Managementkonto der Organisation als IAM-Benutzer anmelden,eine IAM-Rolle annehmen oder sich als Root-Benutzer anmelden (nicht empfohlen).

2. Bevor Sie die Organisation löschen können, müssen Sie alle Konten aus der Organisationentfernen. Weitere Informationen finden Sie im Entfernen eines Mitgliedskontos aus IhrerOrganisation (p. 59).

3. Wählen Sie auf der Registerkarte Settings Delete organization.4. Wählen Sie im Bestätigungsdialogfeld Delete organization die Option Delete organization.5. (Optional) Wenn Sie auch dieses Konto schließen möchten, befolgen Sie dazu die Schritte unter

Schließen eines AWS-Kontos (p. 64).

AWS CLI, AWS API

So löschen Sie eine Organisation

Sie können einen der folgenden Befehle verwenden, um eine Organisation zu löschen:

• AWS CLI: aws organizations delete-organization• AWS-API:DeleteOrganization

45



https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-organization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteOrganization.html

AWS Organizations BenutzerhandbuchAuswirkungen auf ein AWS-Konto, das Siezum Beitritt zu einer Organisation einladen

Verwalten der AWS-Konten in IhrerOrganisation

Eine Organisation ist eine Sammlung von AWS-Konten, die Sie zentral verwalten. Sie können diefolgenden Aufgaben zum Verwalten der Konten Ihrer Organisation ausführen:

• Anzeigen von Details der Konten in Ihrer Organisation (p. 43). Sie können die eindeutige ID des Kontos,seinen Amazon-Ressourcennamen (ARN) und die an das Konto angefügten Richtlinien anzeigen.

• Laden Sie vorhandene AWS-Konten zum Beitritt zu Ihrer Organisation ein (p. 47). Erstellen SieEinladungen, verwalten Sie erstellte Einladungen und nehmen Sie Einladungen an oder lehnen diese ab.

• Erstellen eines AWS-Kontos als Teil Ihrer Organisation (p. 52). Erstellen Sie ein AWS-Konto, dasautomatisch zu Ihrem Unternehmen hinzugefügt wird, und greifen Sie auf das Konto zu.

• Entfernen eines AWS-Kontos aus Ihrer Organisation (p. 59). Als Administrator im Managementkonto(früher als „Masterkonto“ bezeichnet) entfernen Sie Mitgliedskonten, die Sie nicht mehr in IhrerOrganisation verwalten möchten. Als Administrator eines Mitgliedskontos entfernen Sie Ihr Konto ausdessen Organisation. Wenn das Verwaltungskonto Ihrem Mitgliedskonto eine Richtlinie angefügt hat,können Sie möglicherweise vom Entfernen Ihres Kontos ausgeschlossen werden.

• Löschen (oder schließen) Sie ein AWS-Konto (p. 64). Wenn Sie ein AWS-Konto nicht mehr benötigen,können Sie das Konto schließen, um zu verhindern, dass es genutzt wird und Kosten entstehen.

Auswirkungen auf ein AWS-Konto, das Sie zumBeitritt zu einer Organisation einladen

Sie laden ein AWS-Konto zum Beitritt zu einer Organisation ein. Wenn der Kontoinhaber die Einladungannimmt, nimmt AWS Organizations automatisch die folgenden Änderungen am neuen Mitgliedskonto vor:

• AWS Organizations erstellt eine serviceverknüpfte Rolle namensAWSServiceRoleForOrganizations (p. 213). Das Konto muss über diese Rolle verfügen, wennIhre Organisation alle Funktionen unterstützt. Sie können die Rolle löschen, wenn die Organisation nurden Funktionssatz für konsolidierte Fakturierung unterstützt. Wenn Sie die Rolle löschen und später alleFunktionen in Ihrer Organisation aktivieren, erstellt AWS Organizations die Rolle für das Konto neu.

• Möglicherweise verfügen Sie über Service-Kontrollrichtlinien (SCPs) (p. 93) oder Tag-Richtlinien (p. 172) die an den Organisations-Root oder die Organisationseinheit, die das Konto enthält,angehängt sind. In diesem Fall werden diese Richtlinien unmittelbar für alle Benutzer und Rollen imeingeladenen Konto übernommen.

• Sie können die Vertrauensbeziehung zum Service für einen anderen AWS-Service in Ihrer Organisationaktivieren (p. 214). Wenn Sie dies tun, kann dieser vertrauenswürdige Service serviceverknüpfte Rollenerstellen oder in einem beliebigen Mitgliedskonto der Organisation, einschließlich einem eingeladenenKonto, Aktionen ausführen.

Für eingeladene Mitgliedskonten erstellt AWS Organizations nicht automatisch die IAM-RolleOrganizationAccountAccessRole (p. 58). Diese Rolle gewährt dem Verwaltungskonto administrativeKontrolle über das Mitgliedskonto. Wenn Sie diese Ebene der administrativen Kontrolle aktivieren möchten,

46

AWS Organizations BenutzerhandbuchAuswirkungen auf ein AWS-Konto,

das Sie in einer Organisation erstellen

können Sie dem eingeladenen Konto manuell die Rolle hinzufügen. Weitere Informationen finden Sie imErstellen der OrganizationAccountAccessRole in einem eingeladenen Mitgliedskonto (p. 56).

Sie können ein Konto zum Beitritt zu einer Organisation einladen, für die nur die konsolidierte Fakturierungaktiviert ist. Wenn Sie später alle Funktionen für die Organisation aktivieren möchten, müssen eingeladeneKonten die Änderung genehmigen.

Auswirkungen auf ein AWS-Konto, das Sie in einerOrganisation erstellen

Wenn Sie ein AWS-Konto in Ihrer Organisation erstellen, nimmt AWS Organizations automatisch diefolgenden Änderungen an dem neuen Mitgliedskonto vor:

• AWS Organizations erstellt eine serviceverknüpfte Rolle namensAWSServiceRoleForOrganizations (p. 213). Das Konto muss über diese Rolle verfügen, wennIhre Organisation alle Funktionen unterstützt. Sie können die Rolle löschen, wenn die Organisation nurden Funktionssatz für konsolidierte Fakturierung unterstützt. Wenn Sie die Rolle löschen und später alleFunktionen in Ihrer Organisation aktivieren, erstellt AWS Organizations die Rolle für das Konto neu.

• AWS Organizations erstellt die IAM-Rolle OrganizationAccountAccessRole (p. 58). Diese Rollegewährt dem Managementkonto Zugriff auf das neue Mitgliedskonto. Obwohl diese Rolle gelöschtwerden kann, empfehlen wir, sie nicht zu löschen, damit sie als Wiederherstellungsoption verfügbar ist.

• Wenn dem Stamm der OU-Struktur Richtlinien angefügt sind (p. 73), gelten diese Richtliniensofort für alle Benutzer und Rollen im erstellten Konto. Neue Konten werden standardmäßig derOrganisationseinheit Root hinzugefügt.

• Wenn Sie für Ihre Organisation Treuhandservice für einen anderen AWS-Service (p. 214) aktivierthaben, kann dieser vertrauenswürdige Service serviceverknüpfte Rollen erstellen oder in einembeliebigen Mitgliedskonto der Organisation, einschließlich Ihrem erstellten Konto, Aktionen ausführen.

Einladen eines AWS-Konto zu Ihrer OrganisationNachdem Sie eine Organisation erstellt und überprüft haben, dass Sie der Eigentümer der E-Mail-Adressesind, die dem Managementkonto (ehemals als „Masterkonto“ bezeichnet) zugeordnet ist, können Sievorhandene AWS-Konten zum Beitritt zu Ihrer Organisation einladen.

Wenn Sie ein Konto einladen, sendet AWS Organizations eine Einladung an den Kontoinhaber, derentscheidet, ob er die Einladung annimmt oder ablehnt. Sie können die AWS Organizations-Konsoleverwenden, um Einladungen an andere Konten zu senden, zu initiieren und zu verwalten. Sie können eineEinladung an ein anderes Konto nur von dem Managementkonto Ihrer Organisation aus senden.

Wenn Sie der Administrator eines AWS-Kontos sind, können Sie auch eine Einladung von einerOrganisation annehmen oder ablehnen. Wenn Sie annehmen, wird Ihr Konto Mitglied dieser Organisation.Ihr Konto kann nur einer Organisation beitreten. Wenn Sie also mehrere Einladungen zum Beitritt erhalten,können Sie nur eine annehmen.

Wenn ein eingeladenes Konto Ihrer Organisation beitritt, haben Sie nicht automatisch die volleAdministratorkontrolle über das Konto (im Gegensatz zu den erstellten Konten). Wenn Sie möchten,dass das Management-Konto die volle administrative Kontrolle über ein eingeladenes Mitgliedskontohat, müssen Sie die OrganizationAccountAccessRole IAM-Rolle im Mitgliedskonto erstellen unddem Management-Konto die Berechtigung erteilen, die Rolle zu übernehmen. Zum Konfigurieren dieserEinstellung, nachdem das eingeladene Konto ein Mitgliedskonto geworden ist, befolgen Sie die Schritteunter Erstellen der OrganizationAccountAccessRole in einem eingeladenen Mitgliedskonto (p. 56).

47

AWS Organizations BenutzerhandbuchSenden von Einladungen an AWS-Konten

Note

Wenn Sie ein Konto in Ihrer Organisation erstellen, anstatt ein vorhandenes Konto zumBeitritt einzuladen, erstellt AWS Organizations automatisch eine IAM-Rolle (standardmäßigOrganizationAccountAccessRole genannt), mit der Sie Benutzern im VerwaltungskontoAdministratorzugriff auf das erstellte Konto gewähren können.

AWS Organizations erstellt automatisch eine servicegebundene Rolle in eingeladenen Mitgliedskonten,um die Integration zwischen AWS Organizations und anderen AWS-Services zu unterstützen. WeitereInformationen finden Sie im AWS Organizations und serviceverknüpfte Rollen (p. 213).

Sie können bis zu 20 Einladungen pro Tag und Organisation senden. Akzeptierte Einladungen werdennicht auf dieses Kontingent angerechnet. Sobald eine Einladung akzeptiert wird, können Sie am selben Tageine weitere Einladung senden. Jede Einladung muss innerhalb von 15 Tagen oder bis zu ihrem Ablaufbeantwortet werden.

Eine an ein Konto gesendete Einladung wird auf das Kontokontingent in Ihrer Organisation angerechnet.Die Anzahl wird wiederhergestellt, wenn das eingeladene Konto ablehnt, das Management-Konto dieEinladung ablehnt oder die Einladung abgelaufen ist.

Informationen zum Erstellen eines Kontos, das automatisch Ihrer Organisation angehört, finden Sie unterErstellen eines AWS-Kontos Ihrer Organisation (p. 52).

Important

Aufgrund von gesetzlichen und Fakturierungs-Einschränkungen können Sie AWS-Konten nur vondemselben AWS-Anbieter als Managementkonto einladen. Konten von AWS, Amazon InternetServices Pvt. Ltd (AISPL, ein AWS-Anbieter in Indien) oder Amazon Connect Technology Services(Beijing) Co. (ACTS, ein AWS-Verkäufer in China) in derselben Organisation. Sie können Kontenvon einem AWS-Anbieter nur einer Organisation mit Konten von demselben AWS-Anbieterhinzufügen.

Senden von Einladungen an AWS-KontenUm Konten zu Ihrer Organisation einzuladen, müssen Sie zunächst überprüfen, ob Sie der E-Mail-Adressegehören, die mit dem Management-Konto verknüpft ist. Nachdem Sie Ihre E-Mail-Adresse verifiziert haben,führen Sie die folgenden Schritte aus, um Konten zu Ihrer Organisation einzuladen.


Zum Einladen eines AWS-Kontos zu Ihrer Organisation benötigen Sie folgende Berechtigungen:

• organizations:DescribeOrganization (nur Konsole)• organizations:InviteAccountToOrganization


So laden Sie ein anderes Konto zum Beitritt zu Ihrer Organisation ein (Konsole)


2. Wenn Ihre E-Mail-Adresse ist bereits verifiziert wurde, können Sie diesen Schritt überspringen.

Wenn Ihre E-Mail-Adresse noch nicht verifiziert wurde, befolgen innerhalb von 24 Stunden dieAnweisungen in der Verifizierungs-E-Mail (p. 35). Es kann eine Verzögerung auftreten, bevor Siedie Verifizierungs-E-Mail-Nachricht erhalten. Sie können erst Konten einladen, nachdem Ihre E-Mail-Adresse verifiziert wurde.

48



AWS Organizations BenutzerhandbuchVerwalten schwebender Einladungen für Ihre Organisation

3. Wählen Sie auf der Registerkarte Konten die Option Konto hinzufügen.4. Wählen Sie Invite account.5. Geben Sie entweder die E-Mail-Adresse oder die Konto-ID-Nummer des AWS-Kontos ein, das Sie

zu Ihrer Organisation einladen möchten. Wenn Sie mehrere Konten einladen möchten, trennenSie sie durch Kommas.

6. (Optional) Geben Sie unter Notes (Hinweise) eine beliebige Nachricht ein, die Sie mit der E-Mail-Einladung an die anderen Kontoinhaber senden möchten.

7. (Optional) Sie können ein oder mehrere Tags angeben, die auf das Konto angewendet werden,wenn der Administrator die Einladung annimmt. Wählen Sie dazu Add tag (Tag hinzufügen) undgeben Sie dann einen Schlüssel und einen optionalen Wert ein. Wenn Sie den Wert leer lassen,wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einem AWS-Konto bis zu50 Tags anfügen.

8. Klicken Sie auf Invite.

Important

Wenn Sie eine Meldung erhalten, die darauf hinweist, dass Sie Ihr Kontokontingent fürdie Organisation überschritten haben oder dass Sie kein Konto hinzufügen können, weilIhre Organisation immer noch initialisiert wird, wenden Sie sich an AWS Support.

9. Die Konsole leitet Sie zur Registerkarte Einladungen weiter. Zeigen Sie alle offenen undakzeptierten Einladungen hier an. Die Einladung, die Sie gerade erstellt haben, wird oben auf derListe mit dem Status OPEN angezeigt.

AWS Organizations sendet eine Einladung an die E-Mail-Adresse des Inhabers des Kontos, dasSie zu Ihrer Organisation eingeladen haben. Diese E-Mail-Nachricht enthält einen Link zur AWSOrganizations-Konsole, über den der Kontoinhaber die Details ansehen und auswählen kann, ober die Einladung akzeptiert oder ablehnt. Alternativ kann der Inhaber des eingeladenen Kontosdie E-Mail-Nachricht umgehen, direkt zur AWS Organizations-Konsole wechseln, die Einladunganzeigen und sie akzeptieren oder ablehnen.

Die Einladung für dieses Konto wird sofort auf die maximale Anzahl der Konten, die Sie in IhrerOrganisation haben können, angerechnet; AWS Organizations wartet nicht, bis das Kontodie Einladung annimmt. Wenn das eingeladene Konto ablehnt, hebt das Managementkontodie Einladung auf. Wenn das eingeladene Konto nicht innerhalb des angegebenen Zeitraumsreagiert, läuft die Einladung ab. In beiden Fällen wird die Einladung Ihrem Kontingent nicht mehrangerechnet.

AWS CLI, AWS API

Einladen eines anderen Kontos zu Ihrer Organisation

Sie können einen der folgenden Befehle verwenden, um ein anderes Konto zum Beitritt zu IhrerOrganisation einzuladen:

• AWS CLI: aws organizations invite-account-to-organization• AWS-API:InviteAccountToOrganization

Verwalten schwebender Einladungen für IhreOrganisationWenn Sie bei Ihrem Managementkonto angemeldet sind, können Sie alle verknüpften AWS-Konten in IhrerOrganisation anzeigen und ausstehende (offene) Einladungen abbrechen. Führen Sie dazu die folgendenSchritte aus.

49


https://docs.aws.amazon.com/cli/latest/reference/organizations/invite-account-to-organization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_InviteAccountToOrganization.html

AWS Organizations BenutzerhandbuchAkzeptieren oder Ablehnen einerEinladung von einer Organisation


Zum Verwalten schwebender Einladungen für Ihre Organisation benötigen Sie folgendeBerechtigungen:

• organizations:DescribeOrganization (nur Konsole)• organizations:ListHandshakesForOrganization

• organizations:CancelHandshake


So zeigen Sie Einladungen an oder stornieren sie, die von Ihrer Organisation an andereKonten gesendet wurden


2. Wählen Sie die Registerkarte Invitations. Hier sind alle Einladungen mit aktuellem Statusaufgeführt, die von Ihrer Organisation gesendet wurden.

Note

Akzeptierte, abgebrochene und abgelehnte Einladungen werden 30 Tage lang weiterhinin der Liste angezeigt. Danach werden sie gelöscht und nicht mehr in der Liste angezeigt.

3. Für alle offenen Einladungen, die Sie abbrechen möchten, wählen Sie in der Spalte Actions denEintrag Cancel aus.

Der Status der Einladung ändert sich von Offen in Abgebrochen.

AWS sendet eine E-Mail-Nachricht an den Kontoinhaber, die besagt, dass Sie die Einladungabgebrochen haben. Das Konto kann der Organisation nicht mehr beitreten, es sei denn, Siesenden eine neue Einladung.

AWS CLI, AWS API

Ansehen oder Abbrechen von Einladungen, die von Ihrer Organisation an andere Konten () gesendetwurden

Mit den folgenden Befehlen können Sie Einladungen anzeigen oder stornieren:

• AWS CLI: aws organizations list-handshakes-for-organization, aws organizations cancel-handshake• AWS-API: ListHandshakesForOrganization–CancelHandshake

Akzeptieren oder Ablehnen einer Einladung von einerOrganisationIn Ihrem AWS-Konto kann eine Einladung zum Beitritt einer Organisation eingehen. Sie können dieEinladung akzeptieren oder ablehnen. Führen Sie dazu die folgenden Schritte aus.

Note

Der Status eines Kontos bei einer Organisation wirkt sich darauf aus, welche Kosten- undNutzungsdaten angezeigt werden:

50



https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html

https://docs.aws.amazon.com/cli/latest/reference/organizations/cancel-handshake.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CancelHandshake.html

AWS Organizations BenutzerhandbuchAkzeptieren oder Ablehnen einerEinladung von einer Organisation

• Wenn ein Mitgliedskonto eine Organisation verlässt und ein eigenständiges Konto wird, hatdas Konto keinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als dasKonto ein Mitglied der Organisation war. Das Konto hat nur Zugriff auf die Daten, die als eineigenständiges Konto generiert werden.

• Wenn ein Mitgliedskonto Organisation A verlässt, um Organisation B beizutreten, hat das Kontokeinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als das Konto Mitgliedder Organisation A war. Das Konto hat nur Zugriff auf die Daten, die Mitglied der Organisation Bgeneriert werden.

• Wenn ein Konto erneut einer Organisation beitritt, zu der es vorher gehörte, erhält das Kontowieder Zugriff auf seine früheren Kosten- und Nutzungsdaten.


Zum Akzeptieren oder Ablehnen einer Einladung zum Beitritt einer AWS-Organisation benötigenSie folgende Berechtigungen:

• organizations:ListHandshakesForAccount – Erforderlich, um die Liste der Einladungenin der AWS Organizations-Konsole anzuzeigen.

• organizations:AcceptHandshake.• organizations:DeclineHandshake.• iam:CreateServiceLinkedRole – Nur erforderlich, wenn das Annehmen der Einladung

die Erstellung einer servicegebundenen Rolle erfordert, um die Integration mit anderen AWS-Services zu unterstützen. Weitere Informationen finden Sie im AWS Organizations undserviceverknüpfte Rollen (p. 213).


Akzeptieren oder Ablehnen einer Einladung

1. Eine Einladung zu einer Organisation wird an die E-Mail-Adresse des Kontoinhabers gesendet.Wenn Sie Kontoinhaber sind und eine E-Mail-Einladungsnachricht erhalten, befolgen Sie dieAnweisungen in der E-Mail-Einladung oder wechseln Sie zu https://console.aws.amazon.com/organizations/ in Ihrem Browser und wählen Sie dann Respond to invitations (Auf Einladungenantworten) aus.

2. Wenn Sie dazu aufgefordert werden, melden Sie sich im eingeladen Konto als IAM-Benutzer an,nehmen Sie eine IAM-Rolle an oder melden Sie sich als Root-Benutzer an (nicht empfohlen).

3. Auf der Seite Invitations in der Konsole können Sie Ihre offenen Einladungen zum Beitritt zuOrganisationen sehen. Wählen Sie entsprechend Akzeptieren oder Ablehnen.

• Wenn Sie im vorhergehenden Schritt die Option Accept gewählt haben, wählen Sie imBestätigungsfenster Confirm joining the organization Confirm aus.

Die Konsole leitet Sie zur Seite Organization overview mit Details zu der Organisation weiter,der Ihr Konto jetzt angehört. Sie können die ID der Organisation und die E-Mail-Adresse desInhabers sehen.

Note

Akzeptierte Einladungen werden 30 Tage lang weiterhin in der Liste angezeigt. Danachwerden sie gelöscht und nicht mehr in der Liste angezeigt.

AWS Organizations erstellt automatisch eine servicegebundene Rolle im neuen Mitgliedskonto,um die Integration zwischen AWS Organizations und anderen AWS-Services zuunterstützen. Weitere Informationen finden Sie im AWS Organizations und serviceverknüpfteRollen (p. 213).

51




AWS Organizations BenutzerhandbuchErstellen eines -Kontos

AWS sendet eine E-Mail-Nachricht an den Eigentümer des Verwaltungskontos der Organisationmit dem Hinweis, dass Sie die Einladung angenommen haben. Außerdem wird eine E-Mailan den Inhaber des Mitgliedskontos gesendet, der besagt, dass das Konto jetzt Mitglied derOrganisation ist.

• Wenn Sie im vorherigen Schritt Decline ausgewählt haben, bleibt Ihr Konto auf der SeiteInvitations, auf der alle anderen schwebenden Einladungen aufgeführt sind.

AWS sendet eine E-Mail-Nachricht an den Inhaber des Verwaltungskontos der Organisation mitdem Hinweis, dass Sie die Einladung abgelehnt haben.

Note

Abgelehnte Einladungen werden 30 Tage lang weiterhin in der Liste angezeigt. Danachwerden sie gelöscht und nicht mehr in der Liste angezeigt.

AWS CLI, AWS API

Akzeptieren oder Ablehnen einer Einladung

Mit den folgenden Befehlen können Sie Einladungen annehmen oder ablehnen:

• AWS CLI: aws organizations accept-handshake, aws organizations decline-handshake• AWS-API: AcceptHandshake–DeclineHandshake

Erstellen eines AWS-Kontos Ihrer OrganisationAuf dieser Seite wird beschrieben, wie Sie Konten innerhalb Ihrer Organisation in AWS Organizationserstellen. Weitere Informationen zu den ersten Schritten mit AWS und zum Erstellen eines einzelnen AWS-Kontos finden Sie im Ressourcencenter „Erste Schritte“.

Eine Organisation ist eine Sammlung von AWS-Konten, die Sie zentral verwalten. Sie können diefolgenden Verfahren zum Verwalten der Konten Ihrer Organisation ausführen:

• Erstellen eines AWS-Kontos, das Teil Ihrer Organisation ist (p. 53)• Zugreifen auf ein Mitgliedskonto mit einer Zugriffsrolle für ein Management-Konto (p. 58)

Important

• Wenn Sie ein Mitgliedskonto in Ihrer Organisation erstellen, erstellt AWS Organizationsautomatisch eine AWS Identity and Access Management (IAM)-Rolle im Mitgliedskonto.Diese Rolle ermöglicht es IAM-Benutzern im Managementkonto (ehemals als "Masterkonto"bezeichnet), die volle administrative Kontrolle über das Mitgliedskonto auszuüben. DieseRolle ist von allen für das Mitgliedskonto geltenden Service-Kontrollrichtlinien (Service ControlPolicies, SCPs) (p. 93) betroffen.

AWS Organizations erstellt außerdem automatisch eine servicegebundene Rolle namensAWSServiceRoleForOrganizations, die die Integration mit ausgewählten AWS-Services ermöglicht. Um die Integration zu ermöglichen, müssen Sie die anderen Serviceskonfigurieren. Weitere Informationen finden Sie im AWS Organizations und serviceverknüpfteRollen (p. 213).

• Wenn diese Organisation mit AWS Control Tower verwaltet wird, erstellen Sie Ihre Kontenmithilfe der AWS Control Tower Account Factory in der AWS Control Tower-Konsole oder APIs.Wenn Sie das Konto in Organisationen erstellen, ist dieses Konto nicht bei AWS Control Tower

52


https://docs.aws.amazon.com/cli/latest/reference/organizations/decline-handshake.html


https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeclineHandshake.html

https://aws.amazon.com/getting-started/

AWS Organizations BenutzerhandbuchErstellen eines AWS-Kontos, das Teil Ihrer Organisation ist

angemeldet. Weitere Informationen finden Sie unter Referenzieren auf Ressourcen außerhalbvon AWS Control Tower im BenutzerhandbuchAWS Control Tower.

Erstellen eines AWS-Kontos, das Teil IhrerOrganisation istWenn Sie am Managementkonto der Organisation angemeldet sind, können Sie Mitgliedskonten erstellen,die automatisch Teil Ihrer Organisation sind. Führen Sie dazu die folgenden Schritte aus.

Wenn Sie mit dem folgenden Verfahren ein Konto erstellen, kopiert Organizations automatisch diefolgenden Informationen aus dem Managementkonto in das neue Mitgliedskonto:

• Account name (Kontoname)• "Phone number (Telefonnummer)"• Company name (Unternehmensname)• Kunden-URL• Unternehmenskontakt-E-Mail• Sprache der Kommunikation• Marketplace (Anbieter des Kontos in einigen AWS-Regionen)

AWS sammelt nicht automatisch alle Informationen, die erforderlich sind, damit ein Konto alseigenständiges Konto funktioniert. Wenn Sie jemals das Konto aus der Organisation entfernen und zueinem eigenständigen Konto machen müssen, müssen Sie diese Informationen für das Konto bereitstellen,bevor Sie es entfernen können. Weitere Informationen finden Sie im Verlassen einer Organisation alsMitgliedskonto (p. 62).


Um ein Mitgliedskonto in Ihrer Organisation zu erstellen, müssen Sie über die folgendenBerechtigungen verfügen:

• organizations:CreateAccount

• organizations:DescribeOrganization (nur Konsole)• iam:CreateServiceLinkedRole (wird dem Prinzipal organizations.amazonaws.com

gewährt, um die erforderliche serviceverknüpfte Rolle in den Mitgliedskonten zu erstellen).


So erstellen Sie ein AWS-Konto, das automatisch Teil Ihrer Organisation ist


2. Wählen Sie auf der Registerkarte Konten die Option Konto hinzufügen.3. Wählen Sie Create account.4. Geben Sie den Namen ein, den Sie dem Konto zuweisen möchten. Dieser Name hilft Ihnen, das

Konto von anderen Konten der Organisation zu unterscheiden. Es handelt sich nicht um den IAM-Alias oder den E-Mail-Namen des Besitzers.

5. Geben Sie die E-Mail-Adresse des Besitzers des neuen Kontos ein. Diese Adresse muss fürdieses Konto eindeutig sein, da sie verwendet werden kann, um sich als Root-Benutzer desKontos anzumelden.

53

https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources




AWS Organizations BenutzerhandbuchErstellen eines AWS-Kontos, das Teil Ihrer Organisation ist

6. (Optional) Geben Sie den Namen ein, der der IAM-Rolle zugewiesen wird, die automatischin dem neuen Konto erstellt wird. Diese Rolle gewährt dem Managementkonto derOrganisation die Berechtigung für den Zugriff auf das neu erstellte Mitgliedskonto. WennSie keinen Namen angeben, gibt AWS Organizations der Rolle den StandardnamenOrganizationAccountAccessRole.

Important

Notieren Sie sich diesen Rollennamen. Sie benötigen sie später, um IAM-Benutzern imManagementkonto Zugriff auf das neue Konto zu gewähren.

7. (Optional) Sie können dem neuen Konto ein oder mehrere Tags hinzufügen, indem Sie Add tag(Tag hinzufügen) auswählen und dann einen Schlüssel und einen optionalen Wert eingeben.Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Siekönnen einem Konto bis zu 50 Tags anfügen.

8. Wählen Sie Create (Erstellen) aus.

• Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie Ihr Kontokontingentfür die Organisation überschritten haben, finden Sie weitere Informationen unter Ich erhalteeine Meldung „Kontingent überschritten“, wenn ich versuche, meiner Organisation ein Kontohinzuzufügen. (p. 308).

• Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie ein Konto nichthinzufügen können, weil Ihre Organisation noch initialisiert wird, warten Sie eine Stunde, undversuchen Sie es dann erneut.

• Sie können auch die AWS CloudTrail-Protokolle auf Informationen darüber prüfen, ob dieKontoerstellung erfolgreich war. Weitere Informationen finden Sie im Protokollierung undÜberwachung in AWS Organizations (p. 293).

• Wenn das Problem weiterhin besteht, wenden Sie sich bitte an AWS Support.9. Sie werden zur Registerkarte Accounts/All accounts umgeleitet. Diese zeigt das neue Konto oben

in der Liste an. Der Status ist Pending creation. Wenn das Konto erstellt wird, ändert sich dieserStatus in Active (Aktiv).

Note

Standardmäßig werden fehlgeschlagene Anfragen zur Erstellung von Konten auf derRegisterkarte Accounts verborgen. Um sie anzuzeigen, wählen Sie den Schalter oben inder Liste und ändern ihn in Show.

10. Nachdem das Konto nun vorhanden ist und über eine IAM-Rolle verfügt, die den Benutzernim Managementkonto Administratorzugriff gewährt, können Sie auf das Konto zugreifen,indem Sie die Schritte unter Auf die Mitgliedskonten Ihrer Organisation zugreifen und dieseadministrieren (p. 55) befolgen.

Wenn Sie ein Konto erstellen, weist AWS Organizations dem Stammbenutzer zunächst ein langes(64 Zeichen) und komplexes, zufällig generiertes Passwort zu. Sie können dieses anfänglichePasswort nicht abrufen. Um als Stammbenutzer erstmals auf das Konto zugreifen zu können,müssen Sie den Prozess für die Passwortwiederherstellung ausführen. Weitere Informationenfinden Sie im Zugreifen auf ein Mitgliedskonto als Root-Benutzer (p. 55).

AWS CLI, AWS API

So erstellen Sie ein AWS-Konto, das automatisch Teil Ihrer Organisation ist

Sie können einen der folgenden Befehle verwenden, um ein Konto zu erstellen:

• AWS CLI: aws organizations create-account• AWS-API:CreateAccount

54


https://docs.aws.amazon.com/cli/latest/reference/organizations/create-account.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html

AWS Organizations BenutzerhandbuchZugreifen auf Mitgliedskonten

Auf die Mitgliedskonten Ihrer Organisation zugreifenund diese administrieren

Wenn Sie ein Konto in Ihrer Organisation erstellen, erstellt zusätzlich zum Root-Benutzer automatisch eineAWS Organizations-Rolle mit dem Standardnamen IAM.OrganizationAccountAccessRole Sie könnenden Namen angeben, wenn Sie ihn erstellen. Wir verweisen in diesem Handbuch mit dem Standardnamenauf diese Rolle. AWS Organizations erstellt allerdings keine anderen IAM-Benutzer, Gruppen oder sonstigeRollen. Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines derfolgenden Verfahren durchführen:

• Das Konto hat einen Root-Benutzer, über den Sie sich anmelden können. Wir empfehlen, dass Sieden Root-Benutzer nur zur Erstellung von IAM-Benutzern, -Gruppen und -Rollen verwenden und sichdann immer mit einem dieser Elemente anmelden. Siehe Zugreifen auf ein Mitgliedskonto als Root-Benutzer (p. 55).

• Wenn Sie ein Konto mithilfe der als Teil von AWS Organizations bereitgestellten Tools erstellen,können Sie über die in allen so erstellten neuen Konten vorhandene vorkonfigurierte Rolle namensOrganizationAccountAccessRole auf das Konto zugreifen. Siehe Zugreifen auf ein Mitgliedskontomit einer Zugriffsrolle für ein Management-Konto (p. 58).

• Wenn Sie ein vorhandenes Konto zum Beitritt in Ihrer Organisation einladen und das Konto dieEinladung annimmt, können Sie eine IAM-Rolle erstellen, die dem Managementkonto den Zugriff aufdas eingeladene Mitgliedskonto ermöglicht. Diese Rolle soll mit der Rolle identisch sein, die automatischeinem Konto hinzugefügt wird, das mit AWS Organizations erstellt wird. Informationen zum Erstellendieser Rolle finden Sie unter Erstellen der OrganizationAccountAccessRole in einem eingeladenenMitgliedskonto (p. 56). Nach dem Erstellen der Rolle können Sie mit den Schritten in Zugreifen auf einMitgliedskonto mit einer Zugriffsrolle für ein Management-Konto (p. 58) zugreifen.

• Verwenden Sie AWS – Einmaliges Anmelden und aktivieren Sie vertrauenswürdigen Zugrifffür AWS SSO mit AWS Organizations. Auf diese Weise können sich Benutzer mit ihrenUnternehmensanmeldeinformationen am AWS SSO-Benutzerportal anmelden und auf Ressourcen inihrem zugewiesenen Managementkonto oder Mitgliedskonto zugreifen.

Weitere Informationen finden Sie unter Verwalten von SSO zu Ihren AWS-Konten im AWS – EinmaligesAnmelden-Benutzerhandbuch. Weitere Informationen zum Einrichten des vertrauenswürdigen Zugriffs fürAWS SSO finden Sie unter AWS – Einmaliges Anmelden und AWS Organizations (p. 271).


Um von einem anderen Konto in Ihrer Organisation auf ein AWS-Konto zuzugreifen, benötigen Siedie folgende Berechtigung:

• sts:AssumeRole – Das Resource-Element muss entweder auf ein Sternchen (*) oder auf dieKonto-ID-Nummer des Kontos des Benutzers festgelegt sein, der auf das neue Mitgliedskontozugreifen muss.

Zugreifen auf ein Mitgliedskonto als Root-BenutzerWenn Sie ein neues Konto erstellen, weist AWS Organizations dem Stammbenutzer zunächst einPasswort zu, das mindestens 64 Zeichen lang ist. Alle Zeichen werden zufällig generiert, ohne Garantie,dass bestimmte Zeichensätze vorkommen. Sie können dieses anfängliche Passwort nicht abrufen.Um als Stammbenutzer erstmals auf das Konto zugreifen zu können, müssen Sie den Prozess für diePasswortwiederherstellung ausführen.

55

https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html

AWS Organizations BenutzerhandbuchErstellen der OrganizationAccountAccessRole

in einem eingeladenen Mitgliedskonto

Notes

• Als bewährte Methode wird empfohlen, den Root-Benutzer nur für den Zugriff auf Ihr Konto zunutzen, um andere Benutzer und Rollen mit eingeschränkteren Berechtigungen zu erstellen.Melden Sie sich dann als einer dieser neuen Benutzer oder Rollen an.

• Außerdem empfehlen wir, Multi-Factor Authentication (MFA) für den Root-Benutzereinzurichten. Setzen Sie das Passwort zurück und ordnen Sie dem Stammbenutzer ein MFA-Gerät zu.

• Wenn Sie ein Mitgliedskonto in einer Organisation mit einer falschen E-Mail-Adresse erstellthaben, können Sie sich beim Konto nicht als Root-Benutzer anmelden. Wenden Sie sich anAWS Billing and Support .

So fordern Sie ein neues Passwort für den Stammbenutzer des Mitgliedskontos an

1. Rufen Sie die Seite Anmelden der AWS-Konsole unter https://console.aws.amazon.com/ auf. WennSie bereits bei AWS angemeldet sind, müssen Sie sich zunächst abmelden, um die Anmeldeseiteaufzurufen.

2. Wenn die Seite Sign in (Anmelden) drei Textfelder anzeigt für Account ID or alias (Konto-ID oderAlias), IAM user name (IAM-Benutzername) und Password (Passwort), wählen Sie Sign-in using rootaccount credentials (Mit Anmeldeinformationen des Stammkontos anmelden).

3. Geben Sie die E-Mail-Adresse ein, die Ihrem AWS-Konto zugeordnet ist, und wählen Sie dann Next(Weiter) aus.

4. Wählen Sie Passwort vergessen? aus und geben Sie die erforderlichen Informationen zumZurücksetzen des Passworts ein, um ein neues anzugeben. Dazu müssen Sie auf eingehende E-Mailszugreifen können, die an die E-Mail-Adresse gesendet werden, die dem Konto zugeordnet ist.

Erstellen der OrganizationAccountAccessRole ineinem eingeladenen MitgliedskontoWenn Sie ein Mitgliedskonto als Teil Ihrer Organisation erstellen, erstellt AWS standardmäßig automatischeine Rolle in dem Konto, das Admin-Berechtigungen für die delegierten IAM-Benutzer im Management-Konto gewährt. Standardmäßig heißt diese Rolle OrganizationAccountAccessRole. WeitereInformationen finden Sie unter Zugreifen auf ein Mitgliedskonto mit einer Zugriffsrolle für ein Management-Konto (p. 58).

Für Mitgliedskonten allerdings, die Sie zum Beitritt zur Organisation einladen, wird nicht automatischeine Admin-Rolle erstellt. Sie müssen dies, wie in der folgenden Prozedur gezeigt, manuellerledigen. Die Prozedur dupliziert die automatisch für erstellte Konten eingerichtete Rolle. Wirempfehlen, dass Sie aus Konsistenzgründen und zur leichteren Erkennbarkeit denselben Namen(OrganizationAccountAccessRole) für Ihre manuell erstellten Rollen nutzen.

So erstellen Sie eine AWS Organizations-Admin-Rolle in einem Mitgliedskonto (Konsole)

1. Melden Sie sich bei der IAM-Konsole unter https://console.aws.amazon.com/iam/ an. Sie müssen sichim Mitgliedskonto mit Berechtigung zum Erstellen von IAM-Rollen und -Richtlinien als IAM-Benutzeranmelden, eine -Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlenIAM).

2. Navigieren Sie in der IAM-Konsole zu Roles (Rollen) und klicken Sie dann auf Create Role (Rolleerstellen).

3. Wählen Sie Another AWS account aus.4. Geben Sie die zwölfstellige Konto-ID des Verwaltungskontos ein, auf das Sie Administratorzugriff

gewähren möchten, und wählen Sie Next: (Weiter:) aus. Berechtigungen

56

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html


https://console.aws.amazon.com/

https://console.aws.amazon.com/iam/


AWS Organizations BenutzerhandbuchErstellen der OrganizationAccountAccessRole

in einem eingeladenen Mitgliedskonto

Da die Konten in Ihrem Unternehmen intern sind, sollten Sie für diese Rolle nicht die Option Requireexternal ID auswählen. Weitere Informationen zur Option der externen ID finden Sie unter Wann sollteich die externe ID verwenden? im IAM-Benutzerhandbuch.

5. Wenn Sie MFA aktiviert und konfiguriert haben, können Sie optional eine Authentifizierung mithilfeeines Multi-Factor Authentication (MFA)-Geräts festlegen. Weitere Informationen zur Multifaktor-Authentifizierung finden Sie unter mit Verwenden von Multi-Factor Authentication (MFA) in AWS imIAM-Benutzerhandbuch.

6. Wählen Sie auf der Seite Attach permissions policies (Berechtigungsrichtlinien anfügen) die AWS-verwaltete Richtlinie namens AdministratorAccess und dann Next: (Weiter:) aus. -Tags.

7. Wählen Sie auf der Seite Add tags (optional) (Tags hinzufügen (optional)) die Option Next: (Weiter:)aus. Prüfen.

8. Geben Sie auf der Seite Review einen Rollennamen und eine optionale Beschreibung an. Wirempfehlen, dass Sie zur Übereinstimmung mit dem Standardnamen für die Rolle in neuen Konten denNamen „OrganizationAccountAccessRole“ verwenden. Wählen Sie Create Role (Rolle erstellen)aus, um Ihre Änderungen zu übernehmen.

9. Die neue Rolle erscheint in der Liste der verfügbaren Rollen. Wählen Sie den Namen der neuen Rolleaus, um die Details anzuzeigen. Beachten Sie dabei besonders die angegebene Link-URL. Geben Siediese URL an die Benutzer im Mitgliedskonto weiter, die Zugriff auf die Rolle benötigen. Notieren Siesich außerdem den Role ARN (Rollen-ARN). Sie benötigen ihn in Schritt 15.

10. Melden Sie sich bei der IAM-Konsole unter https://console.aws.amazon.com/iam/ an. Melden Sie sichjetzt als Benutzer mit Berechtigungen zum Erstellen von -Richtlinien und zum Zuweisen der Richtlinienzu -Benutzern oder -Gruppen an.

11. Navigieren Sie zu Policies (Richtlinien) und wählen Sie dann Create Policy (Richtlinie erstellen) aus.

Note

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen und an eine Gruppe anfügen.Wenn Sie diese Richtlinie bereits für andere Konten erstellt haben, fahren Sie mit Schritt 18fort.

12. Wählen Sie unter Service die Option STS aus.13. Für Actions geben Sie AssumeRole in das Feld Filter ein und aktivieren Sie dann das

Kontrollkästchen daneben, wenn es angezeigt wird.14. Wählen Sie Resources (Ressourcen) aus, stellen Sie sicher, dass Specific (Spezifisch) ausgewählt ist,

und wählen Sie dann Add ARN (ARN hinzufügen) aus.15. Geben Sie Ihre AWS-Mitgliedskonto-ID-Nummer und dann den Namen der Rolle ein, die Sie zuvor in

den Schritten 1–8 erstellt haben. Wählen Sie Add aus.16. Wenn Sie die Berechtigung zur Übernahme der Rolle in mehreren Mitgliedskonten erteilen,

wiederholen Sie die Schritte 14 und 15 für jedes Konto.17. Wählen Sie Review policy (Richtlinie prüfen) aus.18. Geben Sie einen Namen für die neue Richtlinie ein und wählen Sie dann Create policy (Richtlinie

erstellen) aus, um Ihre Änderungen zu speichern.19. Wählen Sie Groups (Gruppen) im Navigationsbereich aus und wählen Sie dann den Namen der

Gruppe (nicht das Kontrollkästchen), die Sie zur Delegierung der Administration des Mitgliedskontosnutzen möchten.

20. Wählen Sie die Registerkarte Permissions aus.21. Wählen Sie Attach Policy (Richtlinie anfügen). Wählen Sie die Richtlinie aus, die Sie in Schritt 11–18

erstellt haben, und wählen Sie dann Attach Policy (Richtlinie anfügen) aus.

Die Benutzer, die Mitglieder der ausgewählten Gruppe sind, können jetzt die URLs verwenden, die Siein Schritt 9 erfasst haben, um auf die Rolle jedes Mitgliedskontos zuzugreifen. Sie können auf dieseMitgliedskonten so zugreifen wie beim Zugriff auf ein in der Organisation erstelltes Konto. Weitere

57

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use



AWS Organizations BenutzerhandbuchZugreifen auf ein Mitgliedskonto mit einerZugriffsrolle für ein Management-Konto

Informationen über die Verwendung der Rolle zur Administration eines Mitgliedskontos finden Sie unterZugreifen auf ein Mitgliedskonto mit einer Zugriffsrolle für ein Management-Konto (p. 58).

Zugreifen auf ein Mitgliedskonto mit einer Zugriffsrollefür ein Management-KontoWenn Sie ein Mitgliedskonto mit der AWS Organizations-Konsole erstellen, erstellt AWS Organizationsautomatisch eine IAM-Rolle namens OrganizationAccountAccessRole im Konto. Diese Rollehat volle administrative Berechtigungen im Mitgliedskonto. Die Rolle ist auch so konfiguriert, dasssie Zugriff auf das Managementkonto der Organisation gewährt. Sie können eine identische Rollefür ein eingeladenes Mitgliedskonto erstellen, indem Sie entsprechend der Schritte in Erstellen derOrganizationAccountAccessRole in einem eingeladenen Mitgliedskonto (p. 56) vorgehen. Umdiese Rolle für den Zugriff auf das Mitgliedskonto zu verwenden, müssen Sie sich als Benutzer desManagementkontos anmelden, das über Berechtigungen zum Annehmen der Rolle verfügt. FührenSie das folgende Verfahren aus, um diese Berechtigungen zu konfigurieren. Wir empfehlen, dass SieBerechtigungen zu Gruppen statt zu Benutzern zuweisen. Dies vereinfacht die Wartung.

So erteilen Sie Mitgliedern einer IAM-Gruppe im Managementkonto Berechtigungen für den Zugriffauf die Rolle (Konsole)

1. Melden Sie sich bei der IAM-Konsole unter https://console.aws.amazon.com/iam/ als Benutzer mitAdministratorberechtigungen im Managementkonto an. Dies ist erforderlich, um Berechtigungen zu derIAM-Gruppe zuzuweisen, deren Benutzer auf die Rolle im Mitgliedskonto zugreifen.

2. Erstellen Sie zunächst die verwaltete Richtlinie, die Sie später in Step 11 (p. 58) benötigen.

Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen)aus.

3. Wählen Sie auf der Registerkarte „Visual Editor (Visueller Editor)“ die Option Choose a service(Service auswählen) aus, geben Sie STS in das Suchfeld ein, um die Liste zu filtern, und wählen Sieanschließend die Option STS aus.

4. Geben Sie im Abschnitt Actions (Aktionen) in das Suchfeld ein, um die Liste zu filtern, und wählen Siedann die Option assumeAssumeRole aus.

5. Wählen Sie im Abschnitt „Resources (Ressourcen)“ die Option Specific (Spezifisch) und dann AddARN to restrict access (ARN hinzufügen, um Zugriff einzuschränken) aus. Geben Sie anschließend dieMitgliedskontonummer und den Namen der Rolle ein, die Sie im vorherigen Abschnitt erstellt haben.(Sie sollten dieser Rolle den Namen OrganizationAccountAccessRole geben.)

6. Wählen Sie „Add (Hinzufügen)“ aus, wenn im Dialogfeld der richtige ARN angezeigt wird.7. (Optional) Wenn Sie eine Multi-Factor Authentication (MFA) anfordern oder den Zugriff auf die Rolle

aus einem angegebenen IP-Adressbereich einschränken möchten, erweitern Sie den Abschnitt„Request conditions (Anforderungsbedingungen)“ und wählen die Optionen aus, die Sie durchsetzenmöchten.

8. Wählen Sie Review policy (Richtlinie prüfen) aus.9. Geben Sie im Feld Name (Name) einen Namen für Ihre Richtlinie ein. Beispiel:

GrantAccessToOrganizationAccountAccessRole: Sie können auch eine optionaleBeschreibung hinzufügen.

10. Wählen Sie Create policy (Richtlinie erstellen) aus, um die neue verwaltete Richtlinie zu speichern.11. Da die Richtlinie jetzt verfügbar ist, können Sie diese einer Gruppe anfügen.

Wählen Sie im Navigationsbereich Groups und anschließend den Namen der Gruppe (nicht dasKontrollkästchen), deren Mitglieder die Rolle im Mitgliedskonto annehmen sollen. Falls erforderlich,können Sie eine neue Gruppe erstellen.

12. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) unter Managed Policies (VerwalteteRichtlinien) die Option Attach Policy (Richtlinie anfügen) aus.

58


AWS Organizations BenutzerhandbuchEntfernen eines Mitgliedskontos

13. (Optional) Sie können im Feld Search (Suchen) mit der Eingabe des Namens Ihrer Richtlinie beginnen,um die Liste zu filtern, bis Ihnen der Name der Richtlinie angezeigt wird, die Sie gerade in Step2 (p. 58) über Step 10 (p. 58) erstellt haben. Sie können auch alle AWS-verwalteten Richtlinienherausfiltern, indem Sie Policy Type (Richtlinientyp) und anschließend Customer Managed (VomKunden verwaltet) auswählen.

14. Aktivieren Sie das Kontrollkästchen neben der Richtlinie. Wählen Sie anschließend Attach Policy(Richtlinie anfügen) aus.

IAM-Benutzer, die Mitglied der Gruppe sind, haben jetzt Berechtigungen zum Wechseln zu der neuen Rollein der AWS Organizations-Konsole; durch Ausführen der nachfolgenden Schritte.

So wechseln Sie zur Rolle für das Mitgliedskonto (Konsole):

Wenn er die Rolle verwendet, hat der Benutzer Administratorberechtigungen im neuen Mitgliedskonto.Weisen Sie Ihre IAM-Benutzer, die Mitglieder der Gruppe sind, an, die folgenden Schritte auszuführen, umzur neuen Rolle zu wechseln.

1. Wählen Sie in der rechten oberen Ecke der AWS Organizations-Konsole den Link aus, der denaktuellen Anmeldenamen enthält, und wählen Sie dann Switch role (Rolle wechseln) aus.

2. Geben Sie die von Ihrem Administrator erhaltene Konto-ID und den Rollennamen ein.3. Geben Sie unter Display Name (Anzeigename) den Text ein, der während der Verwendung der Rolle

in der Navigationsleiste in der oberen rechten Ecke statt Ihres Benutzernamens angezeigt werden soll.Optional können Sie eine Farbe auswählen.

4. Wählen Sie Switch Role. Nun werden alle von Ihnen ausgeführten Aktionen mit den für die gewählteRolle gewährten Berechtigungen ausgeführt. Solange Sie nicht zurück wechseln, müssen dieBerechtigungen nicht Ihrem ursprünglichen IAM-Benutzer zugewiesen werden.

5. Nach der Ausführung von Aktionen, für die Sie die Berechtigungen der Rolle benötigen, können Siezum normalen IAM-Benutzer zurückwechseln. Wählen Sie den Rollennamen in der oberen rechtenEcke (entsprechend des von Ihnen unter Display Name angegebenen Namens) und dann Back toUserName.

Weitere Ressourcen• Weitere Informationen zur Gewährung von Berechtigungen zum Wechseln von Rollen finden Sie unter

Gewähren einer Benutzerberechtigung zum Wechseln von Rollen im IAM-Benutzerhandbuch.• Weitere Informationen zum Verwenden einer Rolle, zu deren Übernahme Sie berechtigt sind, finden Sie

unter Wechseln zu einer Rolle (AWS Management Console) im IAM-Benutzerhandbuch.• Ein Tutorial zur Verwendung von Rollen für den kontoübergreifenden Zugriff finden Sie unter Tutorial:.

Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollen im IAM-Benutzerhandbuch.• Weitere Informationen zum Schließen von AWS-Konten finden Sie unter Schließen eines AWS-

Kontos (p. 64).

Entfernen eines Mitgliedskontos aus IhrerOrganisation

Bei der Verwaltung von Konten in einer Organisation werden Mitgliedskonten entfernt, die nicht mehrbenötigt werden. Auf dieser Seite wird angegeben, was Sie vor dem Entfernen eines Kontos wissen sollten.Darüber hinaus werden Prozeduren zum Entfernen von Konten bereitgestellt.

Weitere Informationen zum Entfernen des Verwaltungskontos (früher als "Masterkonto" bezeichnet) findenSie unter Löschen der Organisation durch Entfernen des Managementkontos (p. 44).

59

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html


AWS Organizations BenutzerhandbuchVor dem Entfernen eines Kontos aus einer Organisation

Themen• Vor dem Entfernen eines Kontos aus einer Organisation (p. 60)• Entfernen eines Mitgliedskontos aus Ihrer Organisation (p. 61)• Verlassen einer Organisation als Mitgliedskonto (p. 62)

Vor dem Entfernen eines Kontos aus einerOrganisationBevor Sie ein Konto entfernen, müssen Sie Folgendes wissen:

• Sie können ein Konto nur dann aus Ihrer Organisation entfernen, wenn es über die erforderlichenInformationen verfügt, um als eigenständiges Konto zu funktionieren. Wenn Sie über die AWSOrganizations-Konsole, die API oder AWS CLI-Befehle ein Konto in einer Organisation erstellen,werden nicht automatisch alle für eigenständige Konten erforderlichen Informationen erfasst. Für jedesKonto, das Sie als eigenständig einrichten möchten, müssen Sie einen Supportplan auswählen, dieerforderlichen Kontaktinformationen angeben und überprüfen und eine aktuelle Zahlungsmethodeangeben. AWS verwendet die Zahlungsmethode, um alle gebührenpflichtigen AWS-Aktivitäten (nichtdas kostenlose Kontingent für AWS) abzurechnen, die ausgeführt werden, während das Konto keinerOrganisation zugeordnet ist.

• Das Konto, das Sie entfernen möchten, darf kein delegiertes Administratorkonto für einen für IhreOrganisation aktivierten AWS-Service sein. Wenn das Konto ein delegierter Administrator ist, müssen Siezuerst das delegierte Administratorkonto in ein anderes Konto ändern, das in der Organisation verbleibt.Weitere Informationen zum Deaktivieren oder Ändern des delegierten Administratorkontos für einenAWS-Service finden Sie in der Dokumentation zu diesem Service.

• Auch nach der Entfernung von erstellten Konten (Konten, die über die AWS Organizations-Konsoleoder die CreateAccount-API erstellt wurden) aus einer Organisation werden (i) erstellte Konten denBedingungen der Vereinbarung des erstellenden Managementkontos mit uns unterworfen. (ii) Daserstellende Managementkonto bleibt für alle Aktionen, die von seinen erstellten Konten durchgeführtwerden, gemeinsam und vermeintlich haftbar. Kundenverträge mit uns sowie die Rechte und Pflichtenaus diesen Verträgen dürfen ohne unsere vorherige Zustimmung weder abgetreten noch übertragenwerden. Um unsere Zustimmung einzuholen, kontaktieren Sie uns bitte unter https://aws.amazon.com/contact-us/.

• Wenn ein Mitgliedskonto eine Organisation verlässt, hat das Konto keinen Zugriff mehr auf Kosten-und Nutzungsdaten aus dem Zeitraum, als das Konto ein Mitglied der Organisation war. DasManagementkonto der Organisation kann jedoch weiterhin auf die Daten zugreifen. Wenn das Konto derOrganisation wieder beitritt, kann das Konto wieder auf die Daten zugreifen.

• Wenn ein Mitgliedskonto eine Organisation verlässt, werden alle dem Konto zugeordneten Tagsgelöscht.

Auswirkungen der Entfernung eines Kontos aus einerOrganisationWenn Sie ein Konto aus einer Organisation entfernen, werden keine direkten Änderungen am Kontovorgenommen. Es gibt jedoch die folgenden indirekten Auswirkungen:

• Das Konto muss jetzt seine eigenen Gebühren bezahlen und über eine gültige Zahlungsweise verfügen,die dem Konto zugewiesen ist.

• Die Prinzipale im Konto sind nicht mehr von Richtlinien (p. 73) betroffen, die in der Organisationangewendet wurden. Dies bedeutet, dass von SCPs auferlegte Einschränkungen entfernt werdenund die Benutzer und Rollen im Konto möglicherweise mehr Berechtigungen haben als zuvor. AndereOrganisationsrichtlinientypen können nicht mehr durchgesetzt oder verarbeitet werden.

60



AWS Organizations BenutzerhandbuchEntfernen eines Mitgliedskontos aus Ihrer Organisation

• Die Integration mit anderen Services wird möglicherweise deaktiviert. Beispielsweise benötigt AWS– Einmaliges Anmelden eine aktive Organisation; wenn Sie also ein Konto aus einer Organisationentfernen, die AWS SSO unterstützt, können die Benutzer in diesem Konto diesen Service nicht mehrnutzen.

Entfernen eines Mitgliedskontos aus Ihrer OrganisationWenn Sie sich beim Managementkonto der Organisation anmelden, können Sie Mitgliedskonten, die Sienicht mehr benötigen, aus der Organisation entfernen. Um dies zu tun, führen Sie die folgenden Schritteaus. Diese Verfahren gelten nur für Mitgliedskonten. Um das Managementkonto zu entfernen, müssen Siedie Organisation löschen.

Note

Wenn ein Mitgliedskonto aus einer Organisation entfernt wird, gelten Organisationsvereinbarungenfür dieses Konto nicht mehr. Administratoren von Managementkonten sollten dies mitMitgliedskonten kommunizieren, bevor Mitgliedskonten aus der Organisation entfernt werden,damit Mitgliedskonten bei Bedarf neue Vereinbarungen abschließen können. Eine Liste deraktiven Organisationsvereinbarungen finden Sie unter AWS Artifact-Organisationsvereinbarungen.


Um ein oder mehrere Mitgliedskonten aus Ihrer Organisation zu entfernen, müssen Sie sich alsIAM-Benutzer oder -Rolle im Verwaltungskonto mit den folgenden Berechtigungen anmelden:

• organizations:DescribeOrganization (nur Konsole)• organizations:RemoveAccountFromOrganization

Wenn Sie sich in Schritt 5 als IAM-Benutzer oder -Rolle in einem Mitgliedskonto anmelden, mussdieser Benutzer oder diese Rolle über die folgenden Berechtigungen verfügen:

• organizations:DescribeOrganization (nur Konsole).• organizations:LeaveOrganization – Beachten Sie, dass der Administrator der

Organisation eine Richtlinie auf Ihr Konto anwenden kann, mit der diese Berechtigung entferntwird, sodass Sie Ihr Konto nicht aus der Organisation entfernen können.

• Wenn Sie sich als IAM-Benutzer anmelden und dem Konto Zahlungsinformationen fehlen,muss der IAM-Benutzer über die Berechtigungen aws-portal:ModifyBilling und aws-portal:ModifyPaymentMethods verfügen. Außerdem muss für das Mitgliedskonto der IAM-Benutzerzugriff auf die Fakturierung aktiviert sein. Wenn dies nicht bereits aktiviert ist, finden Sieweitere Informationen unter Den Zugriff auf die Billing and Cost Management-Konsole aktivierenim Benutzerhandbuch für AWS Billing and Cost Management.


So entfernen Sie ein Mitgliedskonto aus Ihrer Organisation


2. Markieren Sie auf der Registerkarte Accounts das Kontrollkästchen neben dem Mitgliedskonto,das Sie aus Ihrer Organisation entfernen möchten. Sie können mehr als ein Konto auswählen.

3. Wählen Sie Konto entfernen aus.4. Wählen Sie im Dialogfeld Remove account Remove.

61

http://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate



AWS Organizations BenutzerhandbuchVerlassen einer Organisation als Mitgliedskonto

In einem Dialogfenster wird für jedes Konto der Erfolgs- oder Misserfolgsstatus angezeigt.5. Wenn es AWS Organizations nicht gelingt, eines oder mehrere der Konten zu entfernen, liegt dies

in der Regel daran, dass Sie nicht alle erforderlichen Informationen zur Verfügung gestellt haben,damit das Konto als eigenständiges Konto betrieben werden kann. Führen Sie die folgendenSchritte aus:

a. Melden Sie sich bei einem der fehlgeschlagenen Konten an.b. Wir empfehlen Ihnen, sich beim Mitgliedskonto anzumelden, indem Sie Copy link auswählen

und ihn dann in die Adressleiste eines neuen Inkognito-Browserfensters einfügen. Wenn Siekein Inkognito-Fenster verwenden, sind Sie vom Management-Konto abgemeldet und könnennicht mehr zurück zu diesem Dialogfeld navigieren.

c. Der Browser führt Sie direkt zum Anmeldevorgang, um die für dieses Konto fehlendenSchritte abzuschließen. Führen Sie alle aufgeführten Schritte aus. Dazu kann Folgendesgehören:

• Kontaktinformationen bereitstellen• Gültige Zahlungsmethode angeben• Telefonnummer bestätigen• Support-Plan auswählen

d. Nachdem Sie den letzten Anmeldeschritt abgeschlossen haben, leitet AWS Ihren Browserautomatisch auf die AWS Organizations-Konsole für das Mitgliedskonto um. Wählen SieLeave organization aus und bestätigen Sie Ihre Wahl im Bestätigungsdialog. Sie werden zurSeite Getting Started der AWS Organizations-Konsole weitergeleitet. Hier können Sie alleausstehenden Einladungen für Ihr Konto zum Beitritt zu anderen Organisationen sehen.

AWS CLI, AWS API)

So entfernen Sie ein Mitgliedskonto aus Ihrer Organisation

Sie können einen der folgenden Befehle verwenden, um ein Mitgliedskonto zu entfernen:

• AWS CLI: aws organizations remove-account-from-organization• AWS -API: RemoveAccountFromOrganization

Verlassen einer Organisation als MitgliedskontoWenn Sie an einem Konto angemeldet sind, können Sie dieses Konto aus der entsprechendenOrganisation entfernen. Um dies zu tun, führen Sie die folgenden Schritte aus. Das Managementkontokann die Organisation nicht mit dieser Methode verlassen. Um das Managementkonto zu entfernen,müssen Sie die Organisation löschen.

Das Konto, das Sie entfernen möchten, darf kein delegiertes Administratorkonto für einen für IhreOrganisation aktivierten AWS-Service sein. Wenn das Konto ein delegierter Administrator ist, müssen Siezuerst das delegierte Administratorkonto in ein anderes Konto ändern, das in der Organisation verbleibt.Weitere Informationen zum Deaktivieren oder Ändern des delegierten Administratorkontos für einen AWS-Service finden Sie in der Dokumentation zu diesem Service.

Important

Wenn Sie eine Organisation verlassen, gelten für Sie keine Organisationsvereinbarungen mehr,die in Ihrem Namen vom Managementkonto der Organisation akzeptiert wurden. Eine Listedieser Organisationsvereinbarungen finden Sie unter AWS Artifact-Organisationsvereinbarungen.Bevor Sie die Organisation verlassen, sollten Sie ermitteln (bei Bedarf mit Unterstützung der für

62

https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html

http://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements

AWS Organizations BenutzerhandbuchVerlassen einer Organisation als Mitgliedskonto

rechtliche Angelegenheiten, Datenschutz oder Compliance zuständigen Teams), ob es für Sienotwendig ist, (eine) neue Vereinbarung(en) abzuschließen.Note

Der Status eines Kontos bei einer Organisation wirkt sich darauf aus, welche Kosten- undNutzungsdaten angezeigt werden:

• Wenn ein Mitgliedskonto eine Organisation verlässt und ein eigenständiges Konto wird, hatdas Konto keinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als dasKonto ein Mitglied der Organisation war. Das Konto hat nur Zugriff auf die Daten, die als eineigenständiges Konto generiert werden.

• Wenn ein Mitgliedskonto Organisation A verlässt, um Organisation B beizutreten, hat das Kontokeinen Zugriff mehr auf Kosten- und Nutzungsdaten aus dem Zeitraum, als das Konto Mitgliedder Organisation A war. Das Konto hat nur Zugriff auf die Daten, die Mitglied der Organisation Bgeneriert werden.

• Wenn ein Konto erneut einer Organisation beitritt, zu der es vorher gehörte, erhält das Kontowieder Zugriff auf seine früheren Kosten- und Nutzungsdaten.


Zum Verlassen einer AWS-Organisation benötigen Sie folgende Berechtigungen:

• organizations:DescribeOrganization (nur Konsole).• organizations:LeaveOrganization – Beachten Sie, dass der Administrator der

Organisation eine Richtlinie auf Ihr Konto anwenden kann, mit der diese Berechtigung entferntwird, sodass Sie Ihr Konto nicht aus der Organisation entfernen können.

• Wenn Sie sich als IAM-Benutzer anmelden und dem Konto Zahlungsinformationen fehlen,muss der IAM-Benutzer über die Berechtigungen aws-portal:ModifyBilling und aws-portal:ModifyPaymentMethods verfügen. Außerdem muss für das Mitgliedskonto der IAM-Benutzerzugriff auf die Fakturierung aktiviert sein. Wenn dies nicht bereits aktiviert ist, finden Sieweitere Informationen unter Den Zugriff auf die Billing and Cost Management-Konsole aktivierenim Benutzerhandbuch für AWS Billing and Cost Management.


Verlassen einer Organisation als Mitgliedskonto

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der AWS Organizations-Konsole an. Sie müssen sich im Mitgliedskonto der Organisation als IAM-Benutzer anmelden, eineIAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

Standardmäßig haben Sie keinen Zugriff auf das Passwort des Stammbenutzers in einemMitgliedskonto, das mit AWS Organizations erstellt wurde. Falls erforderlich, stellen Sie dasPasswort des Stammbenutzers wieder her, indem Sie die Schritte unter Zugreifen auf einMitgliedskonto als Root-Benutzer (p. 55) befolgen.

2. Wählen Sie auf der Seite Organization overview Leave organization.3. Führen Sie einen der folgenden Schritte aus:

• Wenn Ihr Konto über alle erforderlichen Informationen verfügt, um als eigenständiges Kontozu arbeiten, wird ein Bestätigungsdialogfeld angezeigt. Bestätigen Sie Ihre Wahl, um dasKonto zu löschen. Sie werden zur Seite Getting Started der AWS Organizations-Konsoleweitergeleitet. Hier können Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zuanderen Organisationen sehen.

• Wenn Ihr Konto nicht über alle erforderlichen Informationen verfügt, führen Sie die folgendenSchritte aus:

63




AWS Organizations BenutzerhandbuchSchließen eines -Kontos

a. Sie gelangen auf ein Dialogfenster, in dem Ihnen erklärt wird, dass Sie einige zusätzlicheSchritte durchführen müssen. Klicken Sie auf den Link.

b. Führen Sie alle gezeigten Schritte zur Anmeldung durch. Dazu kann Folgendes gehören:• Kontaktinformationen bereitstellen• Gültige Zahlungsmethode angeben• Telefonnummer bestätigen• Support-Plan auswählen

c. Wenn Sie das Dialogfenster zum Abschluss des Anmeldevorgangs sehen, wählen Sie Leaveorganization aus.

d. Ein Bestätigungsdialogfeld wird angezeigt. Bestätigen Sie Ihre Wahl, um das Konto zulöschen. Sie werden zur Seite Getting Started der AWS Organizations-Konsole weitergeleitet.Hier können Sie alle ausstehenden Einladungen für Ihr Konto zum Beitritt zu anderenOrganisationen sehen.

4. Entfernen Sie die IAM-Rollen, die Zugriff auf Ihr Konto gewähren, aus der Organisation.

Important

Wenn Ihr Konto in der Organisation erstellt wurde, hat Organisationen automatischeine IAM-Rolle in dem Konto erstellt, das den Zugriff durch das Managementkontoder Organisation ermöglicht hat. Wenn das Konto zum Beitritt eingeladen wurde,hat Organisationen eine solche Rolle nicht automatisch erstellt, allerdings habenmöglicherweise Sie oder ein anderer Administrator eine entsprechende Rolle erstellt, umdieselben Vorteile zu erhalten. In beiden Fällen wird beim Entfernen des Kontos aus derOrganisation eine solche Rolle nicht automatisch gelöscht. Wenn Sie diesen Zugriff überdas Managementkonto der früheren Organisation beenden möchten, müssen Sie dieseIAM-Rolle manuell löschen. Weitere Informationen zum Löschen einer Rolle finden Sieunter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.

AWS CLI, AWS API

Verlassen einer Organisation als Mitgliedskonto

Sie können einen der folgenden Befehle verwenden, um eine Organisation zu verlassen:

• AWS CLI: aws organizations leave-organization• AWS -API: LeaveOrganization

Schließen eines AWS-KontosDieses Thema gilt für only AWS-Konten, die vom AWS Organizations-Service verwaltetwerden.

Wenn Sie Anweisungen zum Schließen Ihres Amazon.com-Einkaufskontos benötigen, findenSie weitere Informationen unter https://www.amazon.com/gp/help/customer/display.html?nodeId=GDK92DNLSGWTV6MP.

Wenn Sie ein Mitgliedskonto in Ihrer Organisation nicht mehr benötigen und sicherstellen möchten, dasskeine Gebühren dafür anfallen, können Sie das Konto schließen.

Sichern Sie vor dem Schließen Ihres Kontos jedoch alle Anwendungen und Daten, die Sie behaltenmöchten. Alle im Konto gespeicherten Ressourcen und Daten gehen verloren und können nichtwiederhergestellt werden. Weitere Informationen finden Sie im Knowledge Base-Artikel "How do I close myAmazon Web Services account?"

64

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html

https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html

https://aws.amazon.com/premiumsupport/knowledge-center/close-aws-account/

https://aws.amazon.com/premiumsupport/knowledge-center/close-aws-account/


Das Konto kann ab sofort nur noch für die AWS-Aktivität zum Anmelden als Root-Benutzer genutzt werden,um frühere Rechnungen anzuzeigen oder sich an den AWS Support zu wenden. Weitere Informationenfinden Sie unter Kontaktaufnahme mit dem Kunden-Support zu Ihrer Rechnung.

Important

• Konten, die 90 Tage oder länger geschlossen sind, können nicht mehr wiederhergestelltwerden. An diesem Punkt können alle Ressourcen, die sich im Konto befanden, nichtwiederhergestellt werden.

• Geschlossene Konten werden in Ihrer Organisation mit dem Zustand „ausgesetzt“ angezeigt.Nachdem ein Konto 90 Tage lang gelöscht wurde, wird es in Ihrer Organisation nicht mehrangezeigt.

• Sie können ein Konto nur mit der Billing and Cost Management-Konsole schließen, nicht jedochmit der AWS Organizations-Konsole oder den zugehörigen Tools.

• Um das Managementkonto für die Organisation zu schließen, müssen Sie zunächstentfernen (p. 61) oder alle Mitgliedskonten in der Organisation schließen. Der Grund hierfürist, dass durch das Schließen des Managementkontos die Organisation automatisch gelöschtwird, was nur erfolgreich ist, wenn es keine Mitgliedskonten in der Organisation gibt.

Schließen eines AWS-Kontos (Konsole)

Empfohlen: Sichern Sie vor dem Schließen Ihres Kontos alle Anwendungen und Daten, die Siebehalten möchten. AWS kann Ihre Kontoressourcen und -daten nach dem Schließen Ihres Kontos nichtwiederherstellen oder wiederherstellen.

1. Melden Sie sich als Root-Benutzer des Kontos an, das Sie schließen möchten. Nutzen Sie dazu dieE-Mail-Adresse und das Passwort für das Konto. Wenn Sie sich als ein IAM-Benutzer oder mit einerentsprechenden Rolle anmelden, können Sie ein Konto nicht schließen.

Note

Standardmäßig ist bei Konten, die Sie mit AWS Organizations erstellen, dem Root-Benutzerdes Kontos kein Passwort zugewiesen. Zur Anmeldung müssen Sie ein Root-Benutzer-Passwort anfordern. Weitere Informationen finden Sie unter Zugreifen auf ein Mitgliedskontoals Root-Benutzer (p. 55).

2. Öffnen Sie die Billing and Cost Management-Konsole unter https://console.aws.amazon.com/billing/home#/.

3. Wählen Sie auf der Navigationsleiste in der oberen rechten Ecke Ihren Kontonamen (oder Alias) undMy Account (Eigenes Konto) aus.

4. Scrollen Sie auf der Seite Kontoeinstellungen zum Abschnitt Konto schließen am Ende der Seite.Lesen Sie sich den Text neben dem Kontrollkästchen sorgfältig durch.

5. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Bedingungen verstehen, undklicken Sie dann auf Konto schließen.

6. Klicken Sie im Bestätigungsfeld auf Konto schließen.

Wenn Sie ein AWS-Konto schließen, können Sie es nicht mehr für den Zugriff aus AWS-Services und-Ressourcen verwenden. Sie haben noch 90 Tage nach Schließung Ihres Kontos (in der "Phase nachKontoschließung") die Möglichkeit, die alten Abrechnungsinformationen anzuzeigen und auf AWS Supportzuzugreifen. Innerhalb dieses Zeitraums können Sie Kontakt mit AWS Support aufnehmen, um das Kontoerneut zu öffnen. Weitere Informationen finden Sie unter How do I reopen my closed AWS account? imWissenszentrum.

Note

Aus Sicherheitsgründen verwendet AWS nie eine -Konto-ID-Nummer, nachdem das Kontogeschlossen wurde.AWS Falls Sie in einer IAM-Richtlinie eine ID für ein geschlossenes Konto

65

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-get-answers.html

https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html

https://console.aws.amazon.com/billing/home#/

https://console.aws.amazon.com/billing/home#/

https://aws.amazon.com/premiumsupport/knowledge-center/reopen-aws-account/


hinterlassen, hat aufgrund dieser Sicherheitsmaßnahme ein unbekanntes Konto mit derselben IDkeinen Zugriff auf Ihre Ressourcen. Wir empfehlen jedoch, Verweise auf geschlossene Kontenzu entfernen, entsprechend der bewährten Sicherheitspraxis, nur die geringste Berechtigung zugewähren, die erforderlich ist, um die Aufgabe zu erledigen.

66

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege


AWS Organizations BenutzerhandbuchNavigieren in der Hierarchie von

Stammverzeichnis und Organisationseinheit

Verwalten vonOrganisationseinheiten (OUs)

Mithilfe von Organisationseinheiten können Sie Konten gruppieren und als eine Einheit verwalten. Dadurchwird die Verwaltung Ihrer Konten stark vereinfacht. Sie können beispielsweise einer Organisationseinheitein richtlinienbasiertes Steuerelement zuweisen und alle Konten innerhalb der Organisationseinheit erbendie Richtlinie automatisch.Sie können mehrere OUs innerhalb einer einzelnen Organisation und OUsinnerhalb anderer OUs erstellen. Jede Organisationseinheit kann mehrere Konten enthalten und Siekönnen Konten von einer Organisationseinheit in eine andere verschieben. Die Namen von OUs müssenjedoch innerhalb einer übergeordneten OU oder eines Stamms eindeutig sein.

Note

Derzeit ist nur ein Root möglich; diesen erstellt AWS Organizations automatisch bei derErsteinrichtung der Organisation. Der Name der Standard-Roots lautet "root."

Zur Strukturierung der Konten in der Organisation können Sie folgende Aufgaben ausführen:

• Anzeigen von Details zu einer OU (p. 42)• Erstellen einer OU (p. 68)• Umbenennen einer OU (p. 69)• Bearbeiten von Tags, die einer Organisationseinheit zugeordnet sind (p. 70)• Verschieben eines Kontos in eine Organisationseinheit oder zwischen dem Root und OUs (p. 71)

Navigieren in der Hierarchie von Stammverzeichnisund Organisationseinheit

Um beim Verschieben von Konten oder Anfügen von Richtlinien zu einem anderen OUs oder zumStammverzeichnis zu navigieren, können Sie die Strukturansicht verwenden.

Aktivieren und Verwenden der Strukturansicht der Organisation


2. Wählen Sie die Registerkarte Organize accounts.3. Wenn der Bereich der Strukturansicht auf der linken Seite nicht angezeigt wird, wählen Sie das

Schaltersymbol TREE VIEW aus. .4. Die Struktur wird zunächst mit dem Stamm angezeigt, wobei nur die erste Ebene der untergeordneten

OUs angezeigt wird. Um die Struktur zu erweitern, sodass tiefere Level angezeigt werden, wählenSie das Symbol „+“ neben einer übergeordneten Entität. Wählen Sie zur Verbesserung derÜbersichtlichkeit und zum Ausblenden eines Zweigs der Struktur das Symbol „—“ neben einererweiterten übergeordneten Entität.

5. Wählen Sie die Organisationseinheit oder das Stammverzeichnis, zu dem Sie wechseln möchten. DerKnoten in der Strukturansicht, der fett angezeigt wird, ist der Knoten, der zurzeit im mittleren Bereichangezeigt wird.

67



AWS Organizations BenutzerhandbuchErstellen einer OU

Notes

• Umbenennen, Löschen und Verschieben von Operationen im mittleren Bereich: Wenn Sieden Inhalt einer Stamm- oder Organisationseinheit in der -Konsole anzeigen, können Sie mitden untergeordneten Entitys dieses Stamm- oder Organisationseinheit interagieren. Wenn Siebeispielsweise das Kontrollkästchen für eine untergeordnete Organisationseinheit oder Kontoaktivieren, können Sie die Links Rename, Delete oder Move über diesem Abschnitt auswählen,um diese Aktionen auf der ausgewählten Entität auszuführen. Die Aktionen gelten nur für dieuntergeordneten Entitäten, die Sie auswählen. Sie gelten nicht für das Stammverzeichnis oderdie Organisationseinheit, die sie enthalten. Wenn Sie die gleichen Aktionen für die enthaltendeOrganisationseinheit durchführen möchten, müssen Sie zu der Organisationseinheit oder zudem Stammverzeichnis navigieren, die dieser Organisationseinheit übergeordnet ist, und danndas Kontrollkästchen für die untergeordnete Organisationseinheit, die Sie verwalten möchten,aktivieren.

• -Detailbereich: Der Detailbereich auf der rechten Seite der Konsole zeigt Informationenüber den Stamm oder die Organisationseinheit an, die Sie anzeigen. Wenn Sie einKontrollkästchen für eine untergeordnete Entität aktivieren, wechselt der Detailbereich zurAnzeige von Informationen über die ausgewählte Entität. Um die Details des enthaltendenStammverzeichnisses oder der Organisationseinheit erneut anzuzeigen, müssen Siedas Kontrollkästchen deaktivieren. Alternativ können Sie zu dem übergeordnetenStammverzeichnis oder der Organisationseinheit navigieren und dann das Kontrollkästchen fürdie Organisationseinheit aktivieren, für die Sie Informationen anzeigen möchten.

Navigieren ohne Verwendung der Strukturansicht


2. Wählen Sie die Registerkarte Organize accounts.3. Navigieren Sie einen Zweig herunter, indem Sie den Namen der Organisationseinheit auswählen (nicht

das Kontrollkästchen aktivieren), die Sie im mittleren Bereich anzeigen möchten.4. Navigieren Sie den Zweig hoch, indem Sie die „Zurück“-Schaltfläche (<) auf der Titelleiste des

zentralen Bereichs auswählen.

Erstellen einer OUWenn Sie am Verwaltungskonto Ihrer Organisation angemeldet sind (früher als "Masterkonto" bezeichnet),können Sie eine OU im Root Ihrer Organisation erstellen. OUs kann bis zu fünf Ebenen tief verschachteltwerden. So erstellen Sie eine Organisationseinheit:

Important

Wenn diese Organisation mit AWS Control Tower verwaltet wird, erstellen Sie Ihre OUs mit derAWS Control Tower-Konsole oder APIs. Wenn Sie die Organisationseinheit in Organisationenerstellen, ist diese Organisationseinheit nicht bei AWS Control Tower registriert. WeitereInformationen finden Sie unter Referenzieren auf Ressourcen außerhalb von AWS Control Towerim -BenutzerhandbuchAWS Control Tower.


Um eine Organisationseinheit innerhalb des Stammverzeichnisses Ihrer Organisation zu erstellen,benötigen Sie die folgenden Berechtigungen:

• organizations:DescribeOrganization (nur Konsole)

68




AWS Organizations BenutzerhandbuchUmbenennen einer OU

• organizations:CreateOrganizationalUnit




In der Konsole wird der Inhalt des Roots angezeigt. Wenn Sie zum ersten Mal auf einen Rootzugreifen, werden in der Konsole alle AWS-Konten der obersten Ebene angezeigt. Wenn Siezuvor OUs erstellt und Konten in diese verschoben haben, zeigt die Konsole nur den Top-Level-OUs und alle Konten an, die Sie noch nicht in eine Organisationseinheit verschoben haben.

2. (Optional) Wenn Sie eine Organisationseinheit in einer vorhandenen Organisationseinheiterstellen möchten, navigieren Sie zur untergeordneten Organisationseinheit (p. 67), indemSie deren Namen auswählen (nicht das Kontrollkästchen aktivieren) oder indem Sie dieOrganisationseinheit in der Strukturansicht auswählen.

3. Wenn Sie an der richtigen Position in der Hierarchie sind, wählen Sie Create organizational unit(OU).

4. Geben Sie im Dialogfeld Create organizational unit den Namen der Organisationseinheit ein, dieSie erstellen möchten, und wählen Sie dann +New organizational unit.

5. Geben Sie den Namen der neuen Organisationseinheit ein.6. (Optional) Fügen Sie ein oder mehrere Tags hinzu, indem Sie Add tag (Tag hinzufügen)

auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wertleer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einer OU biszu 50 Tags anfügen.

Ihre neue OU wird in der übergeordneten OU angezeigt. Nun können Sie Konten in dieseOrganisationseinheit verschieben (p. 71) oder ihr Richtlinien zuweisen.

AWS CLI, AWS API


Sie können einen der folgenden Befehle verwenden, um eine Organisationseinheit zu erstellen:

• AWS CLI: aws organizations create-organizational-unit• AWS-API:CreateOrganizationalUnit

Umbenennen einer OUWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Organisationseinheitumbenennen. Führen Sie dazu die folgenden Schritte aus.


Zum Umbenennen einer Organisationseinheit im Stammverzeichnis Ihrer AWS-Organisationbenötigen Sie die folgenden Berechtigungen:

• organizations:DescribeOrganization (nur Konsole)• organizations:UpdateOrganizationalUnit

69



https://docs.aws.amazon.com/cli/latest/reference/organizations/create-organizational-unit.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganizationalUnit.html

AWS Organizations BenutzerhandbuchBearbeiten von Tags, die einer

Organisationseinheit zugeordnet sind


So benennen Sie eine Organisationseinheit um


2. Navigieren Sie auf der Registerkarte Organize accounts zu der übergeordnetenOrganisationseinheit derjenigen Organisationseinheit (p. 67), die umbenannt werden soll.Aktivieren Sie das Kontrollkästchen für die untergeordnete Organisationseinheit, die Sieumbenennen möchten.

3. Wählen Sie Rename (Umbenennen) über der Liste der OUs aus.4. Geben Sie im Dialogfeld Rename organizational unit (Organisationseinheit umbenennen) einen

neuen Namen ein und wählen Sie dann Rename organizational unit (Organisationseinheitumbenennen) aus.

AWS CLI, AWS API

So benennen Sie eine Organisationseinheit um

Sie können einen der folgenden Befehle verwenden, um eine Organisationseinheit umzubenennen:

• AWS CLI: aws organizations update-organizational-unit• AWS-API:UpdateOrganizationalUnit

Bearbeiten von Tags, die einer Organisationseinheitzugeordnet sind

Wenn Sie am Masterkonto Ihrer Organisation angemeldet sind, können Sie die einer Organisationseinheitangefügten Tags hinzufügen oder entfernen. Führen Sie dazu die folgenden Schritte aus.


Zum Bearbeiten der Tags, die einer Organisationseinheit innerhalb eines Roots in Ihrer AWS-Organisation zugeordnet sind, benötigen Sie folgende Berechtigungen:

• organizations:DescribeOrganization (nur Konsole –, um zur Organisationseinheit zunavigieren)

• organizations:DescribeOrganizationalUnit (nur Konsole –, um zurOrganisationseinheit zu navigieren)

• organizations:TagResource

• organizations:UntagResource


So bearbeiten Sie die einer Organisationseinheit zugeordneten Tags


2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zu der OU undwählen Sie sie aus, deren Tags Sie bearbeiten möchten. (p. 67)

70



https://docs.aws.amazon.com/cli/latest/reference/organizations/update-organizational-unit.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdateOrganizationalUnit.html



AWS Organizations BenutzerhandbuchVerschieben eines Kontos in eine Organisationseinheit

oder zwischen dem Root und OUs

3. Wählen Sie im Detailbereich der Organisationseinheit EDIT TAGS (TAGS BEARBEITEN) aus.4. Sie können jede dieser Aktionen auf dieser Seite ausführen:

• Bearbeiten Sie den Wert für ein beliebiges Tag, indem Sie einen neuen Wert über den alteneingeben. Sie können den Schlüssel nicht ändern. Um einen Schlüssel zu ändern, müssen Siedas Tag mit dem alten Schlüssel löschen und ein Tag mit dem neuen Schlüssel hinzufügen.

• Entfernen Sie ein vorhandenes Tag, indem Sie Remove (Entfernen) auswählen.• Fügen Sie ein neues Tag-Schlüssel/Wert-Paar hinzu. Wählen Sie Add tag (Tag hinzufügen) und

geben Sie dann den neuen Schlüsselnamen und den optionalen Wert in die bereitgestelltenFelder ein. Wenn Sie das Feld Value (Wert) leer lassen, ist der Wert eine leere Zeichenfolgeund nicht null.

5. Wählen Sie Save changes (Änderungen speichern), nachdem Sie alle gewünschten Ergänzungen,Entfernungen und Änderungen vorgenommen haben.

AWS CLI, AWS API

So bearbeiten Sie die einer Organisationseinheit zugeordneten Tags

Sie können einen der folgenden Befehle verwenden, um eine Organisationseinheit umzubenennen:

• AWS CLI: aws organizations tag-resource und aws organizations untag-resource• AWS-API: TagResourceundUntagResource

Verschieben eines Kontos in eineOrganisationseinheit oder zwischen dem Root undOUs

Wenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie Konten in IhrerOrganisation vom Root in eine OU, von einer OU in eine andere oder von einer OU zurück in den Rootverschieben. Wenn Sie ein Konto in eine Organisationseinheit einfügen, unterliegt es allen Richtlinien, diean die übergeordnete Organisationseinheit und alle anderen OUs in der übergeordneten Kette bis zumRoot angefügt sind. Wenn sich ein Konto nicht in einer Organisationseinheit befindet, unterliegt dieses nurden Richtlinien der Root und den Richtlinien, die dem Konto direkt zugeordnet sind. So verschieben Sie einKonto.


Um ein Konto an einen neuen Ort in der Hierarchie der Organisationseinheiten zu verschieben,benötigen Sie die folgenden Berechtigungen:

• organizations:DescribeOrganization (nur Konsole)• organizations:MoveAccount


So verschieben Sie ein Konto in eine Organisationseinheit


2. Wählen Sie die Registerkarte Organize accounts aus und navigieren Sie anschließend zu derOrganisationseinheit (p. 67), die das Konto enthält, das Sie verschieben möchten. Wenn Sie

71

https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html

https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html



AWS Organizations BenutzerhandbuchLöschen einer OU

das Konto finden, aktivieren Sie das entsprechende Kontrollkästchen. Aktivieren Sie mehrereKontrollkästchen, wenn Sie mehrere Konten verschieben möchten.

3. Wählen Sie Move über der Liste der Konten.4. Wählen Sie im Dialogfeld Move accounts die Organisationseinheit oder den Root-Benutzer aus, zu

der oder dem Sie die Konten verschieben möchten, und wählen Sie dann Select aus.

AWS CLI, AWS API

So verschieben Sie ein Konto in eine Organisationseinheit

Sie können einen der folgenden Befehle verwenden, um ein Konto zu verschieben:

• AWS CLI: aws organizations move-account• AWS-API:MoveAccount

Löschen einer OUWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie nicht mehr benötigteOUs löschen. Zuerst müssen Sie alle Konten aus der Organisationseinheit und allen untergeordneten OUsverschieben. Anschließend können Sie die untergeordneten OUs löschen.


Zum Löschen einer Organisationseinheit benötigen Sie die folgenden Berechtigungen:

• organizations:DescribeOrganization (nur Konsole)• organizations:DeleteOrganizationalUnit


So löschen Sie eine Organisationseinheit


2. Navigieren Sie auf der Registerkarte Organize accounts zu dem übergeordnetenContainer (p. 67) der Organisationseinheit, die gelöscht werden soll. Aktivieren Sie dasKontrollkästchen der Organisationseinheit. Sie können Kontrollkästchen für mehrere OUsaktivieren, wenn Sie mehrere löschen möchten.

3. Wählen Sie Delete (Löschen) über der Liste der OUs aus.

AWS Organizations löscht die OU und entfernt sie aus der Liste.

AWS CLI, AWS API

So löschen Sie eine Organisationseinheit

Sie können einen der folgenden Befehle verwenden, um eine Organisationseinheit zu löschen:

• AWS CLI: aws organizations delete-organizational-unit• AWS-API:DeleteOrganizationalUnit

72

https://docs.aws.amazon.com/cli/latest/reference/organizations/move-account.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_MoveAccount.html



https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-organizational-unit.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteOrganizationalUnit.html

AWS Organizations BenutzerhandbuchRichtlinientypen

Verwalten von AWS Organizations-Richtlinien

Dank der Richtlinien in AWS Organizations haben Sie zusätzliche Möglichkeiten, die AWS-Konteninnerhalb Ihrer Organisation zu verwalten. Sie können Richtlinien verwenden, wenn alle Funktionen (p. 36)in Ihrer Organisation aktiviert sind.

Die AWS Organizations-Konsole zeigt den aktivierten oder deaktivierten Status für jedes Richtlinientyps an.Wählen Sie im linken Navigationsbereich auf der Registerkarte Organize accounts (Konten organisieren)Root aus. Im Detailbereich auf der rechten Seite des Bildschirms werden alle verfügbaren Richtlinientypenangezeigt. Die Liste gibt an, welche aktiviert sind und welche in diesem Organisationsstamm deaktiviertsind. Wenn die Option Enable zum Aktivieren eines Typs vorhanden ist, dann ist der betreffende Typaktuell deaktiviert. Wenn die Option Disable vorhanden ist, dann ist der betreffende Typ aktuell aktiviert.

RichtlinientypenOrganisationen bietet Richtlinientypen in den folgenden zwei großen Kategorien an:

AutorisierungsrichtlinienAutorisierungsrichtlinien helfen Ihnen, die Sicherheit der AWS-Konten in Ihrer Organisation zentral zuverwalten.

• Service-Kontrollrichtlinien (Service Control Policies, SCPs) (p. 93) ermöglichen die zentrale Kontrolleder maximal verfügbaren Berechtigungen für alle Konten Ihrer Organisation.

Management-RichtlinienMit Verwaltungsrichtlinien können Sie AWS Services und deren Funktionen zentral konfigurieren undverwalten.

• Mit Artificial Intelligence (AI)-Services können Sie die Datensammlung für (p. 123) AI-Services für alleKonten Ihrer Organisation steuern.AWS

• Sicherungsrichtlinien (p. 138) helfen Ihnen, Sicherungspläne zentral zu verwalten und auf die AWS-Ressourcen über die Konten Ihrer Organisation hinweg anzuwenden.

• MitTag-Richtlinien (p. 172) können Sie die Tags standardisieren, die den AWS-Ressourcen in denKonten Ihrer Organisation angefügt sind.

In der folgenden Tabelle werden einige der Merkmale der einzelnen Richtlinientypen zusammengefasst:

Richtlinientyp Beeinflusst dasVerwaltungskonto

Maximale Anzahl,die Sie an einenRoot, eineOrganisationseinheitoder ein Kontoanfügen können

Maximale Größe Unterstütztdas Anzeigeneiner effektivenRichtlinie für eineOrganisationseinheitoder ein Konto

SCP No 5 5120 Bytes No

73

AWS Organizations BenutzerhandbuchVerwenden von Richtlinien in Ihrer Organisation

Richtlinientyp Beeinflusst dasVerwaltungskonto

Maximale Anzahl,die Sie an einenRoot, eineOrganisationseinheitoder ein Kontoanfügen können

Maximale Größe Unterstütztdas Anzeigeneiner effektivenRichtlinie für eineOrganisationseinheitoder ein Konto

Richtlinie für dieAbmeldung von AI-Services

Yes 5 2500 Zeichen Yes

Sicherungsrichtlinie Yes 10 10,000 Zeichen Yes

Tag-Richtlinie Yes 5 2500 Zeichen Yes

Verwenden von Richtlinien in Ihrer Organisation• Aktivieren und Deaktivieren von Richtlinientypen (p. 74)• Abrufen von Informationen zu den Richtlinien Ihrer Organisation (p. 76)• Grundlegendes zur Richtlinienvererbung (p. 79)• Service-Kontrollrichtlinien (p. 93)• AI services opt-out-Richtlinien (p. 123)• Sicherungsrichtlinien (p. 138)• Tag-Richtlinien (p. 172)

Aktivieren und Deaktivieren von RichtlinientypenAktivieren eines RichtlinientypsBevor Sie eine Richtlinie erstellen und Ihrer Organisation zuweisen können, müssen Sie diesenRichtlinientyp für die Verwendung aktivieren. Das Aktivieren eines Richtlinientyps ist eine einmaligeAufgabe im Organisationsstamm. Sie können einen Richtlinientyp nur über das Verwaltungskonto derOrganisation (früher als "Masterkonto" bezeichnet) aktivieren.


Um einen Richtlinientyp zu aktivieren, benötigen Sie die Berechtigung zum Ausführen derfolgenden Aktionen:

• organizations:EnablePolicyType

• organizations:DescribeOrganization (nur erforderlich, wenn Sie die AWSOrganizations-Konsoleverwenden)

• organizations:ListRoots (nur erforderlich, wenn Sie die AWS Organizations-Konsoleverwenden)

74





AWS Organizations BenutzerhandbuchDeaktivieren eines Richtlinientyps


So aktivieren Sie einen Richtlinientyp


2. Wählen Sie im linken Navigationsbereich auf der Registerkarte Organize accounts (Kontenorganisieren) Root aus.

3. Wählen Sie im Detailbereich auf der rechten Seite unter ENABLE/DISABLE POLICY TYPES(RICHTLINIENTYPEN AKTIVIEREN/DEAKTIVIEREN) und neben dem Richtlinientyp, den Sieverwenden möchten, Enable (Aktivieren) aus.

AWS CLI, AWS API

So aktivieren Sie einen Richtlinientyp

Sie können einen der folgenden Befehle verwenden, um einen Richtlinientyp zu aktivieren:

• AWS CLI: aws organizations enable-policy-type• AWS -API: EnablePolicyType

Deaktivieren eines RichtlinientypsWenn Sie einen bestimmten Richtlinientyp in Ihrer Organisation nicht mehr verwenden möchten, könnenSie diesen Typ deaktivieren, um die versehentliche Verwendung zu verhindern. Sie können einenRichtlinientyp nur über das Managementkonto der Organisation deaktivieren.

Important

• Wenn Sie einen Richtlinientyp deaktivieren, werden alle Richtlinien des angegebenen Typsautomatisch von allen Entitäten im Organisationsstamm getrennt. Die Richtlinien werden nichtgelöscht.

• (Nur Service-Kontrollrichtlinientyp) Wenn Sie den SCP-Richtlinientyp später erneut aktivieren,werden alle Entitäten im Organisationsstammverzeichnis zunächst nur der standardmäßigenFullAWSAccess-SCP zugewiesen. Anfügungen von SCPs an Entitys gehen verloren, wenn dieSCPs in der Organisation deaktiviert sind. Wenn Sie SCPs zu einem späteren Zeitpunkt erneutaktivieren möchten, müssen Sie sie dem Organisationsstamm, OUs und Konten entsprechendanfügen.


Um SCPs zu deaktivieren, benötigen Sie die Berechtigung zum Ausführen der folgenden Aktionen:

• organizations:DisablePolicyType

• organizations:DescribeOrganization (nur erforderlich, wenn Sie die AWSOrganizations-Konsoleverwenden)

• organizations:ListRoots (nur erforderlich, wenn Sie die AWS Organizations-Konsoleverwenden)

75



https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-policy-type.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html





AWS Organizations BenutzerhandbuchAbrufen von Richtliniendetails


So deaktivieren Sie einen Richtlinientyp


2. Wählen Sie im linken Navigationsbereich auf der Registerkarte Organize accounts (Kontenorganisieren) Root aus.

3. Wählen Sie im Detailbereich auf der rechten Seite unter ENABLE/DISABLE POLICY TYPES(RICHTLINIENTYPEN AKTIVIEREN/DEAKTIVIEREN) und neben dem Richtlinientyp, den Sieverwenden möchten, die Option Disable (Deaktivieren) aus.

AWS CLI, AWS API

So deaktivieren Sie einen Richtlinientyp

Sie können zum Deaktivieren eines Richtlinientyps einen der folgenden Befehle verwenden:

• AWS CLI: aws organizations disable-policy-type• AWS -API: DisablePolicyType

Abrufen von Informationen zu den Richtlinien IhrerOrganisation

In diesem Abschnitt werden verschiedene Möglichkeiten beschrieben, um detaillierte Informationenzu Richtlinien in Ihrer Organisation zu erhalten. Diese Verfahren gelten für alle Richtlinientypen. ImOrganisationsstamm müssen Sie einen Richtlinientyp aktivieren, bevor Sie Richtlinien dieses Typs anEntitäten in diesem Organisationsstamm anhängen können.

Auflisten aller RichtlinienMindestberechtigungen

Wenn Sie die Richtlinien innerhalb Ihrer Organisation auflisten möchten, benötigen Sie folgendeBerechtigung:

• organizations:ListPolicies


So listen Sie alle Richtlinien in Ihrer Organisation auf


2. Wählen Sie die Registerkarte Policies.3. Wählen Sie den Richtlinientyp aus: Service-Kontrollrichtlinien oder Tag-Richtlinien.

Die angezeigte Liste enthält alle Richtlinien dieses Typs, die derzeit in der Organisation definiertsind.

76



https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-policy-type.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisablePolicyType.html



AWS Organizations BenutzerhandbuchAuflisten aller Richtlinien, die einem Root, einer

Organisationseinheit oder einem zugewiesen sind

AWS CLI, AWS API

So listen Sie alle Richtlinien in Ihrer Organisation auf

Sie können einen der folgenden Befehle verwenden, um Richtlinien in einer Organisation aufzulisten:

• AWS CLI: aws organizations list-policies• AWS-API:ListPolicies

Auflisten aller Richtlinien, die einem Root, einerOrganisationseinheit oder einem zugewiesen sind


Zum Auflisten der Richtlinien, die an einen Root, eine Organisationseinheit (OU) oder ein Kontoinnerhalb Ihrer Organisation angefügt sind, benötigen Sie die folgende Berechtigung:

• organizations:ListPoliciesForTarget mit einem Resource-Element in derselbenRichtlinienanweisung, die den Amazon-Ressourcennamen (ARN) des angegebenen Zielsenthält (oder "*")


So listen Sie alle Richtlinien auf, die direkt an einen angegebenen Root, eineOrganisationseinheit oder ein Konto angefügt sind


2. Navigieren Sie auf der Registerkarte Organize accounts (p. 67) zum Root-Benutzer, zurOrganisationseinheit oder zum Konto, dessen Richtlinienanhänge Sie sehen möchten.

a. Aktivieren Sie für ein Stammverzeichnis oder eine Organisationseinheit kein Kontrollkästchen.Auf diese Weise zeigt der Detailbereich auf der rechten Seite Informationen über dasStammverzeichnis oder die Organisationseinheit, die Sie anzeigen. Alternativ können Siezu dem übergeordneten Verzeichnis der Organisationseinheit navigieren und dann dasKontrollkästchen für die Organisationseinheit aktivieren, für die Sie Informationen anzeigenmöchten.

b. Aktivieren Sie für ein Konto das Kontrollkästchen für das Konto.3. Erweitern Sie im Detailbereich auf der rechten Seite den Abschnitt Service control policies

(Service-Kontrollrichtlinien) oder Tag policies (Tag-Richtlinien).

Die angezeigte Liste enthält alle Richtlinien dieses Typs, dieser Entität direkt hinzugefügt sind.Dort werden auch Richtlinien angezeigt, die sich auf diese Entität aufgrund von Vererbung vomStammverzeichnis oder einer übergeordneten Organisationseinheit auswirken.

AWS CLI, AWS API

So listen Sie alle Richtlinien auf, die direkt an einen angegebenen Root, eine Organisationseinheit oderein Konto angefügt sind

Sie können einen der folgenden Befehle verwenden, um Richtlinien aufzulisten, die einer Entitätangefügt sind:

77

https://docs.aws.amazon.com/cli/latest/reference/organizations/list-policies.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListPolicies.html



AWS Organizations BenutzerhandbuchAuflisten aller Roots, OUs und Konten,

an die eine Richtlinie angefügt ist

• AWS CLI: aws organizations list-policies-for-target• AWS-API:ListPoliciesForTarget

Auflisten aller Roots, OUs und Konten, an die eineRichtlinie angefügt ist


Zum Auflisten der Elemente, an die eine Richtlinie angehängt ist, benötigen Sie folgendeBerechtigung:

• organizations:ListTargetsForPolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den ARN für die angegebene Richtlinie enthält (oder "*")


So listen Sie alle Roots, OUs und Konten auf, denen eine bestimmte Richtlinie angefügt ist


2. Wählen Sie die Registerkarte Policies.3. Wählen Sie den Richtlinientyp aus: Service-Kontrollrichtlinien oder Tag-Richtlinien.4. Aktivieren Sie das Kontrollkästchen neben der Richtlinie, die Sie interessieren.5. Wählen Sie im Detailbereich auf der rechten Seite eines der Folgenden aus:

• Accounts zur Anzeige der Liste der Konten, denen die Richtlinie direkt zugeordnet ist• Organisationseinheiten, um die Liste der OUs anzuzeigen, an die die Richtlinie direkt angefügt

ist• Roots zur Anzeige der Liste der Stammverzeichnisse, denen die Richtlinie direkt zugeordnet ist

AWS CLI, AWS API

So listen Sie alle Roots, OUs und Konten auf, denen eine bestimmte Richtlinie angefügt ist

Sie können einen der folgenden Befehle verwenden, um Entitäten aufzulisten, die über eine Richtlinieverfügen:

• AWS CLI: aws organizations list-targets-for-policy• AWS-API:ListTargetsForPolicy

Abrufen von Details zu einer RichtlinieMindestberechtigungen

Zum Abrufen der Details einer Richtlinie benötigen Sie folgende Berechtigung:

• organizations:DescribePolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den ARN für die angegebene Richtlinie enthält (oder "*")

78

https://docs.aws.amazon.com/cli/latest/reference/organizations/list-policies-for-target.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListPoliciesForTarget.html



https://docs.aws.amazon.com/cli/latest/reference/organizations/list-targets-for-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListTargetsForPolicy.html

AWS Organizations BenutzerhandbuchGrundlegendes zur Richtlinienvererbung


So rufen Sie Details zu einer Richtlinie ab


2. Wählen Sie die Registerkarte Policies.3. Wählen Sie den Richtlinientyp aus: Service-Kontrollrichtlinien oder Tag-Richtlinien.4. Aktivieren Sie das Kontrollkästchen neben der Richtlinie, die Sie interessieren.

Im Detailbereich auf der rechten Seite werden die verfügbaren Informationen über die Richtlinieangezeigt, einschließlich des ARN, der Beschreibung und Anhängen.

5. Um den Inhalt der Richtlinie anzuzeigen, wählen Sie Policy editor (Richtlinien-Editor).

Im mittleren Bereich werden die folgenden Informationen angezeigt:

• Die Details zur Richtlinie: Name, Beschreibung, eindeutige ID und ARN.• Die Liste der Roots, OUs und Konten, an die die Richtlinie angefügt ist. Wählen Sie jedes

Element, um die einzelnen Entitäten des jeweiligen Typs zu sehen.• Der Inhalt der Richtlinie (bezogen auf den jeweiligen Richtlinientyp):

• Für Service-Kontrollrichtlinien (Service Control Policies, SCPs) der JSON-Text, der dieBerechtigungen definiert, die in angehängten Konten zulässig sind.

• Bei Tag-Richtlinien definiert der JSON-Text konforme Tags für bestimmte Ressourcentypen.

Um den Inhalt des Richtliniendokuments zu aktualisieren, wählen Sie Edit (Bearbeiten). KlickenSie abschließend auf Speichern.

AWS CLI, AWS API

So rufen Sie Details zu einer Richtlinie ab

Sie können einen der folgenden Befehle verwenden, um Details zu einer Richtlinie zu erhalten:

• AWS CLI: aws organizations describe-policy• AWS-API:DescribePolicy

Grundlegendes zur RichtlinienvererbungSie können Richtlinien an Organisationsentitäten (Organisationsstamm, Organisationseinheit (OU) oderKonto) in Ihrer Organisation anfügen:

• Wenn Sie dem Organisationsstamm eine Richtlinie anfügen, erben alle OUs- und -Konten in derOrganisation diese Richtlinie.

• Wenn Sie einer bestimmten OU eine Richtlinie hinzufügen, erben Konten, die direkt unter dieser OU odereiner untergeordneten OU stehen, diese Richtlinie.

• Wenn Sie eine Richtlinie an ein bestimmtes Konto anfügen, wirkt sich dies nur auf dieses Konto aus.

Da Sie Richtlinien mehreren Ebenen in der Organisation hinzufügen können, können Konten mehrereRichtlinien erben.

Wie sich Richtlinien auf die OUs und Konten auswirken, die sie erben, hängt vom Typ der Richtlinie ab:

79



https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribePolicy.html

AWS Organizations BenutzerhandbuchVererbung für Service-Kontrollrichtlinien

• Service-Kontrollrichtlinien (SCPs) (p. 80)• Verwaltungsrichtlinientypen (p. 82)

• Sicherungsrichtlinien (p. 138)• Tag-Richtlinien (p. 172)

Vererbung für Service-KontrollrichtlinienImportant

Die Informationen in diesem Abschnitt gelten nicht für Verwaltungsrichtlinientypen,einschließlich AI-Services-Abmelderichtlinien, Sicherungsrichtlinien oder Tag-Richtlinien.Informationen finden Sie im nächsten Abschnitt Richtliniensyntax und Vererbung fürVerwaltungsrichtlinientypen (p. 82).

Service-Kontrollrichtlinien (SCPs)Die Vererbung für Service-Kontrollrichtlinien verhält sich wie ein Filter, durch den Berechtigungen in alleTeile der darunter liegenden Struktur fließen. Angenommen, die invertierte Baumstruktur der Organisationbesteht aus Verzweigungen, die eine Verbindung vom Stamm zu allen OUs herstellen und an den Kontenenden. Alle AWS-Berechtigungen fließen in den Stamm der Struktur ein. Diese Berechtigungen müssendann über die dem Root-Benutzer, SCPs und dem Konto angefügten OUs hinausgehen, um zum Prinzipal(einer IAM-Rolle oder einem -Benutzer) zu gelangen, der eine Anforderung stellt. Jede SCP kann dieBerechtigungen filtern, die zu den darunter liegenden Ebenen durchdringen. Wenn eine Aktion durch eineDeny-Anweisung blockiert wird, wird allen OUs und Konten, die von dieser SCP betroffen sind, der Zugriffauf diese Aktion verweigert. Eine SCP auf einer niedrigeren Ebene kann keine Berechtigung hinzufügen,nachdem sie von einer SCP auf einer höheren Ebene blockiert wurde. SCPs kann nur filtern. Sie fügen nieBerechtigungen hinzu.

SCPs unterstützen keine Vererbungsoperatoren, die ändern, wie Elemente der Richtlinie vonuntergeordneten OUs und Konten geerbt werden.

Die folgende Abbildung zeigt, wie SCPs (p. 93) funktioniert.

In dieser Abbildung wird davon ausgegangen, dass der Raspberry auf der linken Seite eine SCP darstellt,die an den Organisationsstamm angefügt ist. Sie erlaubt die Berechtigungen A, B und C. Der Root enthälteine Organisationseinheit (Organizational Unit, OU), der eine zweite Service-Kontrollrichtlinie zugewiesenist, die von der Spark auf der rechten Seite dargestellt wird. Diese zweite SCP erlaubt die BerechtigungenC, D und E. Da die an den Root angefügte SCP D oder E nicht zulässt, können sie weder von OUs noch

80

AWS Organizations BenutzerhandbuchVererbung für Service-Kontrollrichtlinien

von Konten in der Organisation verwendet werden. Obwohl die der Organisationseinheit zugeordneteSCP D und E explizit zulässt, werden sie blockiert, da sie von der dem Root zugeordneten SCP blockiertwerden. Da die SCP der Organisationseinheit A oder B nicht zulässt, werden diese Berechtigungen fürdie Organisationseinheit und alle untergeordneten OUs oder Konten blockiert. Andere OUs, die sichmöglicherweise im Stammverzeichnis befinden, können jedoch weiterhin A und B zulassen.

Wenn Sie die Hierarchie von OUs nach unten bis zum Konto durchlaufen, wird der Prozess im vorherigenAbsatz für jede Organisationseinheit und schließlich für das Konto wiederholt. Auf jeder Ebene wird dasErgebnis der Auswertung am übergeordneten Element zur Richtlinie auf der linken Seite des Diagrammsund mit der SCPs verglichen, die der untergeordneten Organisationseinheit zugeordnet ist.

Wenn Sie beispielsweise den Baum entlang einer untergeordneten Organisationseinheit mit dem NamenX verschieben, nehmen Sie an, dass die restliche Absicht links die geerbten, effektiven Berechtigungendarstellt, die von allen SCPs über Organisationseinheit X in der Hierarchie gewährt werden. Die Spalterechts stellt die SCP dar, die einer Organisationseinheit oder einem AWS-Konto in der OrganisationseinheitX angefügt ist. Auch hier gilt die Schnittmenge dieser Berechtigungen als eine verfügbare Entität aufder rechten Seite. Wenn diese Entität ein AWS-Konto ist, dann ist die Schnittmenge der Satz vonBerechtigungen, die Benutzern und Rollen in diesem Konto gewährt werden können. Wenn es sich beider Entity um eine Organisationseinheit handelt, handelt es sich bei der Schnittmenge um die Gruppevon Berechtigungen, die von den untergeordneten Elementen dieser Organisationseinheit geerbt werdenkönnen. Wiederholen Sie den Vorgang für jede Ebene in der OU-Hierarchie, bis Sie das Konto selbsterreichen. Diese endgültige effektive Richtlinie ist die Liste der Berechtigungen, die von jeder SCP überdiesem Konto zugelassen und an sie angehängt wurden.

Das bedeutet, dass Sie diese API auf jeder Ebene zwischen dem Mitgliedskonto und dem Stamm IhrerOrganisation zulassen müssen, um eine AWS-Service-API auf Mitgliedskontoebene zuzulassen. Siemüssen SCPs an alle Stufen des Organisationsstamms an das Mitgliedskonto anfügen, das die gegebeneAWS-Service-API (z. B. ec2:RunInstances) zulässt. Dazu können Sie eine der folgenden Strategienverwenden:

• Eine Verweigerungslistenstrategie (p. 104) nutzt die AWSFullAccess-SCP, die standardmäßig jederOrganisationseinheit und jedem Konto zugeordnet ist. Diese Service-Kontrollrichtlinie überschreibt diestandardmäßige implizite Zugriffsverweigerung und erlaubt explizit den Fluss aller Berechtigungen ausdem Stammverzeichnis zu jedem Konto, es sei denn, Sie verweigern explizit eine Berechtigung mit einerzusätzlichen Service-Kontrollrichtlinie, die Sie erstellen und der entsprechenden Organisationseinheitoder dem Konto anfügen. Diese Strategie funktioniert, weil ein expliziter deny in einer Richtlinie immerjede Art von allow überschreibt. Kein Konto unterhalb der Ebene der Organisationseinheit mit derZugriffsverweigerungsrichtlinie kann die verweigerte API verwenden und es gibt keine Möglichkeit,die Berechtigung wieder unten in der Hierarchie hinzuzufügen. Weitere Informationen finden Sie unterVerwenden von SCPs als Sperrliste (p. 104).

• Mit einer Genehmigungslistenstrategie (p. 105) müssen Sie die AWSFullAccess-SCP entfernen, diestandardmäßig jeder Organisationseinheit und jedem Konto zugeordnet ist. Das bedeutet, dass APIs ankeiner Stelle erlaubt sind, es sei denn, Sie erlauben diese explizit. Damit eine Service-API in einem AWS-Konto ausgeführt werden kann, müssen Sie eine eigene SCPs erstellen und diese dem Konto und jederdarüber OU anfügen, bis hin zu und einschließlich dem Root. Jede SCP in der Hierarchie, beginnend mitdem Root, muss explizit zulassen, dass die APIs, die in der OUs und den Konten darunter verwendetwerden soll, verwendet werden kann. Diese Strategie funktioniert, weil eine explizite allow in einerSCP eine implizite deny überschreibt. Weitere Informationen finden Sie unter Verwenden von SCPs alsWhitelist (p. 105).

Informationen dazu, wie Richtlinien im Hinblick auf implizite im Vergleich zu expliziten Zugriffserlaubnissenund -verweigerungen ausgewertet werden und was dies überschreibt, finden Sie unter Ermitteln, ob eineAnforderung innerhalb eines Kontos zugelassen oder verweigert wird.

Benutzer und Rollen in Konten müssen weiterhin mithilfe von ihnen oder Gruppen angefügten AWSIdentity and Access Management (IAM)-Berechtigungsrichtlinien Berechtigungen erhalten. Der SCPslegt nur fest, welche Berechtigungen verfügbar sind, die von solchen Richtlinien gewährt werden sollen.

81

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

AWS Organizations BenutzerhandbuchRichtliniensyntax und Vererbungfür Verwaltungsrichtlinientypen

Der Benutzer kann keine Aktionen ausführen, die das geltende SCPs nicht zulässt. Aktionen, die vonder SCPs zugelassen werden, können verwendet werden, wenn sie von einer oder mehreren IAM-Berechtigungsrichtlinien für den Benutzer oder die Rolle gewährt werden.

Wenn Sie SCPs an den Organisationsstamm, OUs oder direkt an Konten anfügen, werden alle Richtlinien,die sich auf ein bestimmtes Konto auswirken, gemeinsam mit denselben Regeln ausgewertet, die die IAM-Berechtigungsrichtlinien regeln:

• Benutzer und Rollen in betroffenen Konten können keine Aktionen ausführen, die in der Deny-Anweisungdes SCP aufgeführt sind. Eine explizite Deny-Anweisung überschreibt alle Allow, die andere SCPsmöglicherweise erteilen.

• Eine Aktion, die über eine explizite Allow-Anweisung in einer SCP verfügt (z. B. standardmäßige "*"-SCP oder eine andere SCP für einen bestimmten Service oder eine Aktion), kann an Benutzer undRollen in den betroffenen Konten delegiert werden.

• Jede Aktion, die nicht explizit durch eine Service-Kontrollrichtlinie zugelassen ist, ist implizit nichtzugelassen. Sie kann nicht an Benutzer oder Rollen in den betroffenen Konten delegiert werden.

Standardmäßig ist eine SCP mit dem Namen FullAWSAccess jedem Organisationsstamm, jeder OUund jedem Konto zugewiesen. Diese Standard-SCP lässt alle Aktionen und alle Services zu. In einerneuen Organisation arbeiten daher alle vorhandenen SCPs-Berechtigungen so lange weiter, bis Siemit dem Erstellen oder Bearbeiten des IAMs beginnen. Sobald Sie eine neue oder geänderte SCP demOrganisationsstamm oder einer OU mit einem Konto zuweisen, werden die Berechtigungen der Benutzer indiesem Konto durch die SCP gefiltert. Wenn sie nicht auf jeder Ebene der Hierarchie bis zum betreffendenKonto durch eine SCP zugelassen sind, können bis dahin verfügbare Berechtigungen möglicherweise nichtmehr verfügbar sein.

Wenn Sie den SCP-Richtlinientyp im Organisationsstamm deaktivieren, werden alle SCPs automatischvon allen Entitäten im Organisationsstamm getrennt. Wenn Sie SCPs auf dem Organisationsstamm erneutaktivieren, gehen alle ursprünglichen Anfügungen verloren und alle Entitäten werden zurückgesetzt, um nuran die standardmäßige FullAWSAccess-SCP angefügt zu werden.

Weitere Informationen zur Syntax von SCPs finden Sie unter SCP-Syntax (p. 106).

Sie können eine Liste aller Richtlinien anzeigen, die auf ein Konto angewendet werden und woher dieseRichtlinie stammt. Wählen Sie dazu ein Konto in der AWS Organizations-Konsole aus. Wählen Sieauf der Seite mit den Kontodetails die Option Richtlinien und dann im rechten Detailbereich Service-Kontrollrichtlinien aus. Dieselbe Richtlinie kann für das Konto mehrfach gelten, da die Richtlinie an einenoder alle übergeordneten Container des Kontos angefügt werden kann. Die effektive Richtlinie, die für dasKonto gilt, ist der Schnittpunkt der zulässigen Berechtigungen aller anwendbaren Richtlinien.

Weitere Informationen zur Verwendung von SCPs finden Sie unter Service-Kontrollrichtlinien (p. 93).

Richtliniensyntax und Vererbung fürVerwaltungsrichtlinientypen

Important

Die Informationen in diesem Abschnitt gelten nicht für .SCPs Weitere Informationen finden Sie imvorherigen Abschnitt Vererbung für Service-Kontrollrichtlinien (p. 80).

Zu den Verwaltungsrichtlinientypen gehören:

• Opt-out-Richtlinien für AI-Services (Artificial Intelligence) (p. 123)• Sicherungsrichtlinien (p. 138)• Tag-Richtlinien (p. 172)

82


Die Vererbung verhält sich bei Verwaltungsrichtlinientypen anders als bei Service-Kontrollrichtlinien. DieSyntax für Verwaltungsrichtlinientypen umfasst Vererbungsoperatoren, mit denen Sie mit feiner Granularitätangeben können, welche Elemente aus den übergeordneten Richtlinien angewendet werden und welcheElemente bei Vererbung durch untergeordnete OUs und Konten überschrieben oder geändert werdenkönnen.

Die effektive Richtlinie ist der Satz von Regeln, die vom Organisationsstamm und OUs zusammen mitden direkt an das Konto angefügten geerbt werden. Die effektive Richtlinie gibt den endgültigen Satz vonRegeln an, die für das Konto gelten. Sie können die effektive Richtlinie für ein Konto anzeigen, das dieAuswirkungen aller Vererbungsoperatoren in den angewendeten Richtlinien enthält. Weitere Informationenfinden Sie im Anzeigen effektiver Tag-Richtlinien (p. 186).

In diesem Abschnitt wird erläutert, wie übergeordnete Richtlinien und untergeordnete Richtlinien zureffektiven Richtlinie für ein Konto verarbeitet werden.

TerminologyIn diesem Thema werden die folgenden Begriffe verwendet, um die Richtlinienvererbung zu diskutieren.

Richtlinienvererbung

Die Interaktion von Richtlinien auf unterschiedlichen Ebenen einer Organisation, die sich vom Stammder obersten Ebene der Organisation über die Hierarchie der Organisationseinheiten (OUs) nach untenzu einzelnen Konten erstreckt.

Sie können Richtlinien an den Organisationsstamm, OUs, einzelne Konten und an eine beliebigeKombination dieser Organisationsentitäten anfügen. Die Richtlinienvererbung bezieht sich aufRichtlinien, die dem Organisationsstamm oder einer OU zugeordnet sind. Alle Konten, die Mitgliederdes Organisationsstammes oder der OU sind, denen eine Richtlinie hinzugefügt wird, erben dieseRichtlinie.

Wenn beispielsweise Richtlinien an den Organisationsstamm angehängt sind, erben alle Konten inder Organisation diese Richtlinie. Das liegt daran, weil alle Konten einer Organisation immer demOrganisationsstamm untergeordnet sind. Wenn Sie einer bestimmten OU eine Richtlinie hinzufügen,erben Konten, die direkt unter dieser OU oder einer untergeordneten OU stehen, diese Richtlinie.Da Sie Richtlinien mehreren Organisationsebenen hinzufügen können, können Konten mehrereRichtliniendokumente eines einzelnen Richtlinientyps erben.

Übergeordnete Richtlinien

Richtlinien, die innerhalb der Organisationsstruktur auf höherer Ebene hinzugefügt sind als Richtlinien,die mit Entitäten auf niedrigerer Ebene innerhalb der Struktur verknüpft sind.

Wenn Sie beispielsweise die Richtlinie A an den Organisationsstamm anhängen, handelt es sichlediglich um eine Richtlinie. Wenn Sie auch Richtlinie B an eine Organisationseinheit unter diesemStamm anfügen, ist Richtlinie A die übergeordnete Richtlinie von Richtlinie B. Richtlinie B ist dieuntergeordnete Richtlinie von Richtlinie A. Zusammengeführt ergeben Richtlinie A und Richtlinie B dieeffektive Tag-Richtlinie für Konten in der OU.

Untergeordnete Richtlinien

Richtlinien, die auf einer niedrigeren Ebene innerhalb der Organisationsstruktur hinzugefügt sind alsdie übergeordnete Richtlinie.

Effektive Richtlinien

Das letzte, einzelne Richtliniendokument, das die Regeln angibt, die für ein Konto gelten. Die effektiveRichtlinie ist die Aggregation aller Richtlinien, die das Konto erbt, sowie jeder Richtlinie, die direkt mitdem Konto verknüpft ist. Mit Tag-Richtlinien können Sie beispielsweise die effektive Tag-Richtlinieanzeigen, die für jedes Ihrer Konten gilt. Weitere Informationen finden Sie im Anzeigen effektiver Tag-Richtlinien (p. 186).

83


Vererbungsoperatoren (p. 84)

Operatoren, die steuern, wie geerbte Richtlinien zu einer einzigen effektiven Richtliniezusammengeführt werden. Diese Operatoren gelten als erweiterte Funktion. ErfahreneRichtlinienautoren verwenden sie zur Einschränkung der Änderungen, die eine untergeordneteRichtlinie vornehmen darf, und wie Einstellungen in Richtlinien zusammengeführt werden.

VererbungsoperatorenVererbungsoperatoren steuern, wie geerbte Richtlinien und Richtlinien von Konten in die effektive Richtliniedes Kontos zusammengeführt werden. Zu diesen Operatoren gehören wertbestimmende Operatoren unduntergeordnete Steuerungsoperatoren.

Wenn Sie den visuellen Editor in der AWS Organizations-Konsole verwenden, können Sie nur den@@assign-Operator verwenden. Andere Operatoren gelten als erweiterte Funktion. Um die anderenOperatoren zu verwenden, müssen Sie die JSON-Richtlinie manuell erstellen. Erfahrene Richtlinienautorenkönnen Vererbungsoperatoren zur Steuerung der Werte verwenden, die auf die effektive Richtlinieangewendet werden sollen, und zur Einschränkung der Änderungen, die untergeordnete Richtlinienvornehmen dürfen.

Wertbestimmende Operatoren

Mithilfe der folgenden wertbestimmenden Operatoren können Sie steuern, wie Ihre Richtlinie mit denübergeordneten Richtlinien interagiert:

• @@assign – Überschreibt alle geerbten Richtlinieneinstellungen mit den angegebenen Einstellungen.Wenn die angegebene Einstellung nicht vererbt wird, fügt dieser Operator sie der effektiven Richtliniehinzu. Dieser Operator kann auf jede beliebige Richtlinieneinstellung jedes Typs angewendet werden.• Bei Einstellungen mit nur einem Wert ersetzt dieser Operator den geerbten Wert durch den

angegebenen Wert.• Bei Einstellungen mit mehreren Werten (JSON-Arrays) entfernt dieser Operator alle geerbten Werte

und ersetzt sie durch die in dieser Richtlinie angegebenen Werte.• @@append – Fügt den geerbten Einstellungen die angegebenen Einstellungen hinzu (ohne irgendwelche

zu entfernen). Wenn die angegebene Einstellung nicht vererbt wird, fügt dieser Operator sie dereffektiven Richtlinie hinzu. Sie können diesen Operator nur mit Einstellungen mit mehreren Wertenverwenden.• Dieser Operator fügt die angegebenen Werte zu allen Werten in dem geerbten Array hinzu.

• @@remove – Entfernt die angegebenen geerbten Einstellungen aus der effektiven Richtlinie, sofern sievorhanden sind. Sie können diesen Operator nur mit Einstellungen mit mehreren Werten verwenden.• Dieser Operator entfernt nur die angegebenen Werte aus dem Array von Werten, die von den

übergeordneten Richtlinien geerbt wurden. Andere Werte können weiterhin im Array vorhanden seinund von untergeordneten Richtlinien geerbt werden.

Untergeordnete Steuerungsoperatoren

Die Verwendung von untergeordneten Steuerungsoperatoren ist optional. Mit dem@@operators_allowed_for_child_policies-Operator können Sie steuern, welchewertbestimmenden Operatoren untergeordnete Richtlinien verwenden dürfen. Sie können alle Operatoren,bestimmte Operatoren oder keine Operatoren zulassen. Standardmäßig sind alle Operatoren (@@all)zulässig.

• "@@operators_allowed_for_child_policies" :["@@all"] Untergeordnete – und Kontenkönnen jeden beliebigen Operator in Richtlinien verwenden.OUs Standardmäßig sind alle Operatoren inuntergeordneten Richtlinien zulässig.

84


• "@@operators_allowed_for_child_policies" :["@@assign", "@@append", "@@remove"]Untergeordnete – und Konten können nur die angegebenen Operatoren in untergeordneten Richtlinienverwenden.OUs In diesem untergeordneten Steuerungsoperator können Sie einen oder mehrerewertbestimmende Operatoren angeben.

• "@@operators_allowed_for_child_policies" :["@@none"] Untergeordnete – und Kontenkönnen keine Operatoren in Richtlinien verwenden.OUs Sie können diesen Operator verwenden, umdie Werte, die in einer übergeordneten Richtlinie definiert sind, effektiv zu sperren, damit untergeordneteRichtlinien diese Werte nicht hinzufügen, anhängen oder entfernen können.

Note

Wenn ein geerbter untergeordneter Steuerungsoperator die Verwendung eines Operatorsbeschränkt, können Sie diese Regel nicht in einer untergeordneten Richtlinie rückgängig machen.Wenn Sie untergeordnete Steuerungsoperatoren in eine übergeordnete Richtlinie aufnehmen,beschränken diese die wertbestimmenden Operatoren in allen untergeordneten Richtlinien.

Beispiele der RichtlinienvererbungIn diesen Beispielen wird gezeigt, wie die Richtlinienvererbung funktioniert, indem übergeordnete unduntergeordnete Tag-Richtlinien zu einer effektiven Tag-Richtlinie für ein Konto zusammengeführt werden.

Die Beispiele gehen davon aus, dass Sie die im folgenden Diagramm dargestellte Organisationsstrukturbesitzen.

Beispiele• Beispiel 1: Zulassen, dass untergeordnete Richtlinien only-Tag-Werte überschreiben (p. 85)• Beispiel 2: Anfügen neuer Werte an geerbte Tags (p. 87)• Beispiel 3: Entfernen von Werten aus geerbten Tags (p. 88)• Beispiel 4: Änderungen an untergeordneten Richtlinien einschränken (p. 90)• Beispiel 5: Konflikte mit untergeordneten Steuerungsoperatoren (p. 91)• Beispiel 6: Konflikte mit dem Anfügen von Werten auf derselben Hierarchieebene (p. 92)

Beispiel 1: Zulassen, dass untergeordnete Richtlinien only-Tag-Werteüberschreiben

Die folgende Tag-Richtlinie definiert den CostCenter-Tag-Schlüssel und zwei zulässige Werte,Development und Support. Wenn Sie sie an den Organisationsstamm anfügen, gilt die Tag-Richtlinie füralle Konten in der Organisation.

Richtlinie A – Tag-Richtlinie des Organisationsstamms

{ "tags": {

85


"costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Development", "Support" ] } } }}

Angenommen Sie möchten, dass Benutzer in OU1 einen anderen Tag-Wert für einen Schlüsselverwenden, und Sie möchten die Tag-Richtlinie für bestimmte Ressourcentypen durchsetzen. Da RichtlinieA nicht angibt, welche untergeordneten Steuerungsoperatoren zulässig sind, sind alle Operatoren zulässig.Sie können den @@assign-Operator verwenden und eine Tag-Richtlinie wie die folgende erstellen, dieOU1 hinzugefügt werden soll.

Richtlinie B – OU1-Tag-Richtlinie

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Sandbox" ] }, "enforced_for": { "@@assign": [ "redshift:*", "dynamodb:table" ] } } }}

Wenn Sie den @@assign-Operator für das Tag angeben, wird bei Zusammenführung von Richtlinie A undRichtlinie B Folgendes ausgeführt, um die effektive Tag-Richtlinie für ein Konto zu bilden:

• Richtlinie B überschreibt die beiden Tag-Werte, die in der übergeordneten Richtlinie (Richtlinie A)angegeben wurden. Dies hat zur Folge, dass Sandbox der einzige konforme Wert für den Tag-SchlüsselCostCenter ist.

• Das Hinzufügen von enforced_for gibt an, dass das CostCenter-Tag als angegebener Tag-Wert füralle Amazon Redshift-Ressourcen und Amazon DynamoDB-Tabellen verwendet werden muss.

Wie im Diagramm gezeigt, enthält OU1 zwei Konten: 111111111111 und 222222222222.

Resultierende effektive Tag-Richtlinie für die Konten 111111111111 und 222222222222

Note

You can't directly use the contents of a displayed effective policy as the contents of a new policy.The syntax doesn't include the operators needed to control merging with other child and parent

86


policies. The display of an effective policy is intended only for understanding the results of themerger.

{ "tags": { "costcenter": { "tag_key": "CostCenter", "tag_value": [ "Sandbox" ], "enforced_for": [ "redshift:*", "dynamodb:table" ] } }}

Beispiel 2: Anfügen neuer Werte an geerbte TagsEs kann vorkommen, dass alle Konten in Ihrer Organisation einen Tag-Schlüssel mit einer kurzen Listezulässiger Werte angeben sollen. Für Konten in einer OU möchten Sie möglicherweise einen zusätzlichenWert zulassen, den nur diese Konten beim Erstellen von Ressourcen angeben können. In diesem Beispielwird dargestellt, wie dies mithilfe des @@append-Operators durchgeführt wird. Der @@append-Operator isteine erweiterte Funktion.

Wie Beispiel 1 beginnt dieses Beispiel mit der Richtlinie A der Tag-Richtlinie des Organisationsstamms.


{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Development", "Support" ] } } }}

Fügen Sie in diesem Beispiel OU2 die Richtlinie C hinzu. Der Unterschied in diesem Beispiel besteht darin,dass die Verwendung des @@append-Operators in Richtlinie C die Liste der zulässigen Werte und dieenforced_for-Regel nicht überschreibt, sondern sie ihr hinzugefügt werden.

Richtlinie C – OU2-Tag-Richtlinie zum Anhängen von Werten

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@append": [ "Marketing"

87


] }, "enforced_for": { "@@append": [ "redshift:*", "dynamodb:table" ] } } }}

Das Anhängen von Richtlinie C an OU2 hat bei der Zusammenführung von Richtlinie A und Richtlinie Cfolgende Auswirkungen, um die effektive Tag-Richtlinie für ein Konto zu bilden:

• Da Richtlinie C den @@append-Operator enthält, ermöglicht sie das Hinzufügen – nicht aber dasÜberschreiben – zur Liste der zulässigen Tagwerte, die in Richtlinie A angegeben sind.

• Wie in Richtlinie B gibt das Hinzufügen von enforced_for an, dass das CostCenter-Tag alsder angegebene Tag-Wert für alle Amazon Redshift-Ressourcen und Amazon DynamoDB-Tabellenverwendet werden muss. Überschreiben (@@assign) und Hinzufügen (@@append) haben dieselbeWirkung, wenn die übergeordnete Richtlinie keinen untergeordneten Steuerungsoperator enthält, dereinschränkt, was eine untergeordnete Richtlinie angeben kann.

Wie im Diagramm gezeigt, enthält OU2 ein Konto: 999999999999 Richtlinie A und Richtlinie C werdenzusammengeführt, um die effektive Tag-Richtlinie für das Konto 999999999999 zu bilden.

Effektive Tag-Richtlinie für Konto 999999999999Note

You can't directly use the contents of a displayed effective policy as the contents of a new policy.The syntax doesn't include the operators needed to control merging with other child and parentpolicies. The display of an effective policy is intended only for understanding the results of themerger.

{ "tags": { "costcenter": { "tag_key": "CostCenter", "tag_value": [ "Development", "Support", "Marketing" ], "enforced_for": [ "redshift:*", "dynamodb:table" ] } }}

Beispiel 3: Entfernen von Werten aus geerbten TagsEs kann Fälle geben, in denen die Tag-Richtlinie, die der Organisation hinzugefügt ist, mehr Tag-Wertedefiniert, als ein Konto verwenden soll. In diesem Beispiel wird erläutert, wie eine Tag-Richtlinie mit demOperator @@remove überarbeitet wird. @@remove ist eine erweiterte Funktion.

Wie in den anderen Beispielen beginnt dieses Beispiel mit Richtlinie A der Tag-Richtlinie desOrganisationsstamms.

88



{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "Development", "Support" ] } } }}

In diesem Beispiel fügen Sie dem Konto 999999999999 Richtlinie D hinzu.

Richtlinie D – Tag-Richtlinie für Konto 999999999999 zum Entfernen von Werten

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@remove": [ "Development", "Marketing" ], "enforced_for": { "@@remove": [ "redshift:*", "dynamodb:table" ] } } } }}

Das Anfügen von Richtlinie D an Konto 999999999999 hat folgende Auswirkungen, wenn Richtlinie A,Richtlinie C und Richtlinie D zusammengeführt werden, um die effektive Tag-Richtlinie zu bilden:

• Unter der Annahme, dass Sie alle vorherigen Beispiele ausgeführt haben, sind Richtlinien B, C undC untergeordnete Richtlinien von A. Richtlinie B ist nur an OU1 angehängt und hat deshalb keineAuswirkung auf Konto 9999999999999.

• Für Konto 999999999999 ist der einzige akzeptable Wert für den CostCenter-Tag-Schlüssel Support.• Die Compliance für den CostCenter-Tag-Schlüssel wird nicht erzwungen.

Neue effektive Tag-Richtlinie für Konto 999999999999

Note

You can't directly use the contents of a displayed effective policy as the contents of a new policy.The syntax doesn't include the operators needed to control merging with other child and parent

89


policies. The display of an effective policy is intended only for understanding the results of themerger.

{ "tags": { "costcenter": { "tag_key": "CostCenter", "tag_value": [ "Support" ] } }}

Wenn Sie OU2 später weitere Konten hinzufügen, unterscheiden sich ihre effektiven Tag-Richtlinien vondenen des Kontos 999999999999. Das liegt daran, weil die restriktivere Richtlinie D nur auf Kontoebeneund nicht der OU hinzugefügt ist.

Beispiel 4: Änderungen an untergeordneten Richtlinien einschränken

Es kann vorkommen, dass Sie Änderungen in untergeordneten Richtlinien einschränken möchten. Indiesem Beispiel wird erläutert, wie dies mit untergeordneten Steuerungsoperatoren durchgeführt wird.

Dieses Beispiel beginnt mit einer neuen Tag-Richtlinie des Organisationsstamms und setzt voraus, dassOrganisations-Entitäten noch keine Tag-Richtlinien hinzugefügt wurden.

Richtlinie E – Tag-Richtlinie des Organisationsstamms zum Einschränken von Änderungen inuntergeordneten Richtlinien

{ "tags": { "project": { "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "Project" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@append"], "@@assign": [ "Maintenance", "Escalations" ] } } }}

Wenn Sie Richtlinie E an den Organisationsstamm anfügen, verhindert die Richtlinie, dass untergeordneteRichtlinien den Project-Tag-Schlüssel ändern. Untergeordnete Richtlinien können jedoch Tag-Werteüberschreiben oder hinzufügen.

Angenommen, Sie fügen eine OU der folgende Richtlinie F hinzu.

Richtlinie F – OU-Tag-Richtlinie

{ "tags": { "project": { "tag_key": {

90


"@@assign": "PROJECT" }, "tag_value": { "@@append": [ "Escalations - research" ] } } }}

Die Zusammenführung der Richtlinien E und F hat folgende Auswirkungen auf die Konten der OU:

• Richtlinie F ist eine untergeordnete Richtlinie von Richtlinie E.• Richtlinie F versucht, die Fallbehandlung zu ändern, kann dies aber nicht. Das liegt daran, weil Richtlinie

E den "@@operators_allowed_for_child_policies": ["@@none"]-Operator für den Tag-Schlüssel enthält.

• Richtlinie F kann jedoch dem Schlüssel Tag-Werte hinzufügen. Das liegt daran, dass Richtlinie E alsTag-Wert "@@operators_allowed_for_child_policies": ["@@append"] enthält.

Effektive Richtlinie für Konten in der OU

Note


{ "tags": { "project": { "tag_key": "project", "tag_value": [ "Maintenance", "Escalations", "Escalations - research" ] } }}

Beispiel 5: Konflikte mit untergeordneten Steuerungsoperatoren

Untergeordnete Steuerungsoperatoren können in Tag-Richtlinien vorhanden sein, die auf derselben Ebenein der Organisationshierarchie hinzugefügt sind. In diesem Fall wird bei Zusammenführung der Richtliniender Schnittmenge der zulässigen Operatoren verwendet, um die effektive Richtlinie für Konten zu bilden.

Angenommen, Richtlinien G und H sind dem Organisationsstamm hinzugefügt.

Richtlinie G – Tag-Richtlinie 1 des Organisationsstamms

{ "tags": { "project": { "tag_value": { "@@operators_allowed_for_child_policies": ["@@append"], "@@assign": [

91


"Maintenance" ] } } }}

Richtlinie H – Tag-Richtlinie 2 des Organisationsstamms

{ "tags": { "project": { "tag_value": { "@@operators_allowed_for_child_policies": ["@@append", "@@remove"] } } }}

In diesem Beispiel definiert eine Richtlinie am Organisationsstamm, dass die Werte für den Tag-Schlüsselnur angehängt werden können. Mithilfe der anderen, dem Organisationsstamm angehängten Richtliniekönnen untergeordnete Richtlinien Werte anhängen und entfernen. Die Schnittmenge dieser beidenBerechtigungen wird für untergeordnete Richtlinien verwendet. Im Ergebnis können untergeordneteRichtlinien Werte hinzufügen, jedoch keine Werte entfernen. Daher kann die untergeordnete Richtlinie derListe der Tag-Werte einen Wert hinzufügen, den Maintenance-Wert jedoch nicht entfernen.

Beispiel 6: Konflikte mit dem Anfügen von Werten auf derselben Hierarchieebene

Sie können jeder Organisations-Entität mehrere Tag-Richtlinien hinzufügen. Wenn Sie dies tun, könnendie Tag-Richtlinien, die derselben Organisations-Entität angefügt wurden, widersprüchliche Informationenenthalten. Richtlinien werden basierend auf der Reihenfolge, in der sie der Organisations-Entitäthinzugefügt wurden, ausgewertet. Um zu ändern, welche Richtlinie zuerst ausgewertet wird, können Sieeine Richtlinie trennen und dann erneut hinzufügen.

Angenommen, Richtlinie J wurde als erste dem Organisationsstamm hinzugefügt, und anschließendRichtlinie K.

Richtlinie J – Erste dem Organisationsstamm angefügte Tag-Richtlinie

{ "tags": { "project": { "tag_key": { "@@assign": "PROJECT" }, "tag_value": { "@@append": ["Maintenance"] } } }}

Richtlinie K – Zweite dem Organisationsstamm angefügte Tag-Richtlinie

{ "tags": { "project": { "tag_key": { "@@assign": "project"

92

AWS Organizations BenutzerhandbuchService-Kontrollrichtlinien

} } }}

In diesem Beispiel wird der Tag-Schlüssel PROJECT in der effektiven Tag-Richtlinie verwendet, da die siedefinierende Richtlinie zuerst dem Organisationsstamm hinzugefügt wurde.

Richtlinie JK – Effektive Tag-Richtlinie für Konto

Die effektive Richtlinie des Kontos lautet wie folgt.

Note


{ "tags": { "project": { "tag_key": " PROJECT", "tag_value": [ "Maintenance", "Escalations" ] } }}

Service-KontrollrichtlinienInformationen und Verfahren, die für alle Richtlinientypen gelten, finden Sie in den folgenden Themen:

• Aktivieren und Deaktivieren von Richtlinientypen (p. 74)• Rufen Sie Details zu Ihren Richtlinien ab (p. 76)• Richtliniensyntax und Vererbung (p. 80)

Service-Kontrollrichtlinien (Service Control Policies,SCPs)Service-Kontrollrichtlinien (Service Control Policies, SCPs) sind eine Art von Organisationsrichtlinien, dieSie zum Verwalten von Berechtigungen in Ihrer Organisation verwenden können. SCPs bietet eine zentraleKontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation. SCPs hilftIhnen sicherzustellen, dass Ihre Konten innerhalb der Zugriffskontrollrichtlinien Ihrer Organisation bleiben.SCPs sind nur in Organisationen verfügbar, in der alle Funktionen aktiviert sind (p. 36). SCPs sind nichtverfügbar, wenn Ihre Organisation nur die konsolidierte Fakturierung aktiviert hat. Anweisungen zumAktivieren von SCPs finden Sie unter Aktivieren und Deaktivieren von Richtlinientypen (p. 74).

SCPs alleine reichen nicht aus, um den Konten in Ihrer Organisation Berechtigungen zu erteilen.Es werden keine Berechtigungen von einer SCP erteilt. Eine SCP definiert eine Leitlinie oder legtLimits für die Aktionen fest, die der Administrator des Kontos an die IAM-Benutzer und -Rollen in

93

AWS Organizations BenutzerhandbuchService-Kontrollrichtlinien (Service Control Policies, SCPs)

den betroffenen Konten delegieren kann. Der Administrator muss weiterhin identitätsbasierte oderressourcenbasierte Richtlinien an IAM-Benutzer oder -Rollen oder an die Ressourcen in Ihren Kontenanfügen, um tatsächlich Berechtigungen zu erteilen. Die effektiven Berechtigungen (p. 94) sind derlogische Schnittpunkt zwischen dem, was durch die SCP zugelassen wird, und dem, was durch die IAM-und ressourcenbasierten Richtlinien zugelassen wird.

Important

SCPs wirkt sich nicht auf Benutzer oder Rollen im Managementkonto aus. Sie wirken sich nur aufdie Mitgliedskonten in Ihrer Organisation aus.

Themen auf dieser Seite• Testen der Auswirkungen vonSCPs (p. 94)• Maximale Größe von SCPs (p. 94)• Vererbung von SCPs in der OU-Hierachie (p. 94)• Auswirkungen auf Berechtigungen (p. 94)• Verwenden von Zugriffsdaten zur Verbesserung von SCPs (p. 95)• Aufgaben und Entitäten, die nicht durch SCPs eingeschränkt sind (p. 96)

Testen der Auswirkungen vonSCPsAWS empfiehlt dringend, dass Sie SCPs nicht an den Root Ihrer Organisation anfügen, ohne zuvorgründlich getestet zu haben, wie sich die Richtlinie auf Konten auswirkt. Erstellen Sie stattdessen eineOrganisationseinheit, in die Sie Ihre Konten einzeln oder in geringer Anzahl verschieben können. So stellenSie sicher, dass kein Benutzer versehentlich von wichtigen Services ausgesperrt wird. Ob ein Service voneinem Konto verwendet wird, können Sie herausfinden, indem Sie sich die Daten zum letzten Servicezugriffin IAM ansehen. Eine weitere Möglichkeit besteht darin, mithilfe von AWS CloudTrail die Service-Nutzungauf API-Ebene zu protokollieren.

Maximale Größe von SCPsAlle Zeichen in Ihrer SCP werden auf deren Maximalgröße (p. 302) angerechnet. Die Beispiele in diesemHandbuch zeigen die mit zusätzlichen Leerzeichen formatierten SCPs, um ihre Lesbarkeit zu verbessern.Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alleLeerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

Tip

Verwenden Sie den visuellen Editor zum Erstellen Ihrer SCP. Hier werden zusätzliche Leerzeichenautomatisch entfernt.

Vererbung von SCPs in der OU-HierachieEine detaillierte Erläuterung der Funktionsweise der SCP-Vererbung finden Sie unter Vererbung fürService-Kontrollrichtlinien (p. 80).

Auswirkungen auf BerechtigungenSCPs sind ähnlich wie AWS Identity and Access Management (IAM)-Berechtigungsrichtlinien undverwenden eine sehr ähnliche Syntax. Allerdings gewährt eine SCP nie Berechtigungen. Stattdessen sindSCPs JSON-Richtlinien, die die maximalen Berechtigungen für die betroffenen Konten angeben. WeitereInformationen finden Sie unter Auswertungslogik für Richtlinien im IAM-Benutzerhandbuch.

94

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

AWS Organizations BenutzerhandbuchService-Kontrollrichtlinien (Service Control Policies, SCPs)

• SCPs Betrifft nur -Benutzer und -RollenIAM, die von Konten verwaltet werden, die Teil der Organisationsind. SCPs wirkt sich nicht direkt auf ressourcenbasierte Richtlinien aus. Sie haben auch keineAuswirkungen auf Benutzer oder Rollen von Konten außerhalb der Organisation. Nehmen wir alsBeispiel einen Amazon S3-Bucket, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eineressourcenbasierte Richtlinie) gewährt Benutzern von Konto B außerhalb der Organisation Zugriff. KontoA ist eine Service-Kontrollrichtlinie zugeordnet. Diese SCP gilt nicht für die externen Benutzer in Konto B.Sie gilt nur für Benutzer, die von Konto A in der Organisation verwaltet werden.

• Eine SCP beschränkt die Berechtigungen für IAM-Benutzer und -Rollen in Mitgliedskonten, einschließlichdes Stammbenutzers des Mitgliedskontos. Jedes Konto weist nur die Berechtigungen auf, die ihm durchjedes einzelne übergeordnete Element gewährt wird. Wenn eine Berechtigung auf einer Ebene oberhalbdes Kontos gesperrt ist, entweder stillschweigend (d. h., sie ist nicht in der Richtlinienanweisung Allowenthalten) oder explizit (d. h., sie ist in der Richtlinienanweisung Deny enthalten), kann ein Benutzer odereine Rolle im betreffenden Konto diese Berechtigung nicht verwenden, auch wenn der Administrator desKontos die IAM-Richtlinie AdministratorAccess mit */*-Berechtigungen an diesen Benutzer anhängt.

• SCPs wirkt sich nur auf Mitgliedskonten in der Organisation aus. Sie haben keine Auswirkungen aufBenutzer oder Rollen im Managementkonto.

• Benutzer und Rollen müssen trotzdem mit Berechtigungen mit entsprechenden IAM-Berechtigungsrichtlinien ausgestattet werden. Ein Benutzer ohne IAM-Berechtigungsrichtlinien hat keinenZugriff, auch wenn die entsprechende SCPs alle Services und alle Aktionen zulässt.

• Wenn ein Benutzer oder eine Rolle über eine IAM-Berechtigungsrichtlinie verfügt, die Zugriff auf eineAktion gewährt, die auch von der entsprechenden SCPs erlaubt wird, kann der Benutzer oder die Rollediese Aktion ausführen.

• Wenn ein Benutzer oder eine Rolle über eine IAM-Berechtigungsrichtlinie verfügt, die Zugriff auf eineAktion gewährt, die von der entsprechenden SCPs entweder nicht zugelassen oder explizit verweigertwird, kann der Benutzer oder die Rolle diese Aktion nicht ausführen.

• SCPs wirkt sich auf alle Benutzer und Rollen in zugeordneten Konten aus, einschließlich desStammbenutzers. Die einzigen Ausnahmen sind die unter Aufgaben und Entitäten, die nicht durch SCPseingeschränkt sind (p. 96) beschriebenen.

• SCPs betrifft keine serviceverknüpfte Rolle. Serviceverknüpfte Rollen ermöglichen anderen AWS-Services die Integration mit AWS Organizations und können nicht durch SCPs eingeschränkt werden.

• Wenn Sie den SCP-Richtlinientyp in einem Root deaktivieren, werden alle SCPs automatisch vonallen AWS Organizations-Entitäten in diesem Root getrennt. AWS Organizations-Entitäten umfassenOrganisationseinheiten, Organisationen und Konten. Wenn Sie SCPs in einem Root erneut aktivieren,wird dieser Root nur auf die FullAWSAccess-Standardrichtlinie zurückgesetzt, die automatisch an alleEntitäten im Root angefügt wird. Alle Anhänge von SCPs an AWS Organizations-Entitäten von vor derDeaktivierung von SCPs gehen verloren und werden nicht automatisch wiederhergestellt. Sie können siejedoch manuell wieder anfügen.

• Wenn sowohl eine Berechtigungsgrenze (eine erweiterte IAM-Funktion) als auch eine SCP vorhandensind, müssen die Grenze, die SCP und die identitätsbasierte Richtlinie die Aktion zulassen.

Verwenden von Zugriffsdaten zur Verbesserung von SCPsWenn Sie mit den Anmeldeinformationen für das Managementkonto (früher als „Masterkonto“) bezeichnet)angemeldet sind, können Sie die letzten Service-Zugriffsdaten für eine AWS Organizations-Entity oder -Richtlinie im Abschnitt AWS Organizations der IAM-Konsole anzeigen. Alternativ können Sie die Daten zumletzten Servicezugriff über die AWS Command Line Interface (AWS CLI) oder die AWS-API in IAM abrufen.Diese Daten enthalten Informationen darüber, auf welche Services die IAM-Benutzer und -Rollen in einemAWS Organizations-Konto zuletzt zuzugreifen versuchten und zu welchem Zeitpunkt dies geschah. Anhanddieser Informationen können Sie ungenutzte Berechtigungen identifizieren, sodass Sie Ihre SCPs besseran die Regel der geringsten Rechte anpassen können.

Beispiel: Sie verfügen möglicherweise über eine Sperrlisten-SCP (p. 104), die den Zugriff auf drei AWS-Services untersagt. Alle Services, die nicht in der SCP-Anweisung Deny aufgeführt sind, sind zulässig.Die Daten zum letzten Servicezugriff in IAM informieren Sie darüber, welche AWS-Services von der

95



AWS Organizations BenutzerhandbuchErstellen, Aktualisieren und Löschen

SCP zugelassen, jedoch niemals verwendet werden. Mit diesen Informationen können Sie die SCP soaktualisieren, dass sie den Zugriff auf nicht benötigte Services verweigert.

Weitere Informationen finden Sie unter den folgenden Themen im IAM-Benutzerhandbuch:

• Anzeigen des letzten Organisationen-Service-Zugriffsdatums für Organisationen• Verwenden von Daten zum Optimieren von Berechtigungen für eine Organisationseinheit

Aufgaben und Entitäten, die nicht durch SCPs eingeschränkt sindSie können nicht verwenden, um die folgenden Aufgaben einzuschränken:SCPs

• Jede Aktion, die vom Managementkonto ausgeführt wird• Jede Aktion, die mit Berechtigungen ausgeführt wird, die einer serviceverknüpften Rolle zugeordnet sind• Registrieren für den Enterprise Support-Plan als Root-Benutzer• Ändern der AWS-Support-Stufe als Root-Benutzer• Verwalten von Amazon CloudFront-Schlüsseln als Root-Benutzer• Bereitstellen der Funktion eines vertrauenswürdigen Ausstellers für private CloudFront-Inhalte• Konfigurieren von Reverse-DNS für einen Amazon Lightsail-E-Mail-Server als Root-Benutzer• Aufgaben für einige AWS-Services:

• Alexa Top Sites• Alexa Web Information Service• Amazon Mechanical Turk• Amazon Product Marketing API

Ausnahmen nur für Mitgliedskonten, die vor dem 15. September 2017 erstellt wurden

Für einige Konten, die vor dem 15. September 2017 erstellt wurden, können Sie nicht verwenden, um zuverhindern, dass der Root-Benutzer in diesen Mitgliedskonten die folgenden Aufgaben ausführt:SCPs

Important

Für alle Konten, die nach dem 15. September 2017 erstellt wurden, gelten die folgendenAusnahmen nicht und Sie können verwenden, um zu verhindern, dass der Root-Benutzer indiesen Mitgliedskonten die folgenden Aufgaben ausführt.SCPs Wenn Sie jedoch nicht sicher sind,dass alle Konten in Ihrer Organisation nach dem 15. September 2017 erstellt wurden, empfehlenwir, dass Sie sich nicht darauf verlassen, dass SCPs versucht, diese Operationen einzuschränken:

• Aktivieren oder Deaktivieren der Multifaktor-Authentifizierung für den Root-Benutzer• Erstellen, Aktualisieren und Löschen von x.509-Schlüsseln für den Root-Benutzer• Ändern des Passworts des Root-Benutzers• Erstellen, Aktualisieren und Löschen von Root-Zugriffsschlüsseln

Erstellen, Aktualisieren und Löschen von Service-KontrollrichtlinienWenn Sie mit den entsprechenden Berechtigungen am Verwaltungskonto Ihrer Organisation (früherals "Masterkonto" bezeichnet) angemeldet sind, können Sie Service-Kontrollrichtlinien (Service ControlPolicies, SCPs) (p. 93) erstellen und aktualisieren. Sie erstellen SCPs, indem Sie Anweisungenerstellen, die den Zugriff auf von Ihnen angegebene Services und Aktionen verweigern oder zulassen.

96

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs


Die Standardkonfiguration für die Arbeit mit SCPs ist das Erstellen von Anweisungen, die den Zugriffverweigern. Bei Zugriffsverweigerungsanweisungen können Sie auch Ressourcen und Bedingungen fürdie Anweisung angeben und das Element NotAction verwenden. Bei Anweisungen mit Zugriffserlaubnis("Allow") können Sie nur Services und Aktionen angeben.

Weitere Informationen zu Anweisungen, die den Zugriff verweigern und den Zugriff erlauben, finden Sieunter Strategien zur Verwendung von SCPs (p. 103).

Tip

Sie können das letzte Service-Zugriffsdatum in IAM verwenden, um Ihre SCPs zu aktualisieren,um den Zugriff nur auf die AWS-Services zu beschränken, die Sie benötigen. WeitereInformationen finden Sie unter Anzeigen der Daten zum letzten Zugriff auf den Organisationen-Service für Organisationen im IAM-Benutzerhandbuch.

Erstellen einer SCPMindestberechtigungen

Um SCPs zu erstellen, benötigen Sie die Berechtigung zum Ausführen der folgenden Aktion:

• organizations:CreatePolicy


So erstellen Sie eine Service-Kontrollrichtlinie


2. Wählen Sie auf der Registerkarte Richtlinien die Option Service-Kontrollrichtlinien aus.3. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellenaus.4. Geben Sie auf der Seite Create policy (Richtlinie erstellen) einen Namen und eine Beschreibung

für die Richtlinie ein.

Bei der Erstellung der Richtlinie hängen Ihre nächsten Schritte davon ab, ob Sieeine Anweisung hinzufügen möchten, die den Zugriff verweigert oder zulässt. MitZugriffsverweigerungsanweisungen haben Sie zusätzliche Kontrolle, da Sie den Zugriff aufbestimmte Ressourcen beschränken, Bedingungen dafür definieren, wann SCPs wirksam sind,und das Element NotAction verwenden können. Weitere Informationen finden Sie im SCP-Syntax (p. 106).

5. (Optional) Fügen Sie ein oder mehrere Tags hinzu, indem Sie Add tag (Tag hinzufügen)auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wertleer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einerRichtlinie bis zu 50 Tags anfügen.

6. So fügen Sie eine Anweisung hinzu, die den Zugriff verweigert:

a. Wählen Sie im linken Bereich des Abschnitts Policy (Richtlinie) den Service aus, für den SieAktionen hinzufügen möchten.

Wenn Sie die Optionen auf der linken Seite auswählen, wird der rechte Bereich aktualisiertund zeigt die JSON-Richtlinie an. Sie können Richtlinien auch in den Editor im rechtenBereich des Abschnitts Policy (Richtlinie) eingeben oder einfügen. In diesem Verfahren wirdjedoch beschrieben, wie Sie Ihre SCP mit dem visuellen Editor auf der linken Seite erstellen.

b. Wählen Sie aus der Liste der für diesen Service verfügbaren Aktionen, die daraufhin geöffnetwird, die zu verweigernde(n) Aktion(en) aus.

97

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html









c. Geben Sie die Ressourcen für die Anweisung an.

• Wählen Sie Add resource (Ressource hinzufügen) aus.• Wählen Sie auf der Seite Add resource (Resource hinzufügen) den Service aus der Liste

aus und wählen Sie dann unter Resource type den Ressourcentyp aus. Geben Sie denAmazon-Ressourcennamen (ARN) in Resource ARN (Ressourcen-ARN) ein.

• Wählen Sie Add resource (Ressource hinzufügen) aus.

Tip

Das Ressourcenelement ist erforderlich. Wenn Sie für den ausgewählten Service alleRessourcen angeben möchten, bearbeiten Sie die Ressourcenanweisung im rechtenBereich, um "Resource":"*" zu lesen.

d. (Optional) Um Bedingungen für die Gültigkeit einer Richtlinie anzugeben, wählen Sie Addcondition (Bedingung hinzufügen) aus. Geben Sie für den ausgewählten Service Folgendesan:

• -Bedingungsschlüssel – Sie können einen Bedingungsschlüssel angeben, der für alleAWS-Services (z. B. aws:SourceIp) oder einen servicespezifischen Schlüssel (z. B.ec2:InstanceType) verfügbar ist.

• Qualifier – (Optional) Wenn Sie mehrere Werte für die Bedingung angeben, können Sieeinen Qualifier zum Testen der Anforderungen für die Werte angeben.

• Operator – Mithilfe von Operatoren können Sie den Zugriff basierend auf einem Schlüssel-Wert-Vergleich einschränken.

Für jeden Bedingungsoperator mit Ausnahme der Null-Bedingung können Sie die OptionIfExists auswählen.

• Value (Wert) – (Optional) Geben Sie einen oder mehrere Werte für die Bedingung an.

Klicken Sie auf Add condition.

Weitere Informationen zu Bedingungsschlüsseln finden Sie unter IAM-JSON-Richtlinienelemente:. -Bedingung im IAM-Benutzerhandbuch.

e. (Optional) Um das Element NotAction zum Verweigern des Zugriffs auf alle aufgelistetenRessourcen mit Ausnahme der angegebenen Aktionen zu verwenden, ersetzen Sie Actionim linken Bereich durch NotAction, direkt nach dem Element "Effect": "Deny",.Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente:. NotAction im IAM-Benutzerhandbuch.

7. So fügen Sie eine Anweisung hinzu, die den Zugriff erlaubt:

a. Ändern Sie im rechten Bereich des Abschnitts Policy (Richtlinien) "Effect": "Deny" in"Effect": "Allow".

b. Wählen Sie im linken Bereich des Abschnitts Policy (Richtlinie) den Service aus, für den SieAktionen hinzufügen möchten.

Wenn Sie die Optionen auf der linken Seite auswählen, wird der rechte Bereich aktualisiertund zeigt die JSON-Richtlinie an. Sie können Richtlinien auch in den Editor im rechtenBereich des Abschnitts Policy (Richtlinie) eingeben oder einfügen. In diesem Verfahren wirdjedoch beschrieben, wie Sie Ihre SCP mit dem visuellen Editor auf der linken Seite erstellen.

c. Wählen Sie aus der Liste der für diesen Service verfügbaren Aktionen, die daraufhin geöffnetwird, die erlaubte(n) Aktion(en) aus.

8. (Optional) Um der Richtlinie eine weitere Anweisung hinzuzufügen, wählen Sie Add statement(Anweisung hinzufügen) aus und verwenden Sie den visuellen Editor, um die nächste Anweisungzu erstellen.

98

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html




9. Wenn Sie die gewünschten Anweisungen hinzugefügt haben, wählen Sie Create policy (Richtlinieerstellen) aus, um die fertige SCP zu speichern.

Die neue SCP wird in der Richtlinienliste der Organisation angezeigt. Sie können nun Ihre SCP an denRoot, die OUs oder die Konten anfügen (p. 102).

AWS CLI, AWS API

So erstellen Sie eine Service-Kontrollrichtlinie

Sie können einen der folgenden Befehle verwenden, um eine Service-Kontrollrichtlinie zu erstellen:

• AWS CLI: aws organizations create-policy• AWS-API:CreatePolicy

Note

SCPs wirkt sich nicht auf das Managementkonto und in einigen anderen Situationen aus.Weitere Informationen finden Sie im Aufgaben und Entitäten, die nicht durch SCPs eingeschränktsind (p. 96).

Aktualisieren einer SCPWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie den Inhalt einer Richtlinieumbenennen oder ändern. Das Ändern des Inhalts einer SCP wirkt sich unmittelbar auf alle Benutzer,Gruppen und Rollen in allen zugeordneten Konten aus.


Für die Aktualisierung einer SCP benötigen Sie die Berechtigung zum Ausführen der folgendenAktionen:

• organizations:UpdatePolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den ARN für die angegebene Richtlinie enthält (oder "*")



So aktualisieren Sie eine Richtlinie


2. Wählen Sie die Registerkarte Policies.3. Wählen Sie auf der Registerkarte Richtlinien die Option Service-Kontrollrichtlinien aus.4. Wählen Sie die Richtlinie, die Sie aktualisieren möchten.5. Wählen Sie im Detailbereich auf der rechten Seite Policy editor aus.6. Wählen Sie Bearbeiten, um Änderungen an der Richtlinie zu ermöglichen.7. Nehmen Sie die gewünschten Änderungen vor, indem Sie die Richtlinie im rechten Bereich

bearbeiten. Bei Zugriffsverweigerungsanweisungen können Sie auch den visuellen Editor imlinken Bereich verwenden, um Änderungen vorzunehmen. Wenn Sie fertig sind, wählen Sie Savechanges (Änderungen speichern) aus.

99

https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html




AWS CLI, AWS API


Sie können zum Aktualisieren einer Richtlinie einen der folgenden Befehle verwenden:

• AWS CLI: aws organizations update-policy• AWS-API:UpdatePolicy

Weitere Informationen

Weitere Informationen zum Erstellen von SCPs finden Sie in den folgenden Themen:

• Beispiel für Service-Kontrollrichtlinien (p. 113)• SCP-Syntax (p. 106)

Bearbeiten von Tags, die an eine SCP angefügt sindWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie die einer SCPzugeordneten Tags hinzufügen oder entfernen. Führen Sie dazu die folgenden Schritte aus.


Um die Tags zu bearbeiten, die einer SCP in Ihrer AWS-Organisation zugeordnet sind, müssenSie über die folgenden Berechtigungen verfügen:

• organizations:DescribeOrganization (nur Konsole –, um zur Richtlinie zu navigieren)• organizations:DescribePolicy (nur Konsole –, um zur Richtlinie zu navigieren)• organizations:TagResource



So bearbeiten Sie die Tags, die an eine SCP angefügt sind


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Service control policies (Service-Kontrollrichtlinien) und dann den Namen der Richtlinie mit den Tags aus, die Sie bearbeitenmöchten.

3. Wählen Sie im Detailbereich der ausgewählten Richtlinie EDIT TAGS (TAGS BEARBEITEN) aus.4. Sie können jede dieser Aktionen auf dieser Seite ausführen:




100

https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html





AWS CLI, AWS API

So bearbeiten Sie die Tags, die an eine SCP angefügt sind

Sie können einen der folgenden Befehle verwenden, um die Tags zu bearbeiten, die an eine SCPangefügt sind:


Löschen einer RichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Richtlinie löschen,die Sie in Ihrer Organisation nicht mehr benötigen.

Notes

• Bevor Sie eine Richtlinie löschen können, müssen Sie sie zuerst von allen angehängtenElementen trennen.

• Sie können keine von AWS verwaltete SCP wie die SCP mit dem Namen FullAWSAccesslöschen.


Zum Löschen einer SCP benötigen Sie die Berechtigung zum Ausführen der folgenden Aktion:

• organizations:DeletePolicy


So löschen Sie eine Richtlinie


2. Die Richtlinie, die Sie löschen möchten, muss zunächst von allen Roots, OUs und Konten getrenntwerden. Befolgen Sie die Schritte in Trennen einer SCP vom Organisationsstamm, von OUs odervon Konten (p. 102), um die Richtlinie von allen Elementen in der Organisation zu trennen.

3. Wählen Sie auf der Registerkarte Richtlinien die Option Service-Kontrollrichtlinien aus.4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die zu löschende SCP aus.5. Wählen Sie Delete policy (Richtlinie löschen).

AWS CLI, AWS API

So löschen Sie eine Richtlinie

Sie können zum Löschen einer Richtlinie einen der folgenden Befehle verwenden:

• AWS CLI: aws organizations delete-policy• AWS-API:DeletePolicy

101







https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeletePolicy.html

AWS Organizations BenutzerhandbuchAnfügen und Trennen

Anfügen und Trennen von Service-KontrollrichtlinienWenn Sie am Verwaltungskonto Ihrer Organisation angemeldet sind (früher als „Masterkonto“ bezeichnet),können Sie eine Service-Kontrollrichtlinie (Service Control Policy, SCP) anfügen, die Sie zuvor erstellthaben. Sie können eine SCP an den Organisationsstamm, an eine Organisationseinheit (OU) oder direktan ein Konto anfügen. Führen Sie zum Anfügen einer SCP folgende Schritte aus.


Wenn Sie eine SCP an einen Stamm, eine Organisationseinheit oder ein Konto anfügen möchten,benötigen Sie die Berechtigung zum Ausführen der folgenden Aktion:

• organizations:AttachPolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die "*" oder den Amazon-Ressourcennamen (ARN) der angegebenenRichtlinie und den ARN des Stammverzeichnisses, der Organisationseinheit oder des Kontosenthält, dem Sie die Richtlinie anfügen möchten


So fügen Sie eine SCP an einen Root, eine Organisationseinheit oder ein Konto an


2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zumKontrollkästchen für den Root, die Organisationseinheit oder das Konto, an das Sie die SCPanfügen möchten, und aktivieren Sie es. (p. 67)

3. Erweitern Sie im Bereich Details auf der rechten Seite den Abschnitt Service control policies(Service-Kontrollrichtlinien), um die Liste der aktuell angefügten SCPs anzuzeigen.

4. Suchen Sie in der Liste der verfügbaren SCPs das gewünschte und wählen Sie Attach (Anfügen)aus. Die Liste der angefügten SCPs wird mit dem neuen Anhang aktualisiert. Die SCP wird sofortwirksam. So wirkt sich eine SCP beispielsweise unmittelbar auf die Berechtigungen von IAM-Benutzern und -Rollen des angehängten Kontos bzw. aller Konten aus, die dem angehängtenRoot oder der Organisationseinheit untergeordnet sind.

AWS CLI, AWS API

So fügen Sie eine SCP an einen Root, eine Organisationseinheit oder ein Konto an

Sie können zum Anfügen einer SCP einen der folgenden Befehle verwenden:

• AWS CLI: aws organizations attach-policy• AWS-API:AttachPolicy

Trennen einer SCP vom Organisationsstamm, von OUs oder vonKontenWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine SCP vomOrganisationsstamm, der Organisationseinheit oder vom Konto trennen, dem sie zugeordnet ist. NachdemSie eine SCP von einem Element getrennt haben, gilt diese nicht mehr für Konten, auf die sich das jetztgetrennte Element ausgewirkt hat. Führen Sie zur Trennung einer SCP folgende Schritte aus.

Note

Es ist nicht möglich, die letzte Service-Kontrollrichtlinie von einer Entität zu entfernen. Es mussstets mindestens eine SCP an alle Elementen angehängt sein.

102



https://docs.aws.amazon.com/cli/latest/reference/organizations/attach-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_AttachPolicy.html

AWS Organizations BenutzerhandbuchStrategien zur Verwendung von SCPs


Wenn Sie eine SCP vom Organisations-Root, von der Organisationseinheit oder vom Kontotrennen möchten, benötigen Sie die Berechtigung zum Ausführen der folgenden Aktion:

• organizations:DetachPolicy


So trennen Sie eine SCP vom Organisationsstamm, der OU oder dem Konto


2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zumKontrollkästchen für den Root, die Organisationseinheit oder das Konto, von dem Sie die SCPtrennen möchten, und aktivieren Sie es. (p. 67)

3. Erweitern Sie im Bereich Details auf der rechten Seite den Abschnitt Service control policies(Service-Kontrollrichtlinien), um die Liste der aktuell angefügten SCPs anzuzeigen. DasFeld Source gibt Aufschluss über die Herkunft der SCP. Die SCP kann direkt an das Kontooder die Organisationseinheit oder an eine übergeordnete Organisationseinheit oder einenOrganisationsstamm angehängt werden.

4. Suchen Sie die Richtlinie, die Sie entfernen möchten, und wählen Sie Aufhebung derVerknüpfung. Die Liste der angefügten SCPs wird aktualisiert. Die SCP-Änderung, die sich durchdas Trennen der Richtlinie ergibt, wird sofort wirksam. Das Trennen einer Service-Kontrollrichtlinie(SCP) wirkt sich beispielsweise unmittelbar auf die Berechtigungen von IAM-Benutzern und-Rollen in dem zuvor angefügten Konto bzw. in den Konten aus, die dem zuvor angefügtenOrganisations-Root oder der Organisationseinheit untergeordnet sind.

AWS CLI, AWS API

So trennen Sie eine SCP von einem Root, einer Organisationseinheit oder einem Konto

Sie können zum Trennen einer SCP einen der folgenden Befehle verwenden:

• AWS CLI: aws organizations detach-policy• AWS-API:DetachPolicy

Strategien zur Verwendung von SCPsSie können die Service-Kontrollrichtlinien (SCPs) in Ihrer Organisation so konfigurieren, dass sie wie folgtfunktionieren:

• Eine Liste ablehnen (p. 104) – -Aktionen sind standardmäßig zulässig und Sie geben an, welcheServices und Aktionen verboten sind

• und eine Liste zulassen (p. 105) – -Aktionen sind standardmäßig verboten und Sie geben an, welcheServices und Aktionen zulässig sind

Tip

Mithilfe der Daten zum letzten Servicezugriff in IAM können Sie Ihre SCPs so aktualisieren, dassder Zugriff auf die AWS-Services beschränkt wird, die Sie benötigen. Weitere Informationen

103



https://docs.aws.amazon.com/cli/latest/reference/organizations/detach-policy.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DetachPolicy.html




finden Sie unter Anzeigen der Daten zum letzten Zugriff auf den Organisationen-Service fürOrganisationen im IAM-Benutzerhandbuch.

Verwenden von SCPs als SperrlisteDie Standardkonfiguration von AWS Organizations unterstützt die Verwendung von SCPs als Sperrliste.Mit einer Sperrlistenstrategie können Kontoadministratoren so lange alle Services und Aktionen delegieren,bis Sie eine SCP erstellen und zuweisen, die einen bestimmten Service oder eine Reihe von Aktionenverweigert (sperrt). Die Verwendung von Sperranweisungen in SCPs erfordert weniger Pflege, da Siesie nicht aktualisieren müssen, wenn AWS neue Services hinzufügt. Zugriffsverweigerungsanweisungenverbrauchen in der Regel weniger Speicherplatz, sodass es Ihnen leichter fällt, die Maximalgröße fürSCPs (p. 302) einzuhalten. In einer Anweisung, in der das Effect-Element den Wert Deny hat, könnenSie auch den Zugriff auf bestimmte Ressourcen beschränken oder Bedingungen dafür definieren, wann dieSCPs wirksam sind.

Um dies zu unterstützen, fügt AWS Organizations jedem Stamm und jeder Organisationseinheit bei derenErstellung eine von AWS verwaltete SCP mit dem Namen FullAWSAccess an. Diese Richtlinie lässt alleServices und Aktionen zu. Sie kann jederzeit an die Entitäten in Ihrer Organisation angefügt oder vondiesen getrennt werden. Da es sich bei der Richtlinie um eine AWS verwaltete SCP handelt, können Sie sienicht ändern oder löschen. Diese Richtlinie sieht wie folgt aus.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ]}

Diese Richtlinie ermöglicht es Kontoadministratoren, Berechtigungen für jeden Service oder jede Operationzu delegieren, bis Sie eine SCP erstellen und anfügen, die Zugriff verweigert. Sie können eine SCPzuweisen, die explizit Aktionen verbietet, die Benutzer und Rollen in bestimmten Konten nicht ausführensollen.

Eine entsprechende Richtlinie kann z. B. wie folgt aussehen (sie verhindert, dass die Benutzer inden betroffenen Konten Aktionen für den Amazon DynamoDB-Service durchführen können). DerOrganisationsadministrator kann die FullAWSAccess-Richtlinie trennen und stattdessen diese Richtlinieanfügen. Diese SCP lässt trotzdem alle anderen Services und die zugehörigen Aktionen zu.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Sid": "DenyDynamoDB", "Effect": "Deny", "Action": "dynamodb:*", "Resource": "*" } ]}

104



https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess


Die Benutzer in den betroffenen Konten können keine DynamoDB-Aktionen durchführen, da dasexplizite Deny-Element in der zweiten Anweisung das explizite Allow-Element in der ersten Anweisungüberschreibt. Sie können diese Konfiguration auch durchführen, indem Sie die FullAWSAccess-Richtliniebestehen lassen und eine zweite Richtlinie mit der Deny-Anweisung anfügen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "dynamodb:*", "Resource": "*" } ]}

Die Kombination aus der FullAWSAccess-Richtlinie und der Deny-Anweisung in der vorrangigen, aufein Root- oder OU-Element angewendeten, DynamoDB-Richtlinie hat die gleichen Auswirkungen wiedie einzelne Richtlinie mit beiden Anweisungen. Alle Richtlinien, die auf einer bestimmten Ebene gelten,werden kombiniert. Jede Anweisung wird, unabhängig davon, von welcher Richtlinie sie stammt, gemäßden zuvor erläuterten Regeln ausgewertet (d. h. ein explizites „Deny“ setzt überschreibt ein explizites„Allow“, mit dem das standardmäßige implizite „Deny“ außer Kraft gesetzt wird).

Verwenden von SCPs als WhitelistUm SCPs als Whitelist zu nutzen, müssen Sie die von AWS verwaltete FullAWSAccess-SCP durcheine SCP ersetzen, die nur die zulässigen Services und Aktionen explizit zulässt. Durch das Entfernender Standard-SCP FullAWSAccess werden alle Aktionen für alle Services implizit verweigert. Ihrebenutzerdefinierte SCP überschreibt dann die implizite Deny-Anweisung mit einer expliziten Allow-Anweisung für die Aktionen, die Sie zulassen möchten. Zur Aktivierung einer Berechtigung für einbestimmtes Konto muss jede SCP vom Root-Element über die jeweiligen OUs bis zum Konto dieentsprechende Berechtigung zulassen (dies gilt auch für SCPs, die direkt einem Konto zugewiesen sind).

Notes

• und eine Allow -Anweisung in einer SCP darf keine Resource Elements mit allem außereinem "*".

• und eine Allow -Anweisung in einer SCP darf keine Condition Element überhaupt.

Eine Berechtigungslistenrichtlinie könnte wie das folgende Beispiel aussehen, das Kontobenutzernermöglicht, Operationen für durchzuführen Amazon Elastic Compute Cloud (Amazon EC2) und AmazonCloudWatch, aber kein anderer Service. Alle SCPs in übergeordneten OUs und im Root-Element müssendiese Berechtigungen explizit zulassen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "cloudwatch:*" ], "Resource": "*" } ]}

105

AWS Organizations BenutzerhandbuchSCP-Syntax

SCP-SyntaxService-Kontrollrichtlinien (SCPs) verwenden eine ähnliche Syntax wie die, die von verwendet wird AWSIdentity and Access Management (IAM) -Berechtigungsrichtlinien und ressourcenbasierte Richtlinien (z. B.Amazon S3 -Bucket-Richtlinien). Weitere Informationen über IAM-Richtlinien und ihre Syntax finden Sie inder Übersicht über IAM-Richtlinien im IAM-Benutzerhandbuch.

Eine Service-Kontrollrichtlinie ist eine Textdatei, die den Regeln der JSON-Struktur folgt. Es werden die indiesem Thema beschriebenen Elemente verwendet.

Note

Alle Zeichen in Ihrer SCP werden auf deren Maximalgröße (p. 302) angerechnet. Die Beispielein diesem Handbuch zeigen die SCPs mit zusätzlichem Leerzeichen formatiert, um die Lesbarkeitzu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert,können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb vonAnführungszeichen löschen.

Allgemeine Informationen zu SCPs finden Sie unter Service-Kontrollrichtlinien (p. 93).

Übersicht über die ElementeDie folgende Tabelle fasst die Richtlinienelemente zusammen, die Sie in verwenden können SCPs.(z. B.. Einige Richtlinienelemente sind nur verfügbar in SCPs die Aktionen verweigern. Die SchaltflächeUnterstützte Effekte Spalte listet den Effekttyp auf, den Sie mit jedem Richtlinienelement in verwendenkönnen SCPs.

-Element Zweck Unterstützte Auswirkungen

Version (p. 107) Gibt dieRegelnfür dieSprachsyntaxan, diefür dieVerarbeitungderRichtlinieverwendetwird.

Allow, Deny

Statement (p. 108) Dient alsContainerfürRichtlinienelemente.Sie könnenmehrereKontoauszügein habenSCPs.

Allow, Deny

Anweisungs-ID (SID) (p. 108) (Optional)Stellt einenAnzeigenamenfür dieAnweisungbereit.

Allow, Deny

106

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

http://json.org


-Element Zweck Unterstützte Auswirkungen

Effect (Effekt) (p. 109) Definiert,ob die SCP-Anweisungermöglicht (p. 8)oderverweigert (p. 8)Zugriff aufdie IAM -Benutzerund -Rollenin einemKonto.

Allow, Deny

Action (Aktion) (p. 110) AngabeAWSService undAktionen,die SCPzulässt oderverweigert.

Allow, Deny

NotAction (p. 110) AngabeAWSService undAktionen,die vonder SCPausgenommensind. Wirdanstelle desElementsActionverwendet.

Deny

Ressource (p. 111) Gibt dieAWS-Ressourcenan, für diedie SCPgilt.

Deny

Bedingung (p. 112) Gibt dieBedingungendafür an,wann dieAnweisungwirksam ist.

Deny

Die folgenden Abschnitte enthalten weitere Informationen und Beispiele dafür, wie Richtlinienelemente inverwendet werden SCPs.

Version -ElementJede SCP muss eine Version Element mit dem Wert "2012-10-17". (z. B.. Dies ist derselbeVersionswert wie die neueste Version von IAM -Berechtigungsrichtlinien.

107


"Version": "2012-10-17",

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Ausführung in der IAM-Benutzerhandbuch.

Statement -ElementEine SCP besteht aus einem oder mehreren Statement-Elementen. Es kann nur ein Statement-Schlüsselwort in einer Richtlinie enthalten sein, doch der Wert kann ein JSON-Array von Anweisungen sein(in eckigen Klammern []).

Das folgende Beispiel zeigt eine einzelne Anweisung, die aus einer einzelnen besteht Effect, , und Siehaben die Möglichkeit Action, und Resource -Elemente.

"Statement": { "Effect": "Allow", "Action": "*", "Resource": "*" }

Das folgende Beispiel enthält zwei Anweisungen als Array-Liste innerhalb eines Statement-Elements. Dieerste Anweisung lässt sämtliche Aktionen zu, während die zweite alle EC2-Aktionen ablehnt. Das Ergebnisist, dass ein Administrator im Konto jede Berechtigung delegieren kann außer die aus der Amazon ElasticCompute Cloud (Amazon EC2).

"Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:*", "Resource": "*" } ]

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Erklärung in der IAM-Benutzerhandbuch.

Element der Anweisungs-ID (Sid)Die Sid (Anweisungs-ID) ist eine optionale ID, die Sie für die Richtlinie angeben können. Sie können jederAnweisung in einem Statement-Array einen Sid-Wert zuweisen. Die folgende Beispiel-SCP zeigt einebeispielhafte Sid-Anweisung.

{ "Statement": { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" }}

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Kennung in der IAM-Benutzerhandbuch.

108

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_id.html


Effect -ElementJede Anweisung muss ein Effect-Element enthalten. Der Wert kann entweder Allow oder Deny. (z. B..Sie wirkt sich auf alle Aktionen aus, die in derselben Anweisung aufgeführt sind.

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Auswirkung in der IAM-Benutzerhandbuch.

"Effect": "Allow"

Das folgende Beispiel zeigt eine SCP mit einer Anweisung, die ein Effect-Element mit dem Wert Allowenthält, der Kontobenutzern erlaubt, Aktionen für den Amazon S3-Service auszuführen. Dieses Beispielist nützlich in einer Organisation, die Listenstrategie zulassen (p. 7) (wobei die StandardeinstellungFullAWSAccess -Richtlinien werden alle getrennt, sodass Berechtigungen standardmäßig implizitverweigert werden). Das Ergebnis ist, dass die Aussage ermöglicht (p. 8) und die Amazon S3Berechtigungen für alle angefügten Konten:

{ "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "*" }}

Obwohl diese Aussage die gleiche Allow Wertschlüsselwort als IAM -Berechtigungsrichtlinie gewährt siein einer SCP einem Benutzer nicht die Berechtigung, etwas zu tun. Stattdessen SCPs handeln als filters, die maximalen Berechtigungen für die Konten in einer Organisation, Organisationseinheit (OU) oderKonto angeben. Im vorherigen Beispiel, selbst wenn ein Benutzer im Konto die AdministratorAccessverwaltete Richtlinie angefügt, diese SCP-Limits und alle Benutzer in betroffenen Konten nur bis AmazonS3 Aktionen.

"Effect": "Deny"

In einer Aussage, bei der die Effect Element hat einen Wert von Deny, können Sie den Zugriff aufbestimmte Ressourcen einschränken oder Bedingungen definieren, wenn SCPs sind in Kraft.

Nachfolgend sehen Sie ein Beispiel für die Verwendung eines Bedingungsschlüssel in einerZugriffsverweigerungsanweisung.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } }}

Diese Anweisung in einer SCP legt eine Leitlinie fest, um zu verhindern, dass betroffene Konten (wobeidie SCP dem Konto selbst oder dem Organisationsstamm oder der Organisationseinheit, die das Kontoenthält) gestartet werden Amazon EC2 Instances, wenn die Amazon EC2 -Instance ist nicht auf festgelegtt2.micro. (z. B.. Selbst wenn eine IAM Richtlinie, die diese Aktion zulässt, dem Konto angefügt ist,verhindert die von der SCP erstellte Leitlinie diese.

109

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html


Action und NotAction ElementeJede Anweisung muss eines der folgenden Elemente enthalten:

• In Anweisungen zum Zulassen oder Ablehnen des Zugriffs ein Action-Element.• Nur in Zugriffsverweigerungsanweisungen (wobei der Wert des Effect-Elements Deny lautet) einAction oder NotAction-Element.

Der Wert für das Action- oder NotAction-Element ist eine Liste (ein JSON-Array) von Zeichenfolgen zurIdentifizierung von AWS-Services und -Aktionen, die von der Anweisung zugelassen oder gesperrt werden.

Jede Zeichenfolge besteht aus der Abkürzung für den Service (z. B. "s3", "ec2", "iam" oder "organizations"),in Kleinbuchstaben, gefolgt von einem Doppelpunkt und einer Aktion aus dem entsprechenden Service.Bei den Aktionen (bzw. Nicht-Aktionen) muss auf Groß- und Kleinschreibung geachtet werden. Dahermüssen sie wie in der Dokumentation des jeweiligen Service dargestellt eingegeben werden. In der Regelwerden sie alle so eingegeben, dass alle Wörter mit einem Großbuchstaben beginnen und der Rest inKleinbuchstaben folgt. Beispiel: "s3:ListAllMyBuckets".

Sie können auch ein Sternchen als Platzhalter verwenden, der mit mehreren Aktionen übereinstimmt, dieTeile eines Namens gemeinsam haben. Der Wert "s3:*" bezeichnet alle Aktionen im Amazon S3-Service.Der Wert "ec2:Describe*" entspricht nur den EC2-Aktionen, die mit "Describe" beginnen.

Note

In einer SCP kann der Platzhalter (*) in einem Action- oder NotAction-Element nur vonsich selbst oder am Ende einer Zeichenfolge verwendet werden. Er darf nicht am Anfangoder in der Mitte der Zeichenfolge stehen. Daher "servicename:action*" ist gültig, aber"servicename:*action" und "servicename:some*action" sind beide ungültig in SCPs.

Für eine Liste aller Services und Aktionen, die sie in beiden unterstützen AWS Organizations SCPsund IAM -Berechtigungsrichtlinien, siehe Aktionen, Ressourcen und Bedingungsschlüssel für AWSDienstleistungen in der IAM-Benutzerhandbuch.

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Maßnahme und IAM JSON-Richtlinienelemente: NotAction in der IAM-Benutzerhandbuch.

Beispiel für das Action-Element

Das folgende Beispiel zeigt eine SCP mit einer Anweisung, die Kontoadministratoren erlaubt,Berechtigungen für EC2-Instances zu delegieren, zu starten, zu stoppen und zu beenden. Dies ist einBeispiel für eine Whitelist (p. 8). Es ist hilfreich, wenn die Allow *-Standardrichtlinien nicht zugewiesensind, sodass Berechtigungen implizit automatisch abgelehnt werden. Wenn die Standardeinstellung Allow* -Richtlinie ist immer noch an den Root, die Organisationseinheit oder das Konto angefügt, an das diefolgende Richtlinie angefügt ist. Die Richtlinie hat keine Auswirkung.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances" ], "Resource": "*" }}

110

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actionsconditions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actionsconditions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html




Das folgende Beispiel zeigt, wie Sie Services, die Sie nicht in zugewiesenen Konten verwenden möchten,in eine Sperrliste (p. 8) aufnehmen können. Es wird davon ausgegangen, dass die Standardeinstellung"Allow *" SCPs sind immer noch mit allen OUs und das Root-. Dieses Beispielrichtlinie verhindert, dassdie Kontoadministratoren in angefügten Konten Berechtigungen für die Services IAM, Amazon EC2 undAmazon RDS delegieren können. Jede Aktion von anderen -Services kann delegiert werden, solange keineandere angefügte Richtlinie vorhanden ist, die sie ablehnt.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "iam:*", "ec2:*", "rds:*" ], "Resource": "*" }}

Beispiel für das NotAction-ElementDas folgende Beispiel zeigt, wie Sie mit einem NotAction-Element AWS-Services von der Auswirkung derRichtlinie ausschließen können.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LimitActionsInRegion", "Effect": "Deny", "NotAction": "iam:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": "us-west-1" } } } ]}

Mit dieser Anweisung sind betroffene Konten auf das Ergreifen von Aktionen im angegebenen AWSRegion, außer bei Verwendung von IAM Aktionen.

Resource -ElementIn Anweisungen, in denen das Effect-Element den Wert Allow hat, können Sie nur "*" im Resource-Element einer SCP angeben. Sie können keine einzelnen Amazon Resource Names (ARNs) angeben.

In Aussagen, bei denen die Effect Element hat einen Wert von Deny, Sie können Sie Person angebenARNs, wie im folgenden Beispiel gezeigt.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy",

111


"iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ] } ]}

Diese SCP beschränkt IAM Benutzer und Rollen in betroffenen Konten von der Durchführung vonÄnderungen an einem gemeinsamen administrativen IAM -Rolle, die in allen Konten in Ihrer Organisationerstellt wurde.

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Mitarbeiter in der IAM-Benutzerhandbuch.

Condition -ElementSie können ein Condition-Element in Zugriffsverweigerungsanweisungen in einer SCP angeben.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] } } } ]}

Diese SCP verweigert den Zugriff auf alle Operationen außerhalb der Regionen eu-central-1 und eu-west-1, mit Ausnahme von Aktionen in den aufgeführten Services.

Weitere Informationen finden Sie unter IAM JSON-Richtlinienelemente: Bedingung in der IAM-Benutzerhandbuch.

Nicht unterstützte ElementeDie folgenden Elemente werden in nicht unterstützt SCPs:

• Principal

• NotPrincipal

112

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html


AWS Organizations BenutzerhandbuchBeispiel SCPs

• NotResource

Beispiel für Service-KontrollrichtlinienDie in diesem Thema beschriebenen Beispiele zu Service-Kontrollrichtlinien (SCPs) (p. 93) dienenlediglich zu Informationszwecken.

Bevor Sie diese Beispiele verwenden

Bevor Sie diese Beispiel-SCPs in Ihrer Organisation verwenden, gehen Sie wie folgt vor:

• Überprüfen Sie den SCPs sorgfältig und passen Sie ihn an Ihre individuellen Anforderungen an.• Testen Sie Ihre SCPs, bevor Sie sie in einer Produktionskapazität verwenden. Denken Sie

daran, dass sich eine SCP auf alle Benutzer und Rollen und sogar auf den Stammbenutzer inallen Konten auswirkt, mit denen sie verbunden ist.

Tip

Sie können das letzte Service-Zugriffsdatum in IAM verwenden, um Ihre SCPs zu aktualisierenund den Zugriff auf die AWS-Services zu beschränken, die Sie benötigen. Weitere Informationenfinden Sie unter Anzeigen der Daten zum letzten Zugriff auf den Organisationen-Service fürOrganisationen im IAM-Benutzerhandbuch.

Jede der folgenden Richtlinien ist ein Beispiel einer Strategie für Sperrlistenrichtlinien (p. 104).Sperrlistenrichtlinien müssen zusammen mit anderen Richtlinien zugewiesen werden, die die genehmigtenAktionen in den betroffenen Konten zulassen. Zum Beispiel: Die Standardrichtlinie FullAWSAccesserlaubt die Verwendung aller Services in einem Konto. Diese Richtlinie ist standardmäßig mit dem Root-Benutzer, allen Organisationseinheiten (OUs) und allen Konten verbunden. Sie gewährt nicht eigentlichdie Berechtigungen, keine Service-Kontrollrichtlinie tut dies. Stattdessen können Administratoren indiesem Konto Zugriff auf diese Aktionen delegieren, indem Sie Standard-AWS Identity and AccessManagement (IAM)-Berechtigungsrichtlinien an Benutzer, Rollen oder Gruppen im Konto anfügen. Jededieser Sperrlistenrichtlinien setzt dann jede Richtlinie durch Blockieren des Zugriffs auf die angegebenenServices oder Aktionen außer Kraft.

Themen• Allgemeine Beispiele (p. 113)• Beispiel SCPs für AWS Config (p. 117)• Beispiel SCPs für Amazon CloudWatch (p. 118)• Beispiel SCPs für Amazon Elastic Compute Cloud (Amazon EC2) (p. 118)• Beispiel SCPs für Amazon GuardDuty (p. 119)• Beispiel SCPs für AWS Resource Access Manager (p. 119)• Beispiel SCPs für Amazon Virtual Private Cloud (Amazon VPC) (p. 121)• Beispiel SCPs für das Markieren von Ressourcen (p. 122)

Allgemeine BeispieleBeispiel: Verweigern des Zugriffs auf AWS basierend auf der angeforderten AWS-RegionDiese SCP verweigert den Zugriff auf alle Operationen außerhalb der angegebenen Regionen. ErsetzenSie eu-central-1 und eu-west-1 durch die AWS-Regionen, die Sie verwenden möchten. Sie siehtAusnahmen für Operationen in genehmigten globalen Services vor. In diesem Beispiel wird auch gezeigt,wie Anforderungen von einer der beiden angegebenen Administratorrollen bereinigt werden.

113






Important

Wenn Sie AWS Control Tower in Ihrer Organisation verwenden, wird empfohlen, dieseBeispielrichtlinie nicht zu nutzen. AWS Control Tower funktioniert in AWS-Regionen auf eineWeise, die mit dieser Beispielrichtlinie nicht kompatibel ist.

Diese Richtlinie verwendet den Deny-Effekt, um den Zugriff auf alle Anforderungen für Operationenabzulehnen, die sich nicht in einer der beiden genehmigten Regionen (eu-central-1 und eu-west-1)befinden. Mit dem Element NotAction können Sie Services auflisten, deren Operationen (oder einzelneOperationen) von dieser Einschränkung ausgenommen sind. Da globale Services über Endpunkteverfügen, die physisch von der us-east-1-Region gehostet werden, müssen sie auf diese Weiseausgenommen werden. Wenn eine SCP auf diese Weise strukturiert ist, werden Anforderungen für globaleServices in der Region us-east-1 zugelassen, wenn der angeforderte Service im Element NotActionenthalten ist. Alle anderen Anforderungen für Services in der Region us-east-1 werden durch dieseBeispielrichtlinie abgelehnt.

Note

Dieses Beispiel enthält möglicherweise nicht alle aktuellen globalen AWS-Services oder -Operationen. Ersetzen Sie die Liste der Services und Operationen durch die globalen Services,die von Konten in Ihrer Organisation verwendet werden.

Tip

Sie können die letzten Servicedaten, auf die in der IAM-Konsole zugegriffen wurde,anzeigen, um die von Ihrer Organisation verwendeten globalen Services zu ermitteln. Aufder Registerkarte Access Advisor (Zugriffsberater) auf der Detailseite für IAM-Benutzer,-Gruppen oder -Rollen werden die AWS-Services angezeigt, die von dieser Entitätverwendet wurden, sortiert nach dem letzten Zugriff.

Considerations

• AWS KMS und AWS Certificate Manager unterstützen regionale Endpunkte. Wenn Sie siejedoch mit einem globalen Service wie Amazon CloudFront verwenden möchten, müssenSie sie in die globale Service-Ausschlussliste in der folgenden Beispiel-SCP aufnehmen. Einglobaler Service wie AWS CloudFormation erfordert in der Regel Zugriff auf AWS KMS undACM in derselben Region, die für einen globalen Service die USA Ost (Nord-Virginia)-Region(us-east-1) ist.

• Standardmäßig ist AWS STS ein globaler Service, der in die globale Service-Ausschlusslisteaufgenommen werden muss. Sie können AWS STS jedoch so konfigurieren, dassRegionsendpunkte anstelle eines einzelnen globalen Endpunkts verwendet werden. WennSie dies tun, können Sie STS aus der globalen Service-Ausnahmeliste im folgenden Beispiel-SCP entfernen. Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "awsbillingconsole:*", "budgets:*", "ce:*", "chime:*",

114



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html


"cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "pricing:*", "route53:*", "route53domains:*", "s3:GetAccountPublic*", "s3:ListAllMyBuckets", "s3:PutAccountPublic*", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "wellarchitected:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP", "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP" ] } } } ]}

Beispiel: Verhindern, dass IAM-Benutzer und -Rollen bestimmte ÄnderungenvornehmenDiese Service-Kontrollrichtlinie verhindert, dass IAM-Benutzer und -Rollen Änderungen an derangegebenen IAM-Rolle vornehmen, die Sie in allen Konten in Ihrer Organisation erstellt haben.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToASpecificRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy",

115


"iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ] } ]}

Beispiel: Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungenvornehmen, mit einer Ausnahme für eine angegebene Admin-RolleDiese SCP baut auf dem vorherigen Beispiel auf und enthält eine Ausnahme für Administratoren. Sieverhindert, dass IAM-Benutzer und -Rollen in betroffenen Konten Änderungen an einer gemeinsamenadministrativen IAM-Rolle vornehmen, die in allen Konten in Ihrer Organisation erstellt wurde, mitAusnahme von Administratoren, die eine bestimmte Rolle verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ], "Condition": { "StringNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow" } } } ]}

Beispiel 10: MFA erforderlich machen, um eine API-Aktion auszuführenVerwenden Sie eine SCP wie die folgende, um zu verlangen, dass die Multifaktor-Authentifizierung (MFA)aktiviert ist, bevor ein IAM-Benutzer oder eine -Rolle eine Aktion ausführen kann. In diesem Beispielbesteht die Aktion darin, eine Amazon EC2-Instance zu stoppen.

{

116


"Version": "2012-10-17", "Statement": [ { "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent", "Effect": "Deny", "Action": [ "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}} } ]}

Beispiel: Blockieren des Servicezugriffs für den StammbenutzerDie folgende Richtlinie beschränkt den gesamten Zugriff auf die angegebenen Aktionen für denStammbenutzer in einem Konto. Wenn Sie verhindern möchten, dass Ihre Konten auf bestimmte Art undWeise Root-Anmeldeinformationen verwenden, fügen Sie dieser Richtlinie Ihre eigenen Aktionen hinzu.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictEC2ForRoot", "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ]}

Beispiel SCPs für AWS ConfigBeispiel: Verhindern, dass Benutzer AWS Config deaktivieren oder dessen RegelnändernDiese Service-Kontrollrichtlinie verhindert, dass Benutzer oder Rollen in einem betroffenen Konto AWSConfig-Operationen ausführen, durch die AWS Config deaktiviert bzw. dessen Regeln oder Auslöserverändert werden könnten.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder",

117

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html


"config:DeleteDeliveryChannel", "config:StopConfigurationRecorder" ], "Resource": "*" } ]}

Beispiel SCPs für Amazon CloudWatchBeispiel: Verhindern, dass Benutzer CloudWatch deaktivieren oder dessenKonfiguration ändern

Ein untergeordneter CloudWatch-Operator muss Dashboards und Alarme überwachen. Der Bediener darfjedoch nicht in der Lage sein, Dashboards oder Alarme zu löschen oder zu ändern, die auf einer Ebeneerstellt werden könnten. Diese Service-Kontrollrichtlinie verhindert, dass Benutzer oder Rollen in einembetroffenen Konto einen der CloudWatch-Befehle ausführen, durch den Ihre Dashboards oder Alarmegelöscht oder verändert werden könnten.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudwatch:DeleteAlarms", "cloudwatch:DeleteDashboards", "cloudwatch:DisableAlarmActions", "cloudwatch:PutDashboard", "cloudwatch:PutMetricAlarm", "cloudwatch:SetAlarmState" ], "Resource": "*" } ]}

Beispiel SCPs für Amazon Elastic Compute Cloud (Amazon EC2)Beispiel: Vorschreiben, dass Amazon EC2-Instances einen bestimmten Typverwenden müssen

Mit dieser SCP wird das Starten aller Instances abgelehnt, die nicht den Instance-Typ t2.microverwenden.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals":{ "ec2:InstanceType":"t2.micro" } } }

118


]}

Beispiel SCPs für Amazon GuardDutyBeispiel: Verhindern, dass Benutzer GuardDuty deaktivieren oder dessenKonfiguration ändernDiese Service-Kontrollrichtlinie verhindert, dass Benutzer oder Rollen in einem betroffenen KontoGuardDuty deaktivieren oder die Konfiguration ändern, entweder direkt als Befehl oder über die Konsole.Dies ermöglicht effektiv schreibgeschützten Zugriff auf die Informationen und Ressourcen von GuardDuty.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" } ]}

Beispiel SCPs für AWS Resource Access ManagerBeispiel: Verhindern der externen FreigabeDie folgende Beispiel-SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die die Freigabe fürIAM-Benutzer-Werberollen ermöglichen, die nicht Teil der Organisation sind.

119


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } } ]}

Beispiel: Zulassen, dass bestimmte Konten nur bestimmte Ressourcentypenfreigeben

Die folgende SCP ermöglicht den Konten 111111111111 und 222222222222 das Erstellen vonRessourcenfreigaben, die Präfixlisten freigeben, und das Zuordnen von Präfixlisten zu vorhandenenRessourcenfreigaben.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyNamedAccountsCanSharePrefixLists", "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:PrincipalAccount": [ "111111111111", "222222222222" ] }, "StringEquals": { "ram:RequestedResourceType": "ec2:PrefixList" } } } ]}

Beispiel: Verhindern der Freigabe für Organisationen oder Organisationseinheiten(OUs)

Die folgende SCP verhindert, dass Benutzer Ressourcenfreigaben erstellen, die Ressourcen für eine AWS-Organisation oder OUs freigeben.

{ "Version": "2012-10-17",

120


"Statement": [ { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:organization/*", "arn:aws:organizations::*:ou/*" ] } } } ]}

Beispiel: Freigabe nur für bestimmte IAM-Benutzer und -Rollen zulassen

Die folgende Beispiel-SCP ermöglicht Benutzern, Ressourcen für nur die o-12345abcdef-Organisation,die Organisationseinheit ou-98765fedcba und das Konto 111111111111 freizugeben.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "ram:Principal": [ "arn:aws:organizations::123456789012:organization/o-12345abcdef", "arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba", "111111111111" ] } } } ]}

Beispiel SCPs für Amazon Virtual Private Cloud (Amazon VPC)Beispiel: Benutzer am Löschen von Amazon VPC-Flow-Protokollen hindern

Diese Service-Kontrollrichtlinie verhindert, dass Benutzer oder Rollen in einem betroffenen KontoAmazon Elastic Compute Cloud (Amazon EC2)-Flow-Protokolle oder CloudWatch-Protokollgruppen oderProtokollstreams löschen.

{ "Version": "2012-10-17", "Statement": [ {

121


"Effect": "Deny", "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" } ] }

Beispiel: Verhindern, dass eine VPC, die noch keinen Internetzugriff hat, dieseerhält

Diese Service-Kontrollrichtlinie verhindert, dass Benutzer oder Rollen in einem betroffenen Konto dieKonfiguration Ihrer virtual private Amazon EC2-Clouds (VPCs) so verändern, dass sie Zugang zum Interneterhalten. Vorhandener direkter Zugriff oder Zugriff, der über Ihre Netzwerkumgebung vor Ort läuft, wirdnicht blockiert.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateEgressOnlyInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": "*" } ]}

Beispiel SCPs für das Markieren von RessourcenBeispiel: Erfordern eines Tags für angegebene erstellte Ressourcen

Die folgende Service-Kontrollrichtlinie verhindert, dass IAM-Benutzer und -Rollen in den betroffenen Kontenbestimmte Ressourcentypen erstellen, wenn die Anforderung die angegebenen Tags nicht enthält.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateSecretWithNoProjectTag", "Effect": "Deny", "Action": "secretsmanager:CreateSecret", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/Project": "true" } } }, {

122

AWS Organizations BenutzerhandbuchAI services opt-out-Richtlinien

"Sid": "DenyRunInstanceWithNoProjectTag", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "Null": { "aws:RequestTag/Project": "true" } } }, { "Sid": "DenyCreateSecretWithNoCostCenterTag", "Effect": "Deny", "Action": "secretsmanager:CreateSecret", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/CostCenter": "true" } } }, { "Sid": "DenyRunInstanceWithNoCostCenterTag", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "Null": { "aws:RequestTag/CostCenter": "true" } } } ]}

Eine Liste aller Services und Aktionen, die sie sowohl in AWS Organizations SCPs- als auch in IAM-Berechtigungsrichtlinien unterstützen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel fürAWS-Services im IAM-Benutzerhandbuch.

AI services opt-out-RichtlinienInformationen und Verfahren, die für alle Richtlinientypen gelten, finden Sie in den folgenden Themen:


Bestimmte AWS-Dienste der künstlichen Intelligenz (AI), einschließlich Amazon CodeGuru Profiler,Amazon Comprehend, Amazon Lex, Amazon Polly, Amazon Rekognition, Amazon Textract, AmazonTranscribe und Amazon Translate, können Kundeninhalte speichern und verwenden, die von diesenServices für die Entwicklung und kontinuierliche Verbesserung von Amazon AI-Services und -Technologienverarbeitet werden. Als AWS-Kunde können Sie sich dafür entscheiden, dass Ihre Inhalte gespeichertoder für Service-Verbesserungen verwendet werden. Anstatt diese Einstellung individuell für jedes

123

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actions-resources-contextkeys.html

AWS Organizations BenutzerhandbuchErste Schritte

AWS-Konto zu konfigurieren, das Ihre Organisation verwendet, können Sie eine Organisationsrichtliniekonfigurieren, die Ihre Einstellung für alle Konten erzwingt, die Mitglieder der Organisation sind. Siekönnen die Inhaltsspeicherung deaktivieren und für einen einzelnen AI-Service oder für alle abgedecktenServices auf einmal verwenden. Sie können die effektive Richtlinie abfragen, die für jedes Konto gilt, um dieAuswirkungen Ihrer Einstellungsauswahl zu sehen.

Important

• Wenn Sie eine Opt-in- oder Opt-out-Präferenz für einen Service angeben, ist diese Einstellungglobal und wird auf alle AWS-Regionen angewendet. Das Festlegen des Werts innerhalb einerAWS-Region wird in alle anderen Regionen repliziert.

• Wenn Sie die Nutzung von Inhalten durch einen AWS-AI-Service deaktivieren, löscht dieserService alle zugehörigen historischen Inhalte, die vor dem Festlegen der Option gespeichertwurden.

Erste Schritte mit AI services opt-out-RichtlinienFühren Sie die folgenden Schritte aus, um mit der Verwendung von Abmeldung von Services mitkünstlicher Intelligence (KI)-Richtlinien zu beginnen.

1. Aktivieren Sie AI services opt-out-Richtlinien für Ihre Organisation (p. 74).2. Erstellen Sie eine AI services opt-out-Richtlinie (p. 124).3. Fügen Sie die AI services opt-out-Richtlinie an den Organisationsstamm, die Organisationseinheit oder

das Konto an (p. 128).4. Zeigen Sie die kombinierte effektive AI services opt-out-Richtlinie an, die für ein Konto gilt (p. 129).

Für alle diese Schritte melden Sie sich als AWS Identity and Access Management (IAM)-Benutzer an,nehmen eine IAM-Rolle an oder melden sich als Root-Benutzer (nicht empfohlen) im Managementkonto derOrganisation an (früher als „Masterkonto“ bezeichnet).


• Informationen zur Richtliniensyntax für AI services opt-out-Richtlinien und entsprechendeRichtlinienbeispiele (p. 131)

• Verwenden der AWS Command Line Interface zum Verwalten Ihrer AI services opt-out-Richtlinien (p. 135)

Erstellen, Aktualisieren und Löschen von AI servicesopt-out-RichtlinienNachdem Sie AI services opt-out-Richtlinien für Ihre Organisation aktiviert haben, können Sie eineRichtlinie erstellen.

Erstellen einer AI services opt-out-RichtlinieMindestberechtigungen

Um eine AI services opt-out-Richtlinie zu erstellen, benötigen Sie die Berechtigung zum Ausführender folgenden Aktion:


124




So erstellen Sie eine AI services opt-out-Richtlinie


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option -RichtlinienAI services opt-outaus.

3. Wählen Sie auf der Seite -RichtlinienAI services opt-out die Option Richtlinie erstellen aus.4. Geben Sie auf der Seite Create policy (Richtlinie erstellen) einen Namen und eine Beschreibung

für die Richtlinie ein.5. (Optional) Sie können der Richtlinie ein oder mehrere Tags hinzufügen, indem Sie Add tag (Tag

hinzufügen) auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sieden Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie könneneiner Richtlinie bis zu 50 Tags anfügen.

6. Geben oder fügen Sie den Richtlinientext auf der Registerkarte JSON ein. Weitere Informationenzur AI services opt-out-Richtliniensyntax finden Sie unter AI services opt-out-Richtliniensyntax undBeispiele (p. 131). Beispielrichtlinien, die Sie als Ausgangspunkt verwenden können, finden Sieunter Beispiele für AI services opt-out-Richtlinien (p. 133).

7. Wenn Sie mit dem Bearbeiten Ihrer Richtlinie fertig sind, wählen Sie Create policy (Richtlinieerstellen) in der unteren rechten Ecke der Seite aus.

AWS CLI, AWS API


Sie können eine der folgenden Optionen verwenden, um eine Tag-Richtlinie zu erstellen:

• AWS CLI: aws organizations create-policy

Beispiele, die mithilfe der AWS Command Line Interface (AWS CLI) eine AI services opt-out-Richtlinie erstellen, finden Sie unter Verwenden der AWS CLI zum Verwalten von AI services opt-out-Richtlinien (p. 135).

• AWS-API:CreatePolicy

Weitere Schritte

Nachdem Sie eine AI services opt-out-Richtlinie erstellt haben, können Sie Ihre Opt-out-Optionen inKraft setzen. Dies ist möglich durch Anfügen der Richtlinie (p. 184) an den Organisationsstamm, dieOrganisationseinheiten (OUs), die AWS-Konten innerhalb Ihrer Organisation oder einer Kombinationhiervon.

Aktualisieren einer AI services opt-out-RichtlinieMindestberechtigungen

Um eine AI services opt-out-Richtlinie zu aktualisieren, müssen Sie über die Berechtigung zumAusführen der folgenden Aktionen verfügen:


• organizations:DescribePolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den Amazon-Ressourcennamen (ARN) der angegebenen Richtlinieenthält (oder "*")

125







So aktualisieren Sie eine AI services opt-out-Richtlinie



3. Wählen Sie auf der Seite -RichtlinienAI services opt-out die Richtlinie aus, die Sie aktualisierenmöchten.

4. Wählen Sie im Detailbereich auf der rechten Seite View details (Details anzeigen) aus.5. Wählen Sie auf der Seite mit der Tag-Richtlinie die Option Edit policy (Richtlinie bearbeiten) aus.6. Nehmen Sie Ihre Änderungen vor, indem Sie die JSON bearbeiten.7. Wenn Sie mit der Aktualisierung der Richtlinie fertig sind, wählen Sie Save changes (Änderungen

speichern) aus.

AWS CLI, AWS API


Zum Aktualisieren einer Richtlinie können Sie einen der folgenden Befehle verwenden:


Bearbeiten von Tags, die einer AI-Services-Abmelderichtliniezugeordnet sindWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie die Tags, die einer AI-Services-Abmeldungsrichtlinie zugeordnet sind, hinzufügen oder entfernen. Führen Sie dazu die folgendenSchritte aus.


Zum Bearbeiten der Tags, die einer AI-Services-Abmeldungsrichtlinie in Ihrer AWS-Organisationzugeordnet sind, benötigen Sie die folgenden Berechtigungen:




So bearbeiten Sie die Tags, die einer AI-Services-Abmeldungsrichtlinie angefügt sind


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option AI services opt-out policies(Richtlinien für die Abmeldung von AI-Services) und dann den Namen der Richtlinie mit den Tagsaus, die Sie bearbeiten möchten.

126













AWS CLI, AWS API

So bearbeiten Sie die Tags, die einer AI-Services-Abmeldungsrichtlinie angefügt sind

Sie können einen der folgenden Befehle verwenden, um die Tags zu bearbeiten, die an eine AI-Services-Abmelderichtlinie angefügt sind:


Löschen einer AI services opt-out-RichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Richtlinie löschen,die Sie in Ihrer Organisation nicht mehr benötigen.

Bevor Sie eine Richtlinie löschen können, müssen Sie sie zuerst von allen angehängten Elemententrennen.


Um eine Richtlinie zu löschen, müssen Sie über die Berechtigung zum Ausführen der folgendenAktion verfügen:

• organizations:DescribePolicy (nur Konsole –, um zur Richtlinie zu navigieren)• organizations:DeletePolicy


So löschen Sie eine AI services opt-out-Richtlinie


2. Die Richtlinie, die Sie löschen möchten, muss zunächst von allen Roots, OUs und Konten getrenntwerden. Befolgen Sie die Schritte in Trennen einer AI services opt-out-Richtlinie (p. 129), um dieRichtlinie von allen Elementen in der Organisation zu trennen.


4. Wählen Sie auf der Seite -RichtlinienAI services opt-out die Richtlinie aus, die Sie löschenmöchten.

5. Wählen Sie Delete policy (Richtlinie löschen).

127








AWS CLI, AWS API

So löschen Sie eine AI services opt-out-Richtlinie

Zum Löschen einer Tag-Richtlinie können Sie eine der folgenden Optionen verwenden:


Anfügen und Trennen von AI services opt-out-RichtlinienSie können Abmeldung von Services mit künstlicher Intelligence (KI)-Richtlinien für eine gesamteOrganisation sowie für Organisationseinheiten (OUs) und einzelne Konten verwenden. Was die AI servicesopt-out-Richtlinie anwendet, hängt davon ab, an welches Organisationselement Sie sie anfügen:

• Wenn Sie eine AI services opt-out-Richtlinie an den Organisationsstamm anfügen, gilt die Richtlinie füralle OUs- und -Konten des Stammmitglieds.

• Wenn Sie eine AI services opt-out-Richtlinie an eine OU anfügen, gilt diese Richtlinie für die Konten, diezur OU oder einer ihrer untergeordneten OUs gehören. Diese Konten unterliegen auch jeder Richtlinie,die an den Organisationsstamm angefügt ist.

• Wenn Sie eine AI services opt-out-Richtlinie an ein Konto anfügen, gilt diese Richtlinie nur für diesesKonto. Das Konto unterliegt außerdem jeder Richtlinie, die dem Organisationsstamm und allen OUsangefügt ist, zu denen das Konto gehört.

Die Aggregation aller AI services opt-out-Richtlinien, die das Konto vom Root- und übergeordneten OUserbt, sowie aller Richtlinien, die direkt an das Konto angefügt sind, ist die effektive Richtlinie (p. 129).Weitere Informationen zur Zusammenführung von Richtlinien zu einer effektiven Richtlinie finden Sie unterGrundlegendes zur Richtlinienvererbung (p. 79).


Zum Anfügen von AI services opt-out-Richtlinien benötigen Sie die Berechtigung zum Ausführender folgenden Aktion:

• organizations:AttachPolicy


So fügen Sie eine AI services opt-out-Richtlinie an den Organisationsstamm, eine OU oder einKonto an


2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zumKontrollkästchen für den Root, die Organisationseinheit oder das Konto, an das Sie die (p. 67)-Richtlinie anfügen möchten, und aktivieren Sie es.AI services opt-out

3. Erweitern Sie im rechten Detailbereich den Abschnitt -RichtlinienAI services opt-out, um die Listeder aktuell angefügten -Richtlinien anzuzeigen.AI services opt-out

4. Suchen Sie die gewünschte Richtlinie in der Liste der verfügbaren AI services opt-out-Richtlinienund wählen Sie Attach (Anfügen) aus.

128





AWS Organizations BenutzerhandbuchAnzeigen effektiver AI services opt-out-Richtlinien

AWS CLI, AWS API

Anfügen einer AI services opt-out-Richtlinie an den Organisationsstamm, die OU oder das Konto

Sie können eine der folgenden Optionen verwenden, um eine AI services opt-out-Richtlinie anzufügen:


Trennen einer AI services opt-out-RichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine AI services opt-out-Richtlinie vom Organisationsstamm, der Organisationseinheit oder vom Konto trennen, dem sie zugeordnetist. Nachdem Sie eine AI services opt-out-Richtlinie von einer Entität getrennt haben, gilt diese Richtlinienicht mehr für Konten, die zuvor von der jetzt getrennten Entität betroffen waren. Führen Sie zum Trenneneiner Richtlinie die folgenden Schritte aus.


Um eine AI services opt-out-Richtlinie vom Organisationsstamm, der OU oder dem Konto zutrennen, müssen Sie über die Berechtigung zum Ausführen der folgenden Aktion verfügen:



So trennen Sie eine AI services opt-out-Richtlinie vom Organisationsstamm, der OU oder demKonto


2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zumKontrollkästchen für den Organisationsstamm, die Organisationseinheit oder das Konto, von demSie die Richtlinie trennen möchten, und aktivieren Sie es. (p. 67)

3. Erweitern Sie im Bereich Details auf der rechten Seite den Abschnitt AI services opt-out-Richtlinien, um die Liste der aktuell angefügten AI services opt-out-Richtlinien anzuzeigen.

4. Suchen Sie die AI services opt-out-Richtlinie, die Sie trennen möchten, und wählen Sie Detach(Trennen) aus. Die Liste der angefügten AI services opt-out-Richtlinien wird aktualisiert und dieausgewählte Richtlinie entfernt.

AWS CLI, AWS API

So trennen Sie eine AI services opt-out-Richtlinie vom Organisationsstamm, der OU oder dem Konto

Sie können eine der folgenden Optionen verwenden, um eine AI services opt-out-Richtlinie zu trennen:


Anzeigen effektiver AI services opt-out-RichtlinienBestimmen Sie die effektive Abmeldung von Services mit künstlicher Intelligence (KI)-Richtlinie für einKonto in Ihrer Organisation.

129







AWS Organizations BenutzerhandbuchAnzeigen effektiver AI services opt-out-Richtlinien

Was ist die effektive AI services opt-out-Richtlinie?Die effektive AI services opt-out-Richtlinie gibt die endgültigen Regeln an, die für ein Konto gelten. Eshandelt sich um die Aggregation aller AI services opt-out-Richtlinien, die das Konto erbt, sowie aller AIservices opt-out-Richtlinien, die direkt mit dem Konto verknüpft sind. Wenn Sie eine AI services opt-out-Richtlinie an den Organisationsstamm anfügen, gilt diese für alle Konten in Ihrer Organisation. Wenn Sieeine AI services opt-out-Richtlinie an eine OU anfügen, gilt diese für alle Konten und OUs, die zur OUgehören. Wenn Sie eine Richtlinie direkt an ein Konto anfügen, gilt diese nur für das betreffende Konto.

Beispielsweise könnte die dem Organisationsstamm angefügte AI services opt-out-Richtlinie festlegen,dass alle Konten in der Organisation die Nutzung von Inhalten durch alle AWS Machine Learning-Servicesdeaktivieren. Eine separate AI services opt-out-Richtlinie, die direkt an ein Mitgliedskonto angefügt ist,legt fest, dass sie die Inhaltsverwendung nur für Amazon Rekognition aktiviert. Die Kombination dieser AIservices opt-out-Richtlinien bildet die effektive AI services opt-out-Richtlinie. Das Ergebnis ist, dass alleKonten in der Organisation sich von allen AWS-Services abmelden, mit Ausnahme eines Kontos, das sichbei Amazon Rekognition anmeldet.

Weitere Informationen dazu, wie Richtlinien in die endgültige effektive Richtlinie kombiniert werden, findenSie unter Grundlegendes zur Richtlinienvererbung (p. 79).

So zeigen Sie die effektive AI services opt-out-Richtlinie anSie können die effektive AI services opt-out-Richtlinie für ein Konto über die AWS Management Console,die AWS-API oder die AWS Command Line Interface anzeigen.


Um die effektive AI services opt-out-Richtlinie für ein Konto anzuzeigen, müssen Sie über dieBerechtigung zum Ausführen der folgenden Aktionen verfügen:

• organizations:DescribeEffectivePolicy



So zeigen Sie die effektive AI services opt-out-Richtlinie für ein Konto an


2. Wählen Sie auf der Registerkarte Accounts (Konten) ein Konto aus.3. Erweitern Sie im Detailbereich auf der rechten Seite den Abschnitt RichtlinienAI services opt-out.4. Wählen Sie View effective policy (Effektive Richtlinie anzeigen) aus.

AWS CLI, AWS API

So zeigen Sie die effektive Richtlinie für ein Konto an

Sie können eine der folgenden Optionen verwenden, um die effektive AI services opt-out-Richtlinieanzuzeigen:

• AWS CLI: aws organizations describe-effective-policy

Das vollständige Verfahren für die Verwendung von AI services opt-out-Richtlinien in der AWS CLIfinden Sie unter Verwendung von Tag-Richtlinien im AWS CLI (p. 198).

130



https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-effective-policy.html

AWS Organizations BenutzerhandbuchAI services opt-out-Richtliniensyntax und Beispiele

• AWS-API:DescribeEffectivePolicy

AI services opt-out-Richtliniensyntax und BeispieleDieses Thema beschreibt die Abmeldung von Services mit künstlicher Intelligence (KI)-Richtliniensyntaxund enthält Beispiele.

Syntax für AI services opt-out-RichtlinienEine AI services opt-out-Richtlinie ist eine Klartextdatei, die den Regeln von JSON entspricht.Die Syntax für AI services opt-out-Richtlinien folgt der Syntax für Verwaltungsrichtlinientypen.Eine vollständige Erläuterung dieser Syntax finden Sie unter Richtliniensyntax und Vererbung fürVerwaltungsrichtlinientypen (p. 82). In diesem Thema geht es um die Anwendung dieser allgemeinenSyntax auf die spezifischen Anforderungen des AI services opt-out-Richtlinientyps.

Die folgende Richtlinie zeigt die grundlegende AI services opt-out-Richtliniensyntax. Wenn dieses Beispieldirekt an ein Konto angefügt würde, würde dieses Konto explizit von einem Service abgemeldet und einanderer verwendet werden. Andere Services können durch Richtlinien auf höherer Ebene (OU- oder Root-Richtlinien) aktiviert oder deaktiviert werden.

{ "services": { "rekognition": { "opt_out_policy": { "@@assign": "optOut" } }, "lex": { "opt_out_policy": { "@@assign": "optIn" } } }}

Stellen Sie sich die folgende Beispielrichtlinie vor, die dem Organisationsstamm angefügt ist. Sie legtdie Standardeinstellung für die Organisation fest, um alle AI-Services zu deaktivieren. Dies umfasstautomatisch alle AI-Services, die nicht explizit ausgenommen sind, einschließlich aller AI-Services, dieAWS in Zukunft bereitstellen wird. Sie können untergeordnete Richtlinien an OUs oder Konten direktanfügen, um diese Einstellung für jeden AI-Service außer Amazon Comprehend zu überschreiben. Derzweite Eintrag im folgenden Beispiel verwendet @@operators_allowed_for_child_policies mitder Einstellung none, um zu verhindern, dass er überschrieben wird. Der dritte Eintrag im Beispiel führt zueiner organisationsweiten Freistellung für Amazon Rekognition. Sie aktiviert die gesamte Organisation fürdiesen Service, aber die Richtlinie erlaubt, dass untergeordnete Richtlinien gegebenenfalls überschriebenwerden.

{ "services": { "default": { "opt_out_policy": { "@@assign": "optOut" } }, "comprehend": { "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } },

131

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html

http://json.org


"rekognition": { "opt_out_policy": { "@@assign": "optIn" } } }}

Die AI services opt-out-Richtliniensyntax umfasst die folgenden Elemente:

• Das services-Element. Eine AI services opt-out-Richtlinie wird durch diesen festen Namen als dasäußerste JSON-Element identifiziert, das ein Element enthält.

Eine AI services opt-out-Richtlinie kann eine oder mehrere Anweisungen unter dem services-Elemententhalten. Jede Anweisung enthält die folgenden Elemente:• Ein Service-Namensschlüssel, der und den AWS-AI-Service identifiziert. Die folgenden

Schlüsselnamen sind die gültigen Werte für dieses Feld:• default – repräsentiert alle derzeit verfügbaren AI-Services und enthält implizit alle AI-Services,

die in Zukunft hinzugefügt werden können.• codeguruprofiler

• comprehend

• lex

• polly

• rekognition

• textract

• transcribe

• translate

Jede Richtlinienanweisung, die von einem Servicenamenschlüssel identifiziert wird, kann die folgendenElemente enthalten:• Der opt_out_policy-Schlüssel Dieser Schlüssel muss vorhanden sein. Dies ist der einzige

Schlüssel, den Sie unter einem Service-Namensschlüssel platzieren können.

Der opt_out_policy-Schlüssel kann nur den Operator mit einem der folgenden Werteenthalten:@@assign• optOut – Sie entscheiden sich dafür, die Nutzung von Inhalten für den angegebenen AI-Service

zu deaktivieren.• optIn – Sie entscheiden sich für die Nutzung von Inhalten für den angegebenen AI-Service.

Notes

• Sie können die Vererbungsoperatoren @@append und @@remove nicht in AI servicesopt-out-Richtlinien verwenden.

• Sie können den @@enforced_for-Operator nicht in AI services opt-out-Richtlinienverwenden.

• Sie können auf jeder beliebigen Ebene den @@operators_allowed_for_child_policies-Operator angeben, um zu steuern, welche Aktionen untergeordnete Richtlinien ausführen können, umdie von übergeordneten Richtlinien festgelegten Einstellungen zu überschreiben. Sie können einen derfolgenden Werte angeben:• @@assign – Untergeordnete Richtlinien dieser Richtlinie können den Operator @@assign

verwenden, um den geerbten Wert mit einem anderen Wert zu überschreiben.• @@none – Untergeordnete Richtlinien dieser Richtlinie können den Wert nicht ändern.

Das Verhalten der @@operators_allowed_for_child_policies hängt davon ab, wo Sie sieplatzieren. Sie können die folgenden Speicherorte verwenden:

132


• Unter dem services-Schlüssel steuert –, ob eine untergeordnete Richtlinie der Liste der Servicesin der effektiven Richtlinie hinzugefügt oder geändert werden kann.

• Steuert unter dem Schlüssel für einen bestimmten AI-Service oder den default-Schlüssel, ob eineuntergeordnete Richtlinie der Liste der Schlüssel in diesem spezifischen Eintrag hinzugefügt odergeändert werden kann.

• Unter dem opt_out_policies-Schlüssel für einen bestimmten Service steuert –, ob eineuntergeordnete Richtlinie nur die Einstellung für diesen bestimmten Service ändern kann.

Beispiele für AI services opt-out-RichtlinienDie folgenden Richtlinienbeispiele dienen nur zu Informationszwecken.

Beispiel 1: Deaktivieren aller AI-Services für alle Konten in der Organisation

Das folgende Beispiel zeigt eine Richtlinie, die Sie an den Root Ihrer Organisation anfügen können, um AI-Services für Konten in Ihrer Organisation zu deaktivieren.

Tip

Wenn Sie das folgende Beispiel mit der Kopierschaltfläche in der oberen rechten Ecke desBeispiels kopieren, enthält die Kopie die Zeilennummern nicht. Sie kann eingefügt werden.

| { | "services": {[1] | "@@operators_allowed_for_child_policies": ["@@none"], | "default": {[2] | "@@operators_allowed_for_child_policies": ["@@none"], | "opt_out_policy": {[3] | "@@operators_allowed_for_child_policies": ["@@none"], | "@@assign": "optOut" | } | } | } | }

• [1] – Die "@@operators_allowed_for_child_policies": ["@@none"] unter servicesverhindert, dass untergeordnete Richtlinien neue Abschnitte für einzelne Services hinzufügen, dienicht der bereits vorhandene default-Abschnitt ist. Default ist der Platzhalter, der „alle AI-Services“darstellt.

• [2] – Der "@@operators_allowed_for_child_policies": ["@@none"] unterdefault verhindert, dass untergeordnete Richtlinien neue Abschnitte hinzufügen, die nicht deropt_out_policy-Abschnitt sind, der sich bereits dort befindet.

• [3] – Die "@@operators_allowed_for_child_policies": ["@@none"] unter opt_out_policyverhindert, dass untergeordnete Richtlinien den Wert der optOut-Einstellung ändern oder zusätzlicheEinstellungen hinzufügen.

Beispiel 2: Festlegen einer Standardeinstellung für die Organisation für alleServices, aber Zulassen, dass untergeordnete Richtlinien die Einstellung füreinzelne Services überschreiben

Die folgende Beispielrichtlinie legt einen organisationsweiten Standardwert für alle AI-Services fest. DerWert für default verhindert, dass eine untergeordnete Richtlinie den optOut-Wert für Service default,den Platzhalter für alle AI-Services, ändert. Wenn diese Richtlinie als übergeordnete Richtlinie angewendetwird, indem sie an den Root oder eine Organisationseinheit angefügt wird, können untergeordnete

133


Richtlinien die Opt-out-Einstellung für einzelne Services weiterhin ändern, wie in der zweiten Richtliniegezeigt.

• Da es unter dem "@@operators_allowed_for_child_policies": ["@@none"]-Schlüssel keineservices gibt, können untergeordnete Richtlinien neue Abschnitte für einzelne Services hinzufügen.

• Der "@@operators_allowed_for_child_policies": ["@@none"] unter default verhindert,dass eine untergeordnete Richtlinie neue Abschnitte hinzufügt, mit Ausnahme des bereits vorhandenenopt_out_policy-Abschnitts.

• Der "@@operators_allowed_for_child_policies": ["@@none"] unter opt_out_policyverhindert, dass untergeordnete Richtlinien den Wert der optOut-Einstellung ändern oder zusätzlicheEinstellungen hinzufügen.

Übergeordnete AI services opt-out-Organisationsstammrichtlinie

{ "services": { "default": { "@@operators_allowed_for_child_policies": ["@@none"], "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } } }}

In der folgenden Beispielrichtlinie wird davon ausgegangen, dass die vorherige Beispielrichtlinie entwederan den Organisationsstamm oder an eine übergeordnete Organisationseinheit angehängt ist und dass Siedieses Beispiel an ein Konto anfügen, das von der übergeordneten Richtlinie betroffen ist. Sie überschreibtdie Standardeinstellung für die Abmeldung und aktiviert explizit nur den Amazon Lex-Service.

AI services opt-out Untergeordnete Richtlinie

{ "services": { "lex": { "opt_out_policy": { "@@assign": "optIn" } } }}

Die resultierende effektive Richtlinie für das AWS-Konto besteht darin, dass das Konto sich nur beiAmazon Lex anmeldet und aufgrund der übernommenen Einstellung für die AWS-Abmeldung von derübergeordneten Richtlinie alle anderen default-AI-Services deaktiviert.

Beispiel 3: Definieren einer organisationsweiten AI services opt-out-Richtlinie füreinen einzelnen Service

Das folgende Beispiel zeigt eine AI services opt-out-Richtlinie, die eine optOut-Einstellung für eineneinzelnen AI-Service definiert. Wenn diese Richtlinie an den Organisationsstamm angefügt ist, wirdverhindert, dass eine untergeordnete Richtlinie die optOut-Einstellung für diesen einen Serviceüberschreibt. Andere Services werden nicht von dieser Richtlinie berücksichtigt, können aber vonuntergeordneten Richtlinien in anderen OUs oder Konten beeinflusst werden.

{

134

AWS Organizations BenutzerhandbuchAWS CLI- und AI services opt-out-Richtlinien

"services": { "rekognition": { "opt_out_policy": { "@@assign": "optOut", "@@operators_allowed_for_child_policies": ["@@none"] } } }}

Verwenden der AWS CLI zum Verwalten von AIservices opt-out-RichtlinienBevor Sie Abmeldung von Services mit künstlicher Intelligence (KI)-Richtlinien verwenden können, müssenSie den Richtlinientyp in Ihrer Organisation aktivieren.

Aktivieren von AI services opt-out-Richtlinien für Ihre OrganisationDas Aktivieren der Verwendung von AI services opt-out-Richtlinien ist eine einmalige Aufgabe. Sieaktivieren AI services opt-out-Richtlinien auf dem Organisationsstamm, auch wenn Sie vorhaben, AIservices opt-out-Richtlinien nur an einzelne Konten anzufügen.

So aktivieren Sie AI services opt-out-Richtlinien

1. Suchen Sie die ID des Roots für Ihre Organisation, damit Sie angeben können, wo der RichtlinientypAI services opt-out aktiviert werden soll. Um die Stamm-ID zu finden, führen Sie bei einerEingabeaufforderung Folgendes aus: Sie sehen hier eine Beispielausgabe.

$ aws organizations list-roots{ "Roots": [ { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::123456789012:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [ { "Type": "SERVICE_CONTROL_POLICY", "Status": "ENABLED" }, { "Type": "TAG_POLICY", "Status": "ENABLED" } ] } ]}

In diesem Beispiel ist r-examplerootid111 die Stamm-ID der Organisation. Verwenden Sie dieStamm-ID Ihrer eigenen Organisation im nächsten Schritt.

2. Führen Sie die folgenden Schritte aus, um AI services opt-out-Richtlinien für den angegebenen Root inIhrer Organisation zu aktivieren.

$ aws organizations enable-policy-type \ --policy-type AISERVICES_OPT_OUT_POLICY \ --root-id r-examplerootid111

135


{ "Root": { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [ { "Type": "SERVICE_CONTROL_POLICY", "Status": "ENABLED" }, { "Type": "TAG_POLICY", "Status": "ENABLED" }, { "Type": "AISERVICES_OPT_OUT_POLICY", "Status": "ENABLED" } ] }}

Dieser Befehl aktiviert AI services opt-out-Richtlinien für die Organisation mit der Stamm-ID r-examplerootid111..

Erstellen einer AI services opt-out-RichtlinieNachdem Sie AI services opt-out-Richtlinien aktiviert haben, können Sie Ihre erste Richtlinie dieses Typserstellen.

Sie können jeden einfachen Texteditor verwenden, um eine Tag-Richtlinie zu erstellen. Verwenden Sie dieJSON-Syntax und speichern Sie die Richtlinie als Datei mit einem beliebigen Namen und einer beliebigenErweiterung an einem Speicherort Ihrer Wahl. AI services opt-out-Richtlinien können maximal 2 500Zeichen einschließlich Leerzeichen enthalten.


1. Erstellen Sie eine AI services opt-out-Richtlinie wie die folgende und speichern Sie sie in einerTextdatei.

{ "services": { "default": { "@@assign": "OptOut" }, "rekognition": { "@@assign": "OptIn" } }}

Diese AI services opt-out-Richtlinie legt fest, dass alle von der Richtlinie betroffenen Konten aus allenAI-Services mit Ausnahme von Amazon Rekognition deaktiviert werden.

2. Importieren Sie die JSON-Richtliniendatei, um eine neue Richtlinie in der Organisation zu erstellen. Indiesem Beispiel hieß die vorherige JSON-Datei policy.json.

$ aws organizations create-policy \ --type AISERVICES_OPT_OUT_POLICY \

136


--name "MyTestPolicy" \ --description "My test policy" \ --content file://policy.json{ "Policy": { "Content": "{\"service\":{\"default\":{\"@@assign\":\"OptOut\"},\"rekognition\":{\"@@assign\":\"OptIn\"}}}", "PolicySummary": { "Arn": "arn:aws:organizations::o-exampleorgid:policy/aiservices_opt_out_policy/p-examplepolicyid123", "Description": "My test policy", "Name": "MyTestPolicy", "Type": "AISERVICES_OPT_OUT_POLICY" } }}

Anfügen der AI services opt-out-Richtlinie an einen Root, eineOrganisationseinheit oder ein KontoNachdem Sie eine AI services opt-out-Richtlinie erstellt haben, können Sie sie an den Organisationsstamm,eine Organisationseinheit (OU) oder ein einzelnes Konto anfügen. Das Anfügen einer AI services opt-out-Richtlinie an den Organisationsstamm wirkt sich auf alle Mitgliedskonten Ihrer Organisation aus.Wenn Sie eine AI services opt-out-Richtlinie an ein einzelnes Konto anfügen, unterliegt nur diesesKonto der Richtlinie. Das Konto unterliegt weiterhin jeder AI services opt-out-Richtlinie, die an denOrganisationsstamm oder eine OUs angehängt ist, in der das Konto enthalten ist.

Das folgende Verfahren zeigt, wie Sie die soeben erstellte AI services opt-out-Richtlinie einem einzelnenTestkonto anfügen.

• Fügen Sie die AI services opt-out-Richtlinie an Ihr Testkonto an, indem Sie einen Befehl wie denfolgenden ausführen.

$ aws organizations attach-policy \ --target-id 123456789012 \ --policy-id p-examplepolicyid123

Bestimmen der effektiven AI services opt-out-Richtlinie für einKontoUm festzustellen, welche AI services opt-out-Richtlinien für ein Konto gelten, führen Sie den folgendenBefehl aus dem Konto aus und speichern die Ergebnisse in einer Datei.

$ aws organizations describe-effective-policy{ "EffectivePolicy": { "PolicyContent": "{\"service\":{\"default\":{\"@@assign\":\"OptOut\"},\"rekognition\":{\"@@assign\":\"OptIn\"}}}", "LastUpdatedTimestamp": "2020-05-07T15:18:44.404000-07:00", "TargetId": "123456789012, "PolicyType": "AISERVICES_OPT_OUT_POLICY" }}

Wenn AI services opt-out-Richtlinien an das Konto sowie an den Organisationsstamm oder eineOrganisationseinheit, in der sich das Konto befindet, angefügt sind, definiert die Kombination aller

137

AWS Organizations BenutzerhandbuchSicherungsrichtlinien

anwendbaren Richtlinien die effektive Richtlinie des Kontos. In diesen Fällen gibt die Ausführung vondescribe-effective-policy über das Konto den Inhalt der kombinierten Richtlinie zurück.

SicherungsrichtlinienInformationen und Verfahren, die für alle Richtlinientypen gelten, finden Sie in den folgenden Themen:


Mit AWS Backup können Sie Sicherungspläne erstellen, die definieren, wie Ihre AWS-Ressourcengesichert werden. Die Regeln in dem Plan umfassen eine Vielzahl von Einstellungen, z. B. dieSicherungshäufigkeit, das Zeitfenster, in dem die Sicherung erfolgt, die AWS-Region mit den zu sicherndenRessourcen und den Tresor, in dem die Sicherung gespeichert werden soll. Sie können dann einenSicherungsplan auf Gruppen von AWS-Ressourcen anwenden, die mithilfe von Tags identifiziert wurden.Sie müssen auch eine AWS Identity and Access Management (IAM)-Rolle identifizieren, die AWS Backupdie Berechtigung zum Ausführen der Sicherungsoperation in Ihrem Namen erteilt.

Die Sicherungsrichtlinien in AWS Organizations kombinieren alle diese Teile in JSON-Textdokumenten.Sie können eine Sicherungsrichtlinie an jedes Element in der Struktur Ihrer Organisation anfügen, z. B.den Root, Organisationseinheiten (OUs) und einzelne Konten. Organisationen wendet Vererbungsregelnan, um die Richtlinien im Organisationsstamm, in einer beliebigen übergeordneten OUs oder an das Kontoangehängten Richtlinien zu kombinieren. Das Ergebnis ist eine effektive Sicherungsrichtlinie (p. 149)für jedes Konto. Diese effektive Richtlinie weist AWS Backup an, wie Ihre AWS-Ressourcen automatischgesichert werden sollen.

Sicherungsrichtlinien ermöglichen Ihnen eine präzise Kontrolle über die Sicherung Ihrer Ressourcen aufder Ebene, die Ihre Organisation benötigt. Sie können beispielsweise in einer dem Organisationsstammangefügten Richtlinie angeben, dass alle Amazon DynamoDB-Tabellen gesichert werden müssen. Indieser Richtlinie kann eine Standard-Sicherungshäufigkeit angegeben sein. Anschließend können Sie eineSicherungsrichtlinie an OUs anfügen, die die Sicherungshäufigkeit entsprechend den Anforderungen jederOrganisationseinheit überschreibt. So könnte die Organisationseinheit Developers beispielsweise eineSicherungshäufigkeit von einmal pro Woche angeben, während die Organisationseinheit Productioneinmal täglich angibt.

Sie können partielle Sicherungsrichtlinien erstellen, die jeweils nur einen Teil der erforderlichenInformationen für die erfolgreiche Sicherung Ihrer Ressourcen enthalten. Sie können diese Richtlinien anverschiedene Teile der Organisationsstruktur anfügen, z. B. an den Root-Benutzer oder eine übergeordneteOrganisationseinheit, mit der Absicht, dass diese partiellen Richtlinien von untergeordneten OUs-und -Konten übernommen werden. Wenn Organisationen alle Richtlinien für ein Konto mithilfe vonVererbungsregeln kombiniert, muss die resultierende effektive Richtlinie über alle erforderlichen Elementeverfügen. Andernfalls betrachtet AWS Backup die Richtlinie als nicht gültig und sichert die betroffenenRessourcen nicht.

Important

AWS Backup kann nur eine erfolgreiche Sicherung durchführen, wenn diese von einervollständigen effektiven Richtlinie, die alle erforderlichen Elemente enthält, aufgerufen wird.Auch wenn eine teilweise Richtlinienstrategie, wie zuvor beschrieben, funktionieren kann, wenneine effektive Richtlinie für ein Konto unvollständig ist, führt dies zu Fehlern oder Ressourcen, dienicht erfolgreich gesichert werden. Als alternative Strategie sollten Sie erwägen, zu verlangen,dass alle Sicherungsrichtlinien für sich genommen vollständig und gültig sind. Verwenden Siedefault Werte, die von Richtlinien bereitgestellt werden, die in der Hierarchie höher angefügtsind, und überschreiben sie bei Bedarf in untergeordneten Richtlinien durch untergeordnetenSteuerungsoperatoren für die Vererbung (p. 84).

138

https://docs.aws.amazon.com/aws-backup/latest/devguide/

https://docs.aws.amazon.com/aws-backup/latest/devguide/about-backup-plans.html

https://json.org


Der effektive Sicherungsplan für jedes AWS-Konto in der Organisation wird in der AWS Backup-Konsoleals unveränderlicher Plan für das betreffende Konto angezeigt. Sie können ihn sehen, aber nicht ändern.

Wenn AWS Backup eine Sicherung auf der Grundlage eines von Richtlinien erstellten Sicherungsplansbeginnt, können Sie den Status der Sicherungsaufgabe in der AWS Backup-Konsole anzeigen. EinBenutzer in einem Mitgliedskonto kann den Status und alle Fehler für die Sicherungsaufgaben in diesemMitgliedskonto anzeigen. Wenn Sie auch den vertrauenswürdigen Servicezugriff mit AWS Backupaktivieren, kann ein Benutzer im Verwaltungskonto der Organisation (früher als „Masterkonto“ bezeichnet)den Status und Fehler für alle Sicherungsaufträge in der Organisation anzeigen. Weitere Informationenfinden Sie unter Aktivieren der kontenübergreifenden Verwaltung im AWS Backup-Entwicklerhandbuch.

Erste Schritte mit SicherungsrichtlinienFühren Sie die folgenden Schritte für den Einstieg in die Verwendung von Sicherungsrichtlinien aus.

1. Erfahren Sie mehr über die Berechtigungen, die Sie zum Ausführen von Sicherungsrichtlinienaufgabenbenötigen (p. 139).

2. Informieren Sie sich über einige bewährte Methoden, die wir bei der Verwendung vonSicherungsrichtlinien empfehlen (p. 140).

3. Aktivieren Sie Sicherungsrichtlinien für Ihre Organisation (p. 74).4. Erstellen Sie eine Sicherungsrichtlinie (p. 142).5. Fügen Sie die Sicherungsrichtlinie an den Organisationsstamm, die Organisationseinheit oder das Konto

an (p. 147).6. Zeigen Sie die kombinierte effektive Sicherungsrichtlinie an, die für ein Konto gilt (p. 149).

Für alle diese Schritte melden Sie sich beim Managementkonto der Organisation als IAM-Benutzer an,nehmen eine IAM-Rolle an oder melden sich als Root-Benutzer an (nicht empfohlen).


• Informationen zur Syntax von Sicherungsrichtlinien und Beispielrichtlinien (p. 150)• Verwenden der AWS CLI zum Verwalten Ihrer Sicherungsrichtlinien (p. 169)

Voraussetzungen und Berechtigungen zum Verwaltenvon SicherungsrichtlinienAuf dieser Seite werden die Voraussetzungen und erforderlichen Berechtigungen zum Verwalten vonSicherungsrichtlinien in AWS Organizations beschrieben.

Themen• Voraussetzungen für die Verwaltung von Sicherungsrichtlinien (p. 139)• Berechtigungen zur Verwaltung von Sicherungsrichtlinien (p. 140)

Voraussetzungen für die Verwaltung von SicherungsrichtlinienFür die Verwaltung von Sicherungsrichtlinien in einer Organisation müssen folgende Voraussetzungenerfüllt sein:

• Für Ihre Organisation müssen alle Funktionen aktiviert sein (p. 36).• Sie müssen im Managementkonto Ihrer Organisation angemeldet sein (früher als "Masterkonto"

bezeichnet).

139

https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-cross-account


AWS Organizations BenutzerhandbuchBewährte Methoden

• Ihr AWS Identity and Access Management (IAM)-Benutzer oder Ihre -Rolle muss über die im folgendenAbschnitt aufgeführten Berechtigungen verfügen.

Berechtigungen zur Verwaltung von SicherungsrichtlinienDie folgende IAM-Beispielrichtlinie bietet Berechtigungen zum Verwalten aller Aspekte vonSicherungsrichtlinien in einer Organisation.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageBackupPolicies", "Effect": "Allow", "Action": [ "organizations:AttachPolicy", "organizations:CreatePolicy", "organizations:DeletePolicy", "organizations:DescribeAccount", "organizations:DescribeCreateAccountStatus", "organizations:DescribeEffectivePolicy", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribePolicy", "organizations:DetachPolicy", "organizations:DisableAWSServiceAccess", "organizations:DisablePolicyType", "organizations:EnableAWSServiceAccess", "organizations:EnablePolicyType", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListCreateAccountStatus", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListRoots", "organizations:ListTargetsForPolicy", "organizations:UpdatePolicy" ], "Resource": "*" } ]}

Weitere Informationen zu IAM-Richtlinien und -Berechtigungen finden Sie im IAM-Benutzerhandbuch.

Bewährte Methoden für die Verwendung vonSicherungsrichtlinienAWS empfiehlt die folgenden bewährten Methoden für die Verwendung von Sicherungsrichtlinien:

Entscheidung bezüglich einer SicherungsrichtlinienstrategieSie können Sicherungsrichtlinien in unvollständigen Teilen erstellen, die vererbt und zusammengeführtwerden, um eine vollständige Richtlinie für jedes Mitgliedskonto zu erstellen. Wenn Sie dies tun,besteht die Gefahr, dass Ihre effektive Richtlinie unvollständig ist, wenn Sie eine Änderung auf einer

140

https://docs.aws.amazon.com/IAM/latest/UserGuide/


Ebene vornehmen, ohne sorgfältig die Auswirkungen der Änderung auf alle Konten unterhalb dieserEbene zu berücksichtigen. Um dies zu verhindern, empfehlen wir, stattdessen sicherzustellen, dassdie Sicherungsrichtlinien, die Sie auf allen Ebenen implementieren, vollständig sind. Behandeln Sie dieübergeordneten Richtlinien als Standardrichtlinien, die durch in untergeordneten Richtlinien angegebeneEinstellungen überschrieben werden können. Auf diese Weise ist die geerbte Richtlinie auch dannvollständig, wenn keine untergeordnete Richtlinie vorhanden ist, und verwendet die Standardwerte. Mithilfeder Vererbungsoperatoren für untergeordnete Steuerelemente (p. 84) können Sie steuern, welcheEinstellungen von untergeordneten Richtlinien hinzugefügt, geändert oder entfernt werden können.

Validieren von Änderungen an Ihren Sicherungsrichtlinien mithilfevon GetEffectivePolicyNachdem Sie eine Änderung an einer Sicherungsrichtlinie vorgenommen haben, überprüfen Siedie effektiven Richtlinien für repräsentative Konten unterhalb der Ebene, auf der Sie die Änderungvorgenommen haben. Sie können die effektive Richtlinie mithilfe der AWS Management Console odermithilfe der (p. 149)-GetEffectivePolicy-API-Operation oder einer der - oder AWS CLI-SDK-Variantenanzeigen.AWS Stellen Sie sicher, dass die vorgenommene Änderung die beabsichtigten Auswirkungen aufdie effektive Richtlinie hatte.

Einfach starten und kleine Änderungen vornehmenUm das Debuggen zu vereinfachen, beginnen Sie mit einfachen Richtlinien und nehmen Sie jeweilsÄnderungen an einem Element vor. Überprüfen Sie das Verhalten und die Auswirkungen jeder Änderung,bevor Sie die nächste Änderung vornehmen. Dieser Ansatz reduziert die Anzahl der Variablen, die Sieberücksichtigen müssen, wenn ein Fehler oder ein unerwartetes Ergebnis auftritt.

Speichern von Kopien Ihrer Sicherungen in anderen AWS-Regionen und -Konten in Ihrer OrganisationZur Verbesserung der Notfallwiederherstellungsposition können Sie Kopien Ihrer Sicherungen speichern.

• Eine andere Region – Wenn Sie Kopien der Sicherung in zusätzlichen AWS-Regionen speichern,schützen Sie die Sicherung vor versehentlicher Beschädigung oder Löschung in der ursprünglichenRegion. Verwenden Sie den Abschnitt copy_actions der Richtlinie, um einen Tresor in eineroder mehreren Regionen desselben Kontos anzugeben, in dem der Sicherungsplan ausgeführtwird. Identifizieren Sie dazu das Konto mithilfe der Variablen $account, wenn Sie den ARN desSicherungstresors angeben, in dem die Kopie der Sicherung gespeichert werden soll. Die Variable$account wird zur Laufzeit automatisch durch die Konto-ID ersetzt, in der die Sicherungsrichtlinieausgeführt wird.

• Ein anderes Konto – Wenn Sie Kopien der Sicherung in zusätzlichen AWS-Konten speichern, fügen Sieeine Sicherheitsabgrenze hinzu, die einen böswilligen Akteur schützt, der eines Ihrer Konten gefährdet.Verwenden Sie den Abschnitt copy_actions der Richtlinie, um einen Tresor in einem oder Konten inIhrer Organisation anzugeben, unabhängig von dem Konto, in dem der Sicherungsplan ausgeführt wird.Dazu identifizieren Sie das Konto anhand der tatsächlichen Konto-ID-Nummer, wenn Sie den ARN desSicherungstresors angeben, in dem die Kopie der Sicherung gespeichert werden soll.

Begrenzen der Anzahl der Pläne pro RichtlinieDie Fehlerbehebung von Richtlinien, die mehrere Pläne enthalten, ist aufgrund der größeren Anzahl vonAusgaben, die alle geprüft werden müssen, komplizierter. Um das Debuggen und die Fehlerbehebungzu vereinfachen, sollte jede Richtlinie daher nur einen einzigen Sicherungsplan enthalten. Sie könnendann zusätzliche Richtlinien mit anderen Plänen hinzufügen, um andere Anforderungen zu erfüllen. DieserAnsatz hilft, Probleme mit einem Plan von einer Richtlinie isoliert zu halten, und er verhindert, dass dieseProbleme die Fehlerbehebung von Problemen mit anderen Richtlinien und ihren Plänen erschweren.

141

https://docs.aws.amazon.com/organizations/latest/APIReference/API_GetEffectivePolicy.html


Verwenden von Stack-Sets zum Erstellen der erforderlichenSicherungstresore und IAM-RollenVerwenden Sie die AWS CloudFormation-Stack-Sets-Integration mit Organisationen, um automatisch dieerforderlichen Sicherungstresore und AWS Identity and Access Management (IAM)-Rollen in den einzelnenMitgliedskonten in Ihrer Organisation zu erstellen. Sie können ein Stack-Set erstellen, das die Ressourcenenthält, die in jedem AWS-Konto in Ihrer Organisation automatisch verfügbar sein sollen. Dieser Ansatzermöglicht Ihnen, Ihre Sicherungspläne mit der Gewissheit auszuführen, dass die Abhängigkeiten bereitserfüllt sind. Weitere Informationen finden Sie unter Erstellen eines Stack-Sets mit selbstverwaltetenBerechtigungen im AWS CloudFormation Benutzerhandbuch.

Überprüfen Sie Ihre Ergebnisse durch Prüfung der erstenSicherung, die in jedem Konto erstellt wurde.Wenn Sie eine Änderung an einer Richtlinie vornehmen, überprüfen Sie die nächste Sicherung, die nachdieser Änderung erstellt wurde, um sicherzustellen, dass die Änderung die gewünschten Auswirkungenhatte. Dieser Schritt geht über die Betrachtung der effektiven Richtlinie hinaus und stellt sicher, dass AWSBackup Ihre Richtlinien so interpretiert und die Sicherungspläne so implementiert, wie Sie dies beabsichtigthaben.

Erstellen, Aktualisieren und Löschen vonSicherungsrichtlinienIn diesem Thema:

• Nach der Aktivierung von Sicherungsrichtlinien für Ihre Organisation können Sie eine Richtlinieerstellen (p. 142).

• Wenn sich Ihre Sicherungsanforderungen ändern, können Sie eine vorhandene Richtlinieaktualisieren (p. 144).

• Wenn Sie eine Richtlinie nicht mehr benötigen und von allen Organisationseinheiten (OUs) und Kontengetrennt wird, können Sie sie löschen (p. 146).

Erstellen einer SicherungsrichtlinieMindestberechtigungen

Zum Erstellen einer Sicherungsrichtlinie benötigen Sie die Berechtigung zur Ausführung folgenderAktion:



Sie können eine Sicherungsrichtlinie in der AWS Management Console auf zwei Arten erstellen:

• Mit einem visuellen Editor, bei dem Sie Optionen auswählen können und der JSON-Richtlinientextfür Sie generiert wird.

• Mit einem Texteditor, bei dem Sie den JSON-Richtlinientext direkt selbst erstellen können.

Der visuelle Editor macht den Prozess einfach, schränkt jedoch Ihre Flexibilität ein. Er ist sehr gutgeeignet, um Ihre ersten Richtlinien zu erstellen und sich mit deren Verwendung vertraut zu machen.

142

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions



Wenn Sie die Funktionsweise der Richtlinien verstanden haben und allmählich durch die Möglichkeitendes visuellen Editors eingeschränkt sind, können Sie Ihren Richtlinien erweiterte Funktionenhinzufügen, indem Sie den JSON-Richtlinientext selbst bearbeiten. Der visuelle Editor verwendet nurden @@assign-Werteinstellungsoperator (p. 84) und bietet keinen Zugriff auf die untergeordnetenSteuerungsoperatoren (p. 84). Sie können die untergeordneten Steuerungsoperatoren nur dannhinzufügen, wenn Sie den JSON-Richtlinientext manuell bearbeiten.

So erstellen Sie eine Sicherungsrichtlinie (Konsole)


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Backup policies(Sicherungsrichtlinien) aus.

3. Wählen Sie auf der Seite Backup policies (Sicherungsrichtlinien) die Option Create policy(Richtlinie erstellen) aus.

4. Geben Sie auf der Seite Create policy (Richtlinie erstellen) unter Policy name (Richtlinienname)einen Namen und unter Description (Beschreibung) eine optionale Beschreibung für die Richtlinieein.

5. (Optional) Sie können der Richtlinie ein oder mehrere Tags hinzufügen, indem Sie Add tag (Taghinzufügen) auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sieden Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie könneneiner Richtlinie bis zu 50 Tags anfügen.

6. Sie können die Richtlinie mit dem Visual Editor (Visuellen Editor) erstellen, wie in diesemVerfahren beschrieben. Sie können Richtlinientext auch auf der Registerkarte JSON eingebenoder einfügen. Weitere Informationen zur Syntax von Sicherungsrichtlinien finden Sie unter Syntaxund Beispiele für Sicherungsrichtlinien (p. 150).

Wenn Sie Visual Editor (Visueller Editor) verwenden möchten, wählen Sie die für IhrSzenario geeigneten Sicherungsoptionen aus. Ein Sicherungsplan besteht aus drei Teilen.Weitere Informationen zu diesen Sicherungsplanelementen finden Sie unter Erstellen einesSicherungsplans und Zuweisen von Ressourcen im AWS Backup-Entwicklerhandbuch.

a. Details zum Sicherungsplan• Der Backup plan name (Name des Sicherungsplans) darf nur aus alphanumerischen

Zeichen, Bindestrichen und Unterstrichen bestehen.• Sie müssen mindestens eine Backup plan region (Region für Sicherungsplan) aus der Liste

auswählen. Der Plan kann Ressourcen nur in den ausgewählten AWS-Regionen sichern.b. Eine oder mehrere Sicherungsregeln, die angeben, wie und wann AWS Backup ausgeführt

werden soll. Jede Sicherungsregel definiert die folgenden Elemente:• Einen Zeitplan, der die Häufigkeit der Sicherung und das mögliche Zeitfenster für die

Sicherung enthält.• Lebenszyklusoptionen, die angeben, wann die Sicherung zum Cold Storage übergeht und

wann die Sicherung abläuft.• Den Namen des zu verwendenden Sicherungstresors. Der Backup vault name (Name des

Sicherungstresors) darf nur aus alphanumerischen Zeichen, Bindestrichen und Unterstrichenbestehen. Der Sicherungstresor muss vorhanden sein, bevor der Plan erfolgreich ausgeführtwerden kann. Erstellen Sie den Tresor über die AWS Backup-Konsole oder mithilfe von AWSCLI-Befehlen.

• (Optional) Eine oder mehrere Regeln „Copy to region (In Region kopieren), um die Sicherungauch in Tresore in anderen AWS-Regionen zu kopieren.

• Ein oder mehrere Tag-Schlüssel- und Wertepaare, die an die Sicherungs-Wiederherstellungspunkte angefügt werden, die bei jeder Ausführung diesesSicherungsplans erstellt werden.

143



https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html


c. Eine Ressourcenzuordnung, die die Ressourcen angibt, die AWS Backup mit diesem Plansichern soll.• Der Ressource assignment name (Name der Ressourcenzuordnung) darf nur aus

alphanumerischen Zeichen, Bindestrichen und Unterstrichen bestehen.• Geben Sie die IAM-Rolle an, die AWS Backup zur Ausführung der Sicherung anhand ihres

Namens verwenden soll.

In der -Konsole geben Sie nicht den gesamten Amazon-Ressourcennamen (ARN) an.Sie müssen sowohl den Rollennamen als auch das Präfix angeben, das den Rollentypangibt. Die Präfixe sind in der Regel role oder service-role und werden durch einenSchrägstrich ('/') vom Rollennamen getrennt. Sie können beispielsweise role/MyRoleNameoder service-role/MyManagedRoleName eingeben. Dies wird in einen vollständigenARN konvertiert, wenn es in der zugrunde liegenden JSON gespeichert wird.

Important

Die angegebene IAM-Rolle muss bereits in dem Konto vorhanden sein, aufdas die Richtlinie angewendet wird. Wenn dies nicht der Fall ist, kann derSicherungsplan Sicherungsaufgaben zwar möglicherweise erfolgreich starten, dieseSicherungsaufträge schlagen jedoch fehl.

• Geben Sie ein oder mehrere Resource tag key (Ressourcen-Tag-Schlüssel)- und Tag values(Tag-Werte)-Paare an. Wenn mehr als ein Tag-Wert vorhanden ist, trennen Sie diese durchKommas.

7. Wenn Sie mit dem Erstellen Ihrer Richtlinie fertig sind, wählen Sie Create policy (Richtlinieerstellen) aus. Die Richtlinie wird in der Liste der verfügbaren Sicherungsrichtlinien angezeigt.

AWS CLI, AWS API

Erstellen Sie wie folgt eine Sicherungsrichtlinie:

Sie können eine der folgenden Optionen verwenden, um eine Sicherungsrichtlinie zu erstellen:


Beispiele, bei denen die AWS CLI zum Erstellen einer Sicherungsrichtlinie verwendet wird, findenSie unter Verwenden von Sicherungsrichtlinien in der AWS CLI (p. 169).


Weitere Schritte

Nachdem Sie eine Sicherungsrichtlinie erstellt haben, können Sie Ihre Richtlinie in Kraft setzen. Dies istmöglich durch Anfügen der Richtlinie (p. 184) an den Organisationsstamm, die Organisationseinheiten(OUs), die AWS-Konten innerhalb Ihrer Organisation oder einer Kombination hiervon.

Aktualisieren einer SicherungsrichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Richtliniebearbeiten, die Änderungen in Ihrer Organisation erfordert.


Um eine Sicherungsrichtlinie zu aktualisieren, müssen Sie über die Berechtigung zum Ausführender folgenden Aktionen verfügen:

• organizations:UpdatePolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den ARN der zu aktualisierenden Richtlinie enthält (oder "*")

144




• organizations:DescribePolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den ARN der zu aktualisierenden Richtlinie enthält (oder "*")


So aktualisieren Sie eine Sicherungsrichtlinie



3. Wählen Sie auf der Seite Backup policies (Sicherungsrichtlinien) die Richtlinie aus, die Sieaktualisieren möchten.

4. Wählen Sie im Detailbereich auf der rechten Seite View details (Details anzeigen) aus.5. Wählen Sie auf der Seite mit der Sicherungsrichtlinie die Option Edit policy (Richtlinie bearbeiten)

aus.6. Nehmen Sie Ihre Änderungen entweder mithilfe des visuellen Editors oder durch Bearbeiten des

JSON vor.7. Wenn Sie mit der Aktualisierung der Richtlinie fertig sind, wählen Sie Save changes (Änderungen

speichern) aus.

AWS CLI, AWS API

So aktualisieren Sie eine Sicherungsrichtlinie

Sie können eine der folgenden Optionen verwenden, um eine Sicherungsrichtlinie zu aktualisieren:


Bearbeiten von Tags, die einer Sicherungsrichtlinie angefügt sindWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie die einerSicherungsrichtlinie angefügten Tags hinzufügen oder entfernen. Führen Sie dazu die folgenden Schritteaus.


Um die Tags zu bearbeiten, die einer Sicherungsrichtlinie in Ihrer AWS-Organisation angefügtsind, müssen Sie über die folgenden Berechtigungen verfügen:




So bearbeiten Sie die Tags, die einer Sicherungsrichtlinie angefügt sind


145








2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Backup policies(Sicherungsrichtlinien) und dann den Namen der Richtlinie mit den Tags aus, die Sie bearbeitenmöchten.






AWS CLI, AWS API

So bearbeiten Sie die Tags, die einer Sicherungsrichtlinie angefügt sind

Sie können einen der folgenden Befehle verwenden, um die Tags zu bearbeiten, die einerSicherungsrichtlinie angefügt sind:


Löschen einer SicherungsrichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Richtlinie löschen,die Sie in Ihrer Organisation nicht mehr benötigen.



Um eine Richtlinie zu löschen, müssen Sie über die Berechtigung zum Ausführen der folgendenAktion verfügen:

• organizations:DeletePolicy mit einem Resource-Element in derselbenRichtlinienanweisung, die den ARN für die zu löschende Richtlinie enthält (oder "*")


So löschen Sie eine Sicherungsrichtlinie


2. Die Richtlinie, die Sie löschen möchten, muss zunächst von allen Roots, OUs und Kontengetrennt werden. Befolgen Sie die Schritte in Trennen einer Sicherungsrichtlinie (p. 148), um dieRichtlinie von allen Elementen in der Organisation zu trennen.


146








4. Wählen Sie auf der Seite Backup policies (Sicherungsrichtlinien) die Richtlinie aus, die Sie löschenmöchten.

5. Wählen Sie Delete policy (Richtlinie löschen).

AWS CLI, AWS API

So löschen Sie eine Sicherungsrichtlinie

Sie können einen der folgenden Befehle verwenden, um eine Sicherungsrichtlinie zu löschen:


Anfügen und Trennen von SicherungsrichtlinienSie können Sicherungsrichtlinien sowohl für eine ganze Organisation als auch für Organisationseinheiten(OUs) und einzelne Konten verwenden. Beachten Sie die folgenden Punkte:

• Wenn Sie eine Sicherungsrichtlinie an den Organisationsstamm anfügen, gilt die Richtlinie für alle OUs-und -Konten des Stammmitglieds.

• Wenn Sie eine Sicherungsrichtlinie an eine OU anfügen, gilt diese Richtlinie für die Konten, die zur OUoder einer ihrer untergeordneten OUs gehören. Diese Konten unterliegen auch jeder Richtlinie, die anden Organisationsstamm angefügt ist.

• Wenn Sie eine Sicherungsrichtlinie an ein Konto anfügen, gilt diese Richtlinie nur für dieses Konto. DasKonto unterliegt auch jeder Richtlinie, die an den Organisationsstamm und die OUs angefügt ist, zu derdas Konto gehört.

Die Aggregation aller Sicherungsrichtlinien, die das Konto vom Root- und übergeordneten OUs erbt,sowie aller Richtlinien, die direkt an das Konto angefügt sind, ist die effektive Richtlinie. (p. 149) WeitereInformationen zur Zusammenführung von Richtlinien zu einer effektiven Richtlinie finden Sie unterRichtliniensyntax und Vererbung für Verwaltungsrichtlinientypen (p. 82).

Anfügen einer SicherungsrichtlinieWenn Sie am Verwaltungskonto Ihrer Organisation angemeldet sind (früher als "Masterkonto" bezeichnet),können Sie eine Sicherungsrichtlinie an den Organisationsstamm, die Organisationseinheit oder direkt anein Konto anfügen.


Um Sicherungsrichtlinien anzufügen, müssen Sie über die Berechtigung zum Ausführen derfolgenden Aktion verfügen:



So fügen Sie eine Sicherungsrichtlinie an den Organisationsstamm, eine Organisationseinheitoder ein Konto an


147






2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zumKontrollkästchen für den Root, die Organisationseinheit oder das Konto, an das Sie dieSicherungsrichtlinie anfügen möchten, und aktivieren Sie es. (p. 67)

3. Erweitern Sie im rechten Detailbereich den Abschnitt Backup Policies, um die Liste der aktuellangefügten Sicherungsrichtlinien anzuzeigen.

4. Suchen Sie die gewünschte Richtlinie in der Liste der verfügbaren Sicherungsrichtlinien undwählen Sie Attach (Anfügen) aus.

AWS CLI, AWS API

So fügen Sie eine Sicherungsrichtlinie an den Organisationsstamm, die OU oder das Konto an

Sie können einen der folgenden Befehle verwenden, um eine Sicherungsrichtlinie anzufügen:


Trennen einer SicherungsrichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Sicherungsrichtlinievom Organisationsstamm, von der Organisationseinheit oder vom Konto trennen, an das sie angefügt ist.Nach dem Trennen der Sicherungsrichtlinie von einem Element, gilt diese Richtlinie nicht mehr für Konten,auf die sich das jetzt getrennte Element zuvor ausgewirkt hat. Führen Sie zum Trennen einer Richtlinie diefolgenden Schritte aus.


Um eine Sicherungsrichtlinie vom Organisationsstamm, der OU oder dem Konto zu trennen,müssen Sie über die Berechtigung zum Ausführen der folgenden Aktion verfügen:



So trennen Sie eine Sicherungsrichtlinie vom Organisationsstamm, der OU oder dem Konto



3. Erweitern Sie im Bereich Details auf der rechten Seite den Abschnitt Backup policies(Sicherungsrichtlinien), um die Liste der aktuell angefügten Sicherungsrichtlinien anzuzeigen.

4. Suchen Sie die Sicherungsrichtlinie, die Sie trennen möchten, aus und wählen Sie Detach(Trennen). Die Liste der angefügten Sicherungsrichtlinien wird aktualisiert und die ausgewählteRichtlinie entfernt.

AWS CLI, AWS API

So trennen Sie eine Sicherungsrichtlinie vom Organisationsstamm, der OU oder dem Konto

Sie können einen der folgenden Befehle verwenden, um eine Sicherungsrichtlinie zu trennen:

• AWS CLI: aws organizations detach-policy

148






AWS Organizations BenutzerhandbuchAnzeigen effektiver Sicherungsrichtlinien

• AWS-API:DetachPolicy

Anzeigen effektiver SicherungsrichtlinienSie können die effektive Sicherungsrichtlinie für ein Konto über die AWS-Managementkonsole, die AWS-API oder die AWS-Befehlszeilenschnittstelle anzeigen. Der folgende Abschnitt bietet eine kurze Übersichtüber die effektive Sicherungsrichtlinie, einschließlich eines Beispiels.

Was ist die effektive Sicherungsrichtlinie?Die effektive Sicherungsrichtlinie gibt die endgültigen Sicherungsplaneinstellungen an, die für einKonto gelten. Es handelt sich um die Aggregation aller Sicherungsrichtlinien, die das Konto erbt, sowiealler Sicherungsrichtlinien, die direkt an das Konto angefügt sind. Wenn Sie eine Sicherungsrichtliniean den Organisationsstamm anfügen, gilt diese für alle Konten in Ihrer Organisation. Wenn Sie eineSicherungsrichtlinie an eine Organisationseinheit (OU) anfügen, gilt sie für alle Konten und OUs, die zur OUgehören. Wenn Sie eine Richtlinie direkt an ein Konto anfügen, gilt diese nur für das betreffende Konto.

Beispielsweise könnte die dem Organisationsstamm angefügte Sicherungsrichtlinie angeben, dass alleKonten in der Organisation alle Amazon DynamoDB-Tabellen mit einer Standard-Sicherungshäufigkeitvon einmal pro Woche sichern. Eine separate Sicherungsrichtlinie, die direkt an ein Mitgliedskonto mitwichtigen Informationen in einer Tabelle angefügt ist, kann die Häufigkeit mit einem Wert von einmal proTag überschreiben. Die Kombination dieser Sicherungsrichtlinien bildet die effektive Sicherungsrichtlinie.Diese effektive Sicherungsrichtlinie wird für jedes Konto in der Organisation einzeln bestimmt. In diesemBeispiel ist das Ergebnis, dass alle Konten in der Organisation ihre DynamoDB-Tabellen einmal pro Wochesichern, mit Ausnahme eines Kontos, das seine Tabellen täglich sichert.

Weitere Informationen dazu, wie Sicherungsrichtlinien zu der endgültigen effektivenSicherungsrichtlinie kombiniert werden, finden Sie unter Richtliniensyntax und Vererbung fürVerwaltungsrichtlinientypen (p. 82).

Anzeigen der effektiven SicherungsrichtlinieSie können die effektive Sicherungsrichtlinie für ein Konto mithilfe der AWS Management Console, derAWS-API oder der AWS Command Line Interface anzeigen.


Um die effektive Sicherungsrichtlinie für ein Konto anzuzeigen, müssen Sie über die Berechtigungzum Ausführen der folgenden Aktionen verfügen:




So zeigen Sie die effektive Sicherungsrichtlinie für ein Konto an


2. Wählen Sie auf der Registerkarte Accounts (Konten) ein Konto aus.3. Erweitern Sie im Detailbereich auf der rechten Seite den Abschnitt Backup policies

(Sicherungsrichtlinien). Darin können Sie die Liste der Richtlinien anzeigen, die direkt angefügtsind, die verfügbaren Richtlinien, die zum Anfügen verfügbar sind, und die geerbten Richtlinien.

149




AWS Organizations BenutzerhandbuchSyntax und Beispiele für Sicherungsrichtlinien

4. Wählen Sie View effective policy (Effektive Richtlinie anzeigen) aus. Es wird eine separateRegisterkarte geöffnet, in der die effektive Richtlinie für das angegebene Konto angezeigt wird.

Note

Es ist nicht möglich, eine effektive Richtlinie zu kopieren und einzufügen und ohnewesentliche Änderungen als JSON für eine andere Sicherungsrichtlinie zu verwenden.Sicherungsrichtliniendokumente müssen die Vererbungsoperatoren (p. 84) enthalten,die angeben, wie die einzelnen Einstellungen zu der endgültigen effektiven Richtliniezusammengeführt werden.

AWS CLI, AWS API


Sie können einen der folgenden Befehle verwenden, um die effektive Sicherungsrichtlinie anzuzeigen:


Die vollständige Vorgehensweise zum Verwenden von Sicherungsrichtlinien in der AWS CLI findenSie unter Verwenden von Sicherungsrichtlinien in der AWS CLI (p. 169).


Syntax und Beispiele für SicherungsrichtlinienAuf dieser Seite wird die Syntax für Sicherungsrichtlinien beschrieben und durch Beispiele illustriert.

Syntax für SicherungsrichtlinienEine Sicherungsrichtlinie ist eine Textdatei, die den JSON-Regeln entsprechend strukturiert ist. Die Syntaxfür Sicherungsrichtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Eine umfassende Erläuterungdieser Syntax finden Sie unter Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen. DiesesThema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungendes Sicherungsrichtlinientyps.

Eine Sicherungsrichtlinie besteht hauptsächlich aus dem Sicherungsplan und ihren Regeln. Die Syntaxfür den Sicherungsplan innerhalb einer AWS Organizations-Sicherungsrichtlinie ist strukturell identischmit der Syntax, die von AWS Backup verwendet wird, die Schlüsselnamen sind jedoch unterschiedlich.In den Beschreibungen der Richtlinienschlüsselnamen unten ist jeweils auch der entsprechende AWSBackup-Planschlüsselname angegeben. Weitere Informationen zu AWS Backup-Plänen finden Sie unterCreateBackupPlan im AWS Backup-Entwicklerhandbuch.

Um vollständig und funktionsfähig zu sein, muss eine effektive Sicherungsrichtlinie (p. 149) mehr als nureinen Sicherungsplan mit seinem Zeitplan und seinen Regeln enthalten. Die Richtlinie muss auch die AWS-Regionen und -Ressourcen identifizieren, die gesichert werden sollen, sowie die AWS Identity and AccessManagement (IAM)-Rolle, die AWS Backup zum Ausführen der Sicherung verwenden kann.

Die folgende funktionell vollständige Richtlinie zeigt die grundlegende Syntax von Sicherungsrichtlinien.Wenn dieses Beispiel direkt an ein Konto angefügt würde, würde AWS Backup alle Ressourcen fürdieses Konto in den Regionen us-east-1 und eu-north-1 sichern, die das Tag dataType mit demWert PII oder RED haben. Es sichert diese Ressourcen täglich um 5:00 Uhr in My_Backup_Vault undspeichert auch eine Kopie in My_Secondary_Vault. Beide Tresore befinden sich in demselben Kontowie die Ressource. Außerdem wird eine Kopie der Sicherung in der Datei My_Tertiary_Vault in einemanderen, explizit angegebenen Konto gespeichert. Die Tresore müssen bereits in jeder der angegebenenAWS-Regionen für jedes AWS-Konto vorhanden sein, das die effektive Richtlinie erhält. Wenn eine

150



http://json.org

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html


der gesicherten Ressourcen EC2-Instances ist, wird die Unterstützung für Microsoft Volume ShadowCopy Service (VSS) für die Sicherungen auf diesen Instances aktiviert. Die Sicherung wendet das TagOwner:Backup auf jeden Wiederherstellungspunkt an.

{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} } }, "arn:aws:backup:us-east-1:$account:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED"

151


] } } } }, "advanced_backup_settings": { "ec2": { "WindowsVSS": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } }}

Zur Syntax der Sicherungsrichtlinie gehören die folgenden Komponenten:

• $account-Variablen – In bestimmten Textzeichenfolgen in den Richtlinien können Sie die $account-Variable verwenden, um das aktuelle AWS-Konto darzustellen. Wenn AWS Backup einen Plan in dereffektiven Richtlinie ausführt, wird diese Variable automatisch durch das aktuelle AWS-Konto ersetzt, indem die effektive Richtlinie und ihre Pläne ausgeführt werden.

Important

Sie können die $account-Variable nur in Richtlinienelementen verwenden, die einenAmazon-Ressourcennamen (ARN) enthalten können, beispielsweise in Elementen, die denSicherungstresor, in dem die Sicherung gespeichert werden soll, oder die IAM-Rolle mitBerechtigungen zum Ausführen der Sicherung angeben.

Das folgende Beispiel erfordert beispielsweise, dass in jedem My_Vault-Konto, für das die Richtlinie gilt,ein Tresor mit dem Namen AWS vorhanden ist.

arn:aws:backup:us-west-2:$account:vault:My_Vault"

Wir empfehlen, dass Sie AWS CloudFormation-Stack-Sets und deren Integration mit Organisationenverwenden, um automatisch Sicherungstresore und IAM-Rollen für jedes Mitgliedskonto in derOrganisation zu erstellen und zu konfigurieren. Weitere Informationen finden Sie unter Erstellen einesStack-Sets mit selbstverwalteten Berechtigungen im AWS CloudFormation Benutzerhandbuch.

• Vererbungsoperatoren – Sicherungsrichtlinien können sowohl die wertbestimmenden Faktoren (p. 84)für die Vererbung als auch die untergeordneten Steuerungsoperatoren (p. 84) verwenden.

• plans

Der Schlüssel der obersten Ebene der Richtlinie ist der Schlüssel plans. Eine Sicherungsrichtlinie mussimmer mit diesem festen Schlüsselnamen oben in der Richtliniendatei beginnen. Sie können einen odermehrere Sicherungspläne unter diesem Schlüssel haben.

• Jeder Plan unter dem Schlüssel der obersten Ebene plans hat einen Schlüsselnamen, der aus demvom Benutzer zugewiesenen Namen des Sicherungsplans besteht. Im vorherigen Beispiel lautet derName des Sicherungsplans PII_Backup_Plan. Sie können mehrere Pläne in einer Richtlinie mitjeweils eigenen Regeln, Regionen, Auswahlen und Tags haben.

Dieser Schlüsselname für den Sicherungsplan in einer Sicherungsrichtlinie wird dem Wert desSchlüssels BackupPlanName in einem AWS Backup-Plan zugeordnet.

Jeder Plan kann die folgenden Elemente enthalten:

152




• rules (p. 153) – Dieser Schlüssel enthält eine Sammlung von Regeln. Jede Regel wird in einegeplante Aufgabe mit einer Startzeit und einem Fenster übersetzt, in dem die durch die Elementeselections und regions in der effektiven Sicherungsrichtlinie identifizierten Ressourcen gesichertwerden.

• regions (p. 155) – Dieser Schlüssel enthält eine Array-Liste von AWS-Regionen, derenRessourcen durch diese Richtlinie gesichert werden können.

• selections (p. 155) – Dieser Schlüssel enthält eine oder mehrere Sammlungen von Ressourcen(innerhalb der angegebenen regions), die durch die angegebenen rules gesichert werden.

• advanced_backup_settings (p. 156) – Dieser Schlüssel enthält spezifische Einstellungen fürSicherungen, die auf bestimmten Ressourcen ausgeführt werden.

• backup_plan_tags (p. 156) – Gibt Tags an, die dem Sicherungsplan selbst angefügt sind.• rules

Der Richtlinienschlüssel rules wird dem Schlüssel Rules in einem AWS Backup-Plan zugeordnet.Unter dem Schlüssel rules kann es eine oder mehrere Regeln geben. Jede Regel wird zu einergeplanten Aufgabe zur Durchführung einer Sicherung der ausgewählten Ressourcen.

Jede Regel enthält einen Schlüssel, dessen Name der Name der Name der Regel ist. Im vorherigenBeispiel lautet der Regelname „My_Hourly_Rule“. Der Wert des Regelschlüssels ist die folgendeSammlung von Regelelementen:• schedule_expression – Dieser Richtlinienschlüssel wird dem Schlüssel ScheduleExpression in

einem AWS Backup-Plan zugeordnet.

Gibt die Startzeit der Sicherung an. Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Zeichenfolgewert mit einem CRON-Ausdruck, der angibt, wann AWSBackup eine Sicherungsaufgabe initiieren soll. Das allgemeine Format der CRON Zeichenfolge lautet„cron( )“. Dabei ist jeweils eine Zahl oder ein Platzhalter angegeben. Beispielsweise startet cron(0 51,3,5 * * *) die Sicherung jeden Montag, Mittwoch und Freitag um 5 Uhr. cron(0 0/1 ? * **) startet die Sicherung stündlich zur vollen Stunde, an jedem Wochentag.

• target_backup_vault_name – Dieser Richtlinienschlüssel wird dem SchlüsselTargetBackupVaultName in einem AWS Backup-Plan zugeordnet.

Gibt den Namen des Sicherungstresors an, in dem die Sicherung gespeichert werden soll.Sie erstellen den Wert mithilfe von AWS Backup. Dieser Schlüssel enthält den @@assign -Vererbungswert-Operator (p. 84) und einen Zeichenfolgewert mit einem Tresornamen.

Important

Der Tresor muss bereits vorhanden sein, wenn der Sicherungsplan zum ersten Mal gestartetwird. Wir empfehlen, dass Sie AWS CloudFormation-Stack-Sets und deren Integration mitOrganisationen verwenden, um automatisch Sicherungstresore und IAM-Rollen für jedesMitgliedskonto in der Organisation zu erstellen und zu konfigurieren. Weitere Informationenfinden Sie unter Erstellen eines Stack-Sets mit selbstverwalteten Berechtigungen im AWSCloudFormation Benutzerhandbuch.

• start_backup_window_minutes – Dieser Richtlinienschlüssel wird dem SchlüsselStartWindowMinutes in einem AWS Backup-Plan zugeordnet.

(Optional) Gibt die Anzahl der Minuten an, die gewartet werden soll, bevor ein Auftrag abgebrochenwird, der nicht erfolgreich gestartet wurde. Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Wert mit einer ganzzahligen Minutenangabe.

• complete_backup_window_minutes – Dieser Richtlinienschlüssel wird dem SchlüsselCompletionWindowMinutes in einem AWS Backup-Plan zugeordnet.

(Optional) Gibt die Anzahl der Minuten nach dem erfolgreichen Start eines Sicherungsauftrags an,bevor er abgeschlossen werden muss oder er von AWS Backup abgebrochen wird. Dieser Schlüssel

153

https://www.wikipedia.org/wiki/Cron#CRON_expression



enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Wert mit einer ganzzahligenMinutenangabe.

• lifecycle – Dieser Richtlinienschlüssel wird dem Schlüssel Lifecycle in einem AWS Backup-Planzugeordnet.

(Optional) Gibt an, wann AWS Backup diese Sicherung in den Cold Storage überträgt und wann sieabläuft.• move_to_cold_storage_after_days – Dieser Richtlinienschlüssel wird dem SchlüsselMoveToColdStorageAfterDays in einem AWS Backup-Plan zugeordnet.

Gibt an, wie viele Tage nach der Sicherung AWS Backup den Wiederherstellungspunkt in den ColdStorage verschiebt. Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84)und einen Wert mit einer ganzzahligen Angabe der Tage.

• delete_after_days – Dieser Richtlinienschlüssel wird dem Schlüssel DeleteAfterDays ineinem AWS Backup-Plan zugeordnet.

Gibt an, wie viele Tage nach der Sicherung AWS Backup den Wiederherstellungspunkt löscht.Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Wert miteiner ganzzahligen Angabe der Tage. Wenn Sie eine Sicherung in den Cold Storage übertragen,muss sie dort mindestens 90 Tage bleiben. Dieser Wert muss also mindestens um 90 Tage höherals der Wert für move_to_cold_storage_after_days sein.

• copy_actions – Dieser Richtlinienschlüssel wird dem Schlüssel CopyActions in einem AWSBackup-Plan zugeordnet.

(Optional) Gibt an, dass AWS Backup die Sicherung an einen oder mehrere zusätzliche Speicherortekopieren soll. Jeder Speicherort der Sicherungskopie wird wie folgt beschrieben:• Ein Schlüssel, dessen Name diese Kopieraktion eindeutig identifiziert. Zu diesem Zeitpunkt muss der

Schlüsselname der Amazon-Ressourcenname (ARN) des Sicherungstresors sein. Dieser Schlüsselenthält zwei Einträge.• target_backup_vault_arn – Dieser Richtlinienschlüssel wird dem SchlüsselDestinationBackupVaultArn in einem AWS Backup-Plan zugeordnet.

(Optional) Gibt den Tresor an, in dem AWS Backup eine zusätzliche Kopie der Sicherungspeichert. Der Wert dieses Schlüssels enthält den @@assign-Vererbungswert-Operator (p. 84)und den ARN des Tresors.• Um auf einen Tresor im AWS-Konto zu verweisen, in dem die Sicherungsrichtlinie ausgeführt

wird, verwenden Sie die Variable $account im ARN anstelle der Konto-ID-Nummer. WennAWS Backup den Sicherungsplan ausführt, wird die Variable automatisch durch die Konto-ID-Nummer des AWS-Kontos ersetzt, in dem die Richtlinie ausgeführt wird. Auf diese Weise kanndie Sicherung ordnungsgemäß ausgeführt werden, wenn die Sicherungsrichtlinie für mehr alsein Konto in einer Organisation gilt.

• Um auf einen Tresor in einem anderen AWS-Konto in derselben Organisation zu verweisen,verwenden Sie die tatsächliche Konto-ID-Nummer im ARN.

Important

• Wenn dieser Schlüssel fehlt, wird eine Version des ARN in Kleinbuchstabenim übergeordneten Schlüsselnamen verwendet. Da ARNs zwischen Groß- undKleinschreibung unterscheidet, stimmt diese Zeichenfolge möglicherweise nicht mitdem tatsächlichen ARN des Fehlers überein und der Plan schlägt fehl. Aus diesemGrund empfehlen wir Ihnen, diesen Schlüssel und Wert immer anzugeben.

• Der Sicherungstresor, in den Sie die Sicherung kopieren möchten, muss bereitsvorhanden sein, wenn Sie den Sicherungsplan zum ersten Mal starten. Wirempfehlen, dass Sie AWS CloudFormation-Stack-Sets und deren Integration mitOrganisationen verwenden, um automatisch Sicherungstresore und IAM-Rollen fürjedes Mitgliedskonto in der Organisation zu erstellen und zu konfigurieren. Weitere

154


Informationen finden Sie unter Erstellen eines Stack-Sets mit selbstverwaltetenBerechtigungen im AWS CloudFormation Benutzerhandbuch.

• lifecycle – Dieser Richtlinienschlüssel wird dem Schlüssel Lifecycle unter dem SchlüsselCopyAction in einem AWS Backup-Plan zugeordnet.

(Optional) Gibt an, wann AWS Backup diese Kopie einer Sicherung in den Cold Storage überträgtund wann sie abläuft.• move_to_cold_storage_after_days – Dieser Richtlinienschlüssel wird dem SchlüsselMoveToColdStorageAfterDays in einem AWS Backup-Plan zugeordnet.

Gibt an, wie viele Tage nach der Sicherung AWS Backup den Wiederherstellungspunkt inden Cold Storage verschiebt. Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Wert mit einer ganzzahligen Angabe der Tage.

• delete_after_days – Dieser Richtlinienschlüssel wird dem Schlüssel DeleteAfterDays ineinem AWS Backup-Plan zugeordnet.

Gibt an, wie viele Tage nach der Sicherung AWS Backup den Wiederherstellungspunkt löscht.Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Wertmit einer ganzzahligen Angabe der Tage. Wenn Sie eine Sicherung in den Cold Storageübertragen, muss sie dort mindestens 90 Tage bleiben. Dieser Wert muss also mindestens um90 Tage höher als der Wert für move_to_cold_storage_after_days sein.

• recovery_point_tags – Dieser Richtlinienschlüssel wird dem Schlüssel RecoveryPointTags ineinem AWS Backup-Plan zugeordnet.

(Optional) Gibt Tags an, die AWS Backup an jede Sicherung anfügt, die aus diesem Plan erstellt wird.Der Wert dieses Schlüssels enthält eines oder mehrere der folgenden Elemente:• Einen Bezeichner für dieses Schlüsselname-Wert-Paar. Dieser Name für jedes Element unterrecovery_point_tags ist der Tag-Schlüsselname in Kleinbuchstaben, auch wenn tag_keyeine andere Groß-/Kleinschreibung hat. Bei diesem Bezeichner wird nicht zwischen Groß- undKleinschreibung unterschieden. Im vorherigen Beispiel wurde dieses Schlüsselpaar durch denNamen Owner identifiziert. Jedes Schlüsselpaar enthält die folgenden Elemente:• tag_key – Gibt den Tag-Schlüsselnamen an, der dem Sicherungsplan angefügt werden

soll. Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einenZeichenfolgewert. Bei dem Wert ist die Groß- und Kleinschreibung zu beachten.

• tag_value – Gibt den Wert an, der dem Sicherungsplan angefügt und dem tag_key zugeordnetist. Dieser Schlüssel enthält einen der Vererbungswert-Operatoren (p. 84) und einen odermehrere Werte, die in der effektiven Richtlinie ersetzt, angehängt oder entfernt werden sollen. Beiden Werten muss die Groß- und Kleinschreibung beachtet werden.

• regions

Der regions-Richtlinienschlüssel gibt an, in welchen AWS-Regionen AWS Backup nach Ressourcensucht, die den Bedingungen im selections-Schlüssel entsprechen. Dieser Schlüssel enthält einender Vererbungswert-Operatoren (p. 84) und einen oder mehrere Zeichenfolgenwerte für AWS-Regionscodes, z. B.: ["us-east-1", "eu-north-1"]:

• selections

Der Richtlinienschlüssel selections gibt die Ressourcen an, die durch die Planregeln in dieserRichtlinie gesichert werden. Dieser Schlüssel entspricht ungefähr dem BackupSelection-Objekt in AWSBackup. Die Ressourcen werden durch eine Abfrage nach übereinstimmenden Tag-Schlüsselnamen und-werten angegeben. Der Schlüssel selections enthält einen darunterliegenden Schlüssel – tags.• tags – Gibt die Tags zur Identifizierung der Ressourcen und die IAM-Rolle an, die über die

Berechtigung zum Abfragen und Sichern der Ressourcen verfügt. Der Wert dieses Schlüssels enthälteines oder mehrere der folgenden Elemente:• Ein Bezeichner für dieses Tag-Element. Dieser Bezeichner unter tags ist der Tag-Schlüsselname

in Kleinbuchstaben, auch wenn das abzufragende Tag eine andere Groß-/Kleinschreibung hat. Bei155



https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BackupSelection.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BackupSelection.html


diesem Bezeichner wird nicht zwischen Groß- und Kleinschreibung unterschieden. Im vorherigenBeispiel wurde ein Element durch den Namen My_Backup_Assignment identifiziert. Jede Kennungunter tags enthält die folgenden Elemente:• iam_role_arn – Gibt die IAM-Rolle an, die berechtigt ist, auf die durch die Tag-Abfrage

identifizierten Ressourcen in den durch den AWS-Schlüssel angegebenen regions-Regionenzuzugreifen. Dieser Wert enthält den @@assign-Vererbungswert-Operator (p. 84) und einenZeichenfolgewert, der den ARN der Rolle enthält. AWS Backup verwendet diese Rolle, um dieRessourcen abzufragen und zu ermitteln und die Sicherung durchzuführen.

Anstelle der Konto-ID-Nummer können Sie die $account-Variable im ARN verwenden. Wennder Sicherungsplan von AWS Backup ausgeführt wird, wird die Variable automatisch durch dietatsächliche Konto-ID-Nummer des AWS-Kontos ersetzt, in dem die Richtlinie ausgeführt wird.

Important

Die Rolle muss bereits vorhanden sein, wenn Sie den Sicherungsplan zum erstenMal starten. Wir empfehlen, dass Sie AWS CloudFormation-Stack-Sets und derenIntegration mit Organisationen verwenden, um automatisch Sicherungstresore und IAM-Rollen für jedes Mitgliedskonto in der Organisation zu erstellen und zu konfigurieren.Weitere Informationen finden Sie unter Erstellen eines Stack-Sets mit selbstverwaltetenBerechtigungen im AWS CloudFormation Benutzerhandbuch.

• tag_key – Gibt den Tag-Schlüsselnamen an, nach dem gesucht werden soll. Dieser Schlüsselenthält den @@assign-Vererbungswert-Operator (p. 84) und einen Zeichenfolgewert. Bei demWert ist die Groß- und Kleinschreibung zu beachten.

• tag_value – Gibt den Wert an, der einem Schlüsselnamen zugeordnet werden muss, dermit tag_key übereinstimmt. AWS Backup enthält die Ressource nur dann in der Sicherung,wenn tag_key und tag_value übereinstimmen. Dieser Schlüssel enthält alle Vererbungswert-Operatoren (p. 84) sowie einen oder mehrere Werte, die in der effektiven Richtlinie ersetzt,angehängt oder entfernt werden sollen. Bei den Werten muss die Groß- und Kleinschreibungbeachtet werden.

• advanced_backup_settings – Gibt Einstellungen für bestimmte Sicherungsszenarien an. DieserSchlüssel enthält eine oder mehrere Einstellungen. Jede Einstellung ist eine JSON-Objektzeichenfolgemit den folgenden Elementen:• Objektschlüsselname – Eine Zeichenfolge, die den Typ der Ressource angibt, für die die folgenden

erweiterten Einstellungen gelten.• Objektwert – Eine JSON-Objektzeichenfolge, die eine oder mehrere für den zugeordneten

Ressourcentyp spezifische Sicherungseinstellungen enthält.

Derzeit aktiviert die einzige unterstützte erweiterte Sicherungseinstellung Microsoft Volume ShadowCopy Service (VSS)-Sicherungen für Windows oder SQL Server, die auf einer Amazon EC2-Instanceausgeführt werden. Der Schlüsselname muss der "ec2"-Ressourcentyp sein und der Wert gibt an, dassder "WindowsVSS"-Support für Sicherungen, die auf diesen enabled-Instances durchgeführt werden,entweder disabled oder Amazon EC2 ist. Weitere Informationen zu dieser Funktion finden Sie unterErstellen einer VSS-fähigen Windows-Sicherung im AWS Backup-Entwicklerhandbuch.

"advanced_backup_settings": { "ec2": { "WindowsVSS": { "@@assign": "enabled" } }}

• backup_plan_tags – Gibt Tags an, die dem Sicherungsplan selbst angefügt sind. Dies wirkt sich nichtauf die Tags aus, die in Regeln oder in der Auswahl angegeben sind.

156



https://docs.aws.amazon.com/aws-backup/latest/devguide/windows-backup.html


(Optional) Sie können Tags an Ihre Sicherungspläne anfügen. Der Wert dieses Schlüssels ist eineSammlung von Elementen.

Der Schlüsselname für jedes Element unter backup_plan_tags ist der Tag-Schlüsselname inKleinbuchstaben, auch wenn das abzufragende Tag eine andere Groß-/Kleinschreibung hat. Bei diesemBezeichner wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Wert für jeden dieserEinträge besteht aus den folgenden Schlüsseln:• tag_key – Gibt den Tag-Schlüsselnamen an, der dem Sicherungsplan angefügt werden soll. Dieser

Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einen Zeichenfolgewert. Beidiesem Wert ist die Groß- und Kleinschreibung zu beachten.

• tag_value – Gibt den Wert an, der dem Sicherungsplan angefügt und dem tag_key zugeordnetist. Dieser Schlüssel enthält den @@assign-Vererbungswert-Operator (p. 84) und einenZeichenfolgenwert. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten.

Beispiele für SicherungsrichtlinienDie folgenden Beispiel-Sicherungsrichtlinien dienen nur zu Informationszwecken. In einigen der folgendenBeispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.

Beispiel 1: Einem übergeordneten Knoten zugewiesene Richtlinie

Das folgende Beispiel zeigt eine Sicherungsrichtlinie, die einem der übergeordneten Knoten eines Kontoszugewiesen ist.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eineOrganisationseinheit angefügt werden, bei der es sich um eine übergeordnete Organisationseinheit allerbetreffenden Konten handelt.

{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox"

157


}, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "WindowsVSS": { "@@assign": "enabled" } } } } }}

Wenn keine anderen Richtlinien geerbt oder an die Konten anfügt sind, sieht die effektive Richtlinie,die in jedem entsprechenden AWS Konto angezeigt wird, wie im folgenden Beispiel aus. Der CRON

158


Ausdruck bewirkt, dass die Sicherung einmal pro Stunde zur vollen Stunde ausgeführt wird. Die Konto-ID123456789012 ist die tatsächliche Konto-ID für jedes Konto.

{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "to_delete_after_days": "28", "move_to_cold_storage_after_days": "180" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "to_delete_after_days": "28", "move_to_cold_storage_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "WindowsVSS": "enabled" } } } }}

159


Beispiel 2: Eine übergeordnete Richtlinie wird mit einer untergeordneten Richtliniezusammengeführt.

Im folgenden Beispiel werden eine geerbte übergeordnete Richtlinie und eine untergeordnete Richtlinie, dieentweder geerbt oder direkt an ein AWS-Konto angefügt ist, zusammengeführt, um die effektive Richtliniezu bilden.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordneteOrganisationseinheit angefügt werden.

{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "to_delete_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "to_delete_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } }}

Untergeordnete Richtlinie – Diese Richtlinie kann direkt an das Konto oder an eine Organisationseinheit aufeiner Ebene unterhalb der Organisationseinheit, an die die übergeordnete Richtlinie angefügt ist, angefügtwerden.

{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": {

160


"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "to_delete_after_days": { "@@assign": "365" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "to_delete_after_days": { "@@assign": "365" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } }}

Resultierende effektive Richtlinie – Die effektive Richtlinie, die auf die Konten angewendet wird, enthältzwei Pläne mit jeweils eigenen Regeln und Ressourcen, auf die die Regeln angewendet werden sollen.

{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } }

161


}, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "to_delete_after_days": "365", "move_to_cold_storage_after_days": "30" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "to_delete_after_days": "365" } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } }}

Beispiel 3: Eine übergeordnete Richtlinie verhindert Änderungen durch eineuntergeordnete Richtlinie

Im folgenden Beispiel verwendet eine geerbte übergeordnete Richtlinie die untergeordnetenSteuerungsoperatoren (p. 84), um alle Einstellungen zu erzwingen, und verhindert, dass diese durcheine untergeordnete Richtlinie geändert oder überschrieben werden.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder aneine übergeordnete Organisationseinheit angefügt werden. Das Vorhandensein von"@@operators_allowed_for_child_policies": ["@@none"] an jedem Knoten der Richtliniebedeutet, dass eine untergeordnete Richtlinie keine Änderungen an dem Plan vornehmen kann. Auchkann eine untergeordnete Richtlinie der effektiven Richtlinie keine zusätzlichen Pläne hinzufügen.

162


Diese Richtlinie wird zur effektiven Richtlinie für jede Organisationseinheit und jedes Konto unter derOrganisationseinheit, an die sie angefügt ist.

{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "to_delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "to_delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" } } } }

163


} }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "WindowsVSS": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } }}

Resultierende effektive Richtlinie – Wenn untergeordnete Sicherungsrichtlinien vorhanden sind, werdendiese ignoriert und die übergeordnete Richtlinie wird zur effektiven Richtlinie.

{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": {

164


"move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"WindowsVSS": "enabled"} } } }}

Beispiel 4: Eine übergeordnete Richtlinie verhindert Änderungen an einemSicherungsplan durch eine untergeordnete Richtlinie.Im folgenden Beispiel verwendet eine geerbte übergeordnete Richtlinie die untergeordnetenSteuerungsoperatoren (p. 84), um die Einstellungen für einen einzelnen Plan zu erzwingen, undverhindert, dass diese durch eine untergeordnete Richtlinie geändert oder überschrieben werden. Dieuntergeordnete Richtlinie kann weiterhin zusätzliche Pläne hinzufügen.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordneteOrganisationseinheit angefügt werden. Dieses Beispiel ähnelt dem vorherigen Beispiel, in dem alleuntergeordneten Vererbungsoperatoren blockiert wurden, außer auf der obersten Ebene plans. Mit derEinstellung @@append auf dieser Ebene können untergeordnete Richtlinien der Sammlung in der effektivenRichtlinie weitere Pläne hinzufügen. Alle Änderungen an dem geerbten Plan werden weiterhin blockiert.

Die Abschnitte in dem Plan sind aus Gründen der Übersichtlichkeit abgeschnitten.

{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } }}

Untergeordnete Richtlinie – Diese Richtlinie kann direkt an das Konto oder an eine Organisationseinheit aufeiner Ebene unterhalb der Organisationseinheit, an die die übergeordnete Richtlinie angefügt ist, angefügtwerden. Diese untergeordnete Richtlinie definiert einen neuen Plan.

Die Abschnitte in dem Plan sind aus Gründen der Übersichtlichkeit abgeschnitten.

{ "plans": {

165


"MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } }}

Resultierende effektive Richtlinie – Die effektive Richtlinie enthält beide Pläne.

{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } }}

Beispiel 5: Eine untergeordnete Richtlinie überschreibt Einstellungen in einerübergeordneten RichtlinieIm folgenden Beispiel verwendet eine untergeordnete Richtlinie wertbestimmende Operatoren (p. 84),um einige der Einstellungen zu überschreiben, die von einer übergeordneten Richtlinie geerbt wurden.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordneteOrganisationseinheit angefügt werden. Jede der Einstellungen kann von einer untergeordneten Richtlinieüberschrieben werden, da das Standardverhalten, falls kein untergeordneter Steuerungsoperator (p. 84)vorhanden ist, der dies verhindert, darin besteht, der untergeordneten Richtlinie zu erlauben, @@assign,@@append oder @@remove zuzulassen. Die übergeordnete Richtlinie enthält alle erforderlichen Elementefür einen gültigen Sicherungsplan, sodass Ihre Ressourcen erfolgreich gesichert werden, wenn sieunverändert geerbt werden.

{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "to_delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"},

166


"lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "to_delete_after_days": {"@@assign": "180"} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } }}

Untergeordnete Richtlinie – Die untergeordnete Richtlinie enthält nur die Einstellungen, die von dergeerbten übergeordneten Richtlinie abweichen müssen. Es muss eine geerbte übergeordnete Richtlinievorhanden sein, die die anderen erforderlichen Einstellungen bereitstellt, wenn eine Zusammenführungzu einer effektiven Richtlinie erfolgt. Andernfalls enthält die effektive Sicherungsrichtlinie einenSicherungsplan, der nicht gültig ist und Ihre Ressourcen nicht wie erwartet sichert.

{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "to_delete_after_days": {"@@assign": "365"} } } } } }}

Resultierende effektive Richtlinie – Die effektive Richtlinie enthält Einstellungen aus beiden Richtlinien,wobei die Einstellungen, die von der untergeordneten Richtlinie bereitgestellt werden, die Einstellungenüberschreiben, die von der übergeordneten Richtlinie geerbt werden. In diesem Beispiel kommt es zufolgenden Änderungen:

167


• Die Liste der Regionen wird durch eine völlig andere Liste ersetzt. Wenn Sie der geerbten Liste eineRegion hinzufügen möchten, verwenden Sie @@append anstelle von @@assign in der untergeordnetenRichtlinie.

• AWS Backup wird jede zweite Stunde statt stündlich ausgeführt.• AWS Backup wartet 80 Minuten, bis die Sicherung beginnt, statt 60 Minuten.• AWS Backup verwendet den Default-Tresor anstelle von FortKnox.• Der Lebenszyklus wird sowohl für die Übertragung in den Cold Storage als auch für die letztendliche

Löschung der Sicherung verlängert.

{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "to_delete_after_days": "365", "move_to_cold_storage_after_days": "30" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } }}

168

AWS Organizations BenutzerhandbuchVerwenden von Sicherungsrichtlinien in der AWS CLI

Verwenden von Sicherungsrichtlinien in der AWS CLIAktivieren von Sicherungsrichtlinien für Ihre OrganisationDie Verwendung von Sicherungsrichtlinien muss nur einmal aktiviert werden. Sie aktivierenSicherungsrichtlinien für die Organisation und auch für den Organisationsstamm, selbst wenn SieSicherungsrichtlinien nur an einzelne Konten anfügen möchten.

So aktivieren Sie Sicherungsrichtlinien

1. Suchen Sie die ID des Stamms für Ihre Organisation, damit Sie angeben können, wo derSicherungsrichtlinientyp aktiviert werden soll. Um die Stamm-ID zu finden, führen Sie bei einerEingabeaufforderung Folgendes aus: Sie sehen hier eine Beispielausgabe.

$ aws organizations list-roots{ "Roots": [ { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [ { "Type": "SERVICE_CONTROL_POLICY", "Status": "ENABLED" }, { "Type": "BACKUP_POLICY", "Status": "ENABLED" } ] } ]}

In diesem Beispiel ist r-examplerootid111 die Stamm-ID der Organisation. Im nächsten Schrittverwenden Sie die Stamm-ID Ihrer eigenen Organisation.

2. Führen Sie die folgenden Schritte aus, um Sicherungsrichtlinien für den angegebenen Root in IhrerOrganisation zu aktivieren.

$ aws organizations enable-policy-type \ --policy-type BACKUP_POLICY \ --root-id r-examplerootid111{ "Root": { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [ { "Type": "SERVICE_CONTROL_POLICY", "Status": "ENABLED" }, { "Type": "TAG_POLICY", "Status": "ENABLED" }, {

169


"Type": "BACKUP_POLICY", "Status": "ENABLED" } ] }}

Dieser Befehl aktiviert Sicherungsrichtlinien für die Organisation mit der Stamm-ID r-examplerootid111.

Erstellen einer SicherungsrichtlinieNachdem Sie Sicherungsrichtlinien aktiviert haben, können Sie Ihre erste Richtlinie dieses Typs erstellen.

Zum Erstellen einer Sicherungsrichtlinie können Sie jeden beliebigen einfachen Texteditor verwenden.Verwenden Sie die JSON-Syntax und speichern Sie die Richtlinie als Datei mit einem beliebigen Namenund einer beliebigen Erweiterung an einem Speicherort Ihrer Wahl. Sicherungsrichtlinien können maximal2.500 Zeichen umfassen, einschließlich Leerzeichen.

Erstellen Sie wie folgt eine Sicherungsrichtlinie:

1. Erstellen Sie eine Sicherungsrichtlinie wie die folgende und speichern Sie sie in einer Textdatei.

{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } }

170


}

Diese Sicherungsrichtlinie gibt an, dass AWS Backup alle Ressourcen in den betroffenen AWS-Kontensichern soll, die sich in den angegebenen AWS-Regionen befinden und das Tag dataType mit demWert PII aufweisen.

2. Importieren Sie die JSON-Richtliniendatei, um ein neues Richtlinienobjekt in der Organisation zuerstellen. Notieren Sie die Richtlinien-ID am Ende des Amazon-Ressourcennamens (ARN) derRichtlinie in der Ausgabe.

$ aws organizations create-policy \ --name "MyTestPolicy" \ --type BACKUP_POLICY \ --description "My test policy" \ --content file://policy.json{ "Policy": { "PolicySummary": { "Arn": "arn:aws:organizations::o-exampleorgid:policy/ai_opt_out_policy/p-examplepolicyid123", "Description": "My test policy", "Name": "MyTestPolicy", "Type": "AI_OPT_OUT_POLICY" } "Content": "...a condensed version of the JSON policy document you provided in the file...", }}

Anfügen der Sicherungsrichtlinie an ein Stammverzeichnis, eineOrganisationseinheit oder ein KontoNachdem Sie eine Sicherungsrichtlinie erstellt haben, können Sie sie an den Organisationsstamm, eineOrganisationseinheit (OU) oder ein einzelnes Konto anfügen. Das Anfügen einer Sicherungsrichtliniean den Organisationsstamm wirkt sich auf alle Mitgliedskonten Ihrer Organisation aus. Wenn Sie eineSicherungsrichtlinie einem einzelnen Konto anfügen, unterliegt nur dieses Konto dieser Richtlinie. DasKonto unterliegt weiterhin allen Sicherungsrichtlinien, die an den Organisationsstamm oder an eine OUsangehängt sind, in der das Konto enthalten ist.

Das folgende Verfahren veranschaulicht, wie Sie die gerade erstellte Sicherungsrichtlinie an ein einzelnesTestkonto anfügen.

• Fügen Sie die Sicherungsrichtlinie an Ihr Testkonto an, indem Sie einen Befehl wie im folgendenBeispiel ausführen. Die Richtlinien-ID stammt aus der Ausgabe im vorherigen Schritt.

$ aws organizations attach-policy \ --target-id 123456789012 \ --policy-id p-examplepolicyid123

Bestimmung der effektiven Sicherungsrichtlinie für ein KontoUm herauszufinden, welche Sicherungsrichtlinien für ein Konto gelten, führen Sie den folgenden Befehl vondem betreffenden Konto aus. Vom Managementkonto (früher als "Masterkonto" bezeichnet) aus könnenSie den Parameter --target-id verwenden, um die effektive Richtlinie eines beliebigen Mitgliedskontosabzurufen. Wenn Sie bei einem Mitgliedskonto angemeldet sind, können Sie den Befehl ohne den

171

AWS Organizations BenutzerhandbuchTag-Richtlinien

Parameter --target-id verwenden, um die effektive Richtlinie des AWS-Kontos abzurufen, bei dem Sieangemeldet sind.

Die Ausgabe zeigt die zusammengeführte Kombination aller Sicherungsrichtlinien an, die für dasangegebene AWS-Konto gelten: direkt an das Konto angehängt, an den Organisationsstamm angehängtoder an eine oder mehrere der OUs, in denen sich das Konto befindet.

Das Element PolicyContent in der folgenden Beispielausgabe wird aus Gründen der Übersichtlichkeitmit Zeilenumbruch angezeigt. In der tatsächlichen Ausgabe wird das Element als einzelne Textzeiledargestellt.

$ aws organizations describe-effective-policy \--policy-type BACKUP_POLICY \--target-id 123456789012{ "EffectivePolicy": { "LastUpdatedTimestamp": "2020-06-22T14:31:50.748000-07:00", "TargetId": "123456789012", "PolicyType": "BACKUP_POLICY", "PolicyContent": "{\"plans\":{\"pii_backup_plan\":{\"regions\":[\"ap-northeast-2\",\"us-east-1\",\"eu-north-1\"],\"selections\":{\"tags\":{\"datatype\":{\"iam_role_arn\":\"arn:aws:iam::$account:role/MyIamRole\",\"tag_value\":[\"PII\"],\"tag_key\":\"dataType\"}}},\"rules\":{\"hourly\":{\"complete_backup_window_minutes\":\"10080\",\"target_backup_vault_name\":\"FortKnox\",\"start_backup_window_minutes\":\"480\",\"schedule_expression\":\"cron(0 5/1 ? * * *)\",\"lifecycle\":{\"move_to_cold_storage_after_days\":\"180\",\"delete_after_days\":\"270\"},\"copy_actions\":{\"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault\":{\"lifecycle\":{\"move_to_cold_storage_after_days\":\"10\",\"delete_after_days\":\"100\"}}}}}}}}" }}

Tag-RichtlinienInformationen und Verfahren, die für alle Richtlinientypen gelten, finden Sie in den folgenden Themen:


Sie können mit Tag-Richtlinien eine konsistente Tag-Verwaltung sicherstellen, auch in Bezug auf diebevorzugte Fallbehandlung von Tag-Schlüsseln und Tag-Werten.

Was sind Tags?Tags sind benutzerdefinierte Attributbezeichnungen, die Sie oder AWS einer AWS-Ressource zuweisen.Jedes -Tag besteht aus zwei Teilen:

• einem Tag-Schlüssel (z. B. CostCenter, Environment oder Project). Tag-Schlüsseln unterscheidenzwischen Groß- und Kleinschreibung.

• einem optionalen Feld, dem sogenannten Tag-Wert (z. B. 111122223333 oder Production). Ein nichtangegebener Tag-Wert entspricht einer leeren Zeichenfolge. Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß-/Kleinschreibung unterschieden.

172

AWS Organizations BenutzerhandbuchWas sind Tag-Richtlinien?

Auf dem Rest dieser Seite werden Tag-Richtlinien beschrieben. Weitere Informationen zu Tags finden Siein den folgenden Quellen:

• Allgemeine Informationen zum Taggen, darunter zu Namens- und Verwendungskonventionen, finden Sieunter Taggen von AWS-Ressourcen im AWS General Reference.

• Eine Liste der Services, die die Verwendung von Tags unterstützen, finden Sie in der Resource GroupsTagging API-Referenz.

• Weitere Informationen zum Taggen von Organisationen-Ressourcen finden Sie unter Markieren vonAWS Organizations-Ressourcen (p. 205).

• Informationen zum Taggen von Ressourcen in anderen AWS-Services finden Sie in der Dokumentationzu den jeweiligen Services.

• Informationen zur Verwendung von Tags zum Kategorisieren von Ressourcen finden Sie im Thema zuAWS-Tagging-Strategien.

Was sind Tag-Richtlinien?Tag-Richtlinien sind eine Richtlinienart, mit der Sie Tags für alle Ressourcen in den Konten IhrerOrganisation standardisieren können. In einer Tag-Richtlinie geben Sie Tagging-Regeln für mit Tagsversehene Ressourcen an.

In einer Tag-Richtlinie kann beispielsweise angeben werden, dass eine Ressource, an die das TagCostCenter angehängt ist, die in der Tag-Richtlinie definierte Fallbehandlung und die dort definiertenTag-Werte verwenden muss. Ferner kann in einer Tag-Richtlinie angegeben werden, dass für bestimmteRessourcentypen nicht regelkonforme Tagging-Vorgänge erzwungen werden. Mit anderen Worten: Es wirdverhindert, dass für bestimmte Ressourcentypen nicht regelkonforme Tagging-Anforderungen durchgeführtwerden. Mit Tags versehene Ressourcen oder Tags, die nicht in der Tag-Richtlinie definiert wurden,werden nicht auf Übereinstimmung mit der Tag-Richtlinie ausgewertet.

Die Verwendung von Tag-Richtlinien beinhaltet die Arbeit mit mehreren AWS-Services:

• Verwenden Sie AWS Organizations zum Verwalten von Tag-Richtlinien. Wenn Sie am Managementkontoder Organisation angemeldet sind (früher als „Masterkonto“ bezeichnet), verwenden Sie Organisationen,um die Tag-Richtlinienfunktion zu aktivieren. Sie müssen sich im Managementkonto der Organisation alsIAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).Anschließend können Sie Tag-Richtlinien erstellen und sie an die Entitäten der Organisation anfügen,damit die Tagging-Regeln wirksam werden.

• Verwenden Sie AWS-Ressourcengruppen, um die Einhaltung der Tag-Richtlinien zu verwalten. WennSie sich bei einem Konto in Ihrer Organisation angemeldet haben, können Sie mit Ressourcengruppennicht regelkonforme Tags in Ressourcen im Konto suchen. Sie können die nicht regelkonformen Tags indem AWS-Service korrigieren, in dem Sie die Ressource erstellt haben.

Wenn Sie sich beim Managementkonto in Ihrer Organisation anmelden, können Sie die Compliance-Informationen für alle Konten Ihrer Organisation anzeigen.

Tag-Richtlinien stehen nur in Organisationen zur Verfügung, in der alle Funktionen aktiviert sind (p. 36).Weitere Informationen zur Verwendung von Tag-Richtlinien finden Sie unter Voraussetzungen undBerechtigungen zum Verwalten von Tag-Richtlinien (p. 174).

Important

Wenn Sie noch nicht mit der Verwendung von Tag-Richtlinien vertraut sind, empfiehlt AWS,die unter Erste Schritte mit Tag-Richtlinien (p. 176) beschriebenen Beispielworkflows zubefolgen; erst danach sollten Sie sich mit fortgeschritteneren Tag-Richtlinien beschäftigen.Sie sollten sich zunächst damit vertraut machen, welche Auswirkungen das Anfügen einereinfachen Tag-Richtlinie an ein einzelnes Konto hat, bevor Sie Tag-Richtlinien auf eine gesamteOrganisationseinheit oder Organisation anwenden. Es ist sehr wichtig, dass Sie die Auswirkungen

173

https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/Welcome.html

https://aws.amazon.com/answers/account-management/aws-tagging-strategies/


AWS Organizations BenutzerhandbuchVoraussetzungen und Berechtigungen

einer Tag-Richtlinie verstehen, bevor Sie ihre Umsetzung erzwingen. Die Tabellen auf der SeiteErste Schritte mit Tag-Richtlinien (p. 176) enthalten außerdem Links zu Anweisungen fürerweiterte richtlinienbezogene Aufgaben.

Voraussetzungen und Berechtigungen zum Verwaltenvon Tag-RichtlinienAuf dieser Seite werden die Voraussetzungen und erforderlichen Berechtigungen zur Verwaltung von Tag-Richtlinien in AWS Organizations beschrieben.

Themen• Voraussetzungen zur Verwaltung von Tag-Richtlinien (p. 174)• Berechtigungen zur Verwaltung von Tag-Richtlinien (p. 174)

Voraussetzungen zur Verwaltung von Tag-RichtlinienDie Verwendung von Tag-Richtlinien erfordert Folgendes:

• Für Ihre Organisation müssen alle Funktionen aktiviert sein (p. 36).• Sie müssen im Managementkonto Ihrer Organisation angemeldet sein (früher als „Masterkonto“

bezeichnet).• Sie benötigen die in Berechtigungen zur Verwaltung von Tag-Richtlinien (p. 174) aufgeführten

Berechtigungen.

Um die Compliance mit Tag-Richtlinien zu evaluieren, verwenden Sie AWS-Ressourcengruppen.Informationen zu den Anforderungen zur Evaluierung der Compliance finden Sie unter Voraussetzungenund Berechtigungen im AWS-Ressourcengruppen Benutzerhandbuch.

Berechtigungen zur Verwaltung von Tag-RichtlinienDie folgende IAM-Beispielrichtlinie enthält Berechtigungen zur Verwaltung von Tag-Richtlinien.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageTagPolicies", "Effect": "Allow", "Action": [ "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:DescribeEffectivePolicy", "organizations:DescribePolicy", "organizations:ListRoots", "organizations:DisableAWSServiceAccess", "organizations:DetachPolicy", "organizations:DeletePolicy", "organizations:DescribeAccount", "organizations:DisablePolicyType", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListPolicies", "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:EnableAWSServiceAccess", "organizations:ListCreateAccountStatus", "organizations:DescribeOrganization",

174

https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-prereqs.html

https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-prereqs.html


"organizations:UpdatePolicy", "organizations:EnablePolicyType", "organizations:DescribeOrganizationalUnit", "organizations:AttachPolicy", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:CreatePolicy", "organizations:DescribeCreateAccountStatus" ], "Resource": "*" } ]}

Weitere Informationen zu IAM-Richtlinien und Berechtigungen finden Sie im IAM-Benutzerhandbuch.

Bewährte Methoden zur Verwendung von Tag-RichtlinienAWS empfiehlt die folgenden bewährten Methoden für die Verwendung von Tag-Richtlinien.

Entscheiden Sie sich für eine Strategie bei der Tag-GroßschreibungLegen Sie die gewünschte Großschreibung von Tags und implementieren Sie diese Strategie überalle Ressourcentypen hinweg. Entscheiden Sie sich beispielsweise für Costcenter, costcenteroder CostCenter und verwenden Sie diese Konvention für alle Tags. Um konsistente Ergebnissein Compliance-Berichten zu erhalten, sollten Sie die Verwendung ähnlicher Tags mit inkonsistenterFallbehandlung vermeiden. Diese Strategie hilft Ihnen bei der Definition von Tag-Richtlinien für IhreOrganisation.

Verwenden des empfohlenen WorkflowsFangen Sie klein an, indem Sie eine einfache Tag-Richtlinie erstellen. Fügen Sie diese dann einemMitgliedskonto hinzu, das Sie für Testzwecke verwenden können. Verwenden Sie die unter Erste Schrittemit Tag-Richtlinien (p. 176) beschriebenen Workflows.

Bestimmen von Tagging-RegelnDies hängt von den Anforderungen Ihrer Organisation ab. Sie möchten beispielsweise festlegen, dassein ein CostCenter-Tag, der AWS Secrets Manager-Geheimnissen zugeordnet ist, die angegebeneFallbehandlung verwenden muss. Erstellen Sie Tag-Richtlinien, die konforme Tags definieren, und fügenSie diese Organisations-Entitäten hinzu, in denen diese Tagging-Regeln wirksam werden sollen.

Schulung von KontoadministratorenWenn Sie bereit sind, die Verwendung von Tag-Richtlinien auszuweiten, informieren SieKontoadministratoren wie folgt:

• Kommunizieren Sie Ihre Tagging-Strategie.• Betonen Sie, dass Administratoren Tags für bestimmte Ressourcentypen verwenden müssen.

Dies ist wichtig, da nicht getaggte Ressourcen in den Compliance-Ergebnissen nicht als „nicht konform“angezeigt werden.

• Geben Sie Hilfestellung bei der Überprüfung von Compliance mit Tag-Richtlinien. Weisen SieAdministratoren an, nicht konforme Tags für Ressourcen in ihrem Konto zu finden und zu korrigieren,

175



indem Sie das Verfahren in Evaluieren der Compliance für ein Konto im AWS-RessourcengruppenBenutzerhandbuch verwenden. Teilen Sie ihnen mit, wie oft Sie möchten, dass sie auf Complianceüberprüfen.

Gehen Sie bei der Durchsetzung der Compliance mit Bedachtvor.Das Erzwingen von Compliance könnte verhindern, dass Benutzer in den Konten Ihrer Organisationdie benötigten Ressourcen kennzeichnen. Lesen Sie die Informationen in Grundlegendes zurDurchsetzung (p. 188). Beachten Sie auch die in Erste Schritte mit Tag-Richtlinien (p. 176)beschriebenen Workflows.

Erwägen Sie, einen SCP zu erstellen, um Guardrails umRessourcenerstellungsanforderungen zu setzenRessourcen, denen noch nie Tags zugewiesen wurden, werden in Berichten nicht als nicht konformangezeigt. Kontoadministratoren können weiterhin nicht getaggte Ressourcen erstellen. In einigen Fällenkönnen Sie eine Service-Kontrollrichtlinie (Service Control Policy, SCP) verwenden, um Anforderungenbei der Ressourcenerstellung einzugrenzen. Ein Beispiel für SCP finden Sie unter Beispiel: Erforderneines Tags für angegebene erstellte Ressourcen (p. 122). Informationen darüber, ob ein AWS-Servicedie Steuerung des Zugriffs mithilfe von Tags unterstützt, finden Sie unter AWS-Services, die mit IAMfunktionieren im IAM-Benutzerhandbuch. Suchen Sie nach den Services mit Ja in der Spalte Autorisierungbasierend auf Tags. Wählen Sie den Namen des Service, um die Dokumentation zur Autorisierung undZugriffssteuerung für diesen Service anzuzeigen.

Erste Schritte mit Tag-RichtlinienDie Verwendung von Tag-Richtlinien beinhaltet die Arbeit mit mehreren AWS-Services. Lesen Sie diefolgenden Seiten, um zu beginnen. Folgen Sie anschließend den Workflows auf dieser Seite, um sich mitTag-Richtlinien und deren Auswirkungen vertraut zu machen.

• Voraussetzungen und Berechtigungen zum Verwalten von Tag-Richtlinien (p. 174)• Bewährte Methoden zur Verwendung von Tag-Richtlinien (p. 175)

Erstmalige Verwendung von Tag-RichtlinienFühren Sie diese Schritte aus, um zum ersten Mal Tag-Richtlinien zu verwenden.

Aufgabe Konto, bei dem Sie sichanmelden möchten

Zu verwendende AWS-Servicekonsole

Schritt 1: Aktivieren SieTag-Richtlinien für IhreOrganisation. (p. 74)

Das Managementkonto derOrganisation (früher als"Masterkonto" bezeichnet).¹

AWS Organizations

Schritt 2: Erstellen Sie eine Tag-Richtlinie. (p. 180)

Halten Sie Ihre erste Tag-Richtlinie einfach. Geben Sieeinen Tag-Schlüssel in derFallbehandlung ein, die Sieverwenden möchten, und lassen

Das Managementkonto derOrganisation.¹

AWS Organizations

176

https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-arg-finding-noncompliant-tags.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html




Aufgabe Konto, bei dem Sie sichanmelden möchten


Sie alle anderen Optionen inihren Standardeinstellungen.

Schritt 3: Fügen Sie eine Tag-Richtlinie an ein einzelnesMitgliedskonto an, das Siezum Testen verwendenkönnen. (p. 184)

Sie müssen sich im nächstenSchritt bei diesem Kontoanmelden.


AWS Organizations

Schritt 4: Erstellen Sie einigeRessourcen mit konformen Tagsund einige mit nicht konformenTags.

Das Mitgliedskonto, das Sie zuTestzwecken verwenden.

Jeder AWS Service, mit demSie sich wohl fühlen. Sie könnenbeispielsweise AWS SecretsManager verwenden und dasVerfahren unter Erstellung einesBasisgeheimnisses befolgen, umGeheimnisse mit konformen undnicht konformen Geheimnissenzu erstellen.

Schritt 5: Zeigen Sie die effektiveTag-Richtlinie an und bewertenSie den Compliance-Status desKontos.


Ressourcengruppen und demAWS Service, in dem dieRessource erstellt wurde.

Wenn Sie Ressourcen mitkonformen und nicht konformenTags erstellt haben, sollten dienicht kompatiblen Tags in denErgebnissen angezeigt werden.

Schritt 6: Wiederholen Sieden Prozess zum Suchen undBeheben von Compliance-Problemen, bis die Ressourcenim Testkonto mit Ihrer Tag-Richtlinie konform sind.



Sie können jederzeit die unternehmensweite Complianceevaluieren.


Ressourcengruppen

¹ Sie müssen sich im Managementkonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolleannehmen oder sich als Root-Benutzer anmelden (nicht empfohlen).

Wenn Sie AWS Command Line Interface verwenden, werden das vollständige Verfahren und die Beispielein Verwendung von Tag-Richtlinien im AWS CLI (p. 198) beschrieben.

Erweiterte Verwendung von Tag-RichtlinienFolgende Aufgaben können Sie in beliebiger Reihenfolge ausführen, um die Verwendung von Tag-Richtlinien zu erweitern.

177


https://console.aws.amazon.com/secretsmanager/


https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_create-basic-secret.html






https://console.aws.amazon.com/resource-groups/


https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-arg-evaluating-org-wide-compliance.html






Erweiterte Aufgabe Konto, bei dem Sie sichanmelden möchten


Erstellen Sie fortgeschritteneTag-Richtlinien (p. 180).

Befolgen Sie dasselbe Verfahrenwie bei Erstbenutzern, probierenSie jedoch andere Aufgaben aus.Definieren Sie beispielsweisezusätzliche Schlüssel oderWerte, oder geben Sie eineandere Fallbehandlung für einenTag-Schlüssel an.

Sie können die Informationenin Grundlegendes zurRichtlinienvererbung (p. 79)und Syntax für Tag-Richtlinien (p. 194) zumErstellen detaillierterer Tag-Richtlinien verwenden.


AWS Organizations

Fügen Sie zusätzlichen Kontenoder OUs Tag-Richtlinien hinzu. (p. 184)

Überprüfen Sie die effektive Tag-Richtlinie für ein Konto (p. 186),nachdem Sie dem Konto odereiner OU, in der das KontoMitglied ist, weitere Richtlinienhinzugefügt haben.


AWS Organizations

Erstellen Sie eine SCP zumFordern von Tags, wennjemand neue Ressourcenerstellt. Ein Beispiel finden Sieunter Beispiel: Erfordern einesTags für angegebene erstellteRessourcen (p. 122).


AWS Organizations

Fahren Sie mit der Auswertungdes Compliance-Status desKontos anhand der effektivenTag-Richtlinie fort, während essich ändert. Korrigieren Sie nichtkonforme Tags.

Ein Mitgliedskonto mit einereffektiven Tag-Richtlinie.


Evaluieren Sie dieunternehmensweite Compliance.


Ressourcengruppen


178
















Erstmalige Durchsetzung von Tag-RichtlinienWenn Sie Tag-Richtlinien zum ersten Mal durchsetzen, befolgen Sie einen Workflow, der der erstenVerwendung von Tag-Richtlinien ähnelt, und verwenden Sie ein Testkonto.

Warning

Gehen Sie bei der Durchsetzung der Compliance mit Bedacht vor. Stellen Sie sicher, dass Ihnendie Auswirkungen der Verwendung von Tag-Richtlinien geläufig sind und Sie den empfohlenenWorkflow befolgen. Probieren Sie die Durchsetzung auf einem Testkonto aus, bevor Sie sieauf weitere Konten ausweiten. Andernfalls verhindern Sie, dass Benutzer in den Konten IhrerOrganisation die benötigten Ressourcen kennzeichnen. Weitere Informationen finden Sie imGrundlegendes zur Durchsetzung (p. 188).

Aufgaben zur Durchsetzung Konto, bei dem Sie sichanmelden möchten


Schritt 1: Erstellen Sie eine Tag-Richtlinie. (p. 180)

Halten Sie Ihre erstedurchgesetzte Tag-Richtlinieeinfach. Geben Sie einen Tag-Schlüssel in der Fallbehandlungein, die Sie verwendenmöchten, und wählen Sie dieOption Prevent noncompliantoperations for this tag (Nichtkonforme Vorgänge für diesesTag verhindern) . GebenSie anschließend einenRessourcentyp an, um esdurchzusetzen. Wenn Sie mitunserem früheren Beispielfortfahren, können Sie es aufSecrets Manager-Geheimnissedurchsetzen.


AWS Organizations

Schritt 2: Fügen Sie einemeinzelnen Testkonto eine Tag-Richtlinie hinzu. (p. 184)


AWS Organizations

Schritt 3: Versuchen Sie, einigeRessourcen mit konformen Tagsund einige mit nicht konformenTags zu erstellen. Sie solltennicht berechtigt sein, ein Tagals Ressource des in der Tag-Richtlinie angegebenen Typs miteinem nicht konformen Tag zuerstellen.


Jeder AWS Service, mit demSie sich wohl fühlen. Sie könnenbeispielsweise AWS SecretsManager verwenden und dasVerfahren unter Erstellung einesBasisgeheimnisses befolgen, umGeheimnisse mit konformen undnicht konformen Geheimnissenzu erstellen.

Schritt 4: Evaluieren Sie denCompliance-Status des Kontosanhand der effektiven Tag-Richtlinie und korrigieren Sienicht konforme Tags.



179













Aufgaben zur Durchsetzung Konto, bei dem Sie sichanmelden möchten


Schritt 5: Wiederholen Sieden Prozess zum Suchen undBeheben von Compliance-Problemen, bis die Ressourcenim Testkonto mit Ihrer Tag-Richtlinie konform sind.



Sie können jederzeit die unternehmensweite Complianceevaluieren.


Ressourcengruppen


Erstellen, Aktualisieren und Löschen von Tag-RichtlinienNach der Aktivierung von Tag-Richtlinien für Ihre Organisation, können Sie eine Tag-Richtlinie erstellen.

Important

Ressourcen ohne Tags werden in den Ergebnisses nicht als nichtkonform angezeigt

Erstellen einer Tag-RichtlinieMindestberechtigungen

Zum Erstellen von Tag-Richtlinien benötigen Sie die Berechtigung zur Ausführung folgenderAktion:



So erstellen Sie eine Tag-Richtlinie


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Tag policies (Tag-Richtlinien).3. Wählen Sie auf der Seite Tag policies (Tag-Richtlinien) die Option Create policy (Richtlinie

erstellen).4. Geben Sie auf der Seite Create policy (Richtlinie erstellen) einen Namen und eine Beschreibung

für die Richtlinie ein.

Sie können die Tag-Richtlinie mithilfe des Visual Editors (Visuellen Editors) erstellen, wie indiesem Verfahren beschrieben. Sie können eine Tag-Richtlinie auch auf der Registerkarte JSONeingeben oder einfügen. Weitere Informationen zur Syntax von Tag-Richtlinien finden Sie unterSyntax für Tag-Richtlinien (p. 194).

5. (Optional) Sie können dem Richtlinienobjekt selbst ein oder mehrere Tags hinzufügen. Diese Tagssind nicht Teil der Richtlinie. Wählen Sie dazu Add tag (Tag hinzufügen) und geben Sie danneinen Schlüssel und einen optionalen Wert ein. Wenn Sie den Wert leer lassen, wird er auf eineleere Zeichenfolge gesetzt; er ist nicht null. Sie können einer Richtlinie bis zu 50 Tags anfügen.

180










6. Geben Sie für New tag key 1 (Neuer Tag-Schlüssel 1) den Namen eines hinzuzufügenden Tag-Schlüssels an.

7. Lassen Sie diese Option für Tag key capitalization compliance (Groß-/Kleinschreibungs-Compliance des Tag-Schlüssels) deaktiviert (Standard), um anzugeben, dass die geerbteübergeordnete Tag-Richtlinie (falls vorhanden) die Fallbehandlung für den Tag-Schlüsseldefinieren soll.

Wählen Sie diese Option, wenn Sie eine bestimmte Groß-/Kleinschreibung für den Tag-Schlüsselfestlegen möchten. Wenn Sie diese Option auswählen, überschreibt die Groß-/Kleinschreibung,die Sie für Tag Key angegeben haben, die in der geerbten übergeordneten Richtlinie angegebeneFallbehandlung.

Wenn keine übergeordnete Richtlinie vorhanden ist und Sie diese Option nicht auswählen,werden Tag-Schlüssel in allen Kleinbuchstaben als konform angesehen. Weitere Informationen zuübergeordneten Richtlinien finden Sie unter Grundlegendes zur Richtlinienvererbung (p. 79).

Tip

Verwenden Sie die Beispiel-Tag-Richtlinie, die in Beispiel 1: Definition einesorganisationsweiten Tag-Schlüssel-Falls (p. 196) gezeigt wird, als Leitfaden zumErstellen einer Tag-Richtlinie, die Tag-Schlüssel und deren Fallbehandlung definiert.Fügen Sie sie zum Organisations-Root hinzu. Später können Sie zusätzliche Tag-Richtlinien erstellen und an OUs oder Konten anfügen, um zusätzliche Tagging-Regelnzu erstellen.

8. Aktivieren Sie das Kontrollkästchen Tag value compliance (Tag-Wert-Compliance), wenn Siezulässige Werte für diesen Tag-Schlüssel hinzufügen möchten.

Standardmäßig ist diese Option deaktiviert. Dies bedeutet, dass nur die Werte als konformangesehen werden, die in einer übergeordneten Richtlinie definiert und von dieser geerbt werden.Wenn eine übergeordnete Richtlinie nicht vorhanden ist und Sie keine Tag-Werte angeben, danngilt jeder Wert (auch kein Wert) als konform.

Um die Liste der zulässigen Tag-Werte zu aktualisieren, wählen Sie Specify allowed values forthis tag key (Zulässige Werte für diesen Tag-Schlüssel angeben) und dann Specify values (Werteangeben) aus. Wenn Sie dazu aufgefordert werden, geben Sie die neuen Werte ein und wählenSie Save changes (Änderungen speichern).

9. Für Prevent noncompliant operations for this tag (Nicht konforme Operationen für dieses Tagverhindern) empfehlen wir, dass Sie diese Option deaktivieren (Standardeinstellung), es sei denn,Sie haben Erfahrung mit der Verwendung von Tag-Richtlinien. Stellen Sie sicher, dass Sie dieEmpfehlungen in Grundlegendes zur Durchsetzung (p. 188) gelesen und gründlich getestethaben. Andernfalls verhindern Sie, dass Benutzer in den Konten Ihrer Organisation die benötigtenRessourcen kennzeichnen.

Wenn Sie die Compliance mit diesem Tag-Schlüssel erzwingen möchten, aktivieren Sie dasKontrollkästchen und dann Specify resource types (Ressourcentypen angeben). Wenn Sie dazuaufgefordert werden, wählen Sie die Ressourcentypen aus, die in die Richtlinie aufgenommenwerden sollen. Wählen Sie dann Save changes (Änderungen speichern) aus.

Wenn Sie diese Option auswählen, werden alle Operationen, die Tags für Ressourcen derangegebenen Typen bearbeiten, nur erfolgreich ausgeführt, wenn die Operation zu Tags führt, diemit der Richtlinie konform sind.

10. (Optional) Um dieser Tag-Richtlinie einen weiteren Tag-Schlüssel hinzuzufügen, wählen Sie Addtag key (Tag-Schlüssel hinzufügen). Führen Sie dann die Schritte 6–9 aus, um den Tag-Schlüsselzu definieren.

11. Wenn Sie mit dem Erstellen der Tag-Richtlinie fertig sind, wählen Sie Save changes (Änderungenspeichern).

181


AWS CLI, AWS API


Sie können eine der folgenden Optionen verwenden, um eine Tag-Richtlinie zu erstellen:


Die vollständige Vorgehensweise für die Verwendung von Tag-Richtlinien in der AWS CLI finden Sieunter Verwendung von Tag-Richtlinien im AWS CLI (p. 198).


Weitere Vorgehensweisen

Nach der Erstellung einer Tag-Richtlinie können Sie Ihre Tagging-Regeln in Kraft setzen. Dazu fügen Siedie Richtlinie (p. 184) dem Organisationsstamm, den Organisationseinheiten (OUs), den AWS-Konteninnerhalb Ihrer Organisation oder einer Kombination von Organisationsentitäten hinzu.

Aktualisieren einer Tag-RichtlinieMindestberechtigungen

Um eine Tag-Richtlinie zu aktualisieren, müssen Sie über die Berechtigung zum Ausführen derfolgenden Aktionen verfügen:




So aktualisieren Sie eine Tag-Richtlinie


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Tag policies (Tag-Richtlinien).3. Wählen Sie auf der Seite Tag policies (Tag-Richtlinien) die Tag-Richtlinie aus, die Sie

aktualisieren möchten.4. Wählen Sie im Detailbereich auf der rechten Seite View details (Details anzeigen) aus.5. Wählen Sie auf der Seite mit der Tag-Richtlinie die Option Edit policy (Richtlinie bearbeiten) aus.6. Nehmen Sie Ihre Änderungen entweder mithilfe des visuellen Editors oder durch Bearbeiten des

JSON vor.7. Wenn Sie mit der Aktualisierung der Tag-Richtlinie fertig sind, wählen Sie Save changes

(Änderungen speichern).

AWS CLI, AWS API


Zum Aktualisieren einer Richtlinie können Sie einen der folgenden Befehle verwenden:


182








Bearbeiten von Tags, die einer Tag-Richtlinie angefügt sindWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie die einer Tag-Richtlinieangefügten Tags hinzufügen oder entfernen. Führen Sie dazu die folgenden Schritte aus.


Um die Tags zu bearbeiten, die einer Tag-Richtlinie in Ihrer AWS-Organisation zugeordnet sind,müssen Sie über die folgenden Berechtigungen verfügen:




So bearbeiten Sie die Tags, die einer Tag-Richtlinie angefügt sind


2. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Tag policies (Tag-Richtlinien)und dann den Namen der Richtlinie mit den Tags aus, die Sie bearbeiten möchten.






AWS CLI, AWS API

So bearbeiten Sie die Tags, die einer Tag-Richtlinie angefügt sind

Sie können einen der folgenden Befehle verwenden, um die einer Tag-Richtlinie angefügten Tags zubearbeiten:


Löschen einer Tag-RichtlinieWenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Richtlinie löschen,die Sie in Ihrer Organisation nicht mehr benötigen.


183









Um eine Tag-Richtlinie zu löschen, müssen Sie über die Berechtigung zum Ausführen derfolgenden Aktion verfügen:

• organizations:DeletePolicy

So löschen Sie eine Tag-Richtlinie (Konsole)

1. Melden Sie sich unter https://console.aws.amazon.com/organizations/ bei der Organisationen-Konsolean. Sie müssen sich im Managementkonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder sich als Root-Benutzer anmelden (nicht empfohlen).

2. Die Tag-Richtlinie, die Sie löschen möchten, muss zunächst von allen Roots, OUs und Konten getrenntwerden. Befolgen Sie die Schritte in Trennen einer Tag-Richtlinie (p. 185), um die Tag-Richtlinie vonallen Entitäten in der Organisation zu trennen.

3. Wählen Sie auf der Registerkarte Policies (Richtlinien) die Option Tag policies (Tag-Richtlinien).4. Wählen Sie auf der Seite Tag policies (Tag-Richtlinien) die Tag-Richtlinie aus, die Sie löschen

möchten.5. Wählen Sie Delete policy (Richtlinie löschen).

So löschen Sie eine Tag-Richtlinie (AWS CLI, AWS API)

Zum Löschen einer Tag-Richtlinie können Sie eine der folgenden Optionen verwenden:


Anfügen und Trennen von Tag-RichtlinienSie können Tag-Richtlinien sowohl für eine ganze Organisation als auch für Organisationseinheiten (OUs)sowie einzelne Konten verwenden.

• Wenn Sie eine Tag-Richtlinie an den Organisationsstamm anfügen, gilt die Tag-Richtlinie für alleMitglieds-OUs und -konten dieses Stammverzeichnisses.

• Wenn Sie eine Tag-Richtlinie an eine OU anhängen, gilt diese Tag-Richtlinie für die Konten, die zur OUgehören. Diese Konten unterliegen auch jeder Tag-Richtlinie, die mit dem Organisationsstamm verknüpftist.

• Wenn Sie eine Tag-Richtlinie an ein Konto anhängen, gilt diese Tag-Richtlinie für das Konto. Darüberhinaus unterliegt dieses Konto allen Tag-Richtlinien, die mit dem Organisationsstamm verknüpft sind,sowie allen Tag-Richtlinien, die einer OU zugeordnet sind, zu der das Konto gehört.

Die Aggregation aller Tag-Richtlinien, die das Konto erbt, sowie jede direkt mit dem Konto verknüpfte Tag-Richtlinie ist die effektive Tag-Richtlinie (p. 186). Weitere Informationen finden Sie im Grundlegendes zurRichtlinienvererbung (p. 79).

Important

Ressourcen ohne Tags werden in den Ergebnisses nicht als nichtkonform angezeigtMindestberechtigungen

Um Tag-Richtlinien anzuhängen, müssen Sie über die Berechtigung zum Ausführen der folgendenAktion verfügen:


184







So fügen Sie dem Organisationsstamm, der OU oder dem Konto eine Tag-Richtlinie hinzu


2. Navigieren Sie auf der Registerkarte Organize accounts (Konten organisieren) zumKontrollkästchen für den Root, die Organisationseinheit oder das Konto, an das Sie die Tag-Richtlinie anfügen möchten, und aktivieren Sie es. (p. 67)

3. Erweitern Sie im Detail-Bereich auf der rechten Seite den Abschnitt Tag policies (Tag-Richtlinien),um die Liste der aktuell angefügten Tag-Richtlinien anzuzeigen.

4. Suchen Sie die gewünschte Richtlinie in der Liste der verfügbaren Richtlinien aus und wählen SieAttach (Anfügen).

AWS CLI, AWS API

So fügen Sie dem Organisationsstamm, der OU oder dem Konto eine Tag-Richtlinie hinzu

Sie können eine der folgenden Optionen verwenden, um eine Tag-Richtlinie hinzuzufügen:


Weitere Vorgehensweisen

Nach dem Hinzufügen einer Tag-Richtlinie, können Sie herausfinden, wie konform die Ressourcendieses Kontos mit dieser Tag-Richtlinie sind. Verwenden Sie dazu die Ressourcengruppen-Konsole. Weitere Informationen finden Sie unter Evaluieren der Compliance eines Kontos im AWS-RessourcengruppenBenutzerhandbuch.

Trennen einer Tag-Richtlinie

Wenn Sie am Managementkonto Ihrer Organisation angemeldet sind, können Sie eine Tag-Richtlinie vomOrganisationsstamm, der Organisationseinheit oder vom Konto trennen, dem sie angefügt ist. Nach demTrennen der Tag-Richtlinie von einem Element, gilt diese Richtlinie nicht mehr für Konten, auf die sich dasjetzt getrennte Element ausgewirkt hat. Führen Sie zum Trennen einer Richtlinie die folgenden Schritte aus.


Um eine Tag-Richtlinie vom Organisationsstamm, der OU oder dem Konto zu trennen, müssen Sieüber die Berechtigung zum Ausführen der folgenden Aktion verfügen:



So trennen Sie eine Tag-Richtlinie vom Organisationsstamm, der OU oder dem Konto



185





https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-arg-finding-noncompliant-tags.html#tag-policy-compliance-account



AWS Organizations BenutzerhandbuchAnzeigen effektiver Tag-Richtlinien

3. Erweitern Sie im Bereich Details auf der rechten Seite den Abschnitt Tag policies (Tag-Richtlinien),um die Liste der aktuell angefügten Richtlinien anzuzeigen.

4. Suchen Sie die Richtlinie, die Sie entfernen möchten, aus und wählen Sie Detach (Entfernen). DieListe der angehängten Tag-Richtlinien wird aktualisiert und die ausgewählte Richtlinie entfernt.

AWS CLI, AWS API

So trennen Sie eine Tag-Richtlinie vom Organisationsstamm, der OU oder dem Konto

Sie können eine der folgenden Optionen verwenden, um eine Tag-Richtlinie zu trennen:


Anzeigen effektiver Tag-RichtlinienBevor Sie mit der Überprüfung des Compliance-Status für getaggte Ressourcen in einem Konto beginnen,ist es hilfreich, zuerst die effektive Tag-Richtlinie eines Kontos zu ermitteln.

Was ist die effektive Tag-Richtlinie?Die effektive Tag-Richtlinie gibt die Tagging-Regeln an, die für ein Konto gelten. Es handelt sich um dieAggregation aller Tag-Richtlinien, die das Konto erbt, sowie jede Tag-Richtlinie, die direkt mit dem Kontoverknüpft ist. Wenn Sie dem Organisationsstamm eine Tag-Richtlinie hinzufügen, gilt dies für alle Kontenin Ihrer Organisation. Wenn Sie eine Tag-Richtlinie an eine Organisationseinheit anfügen, gilt diese für alleKonten und OUs, die zur Organisationseinheit gehören.

Beispielsweise kann die dem Organisationsstamm hinzugefügte Tag-Richtlinie ein CostCenter-Tag mitfünf kompatiblen Werten definieren. Eine separate Tag-Richtlinie, die dem Konto zugeordnet ist, kann denCostCenter-Schlüssel auf nur zwei der vier kompatiblen Werte beschränken. Die Kombination dieserTag-Richtlinien umfasst die effektive Tag-Richtlinie. Im Ergebnis sind nur zwei der vier konformen Tag-Werte des Kontos, die in der Tag-Richtlinie des Organisationsstamms definiert sind, konform.

Weitere Informationen und weitergehende Beispiele dafür, wie effektive Tag-Richtlinien generiert werden,finden Sie unter Grundlegendes zur Richtlinienvererbung (p. 79).

Anzeigen der effektiven Tag-RichtlinieSie können die effektive Tag-Richtlinie für ein Konto über die AWS Management Console, AWS API oderAWS Command Line Interface anzeigen.


Um die effektive Tag-Richtlinie für ein Konto anzuzeigen, müssen Sie über die Berechtigung zumAusführen der folgenden Aktionen verfügen:






186





AWS Organizations BenutzerhandbuchVerwendung von CloudWatch-Ereignissezur Überwachung nicht konformer Tags

Note

Wenn Sie in einem Mitgliedskonto angemeldet sind, ist das Verfahren zum Anzeigender effektiven Richtlinie anders. Wenn Sie bei einem Konto angemeldet sind, könnenSie die effektive Tag-Richtlinie im Kontext der Bewertung der Compliance für das Kontoanzeigen. Weitere Informationen finden Sie unter Evaluierung der Compliance für einKonto im AWS-RessourcengruppenBenutzerhandbuch.

2. Wählen Sie auf der Registerkarte Accounts (Konten) ein Konto aus.3. Erweitern Sie im Detailbereich auf der rechten Seite den Abschnitt Tag policies (Tag-Richtlinien).4. Wählen Sie View effective policy (Effektive Richtlinie anzeigen) aus.

AWS CLI, AWS API


Sie können eine der folgenden Optionen zum Anzeigen der effektiven Richtlinie verwenden:


Die vollständige Vorgehensweise für die Verwendung von Tag-Richtlinien in der AWS CLI finden Sieunter Verwendung von Tag-Richtlinien im AWS CLI (p. 198).


Verwendung von CloudWatch-Ereignisse zurÜberwachung nicht konformer TagsSie können CloudWatch-Ereignisse zur Überwachung nutzen, wenn nicht konforme Tags eingeführtwerden. Im folgenden Beispielereignis gibt der "false" Wert für tag-policy-compliant an, dass einneues Tag nicht mit der effektiven Tag-Richtlinie konform ist.

{ "detail-type": "Tag Change on Resource", "region": "us-east-1", "resources": [ "arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa" ], "detail": { "changed-tag-keys": [ "a-new-key" ], "service": "ec2", "resource-type": "instance", "version": 3, "tag-policy-compliant": "false", "tags": { "a-new-key": "tag-value-on-new-key-just-added" } }}

Sie können Ereignisse abonnieren und Zeichenfolgen oder Muster angeben, die überwacht werdensollen. Weitere Informationen zu CloudWatch-Ereignisse finden Sie unter Benutzerhandbuch für AmazonCloudWatch Events.

187





https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/


AWS Organizations BenutzerhandbuchGrundlegendes zur Durchsetzung

Grundlegendes zur DurchsetzungIn einer Tag-Richtlinie kann angegeben werden, dass für bestimmte Ressourcentypen nicht-regelkonformeTagging-Vorgänge erzwungen werden. Mit anderen Worten: Es wird verhindert, dass für bestimmteRessourcentypen nicht regelkonforme Tagging-Anforderungen durchgeführt werden.

Important

Die Erzwingung hat keine Auswirkungen auf Ressourcen, die ohne Tags erstellt werden.

Führen Sie beim Erstellen einer Tag-Richtlinie (p. 180) eine der folgenden Aktionen aus, um dieCompliance mit Tag-Richtlinien zu erzwingen:

• Wählen Sie auf der Registerkarte Visual editor (Visueller Editor) die Option Prevent noncompliantoperations for this tag (Nicht-konforme Operationen für dieses Tag verhindern) (p. 181) aus.

• Verwenden Sie in der Registerkarte JSON das Feld enforced_for. Hinweise zur Syntax der Tag-Richtlinie finden Sie unter Syntax und Beispiele für Tag-Richtlinien (p. 194).

Befolgen Sie die folgenden bewährten Methoden, um die Compliance von Tag-Richtlinien durchzusetzen:

• Vorsicht beim Durchsetzen der Compliance – Es ist wichtig, dass Sie die Auswirkungen der Verwendungvon Tag-Richtlinien verstehen und die empfohlenen, in Erste Schritte mit Tag-Richtlinien (p. 176)beschriebenen Workflows befolgen. Probieren Sie die Durchsetzung auf einem Testkonto aus, bevorSie sie auf weitere Konten ausweiten. Andernfalls verhindern Sie, dass Benutzer in den Konten IhrerOrganisation die benötigten Ressourcen kennzeichnen.

• Achten Sie darauf, welche Ressourcentypen Sie durchsetzen können – Sie können die Compliancevon Tag-Richtlinien nur für unterstützte Ressourcentypen (p. 188) durchsetzen. Ressourcentypen, diedas Durchsetzen der Compliance unterstützen, werden aufgelistet, wenn Sie den visuellen Editor zumErstellen einer Tag-Richtlinie verwenden.

• Grundlegendes zu Interaktionen mit einigen Services – Einige AWS-Services verfügen übercontainerähnliche Ressourcengruppierungen, die automatisch Ressourcen für Sie erstellen. Tagskönnen von einer Ressource eines Services zu einer anderen weitergeleitet werden. Tags in AmazonEC2 Auto Scaling-Gruppen und Amazon EMR -Clustern können beispielsweise automatisch an dieenthaltenen Amazon EC2 Instanzen weitergegeben werden. Sie verfügen möglicherweise über Tag-Richtlinien für Amazon EC2, die strenger sind als diejenigen für Auto Scaling-Gruppen oder EMR-Cluster. Wenn Sie die Durchsetzung aktivieren, verhindert die Tag-Richtlinie, dass Ressourcen getaggtwerden, und blockiert möglicherweise die dynamische Skalierung und Bereitstellung.

Services und Ressourcentypen, die die DurchsetzungunterstützenDie folgenden Services und Ressourcentypen unterstützen die Erzwingung mit Tag-Richtlinien:

Service-Name Resource type(Ressourcentyp)

JSON-Syntax:

Amazon API Gateway • API-Schlüssel• Domänennamen• REST API-

Operationen• Phasen

• "apigateway:apikeys"

• "apigateway:domainnames"

• "apigateway:restapis"

• "apigateway:stages"

AWS App Mesh • Alle • "appmesh:*"

188



JSON-Syntax:

• Mesh• Router• Virtueller Knoten• Virtueller Router• Virtueller Service

• "appmesh:mesh"

• "appmesh:route"

• "appmesh:virtualNode"

• "appmesh:virtualRouter"

• "appmesh:virtualService"

Amazon Athena • Alle• Arbeitsgruppe

• "athena:*"

• "athena:workgroup"

AWS CertificateManager

• Alle• Zertifikate

• "acm:*"

• "acm:certificate"

Amazon CloudFront • Alle• Verteilung• Streaming-Distribution

• "cloudfront:*"

• "cloudfront:distribution"

• "cloudfront:streaming-distribution"

AWS CloudTrail • Alle• Trail

• "cloudtrail:*"

• "cloudtrail:trail"

Amazon CloudWatch • Alle• Alarm

• "cloudwatch:*"

• "cloudwatch:alarm"

Amazon CloudWatchEvents

• Alle• Ereignisbus• Regel Nr.

• "events:*"

• "events:event-bus"

• "events:rule"

AWS CodeBuild • Alle• Projekt

• "codebuild:*"

• "codebuild:project"

AWS CodeCommit • Alle• Ablage

• "codecommit:*"

• "codecommit:repository"

AWS CodePipeline • Alle• Aktionstyp• Pipeline• Webhook

• "codepipeline:*"

• "codepipeline:actiontype"

• "codepipeline:pipeline"

• "codepipeline:webhook"

Amazon Cognito-Identität

• Alle• Identitäten-Pool

• "cognito-identity:*"

• "cognito-identity:identitypool"

Amazon Cognito-Benutzerpools

• Alle• -Benutzerpool

• "cognito-idp:*"

• "cognito-idp:userpool"

Amazon Comprehend • Alle• Dokumenten-

Classifier• Entity-Erkennung

• "comprehend:*"

• "comprehend:document-classifier"

• "comprehend:entity-recognizer"

189



JSON-Syntax:

AWS Config • Alle• Aggregationsautorisierung• Config-Aggregator• Config-Regel

• "config:*"

• "config:aggregation-authorization"

• "config:config-aggregator"

• "config:config-rule"

AWS DatabaseMigration Service

• Alle• Endpunkt• ES• Rep.• Untergrp.• Aufgabe

• "dms:*"

• "dms:endpoint"

• "dms:es"

• "dms:rep"

• "dms:subgrp"

• "dms:task"

AWS Direct Connect • Alle• Dxcon• Dxlag• Dxvif

• "directconnect:*"

• "directconnect:dxcon"

• "directconnect:dxlag"

• "directconnect:dxvif"

Amazon DynamoDB • Alle• Tabelle

• "dynamodb:*"

• "dynamodb:table"

190



JSON-Syntax:

Amazon EC2 • Kapazitätsreservierung• Client-VPN-Endpunkt• Kunden-Gateway• DHCP-Optionen• Elastic IP-Adressen• Flotte• FPGA-Image• Host-Reservierung• Abbild• Instanz• Internet-Gateway• Startvorlage• NAT-Gateway• Netzwerk-ACL• Netzwerkschnittstelle• Reserved Instances• Routing-Tabelle• Sicherheitsgruppe• Snapshot• Spot-Instance-

Anforderung• Subnetz• Traffic Mirror-Filter• Traffic Mirror-Sitzung• Traffic Mirror-Ziel• Volume• VPC .• VPC-Endpunkt• VPC-Endpunktservice• VPC-Peering-

Verbindung• VPN-Verbindung• VPN-Gateway

• "ec2:capacity-reservation"

• "ec2:client-vpn-endpoint"

• "ec2:customer-gateway"

• "ec2:dhcp-options"

• "ec2:elastic-ip"

• "ec2:fleet"

• "ec2:fpga-image"

• "ec2:host-reservation"

• "ec2:image"

• "ec2:instance"

• "ec2:internet-gateway"

• "ec2:launch-template"

• "ec2:natgateway"

• "ec2:network-acl"

• "ec2:network-interface"

• "ec2:reserved-instances"

• "ec2:route-table"

• "ec2:security-group"

• "ec2:snapshot"

• "ec2:spot-instance-request"

• "ec2:subnet"

• "ec2:traffic-mirror-filter"

• "ec2:traffic-mirror-session"

• "ec2:traffic-mirror-target"

• "ec2:volume"

• "ec2:vpc"

• "ec2:vpc-endpoint"

• "ec2:vpc-endpoint-service"

• "ec2:vpc-peering-connection"

• "ec2:vpn-connection"

• "ec2:vpn-gateway"

AWS Elastic Beanstalk • Anwendung• Anwendungsversion• Konfigurationsvorlage• Plattform

• "elasticbeanstalk:application"

• "elasticbeanstalk:applicationversion"

• "elasticbeanstalk:configurationtemplate"

• "elasticbeanstalk:platform"

Amazon ElasticContainer Service

• Cluster• Service• Aufgabensatz

• "ecs:cluster"

• "ecs:service"

• "ecs:task-set"

Amazon Elastic FileSystem

• Alle• Dateisystem

• "elasticfilesystem:*"

• "elasticfilesystem:file-system"

191



JSON-Syntax:

Amazon ElastiCache • Cluster • "elasticache:cluster"

Elastic Load Balancing • Alle• Load Balancer• Zielgruppe

• "elasticloadbalancing:*"

• "elasticloadbalancing:loadbalancer"

• "elasticloadbalancing:targetgroup"

Amazon FSx • Alle• Backup• Dateisystem

• "fsx:*"

• "fsx:backup"

• "fsx:file-system"

AWS IoT Analytics • Alle• $.Channel• Dataset• Datastore• Pipeline

• "iotanalytics:*"

• "iotanalytics:channel"

• "iotanalytics:dataset"

• "iotanalytics:datastore"

• "iotanalytics:pipeline"

AWS IoT Events • Alle• Detektormodell• Eingabe

• "iotevents:*"

• "iotevents:detectorModel"

• "iotevents:input"

AWS Key ManagementService

• Alle• Schlüssel

• "kms:*"

• "kms:key"

Amazon Kinesis • Alle• Anwendung

• "kinesisanalytics:*"

• "kinesisanalytics:application"

Amazon Kinesis DataFirehose

• Alle• Bereitstellungsstream

• "firehose:*"

• "firehose:deliverystream"

AWS Lambda • Alle• Funktion

• "lambda:*"

• "lambda:function"

Amazon RDS • Cluster-Parametergruppe

• Ereignisabonnement• DB-Optionsgruppe• DB parameter

group (DB-Parametergruppe)

• Reservierte DB-Instance

• DB-Sicherheitsgruppe• DB-Subnetzgruppe

• "rds:cluster-pg"

• "rds:es"

• "rds:og"

• "rds:pg"

• "rds:ri"

• "rds:secgrp"

• "rds:subgrp"

192



JSON-Syntax:

Amazon Redshift • Alle• Cluster• DB-Gruppe• DB-Name• DB-Benutzer• Ereignisabonnement• HSM-Clientzertifikat• HSM-Konfiguration• Parametergruppe• Snapshot• Snapshot-Kopie-

Berechtigung• Snapshot-Zeitplan• Subnetzgruppe

• "redshift:*"

• "redshift:cluster"

• "redshift:dbgroup"

• "redshift:dbname"

• "redshift:dbuser"

• "redshift:eventsubscription"

• "redshift:hsmclientcertificate"

• "redshift:hsmconfiguration"

• "redshift:parametergroup"

• "redshift:snapshot"

• "redshift:snapshotcopygrant"

• "redshift:snapshotschedule"

• "redshift:subnetgroup"

AWS Resource AccessManager

• Alle• Ressourcenfreigabe

• "ram:*"

• "ram:resource-share"

AWS-Ressourcengruppen

• Alle• Gruppe

• "resource-groups:*"

• "resource-groups:group"

Amazon Route 53 • Gehostete Zone • "route53:hostedzone"

Amazon Route 53-Resolver

• Alle• Resolver-Endpunkt• Resolver-Regel

• "route53resolver:*"

• "route53resolver:resolver-endpoint"

• "route53resolver:resolver-rule"

Amazon S3 • Bucket • "s3:bucket"

AWS Secrets Manager • Alle• Secret

• "secretsmanager:*"

• "secretsmanager:secret"

Amazon Simple QueueService (SQS)

• Queue(Warteschlange)

• "sqs:queue"

AWS Step Functions • Aktivität • "states:activity"

AWS Storage Gateway • Alle• Gateway• Freigeben• Band• Volume

• "storagegateway:*"

• "storagegateway:gateway"

• "storagegateway:share"

• "storagegateway:tape"

• "storagegateway:volume"

193

AWS Organizations BenutzerhandbuchSyntax und Beispiele für Tag-Richtlinien


JSON-Syntax:

AWS Systems Manager • Automatisierungsausführung• Dokument• Wartungsfenster-

Aufgabe• Verwaltete Instance• Ops-Element• Patch-Baseline• Sitzung

• "ssm:automation-execution"

• "ssm:document"

• "ssm:maintenancewindowtask"

• "ssm:managed-instance"

• "ssm:opsitem"

• "ssm:patchbaseline"

• "ssm:session"

Amazon WorkSpaces • Alle• Verzeichnis• Arbeitsbereich• WorkSpaces-Paket• WorkSpaces-Abbild• WorkSpaces-IP-

Gruppe

• "workspaces:*"

• "workspaces:directory"

• "workspaces:workspace"

• "workspaces:workspacebundle"

• "workspaces:workspaceimage"

• "workspaces:workspaceipgroup"

Syntax und Beispiele für Tag-RichtlinienAuf dieser Seite wird die Syntax für Tag-Richtlinien beschrieben und durch Beispiele illustriert.

Syntax für Tag-RichtlinienEine Tag-Richtlinie ist eine Textdatei, die den Regeln der JSON-Struktur folgt. Die Syntax für Tag-Richtlinien folgt der Syntax für Verwaltungsrichtlinientypen. Eine vollständige Erläuterung dieser Syntaxfinden Sie unter Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen (p. 82). In diesemThema geht es um die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen desTag-Richtlinientyps.

Die folgende Tag-Richtlinie zeigt die Basissyntax:

{ "tags": { "costcenter": { "tag_key": { "@@assign": "CostCenter" }, "tag_value": { "@@assign": [ "100", "200" ] }, "enforced_for": { "@@assign": [ "secretsmanager:*" ] } } }}

194

http://json.org


Die Syntax der Tag-Richtlinie umfasst die folgenden Elemente:

• Der Schlüsselname des Feldes tags. Tag-Richtlinien beginnen immer mit diesem feststehendenSchlüsselnamen. Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie.

• Ein Richtlinienschlüssel zur eindeutigen Kennzeichnung der Richtlinienanweisung. Mit Ausnahme derFallbehandlung muss er mit dem Wert für den Tag-Schlüssel übereinstimmen. Im Gegensatz zu dem(als nächstes beschriebenen) Tag-Schlüssel wird bei dem Richtlinienschlüssel nicht zwischen Groß- undKleinschreibung unterschieden.

In diesem Beispiel ist costcenter der Richtlinienschlüssel.• Mindestens ein Tag-Schlüssel als Angabe des zulässigen Tag-Schlüssels mit der Groß-/Kleinschreibung,

der die Ressourcen entsprechen sollen. Wenn keine Fallbehandlung definiert ist, wird für Tag-Schlüsselstandardmäßig die Kleinschreibung verwendet. Der Wert für den Tag-Schlüssel muss mit dem Wert fürden Richtlinienschlüssel übereinstimmen. Die Schreibung des Werts kann allerdings unterschiedlich sein,da hier nicht zwischen Groß- und Kleinschreibung unterschieden wird.

In diesem Beispiel ist CostCenter der Tag-Schlüssel. Dies ist die Fallbehandlung, die für die Einhaltungder Tag-Richtlinie erforderlich ist. Ressourcen mit alternativer Fallbehandlung für diesen Tag-Schlüsselsind nicht mit der Tag-Richtlinie konform.

Sie können in einer Tag-Richtlinie mehrere Tag-Schlüssel definieren.• (Optional) Eine Liste mit einem oder mehreren zulässigen Tag-Werten für den Tag-Schlüssel. Wenn

in der Tag-Richtlinie kein Tag-Wert für einen Tag-Schlüssel angegeben wird, gilt jeder Wert (auch keinWert) als regelkonform.

In diesem Beispiel sind 100 und 200 zulässige Werte für den Tag-Schlüssel CostCenter.• (Optional) Eine enforced_for-Option, die angibt, ob nicht regelkonforme Tagging-Vorgänge für

bestimmte Services und Ressourcen unterbunden werden sollen. In der Konsole ist dies die OptionPrevent noncompliant operations for this tag (Nicht regelkonforme Vorgänge für dieses Tag verhindern)im visuellen Editor für die Erstellung von Tag-Richtlinien. Die Standardeinstellung für diese Option istNull.

In der Tag-Beispielrichtlinie wird angegeben, dass dieses Tag für alle AWS Secrets Manager-Ressourcen erforderlich ist.

Warning

Sie sollten diese Option nur dann ändern, wenn Sie mit der Verwendung von Tag-Richtlinienvertraut sind. Andernfalls riskieren Sie, dass Benutzer die benötigten Ressourcen in den KontenIhrer Organisation nicht erstellen können.

• Operatoren, die angeben, wie diese Tag-Richtlinie mit anderen Tag-Richtlinien in derOrganisationsstruktur zu einer effektiven Tag-Richtlinie (p. 186) für das Konto zusammengeführtwird. In diesem Beispiel wird @@assign verwendet, um tag_key, tag_value undenforced_for Zeichenfolgen zuzuweisen. Weitere Informationen zu Operatoren finden Sie unterVererbungsoperatoren (p. 84).

• – Sie können den Platzhalter * in Tag-Werten und enforced_for-Feldern verwenden.• Sie können nur einen Platzhalter pro Tag-Wert verwenden. *@example.com ist beispielsweise

zulässig, aber *@*.com ist es nicht.• Für enforced_for können Sie bei einigen Services <service>:* verwenden, um die Durchsetzung

für alle Ressourcen für diesen Service zu ermöglichen. Eine Liste der Services und Ressourcentypen,die enforced_for unterstützen, finden Sie unter Services und Ressourcentypen, die dieDurchsetzung unterstützen (p. 188).

Sie können keinen Platzhalter verwenden, um alle Services oder eine Ressource für alle Servicesanzugeben.

195


Tag-RichtlinienbeispieleDie folgenden Tag-Richtlinienbeispiele (p. 172) dienen nur zu Informationszwecken.

Note

Bevor Sie diese Beispielrichtlinien in Ihrer Organisation verwenden, beachten Sie Folgendes:

• Befolgen Sie unbedingt den empfohlenen Workflow (p. 176), um sich mit Tag-Richtlinienvertraut zu machen.

• Überprüfen Sie diese Tag-Richtlinien sorgfältig, und passen Sie sie an Ihre individuellenAnforderungen an.

• Alle Zeichen, die Sie in Ihrer Tag-Richtlinie verwenden, unterliegen einer maximalenGröße (p. 302). In den Beispielen in diesem Handbuch sind die dargestellten Tag-Richtlinienmit zusätzlichen Leerraumzeichen formatiert, um ihre Lesbarkeit zu verbessern. Sie können dieLeerraumzeichen löschen, um Speicherplatz zu sparen, wenn sich die Größe Ihrer Richtlinie dermaximalen Größe nähert. Beispiele für Leerraumzeichen sind Leerzeichen und Zeilenumbrücheaußerhalb von Anführungszeichen.

• Ressourcen ohne Tags werden in den Ergebnisses nicht als nichtkonform angezeigt

Beispiel 1: Definition eines organisationsweiten Tag-Schlüssel-FallsDas folgende Beispiel zeigt eine Tag-Richtlinie, die nur zwei Tag-Schlüssel und die Groß-/Kleinschreibungdefiniert, die Sie als Standard für die Konten in Ihrer Organisation verwenden möchten.


{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter", "@@operators_allowed_for_child_policies": ["@@none"] } }, "Project": { "tag_key": { "@@assign": "Project", "@@operators_allowed_for_child_policies": ["@@none"] } } }}

Diese Tag-Richtlinie definiert zwei Tag-Schlüssel: CostCenter und Project. Das Anfügen dieser Tag-Richtlinie an den Organisationsstamm hat folgende Auswirkungen:

• Alle Konten in Ihrer Organisation übernehmen diese Tag-Richtlinie.• Alle Konten in Ihrer Organisation müssen zur Konformität die definierte Fallbehandlung verwenden.

Ressourcen mit CostCenter- und Project-Tags sind konform. Ressourcen mit alternativerFallbehandlung für den Tag-Schlüssel (z. B. costcenter, Costcenter oder COSTCENTER) sind nichtkonform.

• Durch die @@operators_allowed_for_child_policies": ["@@none"]-Zeilen werden die Tag-Schlüssel „gesperrt“. Tag-Richtlinien, die in der unteren Ebene der Organisationsstruktur (untergeordnete

196


Richtlinien) angefügt sind, können keine wertbestimmenden Operatoren verwenden, um den Tag-Schlüssel zu ändern, einschließlich der Fallbehandlung.

• Wie bei allen Tag-Richtlinien werden nicht mit Tags versehene Ressourcen oder Tags, die nicht in derTag-Richtlinie definiert sind, nicht auf Übereinstimmung mit der Tag-Richtlinie ausgewertet.

AWS empfiehlt, dieses Beispiel als Leitfaden für die Erstellung einer ähnlichen Tag-Richtlinie für diegewünschten Tag-Schlüssel zu verwenden. Fügen Sie sie zum Organisations-Root hinzu. Erstellen Sieanschließend eine Tag-Richtlinie ähnlich dem nächsten Beispiel, die nur die zulässigen Werte für diedefinierten Tag-Schlüssel definiert.

Nächster Schritt: Definieren von Werten

Angenommen, Sie haben die vorherige Tag-Richtlinie an den Organisations-Root angehängt. Als Nächsteskönnen Sie wie folgt eine Tag-Richtlinie erstellen und sie an ein Konto anfügen. In dieser werden zulässigeWerte für die Tag-Schlüssel CostCenter und Project definiert.

Richtlinie B – Tag-Richtlinie für Konten

{ "tags": { "CostCenter": { "tag_value": { "@@assign": [ "Production", "Test" ] } }, "Project": { "tag_value": { "@@assign": [ "A", "B" ] } } }}

Wenn Sie die Richtlinie A an den Organisations-Root und die Richtlinie B an ein Konto anfügen, werdenbeide Richtlinien miteinander kombiniert, sodass sich die folgende effektive Tag-Richtlinie für das Kontoergibt:

Richtlinie A + Richtlinie B = effektive Tag-Richtlinie für Konto

{ "tags": { "Project": { "tag_value": [ "A", "B" ], "tag_key": "Project" }, "CostCenter": { "tag_value": [ "Production", "Test" ], "tag_key": "CostCenter"

197

AWS Organizations BenutzerhandbuchVerwendung von Tag-Richtlinien im AWS CLI

} }}

Weitere Informationen zur Vererbung von Richtlinien sowie Beispiele für die Funktionsweiseder Vererbungsoperatoren und für effektive Tag-Richtlinien finden Sie unter Grundlegendes zurRichtlinienvererbung (p. 79).

Beispiel 2: Verhindern der Verwendung eines Tag-SchlüsselsUm zu verhindern, dass ein Tag-Schlüssel verwendet wird, können Sie einer Organisations-Entität eineTag-Richtlinie wie die folgende zuordnen.

In dieser Beispielrichtlinie wird angegeben, dass für den Color-Tag-Schlüssel keine Werte akzeptabelsind. Sie gibt auch an, dass in untergeordneten Tag-Richtlinien keine Operatoren (p. 84) zulässigsind. Daher werden alle Color-Tags für Ressourcen in betroffenen Konten als nicht konform angesehen.Jedoch wird durch die Option enforced_for wirksam verhindert, dass betroffene Konten nur AmazonDynamoDB-Tabellen mit dem Color-Tag versehen.

{ "tags": { "Color": { "tag_key": { "@@operators_allowed_for_child_policies": [ "@@none" ], "@@assign": "Color" }, "tag_value": { "@@operators_allowed_for_child_policies": [ "@@none" ], "@@assign": [] }, "enforced_for": { "@@assign": [ "dynamodb:table" ] } } }}

Verwendung von Tag-Richtlinien im AWS CLIWenn Sie Tag-Richtlinien in AWS Command Line Interface verwenden möchten, empfiehlt AWS, zuerstden grundlegenden Workflow zu befolgen, der in diesem Thema beschrieben wird.

Empfohlener WorkflowDer empfohlene Workflow zur Verwendung von Tag-Richtlinien lautet wie folgt:

1. Aktivieren Sie Tag-Richtlinien für Ihre Organisation. (p. 199)2. Erstellen Sie eine Tag-Richtlinie. (p. 200)3. Fügen Sie einem einzelnen Testkonto eine Tag-Richtlinie hinzu. (p. 200)4. Zeigen Sie die effektive Tag-Richtlinie für dieses Konto an. (p. 201)

198


5. Suchen und korrigieren Sie nicht konforme Tags auf Ressourcen. (p. 201)6. Suchen und korrigieren Sie weitere nicht konforme Tags auf Ressourcen. (p. 202)7. Sie können jederzeit den Compliance-Status für alle getaggten Ressourcen in allen Konten Ihrer

Organisation ermitteln. Generieren Sie dazu den organisationsweiten Bericht. (p. 202)

Aktivierung von Tag-Richtlinien für Ihre OrganisationDas Aktivieren der Verwendung von Tag-Richtlinien ist eine einmalige Aufgabe. Aktivieren Sie Tag-Richtlinien auf dem Organisationsstamm, auch wenn Sie Tag-Richtlinien nur einzelnen Konten hinzufügenmöchten.

So aktivieren Sie Tag-Richtlinien

1. Suchen Sie die Stamm-ID Ihrer Organisation, damit Sie angeben können, wo eine Tag-Richtlinieaktiviert und hinzugefügt werden soll. Um die Stamm-ID zu finden, führen Sie Folgendes aus einerEingabeaufforderung heraus aus:

$ aws organizations list-roots { "Roots": [ { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::123456789012:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [] } ]}

In diesem Beispiel ist r-examplerootid111 die Stamm-ID der Organisation. Diese Stamm-IDverwenden Sie im nächsten Schritt.

2. Führen Sie Folgendes aus, um Tag-Richtlinien für die Organisation zu aktivieren:

$ aws organizations enable-policy-type \ --policy-type TAG_POLICY \ --root-id r-examplerootid111{ "Root": { "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::123456789012:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "PolicyTypes": [ { "Type": "AISERVICES_OPT_OUT_POLICY", "Status": "ENABLED" }, { "Type": "TAG_POLICY", "Status": "ENABLED" }, { "Type": "SERVICE_CONTROL_POLICY", "Status": "ENABLED" } ] }}

199


Dieser Befehl aktiviert Tag-Richtlinien für den Organisationsstamm mit der ID r-examplerootid111.

Erstellen einer Tag-RichtlinieNachdem Sie Tag-Richtlinien aktiviert haben, können Sie Ihre erste Tag-Richtlinie erstellen.

Zum Erstellen der Tag-Richtlinie können Sie jeden beliebigen Texteditor verwenden. Verwenden Siedie JSON-Syntax, und speichern Sie die Tag-Richtlinie als Datei mit einem beliebigen Namen und einerbeliebigen Erweiterung an einem Speicherort Ihrer Wahl. Tag-Richtlinien können maximal 2.500 Zeichenumfassen, einschließlich Leerzeichen.


1. Erstellen Sie eine Tag-Richtlinie, die der folgenden ähnelt:

{ "tags": { "CostCenter": { "tag_key": { "@@assign": "CostCenter" } } }}

Diese Tag-Richtlinie definiert den CostCenter-Tag-Schlüssel. Das Tag akzeptiert einen beliebigenWert oder keinen Wert. Eine Richtlinie wie diese bedeutet, dass eine Ressource, der das CostCenter-Tag mit oder ohne Wert angefügt ist, konform ist.

2. Setzen Sie den Richtlinieninhalt in ein Richtlinienobjekt der Organisation. Das zusätzliche Leerzeichenin der Ausgabe wurde zur Lesbarkeit gekürzt.

$ aws organizations create-policy \ --name "MyTestTagPolicy" \ --description "My Test policy" \ --content file://testpolicy.json \ --type TAG_POLICY{ "Policy": { "PolicySummary": { "Id": "p-a1b2c3d4e5", "Arn": "arn:aws:organizations::123456789012:policy/o-exampleorgid/tag_policy/p-a1b2c3d4e5", "Name": "MyTestTagPolicy", "Description": "My Test policy", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" }}

Zuweisen einer Tag-RichtlinieNach der Erstellung einer Tag-Richtlinie, können Sie sie dem Organisationsstamm, einer OU oder einemeinzelnen Konto hinzufügen. Das Hinzufügen einer Tag-Richtlinie an den Organisationsstamm wirkt sich

200


auf alle Mitgliedskonten Ihrer Organisation aus. Wenn Sie einem einzelnen Konto eine Tag-Richtliniehinzufügen, unterliegt nur dieses Konto dieser Tag-Richtlinie. Es unterliegt auch jeder Tag-Richtlinie, diedem Organisationsstamm hinzugefügt ist.

Das folgende Verfahren veranschaulicht, wie Sie die gerade erstellte Tag-Richtlinie einem einzelnenTestkonto hinzufügen.

• Fügen Sie Ihrem Testkonto die Tag-Richtlinie hinzu, indem Sie einen Befehl wie den folgendenausführen:

$ aws organizations attach-policy \ --target-id <account-id> \ --policy-id p-a1b2c3d4e5

Dieser Befehl hat keine Ausgabe, wenn er erfolgreich ist.

Bestimmung der effektiven Richtlinie für ein KontoUm mit der Überprüfung des Compliance-Status für getaggte Ressourcen in einem Konto zu beginnen, istes hilfreich, zuerst die effektive Tag-Richtlinie für das Konto zu ermitteln.

Note

Wenn Sie bei der AWS CLI-Konfiguration keine Standardregion angegeben haben, müssen Siedie Region für Befehle auf Kontoebene bestimmen. Sie müssen auch eine Region angeben,wenn der Befehl auf eine andere Region als den Standardwert angewendet werden soll. WeitereInformationen finden Sie unter AWS CLI-Konfigurierung im Benutzerhandbuch für AWS CommandLine Interface.

Um zu ermitteln, welche Tagging-Regeln einem Konto zugeordnet sind, führen Sie folgende Schritte ausdem Konto heraus aus und speichern die Ergebnisse in einer Datei:

$ aws organizations describe-effective-policy \ --policy-type TAG_POLICY{ "EffectivePolicy": { "PolicyContent": "{\"tags\":{\"costcenter\":{\"tag_value\":[\"*\"],\"tag_key\":\"CostCenter\"}}}", "LastUpdatedTimestamp": "2020-06-09T08:34:25.103000-07:00", "TargetId": "123456789012", "PolicyType": "TAG_POLICY" }}

Wenn eine Tag-Richtlinie sowohl mit dem Konto als auch mit dem Organisationsstamm verknüpft ist,definiert die Kombination beider Richtlinien die effektive Tag-Richtlinie des Kontos. In diesen Fällen gibt dieAusführung der describe-effective-policy über das Konto den zusammengeführten Inhalt beiderTag-Richtlinien zurück.

Suchen nicht konformer Ressourcen für ein KontoFür jedes Konto können Sie Informationen über nicht konforme Ressourcen abrufen. Sie sollten diesenBefehl in jeder Region ausführen, in der das Konto über Ressourcen verfügt.

Note

Wenn Sie bei der AWS CLI-Konfiguration keine Standardregion angegeben haben, müssen Siedie Region für Befehle auf Kontoebene bestimmen. Sie müssen auch eine Region angeben,

201

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html




wenn der Befehl auf eine andere Region als den Standardwert angewendet werden soll. WeitereInformationen finden Sie unter AWS CLI-Konfigurierung im Benutzerhandbuch für AWS CommandLine Interface.

Um nicht konforme Ressourcen für ein Konto zu suchen, das die effektive Richtlinie verwendet, führen Siefolgende Schritte aus, wenn Sie im Konto angemeldet sind, und speichern die Ergebnisse in einer Datei:

$ aws resourcegroupstaggingapi get-resources \ --include-compliance-details \ --exclude-compliant-resources > outputfile.txt

Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

Korrigieren nicht konformer Tags in RessourcenNach dem Auffinden nicht konformer Tags, nehmen Sie Korrekturen mithilfe einer der folgenden Methodenvor. Sie müssen in dem Konto angemeldet sein, das die Ressource mit nicht konformen Tags enthält:

• Verwenden Sie die Konsolen- oder API-Vorgänge des Services, der über die nicht konformenRessourcen verfügt.

Verwenden Sie TagResources, um Tags hinzuzufügen, die mit der effektiven Richtlinie konform sind.• Verwenden Sie UntagResources, um Tags zu entfernen, die nicht mit der effektiven Tag-Richtlinie

konform sind.

Auffindung und Behebung zusätzlicher Probleme bei Compliance-Problemen.Das Auffinden und Korrigieren von Compliance-Problemen ist ein iterativer Prozess.

So finden und korrigieren Sie weitere Compliance-Probleme

1. Führen Sie nach dem Auffinden und Korrigieren nicht konformer Tags in Ressourcen den get-resources-Befehl mit den --include-compliance-details- und den --exclude-compliant-resources-Parametern erneut aus, um sicherzustellen, dass Sie alle zuvorzurückgegebenen Probleme behoben haben.

Führen Sie diesen Befehl in allen Regionen aus, in denen Sie über Ressourcen verfügen.2. Nehmen Sie zusätzliche Korrekturen vor.3. Wiederholen Sie den Prozess zum Auffinden und Beheben von Compliance-Problemen, bis die

Ressourcen, die Sie interessieren, mit Ihrer Tag-Richtlinie kompatibel sind.

Erstellung eines organisationsweiten Compliance-BerichtsSie können jederzeit einen Bericht erstellen, der alle getaggten Ressourcen in Konten Ihrer gesamtenOrganisation auflistet. Der Bericht zeigt an, ob die Ressourcen mit der effektiven Tag-Richtlinie konformsind. Beachten Sie, dass es bis zu 48 Stunden dauern kann, bis Änderungen, die Sie an einer Tag-Richtlinie oder Ressourcen vornehmen, im organisationsweiten Compliance-Bericht berücksichtigt werden.Angenommen, Sie haben eine Tag-Richtlinie, die ein neues standardisiertes Tag für einen Ressourcentypdefiniert. Ressourcen dieses Typs, die nicht über dieses Tag verfügen, werden im Bericht für bis zu 48Stunden als konform angezeigt.

Sie können den Bericht aus dem Managementkonto Ihrer Organisation (früher als „Masterkonto“bezeichnet) in der Region us-east-1 generieren, sofern er Zugriff auf einen Amazon S3-Bucket hat. Der

202

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html



https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_TagResources.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_UntagResources.html

AWS Organizations BenutzerhandbuchUnterstützte Regionen

Bucket muss über eine angehängte Bucket-Richtlinie verfügen, wie in Amazon S3 Bucket-Richtlinie zumSpeichern von Berichten dargestellt. Zum Generieren des Berichts führen Sie folgenden Befehl aus:

$ aws resourcegroupstaggingapi get-compliance-summary{ "SummaryList": [ { "LastUpdated": "2020-06-09T18:40:46Z", "NonCompliantResources": 0 } ]}

Sie können jeweils einen Bericht erstellen.

Es kann etwas dauern, bis dieser Bericht fertiggestellt ist. Sie können den Status überprüfen, indem Sieden folgenden Befehl ausführen:

$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1{ "Status": "SUCCEEDED"}

Nachdem der obige Befehl erneut SUCCEEDED zurückgibt, können Sie den Bericht aus dem Amazon S3-Bucket öffnen.

Unterstützte RegionenTag-Richtlinienfunktionen sind in den folgenden Regionen verfügbar:

Name der Region Regionsparameter

Region USA Ost (Ohio) us-east-2

Region USA Ost (N.-Virginia)¹ us-east-1

Region USA West (Nordkalifornien) us-west-1

Region USA West (Oregon) us-west-2

Region Asien-Pazifik (Hongkong)² ap-east-1

Region Asien-Pazifik (Mumbai) ap-south-1

Region Asien-Pazifik (Osaka – regional)³ ap-northeast-3

Region Asien-Pazifik (Seoul) ap-northeast-2

Region Asien-Pazifik (Singapur) ap-southeast-1

Region Asien-Pazifik (Sydney) ap-southeast-2

Region Asien-Pazifik (Tokio) ap-northeast-1

Region Kanada (Zentral) ca-central-1

Region Europa (Frankfurt) eu-central-1

Region Europa (Irland) eu-west-1

203

https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-prereqs.html#bucket-policy


AWS Organizations BenutzerhandbuchUnterstützte Regionen

Name der Region Regionsparameter

Region Europa (London) eu-west-2

Region Europa (Paris) eu-west-3

Region Europa (Stockholm) eu-north-1

Region Naher Osten (Bahrain)² me-south-1

Region Südamerika (São Paulo) sa-east-1

¹Sie müssen die Region us-east-1 angeben, wenn Sie die folgenden Organisationen-Operationenaufrufen:

• DeletePolicy• DisablePolicyType• EnablePolicyType• Alle anderen Operationen auf einem Organisationsstamm, z. B. ListRoots.

Sie müssen auch die Region us-east-1 angeben, wenn Sie die folgenden Ressourcengruppen-Tagging-API-Operationen aufrufen, die Teil der Tag-Richtlinienfunktion sind:

• DescribeReportCreation• GetComplianceSummary• GetResources• StartReportCreation

Note

Um die unternehmensweite Einhaltung von Tag-Richtlinien zu bewerten, müssen Sie zumSpeichern von Berichten zudem Zugriff auf einen Amazon S3-Bucket in der Region USA Ost(Nord-Virginia) haben. Weitere Informationen finden Sie unter Amazon S3-Bucket-Richtlinie zumSpeichern von Berichten.

²Diese Regionen müssen manuell aktiviert werden. Weitere Informationen zum Aktivieren und Deaktivierenvon AWS-Regionen finden Sie unter Verwalten von AWS-Regionen im AWS General Reference. DieRessourcengruppen-Konsole ist in diesen Regionen nicht verfügbar.

³Diese Region unterstützt keine Berichterstattung über Ressourcen.

204


https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisablePolicyType.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_StartReportCreation.html


https://docs.aws.amazon.com/general/latest/gr/rande-manage.html

AWS Organizations BenutzerhandbuchVerwenden von Tags

Markieren von AWS Organizations-Ressourcen

Ein Tag ist eine benutzerdefinierte Attributskennzeichnung, die Sie zu einer AWS-Ressource hinzufügen,damit sich Ressourcen einfacher identifizieren, organisieren und finden lassen. Jedes Tag besteht aus zweiTeilen:

• Ein Tag-Schlüssel (z. B. CostCenter, Environment oder Project). Bei Tag-Schlüsseln wirdzwischen Groß- und Kleinschreibung unterschieden.

• Einem Tag-Wert (z. B. 111122223333 oder Production). Sie können den Wert eines Tags zwar aufeine leere Zeichenfolge, jedoch nicht Null festlegen. Ein nicht angegebener Tag-Wert entspricht einerleeren Zeichenfolge. Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß-/Kleinschreibungunterschieden.

Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterienzu kategorisieren. Weitere Informationen finden Sie unter Tagging-Strategien in AWS.

Tip

Verwenden Sie Tag-Richtlinien (p. 172), um Ihre Implementierung von Tags für alle Ressourcen inden Konten Ihrer Organisation zu standardisieren.

Derzeit unterstützt AWS Organizations die folgenden Tagging-Operationen, wenn Sie amManagementkonto angemeldet sind:

• Tag-Operationen werden für die folgenden markierbaren Ressourcen in einer Organisation unterstützt:• AWS-Konten• Organisationseinheiten• Der Organisationsstamm• Richtlinien

Sie können Tags zu markierenden Ressourcen zu den folgenden Zeiten hinzufügen:

• Wenn Sie die Ressource erstellen — Geben Sie die Tags entweder in der Organisationen-Konsole anoder verwenden Sie den Parameter Tags mit einer der Create-API-Operationen. Dies gilt nicht für denOrganisationsstamm.

• Nachdem Sie die Ressource erstellt haben — Verwenden Sie die Organisationen-Konsole oder rufen Siedie Operation TagResource auf.

Sie können die Tags für alle markierbaren Ressourcen in AWS Organizations mithilfe der Konsole oderdurch Aufrufen der Operation ListTagsForResource anzeigen.

Sie können Tags aus einer Ressource entfernen, indem Sie die zu entfernenden Schlüssel mithilfe derKonsole oder durch Aufrufen der Operation UntagResource angeben.

Verwenden von TagsTags helfen Ihnen, Ihre Ressourcen zu organisieren, indem Sie sie nach Objekten gruppieren können,je nachdem, welche Kategorien für Sie nützlich sind. Sie können beispielsweise ein "Abteilungs"-

205

https://aws.amazon.com/answers/account-management/aws-tagging-strategies/


https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListTagsForResource.html


AWS Organizations BenutzerhandbuchHinzufügen von Tags

Tag zuweisen, das die besitzende Abteilung nachverfolgt. Sie können ein "Environment"-Tagzuweisen, um nachzuverfolgen, ob eine bestimmte Ressource Teil Ihrer Alpha-, Beta-, Gamma- oderProduktionsumgebungen ist.

• Sie können Tagging-Standards für Ihre Ressourcen mithilfe von Tag-Richtlinien erzwingen (p. 172).• Tags können Ihnen helfen, zu steuern, wer auf die Komponenten Ihrer Organisation zugreifen und diese

verwalten kann (p. 290).

Hinzufügen von TagsWenn Sie mit den entsprechenden Berechtigungen am Verwaltungskonto Ihrer Organisation angemeldetsind, können Sie den Ressourcen in Ihrer Organisation Tags hinzufügen.

Hinzufügen eines Tags zu einer Ressource, wenn Siesie erstellenUm Tags zu einer Ressource hinzuzufügen, wenn Sie sie erstellen, benötigen Sie die folgendenBerechtigungen:

• Berechtigung zum Erstellen einer Ressource des angegebenen Typs• organizations:TagResource

• organizations:ListTagsForResource (nur Konsole)

Sie können Tag-Schlüssel und -Werte einschließen, die beim Erstellen an die folgenden Ressourcenangefügt werden.

• Sie müssen ein AWS-Konto haben.• Erstelltes Konto (p. 52)• Eingeladenes Konto (p. 48)

• Organisationseinheit (OU) (p. 68)• Richtlinie

• Richtlinie für die Abmeldung von AI-Services (p. 124)• Sicherungsrichtlinie (p. 142)• Service-Kontrollrichtlinie (p. 97)• Tag-Richtlinie (p. 180)

Der Organisationsstamm wird erstellt, wenn Sie die Organisation zum ersten Mal erstellen, sodass SieTags nur als vorhandene Ressource hinzufügen können.

So fügen Sie ein Tag zu einer vorhandenenRessource hinzuSie können auch neue Tags hinzufügen oder die Werte von Tags aktualisieren, die an vorhandeneRessourcen angefügt sind.

Um Tags zu Ressourcen in Ihrer Organisation hinzuzufügen, benötigen Sie die folgenden Berechtigungen:



206

AWS Organizations BenutzerhandbuchAnzeigen von Tags für Ressourcen in Ihrer Organisation



2. Navigieren Sie zu dem Konto, dem Root, der Organisationseinheit (OU) oder der Richtlinie undwählen Sie sie aus.

Navigieren Sie zu dem Konto, dem Root oder der Organisationseinheit (OU) und wählen Sie dieseaus.

3. Wählen Sie im Abschnitt TAGS im Detailbereich auf der rechten Seite die Option EDIT TAGS(TAGS BEARBEITEN).

4. Geben Sie einen Schlüssel und optional einen Wert für das Tag ein.

Bei Tag-Schlüsseln und -Werten muss die Groß-/Kleinschreibung beachtet werden. VerwendenSie die Groß-/Kleinschreibung, die Sie zum Standard machen möchten. Außerdem müssen Siedie Anforderungen von zutreffenden Tag-Richtlinien erfüllen.

5. Wählen Sie Save Changes.

Die Tags, die Sie der Ressource hinzugefügt haben, werden im Abschnitt TAGS des Detailbereichs aufder rechten Seite angezeigt.

AWS CLI, AWS API

Sie können einen der folgenden Befehle verwenden, um Tags zu den markierbaren Ressourcen inIhrer Organisation hinzuzufügen:

• AWS CLI: aws organizations tag-resource• AWS -API: TagResource

Anzeigen von Tags für Ressourcen in IhrerOrganisation

Wenn Sie mit den entsprechenden Berechtigungen am Verwaltungskonto Ihrer Organisation angemeldetsind, können Sie Tags für markierbare Ressourcen in Ihrer Organisation anzeigen.

So zeigen Sie Tags für eine Ressource in Ihrer Organisation an

Um die Tags einer Ressource anzuzeigen, benötigen Sie die folgenden Berechtigungen:

• organizations:ListTagsForResource





3. Suchen Sie im Detailbereich auf der rechten Seite den Abschnitt TAGS.

207







AWS Organizations BenutzerhandbuchBearbeiten von Tag-Werten

Alle Tags, die der ausgewählten Ressource zugeordnet sind, werden angezeigt.AWS CLI, AWS API

Sie können einen der folgenden Befehle verwenden, um Tags für eine Ressource in Ihrer Organisationanzuzeigen:

• AWS CLI: aws organizations list-tags-for-resource• AWS -API: ListTagsForResource

Bearbeiten von Tag-WertenWenn Sie mit den entsprechenden Berechtigungen am Managementkonto Ihrer Organisation angemeldetsind, können Sie die Tag-Werte für Tags bearbeiten, die an Ihre markierbaren Ressourcen angefügt sind.

Note

Sie können einen Tag-Schlüssel nicht ändern. Sie können das Tag mit dem alten Schlüssellöschen und dann ein Tag mit dem neuen Schlüssel hinzufügen. Weitere Informationen finden Sieunter Löschen von Tags (p. 209) und Hinzufügen von Tags (p. 206).

So bearbeiten Sie einen Tag-Wert für ein Tag auf einer Ressource in Ihrer Organisation (Konsole)

Um Tag-Werte für Tags zu bearbeiten, die an Ihre markierbaren Ressourcen angefügt sind, benötigen Siedie folgenden Berechtigungen:

• organizations:ListTagsForResource







3. Wählen Sie im Abschnitt TAG im Detailbereich auf der rechten Seite die Option EDIT TAGS(TAGS BEARBEITEN).

4. Ändern Sie den Wert des Tags, das Sie ändern möchten.5. Wählen Sie Save Changes.

Der Abschnitt TAGS im Detailbereich auf der rechten Seite zeigt alle an Tag-Werten für Tags auf demKonto vorgenommenen Änderungen an.

AWS CLI, AWS API

Sie können einen der folgenden Befehle verwenden, um den Wert für ein Tag zu ändern, das an diemarkierbaren Ressourcen in Ihrer Organisation angefügt ist. Wenn Sie einen bereits vorhandenen Tag-Schlüssel angeben, wird der Wert für diesen Schlüssel überschrieben:

• AWS CLI: aws organizations tag-resource• AWS -API: TagResource

208

https://docs.aws.amazon.com/cli/latest/reference/organizations/list-tags-for-resource.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListTagsForResource.html





AWS Organizations BenutzerhandbuchLöschen von Tags

Löschen von TagsWenn Sie mit den entsprechenden Berechtigungen am Managementkonto Ihrer Organisation angemeldetsind, können Sie Tags löschen, die an markierbaren Ressourcen in Ihrer Organisation angefügt sind.

So löschen Sie ein Tag aus einer Ressource in Ihrer Organisation

Zum Löschen von Tags benötigen Sie die folgenden Berechtigungen:

• organizations:ListTagsForResource (nur Konsole)• organizations:UntagResource





3. Wählen Sie im Abschnitt TAGS im Detailbereich auf der rechten Seite die Option EDIT TAGS(TAGS BEARBEITEN).

4. Wählen Sie Remove (Entfernen) neben dem Tag, das Sie löschen möchten.5. Wählen Sie Save Changes.

Die gelöschten Tags werden nicht mehr im Abschnitt TAGS im Detailbereich angezeigt.AWS CLI, AWS API

Sie können einen der folgenden Befehle verwenden, um Tags zu löschen:

• AWS CLI: aws organizations untag-resource• AWS -API: UntagResource

209





AWS Organizations BenutzerhandbuchErforderliche Berechtigungen für das

Aktivieren des vertrauenswürdigen Zugriffs

Verwenden von AWS Organizationsmit anderen AWS-Services

Sie können vertrauenswürdigen Zugriff verwenden, um einem unterstützten AWS-Service, den Sieangeben, den vertrauenswürdigen Service zu aktivieren, Aufgaben in Ihrer Organisation und deren Kontenin Ihrem Namen auszuführen. Dies umfasst das Erteilen von Berechtigungen für den vertrauenswürdigenService, hat aber keine Auswirkungen auf die Berechtigungen für IAM-Benutzer und -Rollen. Wenn Sieden Zugriff aktivieren, kann der vertrauenswürdige Service in jedem Konto Ihrer Organisation immerdann, wenn erforderlich, eine IAM-Rolle erstellen, die als serviceverknüpfte Rolle bezeichnet wird. DerRolle ist eine Berechtigungsrichtlinie zugeordnet, die es dem vertrauenswürdigen Service ermöglicht, dieAufgaben auszuführen, die in der Dokumentation des Services angegeben sind. Auf diese Weise könnenSie Einstellungs- und Konfigurationsdetails angeben, die der vertrauenswürdigen Service in Ihrem Namenin den Konten Ihrer Organisation pflegen soll. Der vertrauenswürdige Service erstellt nur serviceverknüpfteRollen, wenn er Verwaltungsaktionen für Konten durchführen muss, und nicht unbedingt in allen Konten derOrganisation.

Important

Wir empfehlen, den vertrauenswürdigen Zugriff über die Konsole des vertrauenswürdigen Servicesoder die AWS CLI- oder API-Operationen in einer der AWS SDKs zu aktivieren. Auf diese Weisekann der vertrauenswürdige Service alle erforderlichen Initialisierungen durchführen oder alleerforderlichen Ressourcen erstellen. Sehen Sie in der Dokumentation für diesen Service nach,welche Konfiguration der vertrauenswürdige Service durchführt.

Erforderliche Berechtigungen für das Aktivieren desvertrauenswürdigen Zugriffs

Für den vertrauenswürdigen Zugriff sind Berechtigungen für zwei Services erforderlich: für AWSOrganizations und für den vertrauenswürdigen Service. Zum Aktivieren des vertrauenswürdigen Zugriffswählen Sie eines der folgenden Szenarien aus:

• Wenn Sie über Anmeldeinformationen mit Berechtigungen in AWS Organizations und demvertrauenswürdigen Service verfügen, aktivieren Sie den Zugriff mithilfe der Tools (Konsole oder AWSCLI), die vom vertrauenswürdigen Service bereitgestellt werden. Auf diese Weise kann der Serviceden vertrauenswürdigen Zugriff in AWS Organizations in Ihrem Namen aktivieren und alle Ressourcenerstellen, die für den Betrieb des Services in Ihrer Organisation erforderlich sind.

Für diese Anmeldeinformationen sind mindestens die folgenden Berechtigungen erforderlich:• organizations:EnableAWSServiceAccess: Sie können auch den Bedingungsschlüsselorganizations:ServicePrincipal mit dieser Operation verwenden, um Anforderungen zubegrenzen, die diese Operationen an eine Liste genehmigter Service-Prinzipalnamen richten. WeitereInformationen finden Sie unter Bedingungsschlüssel (p. 282).

• organizations:ListAWSServiceAccessForOrganization – Erforderlich bei Verwendung derAWS Organizations-Konsole

• Die Berechtigungen, die mindestens vom vertrauenswürdigen Service benötigt werden, hängen vomService ab. Weitere Informationen finden Sie in der Dokumentation zum vertrauenswürdigen Service.

• Wenn eine Person über Anmeldeinformationen mit Berechtigungen in AWS Organizations verfügt,jemand anderes aber über Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Service,führen Sie diese Schritte in der folgenden Reihenfolge aus:

210

https://aws.amazon.com/tools/

AWS Organizations BenutzerhandbuchErforderliche Berechtigungen für das

Deaktivieren des vertrauenswürdigen Zugriffs

1. Die Person, die über Anmeldeinformationen mit Berechtigungen in AWS Organizations verfügt,sollte die AWS Organizations-Konsole, die AWS CLI oder ein AWS-SDK nutzen, um denvertrauenswürdigen Zugriff für den vertrauenswürdigen Service zu aktivieren. Dadurch erhält derandere Service die Berechtigung, die erforderliche Konfiguration in der Organisation durchzuführen,wenn der folgende Schritt (Schritt 2) durchgeführt wird.

Die AWS Organizations-Berechtigungen, die mindestens erforderlich sind, sind:• organizations:EnableAWSServiceAccess

• organizations:ListAWSServiceAccessForOrganization – Nur erforderlich beiVerwendung der AWS Organizations-Konsole

Informationen zu den spezifischen Schritte zum Aktivieren des vertrauenswürdigen Zugriffs inAWS Organizations finden Sie unter So aktivieren oder deaktivieren Sie den vertrauenswürdigenZugriff (p. 212).

2. Die Person, die über Anmeldeinformationen mit Berechtigungen im vertrauenswürdigen Serviceverfügt, ermöglicht diesem Service das Arbeiten mit AWS Organizations. Dadurch wird der Serviceangewiesen, alle erforderlichen Initialisierungen durchzuführen. Dazu zählt beispielsweise dasErstellen von Ressourcen, die für die Ausführung des vertrauenswürdigen Services in IhrerOrganisation erforderlich sind. Weitere Informationen finden Sie in den servicespezifischenAnleitungen unter AWS-Services, die Sie mit AWS Organizations verwenden können (p. 214).

Erforderliche Berechtigungen für das Deaktivierendes vertrauenswürdigen Zugriffs

Wenn Sie nicht mehr möchten, dass der vertrauenswürdige Service in Ihrer Organisation oder derenKonten aktiv ist, wählen Sie eines der folgenden Szenarien aus.

Important

Das Deaktivieren des vertrauenswürdigen Servicezugriffs verhindert nicht, dass Benutzerund Rollen mit entsprechenden Berechtigungen diesen Service verwenden können. UmBenutzer und Rollen vollständig am Zugriff auf einen AWS-Service zu hindern, können Sie dieIAM-Berechtigungen entfernen, die diesen Zugriff gewähren, oder Service-Kontrollrichtlinien(SCPs) (p. 93) in AWS Organizations verwenden.

• Wenn Sie über Anmeldeinformationen mit Berechtigungen in AWS Organizations und denvertrauenswürdigen Service verfügen, deaktivieren Sie den Zugriff mithilfe von Tools (Konsole oder AWSCLI), die für den vertrauenswürdigen Service verfügbar sind. Der Service führt dann eine Bereinigungdurch, indem er die nicht mehr benötigte Ressource entfernt und den vertrauenswürdigen Zugriff für denService in Ihrem Namen in AWS Organizations deaktiviert.

Für diese Anmeldeinformationen sind mindestens die folgenden Berechtigungen erforderlich:• organizations:DisableAWSServiceAccess: Sie können auch den Bedingungsschlüsselorganizations:ServicePrincipal mit dieser Operation verwenden, um Anforderungen zubegrenzen, die diese Operationen an eine Liste genehmigter Service-Prinzipalnamen richten. WeitereInformationen finden Sie unter Bedingungsschlüssel (p. 282).

• organizations:ListAWSServiceAccessForOrganization – Erforderlich bei Verwendung derAWS Organizations-Konsole

• Die Berechtigungen, die mindestens vom vertrauenswürdigen Service benötigt werden, hängen vomService ab. Weitere Informationen finden Sie in der Dokumentation zum vertrauenswürdigen Service.

• Wenn die Anmeldeinformationen mit Berechtigungen in AWS Organizations nicht dieAnmeldeinformationen mit Berechtigungen im vertrauenswürdigen Service sind, führen Sie diese Schrittein der folgenden Reihenfolge aus:

211

AWS Organizations BenutzerhandbuchSo aktivieren oder deaktivieren Sie

den vertrauenswürdigen Zugriff

1. Die Person mit Berechtigungen im vertrauenswürdigen Service deaktiviert zuerst den Zugriff überden Service. Dies weist den vertrauenswürdigen Service an, eine Bereinigung vorzunehmen,indem die für den vertrauenswürdigen Zugriff erforderliche Ressourcen entfernt werden. WeitereInformationen finden Sie in den servicespezifischen Anleitungen unter AWS-Services, die Sie mit AWSOrganizations verwenden können (p. 214).

2. Die Person, die über Berechtigungen in AWS Organizations verfügt, kann dann über die AWSOrganizations-Konsole, AWS CLI oder ein AWS-SDK den Zugriff für den vertrauenswürdigen Servicedeaktivieren. Dadurch werden die Berechtigungen für den vertrauenswürdigen Service aus derOrganisation und deren Konten entfernt.

Die AWS Organizations-Berechtigungen, die mindestens erforderlich sind, sind:• organizations:DisableAWSServiceAccess

• organizations:ListAWSServiceAccessForOrganization – Nur erforderlich beiVerwendung der AWS Organizations-Konsole

Informationen zu den spezifischen Schritte zum Deaktivieren des vertrauenswürdigen Zugriffs inAWS Organizations finden Sie unter So aktivieren oder deaktivieren Sie den vertrauenswürdigenZugriff (p. 212).

So aktivieren oder deaktivieren Sie denvertrauenswürdigen Zugriff

Wenn Sie nur über Berechtigungen für AWS Organizations verfügen und einen vertrauenswürdigen Zugriffauf Ihre Organisation im Namen des Administrators anderer AWS-Services aktivieren oder deaktivierenmöchten, führen Sie die folgenden Schritte durch.


So aktivieren oder deaktivieren Sie den vertrauenswürdigen Servicezugriff


2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie einen Zugriff aktivieren, fahren Sie mit dem nächsten Schritt fort. Wenn Sie einen Zugriff

deaktivieren, warten Sie, bis Sie vom Administrator darüber informiert wurden, dass der Servicedeaktiviert und die Ressourcen bereinigt wurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services nach dem gewünschten Service undwählen Sie je nach Bedarf Enable access oder Disable access aus.

5. Wenn Sie den Zugriff aktivieren, informieren Sie den Administrator des anderen AWS-Servicesdarüber, dass nun der andere Service für die Ausführung in AWS Organizations aktiviert werdenkann.

AWS CLI, AWS API

So aktivieren oder deaktivieren Sie den vertrauenswürdigen Servicezugriff

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigenServicezugriff aktivieren oder deaktivieren:

• AWS CLI: AWS Organizations enable-aws-service-access• AWS CLI: AWS Organizations disable-aws-service-access

212



https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html

https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html

AWS Organizations BenutzerhandbuchAWS Organizations und serviceverknüpfte Rollen

• AWS -API: EnableAWSServiceAccess• AWS -API: DisableAWSServiceAccess

AWS Organizations und serviceverknüpfte RollenAWS Organizations verwendet servicegebundene IAM-Rollen, um vertrauenswürdigen Services dieDurchführung von Aufgaben in Ihrem Namen in den Mitgliedskonten Ihrer Organisation zu ermöglichen.Wenn Sie einen vertrauenswürdigen Service konfigurieren und ihn für die Integration in Ihre Organisationautorisieren, kann dieser Service verlangen, dass AWS Organizations in jedem seiner Mitgliedskonten eineservicegebundene Rolle erstellt. Der vertrauenswürdige Service tut dies asynchron – je nach Bedarf – undnicht unbedingt in allen Konten der Organisation gleichzeitig. Die serviceverknüpfte Rolle hat vordefinierteIAM-Berechtigungen, die es dem vertrauenswürdigen Service ermöglichen, nur bestimmte Aufgabeninnerhalb dieses Kontos auszuführen. Im Allgemeinen verwaltet AWS alle servicegebundenen Rollen. Diesbedeutet, dass Sie die Rollen oder die verknüpften Richtlinien in der Regel nicht ändern können.

Um all dies zu ermöglichen, stellt AWS Organizations das Mitgliedskonto mit einer servicegebundenenRolle namens AWSServiceRoleForOrganizations bereit, wenn Sie ein Konto in einer Organisationerstellen oder eine Einladung annehmen, mit der Ihr vorhandenes Konto einer Organisation beitritt. Nur derAWS Organizations-Service selbst kann diese Rolle übernehmen. Die Rolle verfügt über Berechtigungen,die es AWS Organizations ermöglichen, serviceverknüpfte Rollen für andere AWS-Services zu erstellen.Diese servicegebundene Rolle ist in allen Organisationen vorhanden.

Wenn Ihr Unternehmen nur konsolidierte Fakturierungsfunktionen (p. 7) aktiviert hat, wird dieservicegebundene Rolle namens AWSServiceRoleForOrganizations nie verwendet undkann gelöscht werden. Wir empfehlen diese Vorgehensweise jedoch nicht. Wenn Sie später alleFunktionen (p. 7) in Ihrer Organisation aktivieren möchten, ist die Rolle erforderlich und musswiederhergestellt werden. Die folgenden Prüfungen finden statt, wenn Sie den Prozess starten, um alleFunktionen zu aktivieren:

• Für jedes Mitgliedskonto, das zum Beitritt zur Organisation eingeladen wurde – Der Kontoadministratorerhält eine Anforderung zur Zustimmung für die Aktivierung aller Funktionen. Um derAnforderung erfolgreich zustimmen zu können, muss der Administrator sowohl die Berechtigungorganizations:AcceptHandshake als auch die Berechtigung iam:CreateServiceLinkedRolebesitzen, wenn die serviceverknüpfte Rolle (AWSServiceRoleForOrganizations) nicht bereitsvorhanden ist. Wenn die Rolle AWSServiceRoleForOrganizations bereits existiert, benötigtder Administrator nur die Berechtigung organizations:AcceptHandshake, um der Anfragezuzustimmen. Wenn der Administrator der Anforderung zustimmt, erstellt AWS Organizations dieservicegebundene Rolle, wenn sie noch nicht vorhanden ist.

• Für jedes Mitgliedskonto, das in der Organisation angelegt wurde – Der Kontoadministratorerhält die Anforderung, die servicegebundene Rolle neu zu erstellen. (Der Administrator desMitgliedskontos erhält keine Anforderung zur Aktivierung aller Funktionen, da der Administrator desManagementkontos (früher als "Masterkonto" bezeichnet) als Eigentümer der erstellten Mitgliedskontenbetrachtet wird.) AWS Organizations erstellt die serviceverknüpfte Rolle, wenn der Administratordes Mitgliedskontos der Anforderung zustimmt. Der Administrator muss sowohl die Berechtigungorganizations:AcceptHandshake als auch die Berechtigung iam:CreateServiceLinkedRolebesitzen, um den Handshake erfolgreich akzeptieren zu können.

Nachdem Sie alle Funktionen in Ihrer Organisation aktiviert haben, können Sie die servicegebundene RolleAWSServiceRoleForOrganizations nicht mehr aus einem Konto löschen.

Important

AWS Organizations SCPs wirkt sich nie auf serviceverknüpfte Rollen aus. Diese Rollen sind vonjeglichen Beschränkungen durch Service-Kontrollrichtlinien ausgenommen.

213

https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html


AWS Organizations BenutzerhandbuchServices, die mit Organisationen arbeiten

AWS-Services, die Sie mit AWS Organizationsverwenden können

AWS Organizations ermöglicht Ihnen die Skalierung der Ausführung von Kontoverwaltungsaktivitäten,da mehrere AWS-Konten zu einer einzelnen Organisation konsolidiert werden. Das Konsolidieren vonKonten vereinfacht die Nutzung anderer AWS-Services. Sie können die in AWS Organizations verfügbarenServices für die Multikontenverwaltung für bestimmte AWS-Services nutzen, um Aufgaben für alle Kontenauszuführen, die Mitglied Ihrer Organisation sind.

In der folgenden Tabelle werden die AWS-Services, die Sie mit AWS Organizations verwenden können,zusammen mit einer Angabe der Vorteile aufgelistet, die die organisationsweite Verwendung der einzelnenServices bietet.

Vertrauenswürdiger Zugriff – Sie können einen kompatiblen AWS-Service aktivieren, um Vorgänge überalle AWS-Konten in Ihrer Organisation auszuführen. Weitere Informationen finden Sie unter Verwenden vonAWS Organizations mit anderen AWS-Services (p. 210).

Delegierter Administrator – Ein kompatibler AWS-Service kann ein AWS-Mitgliedskonto in der Organisationals Administrator für die Konten der Organisation in diesem Service registrieren.

AWS-Service Vorteile derVerwendungmit AWSOrganizations

UnterstütztvertrauenswürdigenZugriff

Unterstützt delegiertenAdministrator

AWS Artifact

Downloadvon AWS-Compliance-Berichten zurSicherheit, z. B.von ISO- undPCI-Berichten.

Sie könnenim NamenallerKontenin IhrerOrganisationVereinbarungenzustimmen.

Yes

WeitereInformationen (p. 230)

No

AWS AuditManager

AutomatisierenSie diekontinuierlicheSammlung vonNachweisen, umIhre Nutzung vonCloud-Serviceszu überwachen.

Sie könnenIhre AWS-NutzungkontinuierlichübermehrereKontenin IhrerOrganisationhinwegüberprüfen,um dieRisiko- undCompliance-Bewertungzuvereinfachen.

Yes


Yes


AWS Backup Sie könnenSicherungsplänefür die

Yes No

214

https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html

https://docs.aws.amazon.com/audit-manager/latest/userguide/

https://docs.aws.amazon.com/audit-manager/latest/userguide/

https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html#enabling-orgs

https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html





Verwalten undüberwachen SieSicherungenüber alleKonten in IhrerOrganisationhinweg.

gesamteOrganisationoder fürGruppenvon Kontenin IhrenOrganisationseinheiten(OUs)konfigurierenundverwalten.Siekönnen dieSicherungenfür alle IhreKontenzentralüberwachen.


AWSCloudFormationStackSets

Ermöglicht Ihnendas Erstellen,Aktualisierenund Löschenvon Stacks übermehrere Kontenund Regionenin einer einzigenOperation.

EinBenutzerimManagementkontokann einStack-Set mitserviceverwaltetenBerechtigungenerstellen,das Stack-Instancesfür Kontenin IhrerOrganisationbereitstellt.

Yes


No

AWS CloudTrail

Aktivierung vonGovernance-,Compliance-,Betriebs- undRisikoprüfungenfür Ihr Konto.

EinBenutzerin einemVerwaltungskontokann einenOrganisations-Trailerstellen,der alleEreignissefür alleKontenin dieserOrganisationprotokolliert.

Yes


No

215

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html





AmazonCloudWatchEvents

EchtzeitüberwachungIhrer AWS-Ressourcenund der in AWSausgeführtenAnwendungen.

Siekönnen dieFreigabeallerCloudWatch-Ereignissefür alleKontenin IhrerOrganisationaktivieren.

WeitereInformationenfindenSie unterSendenundEmpfangenvonEreignissenzwischenAWS-Konten imBenutzerhandbuchfür AmazonCloudWatchEvents.

No No

216

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatch.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEvents-CrossAccountEventDelivery.html












AWS ComputeOptimizer

Fordern SieEmpfehlungenzur AWS-Datenverarbeitungsoptimierungan.

Sie könnenalleRessourcenanalysieren,die sich inden KontenIhrerOrganisationbefinden,umOptimierungsempfehlungenzu erhalten.

WeitereInformationenfinden Sieunter VonComputeOptimizerunterstützteKontenim AWSComputeOptimizerBenutzerhandbuch.

Yes


No

AWS Config

Zugriff,Prüfung undBewertung derKonfigurationenIhrer AWS-Ressourcen.

Sie könneneineorganisationsweiteAnsichtIhresCompliance-Statusabrufen.Sie könnenauch AWSConfig API-OperationenzumVerwaltenvon AWSConfig-Regeln undEinhaltungspaketefür alleAWS-Kontenin IhrerOrganisationverwenden.

Yes


Yes

Weitere Informationen:

Konfigurationsregeln

Conformance Packs

217

https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is.html


https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#supported-accounts





https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html

https://docs.aws.amazon.com/config/latest/APIReference/welcome.html



https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html

https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html





AWS Kontroll-Tower

Verwalten undrichten Sieeine sichere,kompatibleAWS-Umgebungmit mehrerenKonten ein

Sie könneneineLandingZoneeinrichten,eineUmgebungmitmehrerenKontenfür alleIhre AWS-Ressourcen.DieseUmgebungumfassteineOrganisationundOrganisationsentitäten.Sie könnendieseUmgebungzurDurchsetzungvonCompliance-Vorschriftenin all IhrenAWS-Kontenverwenden.

WeitereInformationenfindenSie unterFunktionsweisevon AWSControlTower undVerwaltenvon Kontenüber AWSOrganizationsim AWSControlTowerBenutzerhandbuch.

Yes

WeitereInformationen

No

218

https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html

https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html

https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html




https://docs.aws.amazon.com/controltower/latest/userguide/organizations.html




https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html

https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html





AWS DirectoryService

Einrichtung undAusführung vonVerzeichnissenin der AWS-Cloud sowieVerbindungder AWS-Ressourcenmit einembestehendenMicrosoft ActiveDirectory vor Ort.

DieIntegrationvon AWSDirectoryServicemit AWSOrganizationsermöglichtdienahtloseVerzeichnisfreigabefür mehrereKonten undjede VPCin einerRegion.

Yes


No

AWS FirewallManager

ZentraleKonfigurationund Verwaltungvon Firewall-Regeln fürWebanwendungenfür alleKonten undAnwendungen.

Sie könnenAWS WAF-Regeln füralle Kontenin IhrerOrganisationzentralkonfigurierenundverwalten.

Yes


No

219

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/


https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html

https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html





AmazonGuardDuty

GuardDuty istein Service zurkontinuierlichenSicherheitsüberwachung,derInformationenaus einerVielzahl vonDatenquellenanalysiert undverarbeitet.Es verwendetBedrohungsdatenfeedsund MachineLearning, umunerwartete undmöglicherweisenicht autorisierteund böswilligeAktivitäteninnerhalb IhrerAWS-Umgebungzu identifizieren.

Siekönnen einMitgliedskontofestlegen,dasGuardDutyfür alleKontenin IhrerOrganisationanzeigenundverwaltensoll.Durch dasHinzufügenvonMitgliedskontenwirdGuardDutyfür dieseKontenin derausgewähltenAWS-Regionautomatischaktiviert.Siekönnen dieGuardDuty-Aktivierungauch fürneueKontenautomatisieren,die IhrerOrganisationhinzugefügtwurden.

WeitereInformationenfindenSie unterGuardDutyundOrganisationenimBenutzerhandbuchfür AmazonGuardDuty.

Yes


Yes


220

https://docs.aws.amazon.com/guardduty/latest/ug/

https://docs.aws.amazon.com/guardduty/latest/ug/

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html








AWS Health

InformierenSie sich überEreignisse, diesich auf dieLeistung IhrerRessourcen oderVerfügbarkeitsproblemefür AWS-Servicesauswirkenkönnten.

Sie könnenAWSHealth-Ereignissekontenübergreifendin IhrerOrganisationaggregieren.

Yes


No

221

https://docs.aws.amazon.com/health/latest/ug/





AWS Identityand AccessManagement

SichereSteuerungdes Zugriffsauf AWS-Ressourcen.

Mithilfeder Datenzum letztenServicezugriffin IAMkönnen Siedie AWS-Aktivitätenin IhrerOrganisationbesserverstehen.Sie könnendieseDaten zumErstellenundAktualisierenvonService-Kontrollrichtlinien(ServiceControlPolicies,SCPs) (p. 93)verwenden,die denZugriff aufdie vonden KontenIhresUnternehmensverwendetenAWS-Servicesbeschränken.

Ein BeispielfindenSie unterVerwendenvon DatenzumOptimierenvonBerechtigungenfür eineOrganisationseinheitim IAM-Benutzerhandbuch.

No No

222



















IAM AccessAnalyzer

Analysieren SieressourcenbasierteRichtlinien inIhrer AWS-Umgebung, umalle Richtlinienzu identifizieren,die Zugriff aufeinen Prinzipalaußerhalb IhrerVertrauenszonegewähren.

Siekönnen einMitgliedskontoalsAdministratorfür IAMAccessAnalyzerfestlegen.

WeitereInformationenfindenSie unterAktivierenvon AccessAnalyzerim IAM-Benutzerhandbuch.

Yes

WeitereInformationen

Yes


AWS LicenseManager(Lizenzmanager)

Optimierung derMigration vonSoftwarelizenzenin die Cloud.

Sie könnenComputing-Ressourcenin IhrergesamtenOrganisationkontoübergreifendentdecken.

Yes


No

223

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-what-is-access-analyzer.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-what-is-access-analyzer.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling





https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-settings.html

https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html







Amazon MacieErkennt undklassifiziert IhregeschäftskritischenInhalte mithilfevon MachineLearning. Dieshilft Ihnen,Anforderungenin Bezug aufDatensicherheitund Datenschutzzu erfüllen. DieLösung evaluiertkontinuierlich dieInhalte, die Siein Amazon S3speichern, undbenachrichtigtSie überpotenzielleProbleme.

Sie könnenAmazonMacie füralle Kontenin IhrerOrganisationkonfigurieren.So erhaltenSieüber eindediziertesMacie-AdministratorkontoeinekonsolidierteAnsichtaller Datenin allenAmazonS3-Konten.Sie könnenMacie sokonfigurieren,dassRessourcenin neuenKontenautomatischgeschütztwerden,wenn IhreOrganisationwächst. SieerhaltenBenachrichtigungen,dieIhnen dieKorrekturfalschkonfigurierterRichtlinienin S3-Bucketsin dergesamtenOrganisationermöglichen.

Yes


Yes


224

https://docs.aws.amazon.com/macie/latest/user/

https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin





AWSMarketplace

Einzusammengestellterdigitaler Katalog,mit dem SieDrittanbieter-Software, -Datenund -Servicessuchen, kaufen,bereitstellenund verwaltenkönnen, die Siezum Erstellenvon Lösungenund für dieUnternehmensführungbenötigen.

Sie könnenLizenzenfür IhreAWSMarketplace-Abonnementsund -Käufefür alleKontenin IhrerOrganisationfreigeben.

Yes


No

225

https://docs.aws.amazon.com/marketplace/latest/buyerguide

https://docs.aws.amazon.com/marketplace/latest/buyerguide





AWS RAM

FreigabeangegebenerAWS-Ressourcen, dieSie gemeinsammit anderenKonten besitzen.

Sie könnenRessourceninnerhalbIhrerOrganisationfreigeben,ohnezusätzlicheEinladungenauszutauschen.Zu denRessourcen,die Siefreigebenkönnen,gehörenRoute 53-Resolver-Regeln,On-Demand-Kapazitätsreservierungenund vielesmehr.

WeitereInformationenzumFreigebenvonKapazitätsreservierungenfindenSie unterAmazonEC2-Benutzerhandbuchfür Linux-Instancesoder imAmazonEC2-BenutzerhandbuchfürWindows-Instances.

EineListe dergemeinsamnutzbarenRessourcenfinden

Yes


No

226

https://docs.aws.amazon.com/ram/latest/userguide/

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html#resolver-overview-forward-vpc-to-network-using-rules



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html





https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-capacity-reservations.html










Sie unterGemeinsameRessourcenim AWSRAM-Benutzerhandbuch.

AWS SecurityHub

Zeigen Sie IhrenSicherheitsstatusin AWS an undüberprüfen SieIhre Umgebungim Hinblickauf Standardsund bewährteMethoden derSicherheitsbranche.

Sie könnenSecurityHubautomatischfür alleKontenIhrerOrganisationaktivieren,einschließlichneuerKonten, diehinzugefügtwerden.Dieserhöht dieAbdeckungfür SecurityHub-Prüfungenund -Ergebnisse,was eingenaueresBild IhrerallgemeinenSicherheitslageliefert.

Yes


Yes


227

https://docs.aws.amazon.com/ram/latest/userguide/shareable.html

https://docs.aws.amazon.com/ram/latest/userguide/shareable.html

https://docs.aws.amazon.com/securityhub/latest/userguide/


https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html





Amazon S3Speicher-Linse

Erhalten Sie mitumsetzbarenEmpfehlungenzurSpeicheroptimierungEinblicke in IhreAmazon S3-SpeichernutzungundAktivitätsmetriken.

KonfigurierenSieAmazonS3 StorageLens, umEinblickein dieEntwicklungderAmazonS3-Speichernutzungund -AktivitätsowieEmpfehlungenfür alleMitgliedskontenin IhrerOrganisationzu erhalten.

Yes


Yes


AWS ServiceCatalog

Erstellung undVerwaltung vonKatalogen mit IT-Services, derenVerwendungin AWS vonIhnen genehmigtwurde.

Sie könnenPortfolioseinfacherfreigebenundProduktekontenübergreifendkopieren,ohnePortfolioIDsfreigebenzu müssen.

Yes


Yes


Servicekontingente

Anzeige undVerwaltung vonService-Kontingenten,auch alsEinschränkungenbezeichnet, voneinem zentralenOrt aus.

Sie könneneineKontingent-Anforderungsvorlageerstellen,umautomatischeineKontingenterhöhunganzufordern,wennKontenin IhrerOrganisationerstelltwerden.

Yes


No

228

https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-lens.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-lens.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_console_organizations_registering_delegated_admins.html

https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html


https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing.html#portfolio-sharing-organizations

https://docs.aws.amazon.com/servicequotas/latest/userguide/intro.html





AWS –EinmaligesAnmelden

Bereitstellungvon Single Sign-On-Servicesfür alle Kontenund Cloud-Anwendungen.

Benutzerkönnensich mitihrenUnternehmensanmeldeinformationenam AWSSSO-Benutzerportalanmeldenund aufRessourcenin ihremzugewiesenenManagement-Konto oderMitgliedskontozugreifen.

Yes


No

AWS SystemsManager

Transparenzund Kontrolleüber Ihre AWS-Ressourcen.

Mithilfe vonSystemsManagerExplorerkönnen SieBetriebsdatenin allenAWS-Kontenin IhrerOrganisationsynchronisieren.

Sie könnenÄnderungsvorlagen,GenehmigungenundBerichtefür alleMitgliedskontenin IhrerOrganisationvon einemdelegiertenAdministratorkontoausverwalten,indem SieSystemsManagerChangeManagerverwenden.

Yes (nurSystems

Manager-Explorer)


Yes

Systems Manager-Explorer: Weitere

Informationen

Systems Manager-Änderungsmanager:


229




https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html


https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html

AWS Organizations BenutzerhandbuchAWS Artifact




AWS TrustedAdvisor

Trusted Advisorüberprüft IhreAWS-Umgebungund gibtEmpfehlungenfür Möglichkeitenab, Geld zusparen, dieSystemverfügbarkeitund -leistung zuverbessern oderSicherheitslückenzu schließen.

Führen SieTrustedAdvisor-Prüfungenfür alleAWS-Kontenin IhrerOrganisationaus.

Yes


No

Markieren (p. 172)

Verwenden SieTags für alleRessourcen inden Konten IhrerOrganisation.

Sie könnenTag-Richtlinienerstellen,umTagging-Regeln fürbestimmteRessourcenundRessourcentypenzudefinieren,und dieseRichtlinienanOrganisationseinheitenund Kontenanfügen,um dieseRegeln zuerzwingen.

Yes


No

AWS Artifact und AWS OrganizationsAWS Artifact ist ein Service, mit dem Sie AWS-Sicherheits-Compliance-Berichte herunterladen können,z. B. ISO- und PCI-Berichte. Mit AWS Artifact kann ein Benutzer im Managementkonto der Organisationautomatisch Vereinbarungen für alle Mitgliedskonten in einer Organisation akzeptieren, auch wenn neueBerichte und Konten hinzugefügt werden. Benutzer von Mitgliedskonten können Vereinbarungen anzeigenund herunterladen. Weitere Informationen finden Sie unter Verwalten einer Vereinbarung für mehrereKonten in AWS Artifact im AWS Artifact-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Artifact mit AWSOrganizations helfen.

230

https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html

https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html

https://docs.aws.amazon.com/artifact/latest/ug/manage-org-agreement.html

https://docs.aws.amazon.com/artifact/latest/ug/manage-org-agreement.html


Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 231)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 231)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Artifact (p. 231)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Artifact (p. 232)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS Artifact,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSArtifact und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSArtifactAccountSync

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonAWS Artifact verwendete serviceverknüpfte Rolle gewährt Zugriff auf den folgenden Service-Prinzipal:

• AWSArtifactAccountSync

Aktivieren des vertrauenswürdigen Zugriffs mit AWS ArtifactWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff auf der Organisationen-Seite aktivieren, indem Sie entwederdie AWS Organizations-Konsole verwenden, einen AWS CLI-Befehl ausführen oder eine API-Operation ineinem der AWS-SDKs aufrufen.


So aktivieren Sie den vertrauenswürdigen Servicezugriff über die Organisationen-Konsole


2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für AWS-

Services) die Zeile für den AWS Artifact und wählen Sie dann Enable access (Zugriff aktivieren).4. Wenn Sie nur Administrator von AWS Organizations sind, teilen Sie dem Administrator von AWS

Artifact mit, dass er diesen Service jetzt für die Arbeit mit AWS Organizations aktivieren kann.

231

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html




AWS CLI, AWS API

So aktivieren Sie den vertrauenswürdigen Servicezugriff mit einem Organisationen-AWS CLI-Befehloder einer API

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigenServicezugriff aktivieren:

• AWS CLI: aws organizations enable-aws-service-access

Sie können den folgenden Befehl ausführen, um AWS Artifact als vertrauenswürdigen Service beiOrganisationen zu aktivieren.

$ aws organizations enable-aws-service-access \ --service-principle AWSArtifactAccountSync

Der vorherige Befehl erzeugt bei Erfolg keine Ausgabe.• AWS-API: EnableAWSServiceAccess

Deaktivieren des vertrauenswürdigen Zugriffs mit AWS ArtifactWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff nur über die AWS Organizations-Konsole deaktivieren. AWSArtifact erfordert vertrauenswürdigen Zugriff mit AWS Organizations, um mit Organisationsvereinbarungenzu arbeiten. Wenn Sie vertrauenswürdigen Zugriff mithilfe von AWS Organizations deaktivieren, währendSie AWS Artifact für Organisationsvereinbarungen verwenden, funktioniert es nicht mehr, da es nichtmehr auf die Organisation zugreifen kann. Alle Organisationsvereinbarungen, die Sie in AWS Artifactakzeptieren, bleiben erhalten, jedoch ist der Zugriff über AWS Artifact nicht möglich. Die AWS Artifact-Rolle, die AWS Artifact erstellt, bleibt erhalten. Wenn Sie den vertrauenswürdigen Zugriff dann wiederaktivieren, funktioniert AWS Artifact wie vorher, ohne dass der Service neu konfiguriert werden muss.

Ein eigenständiges Konto, das aus einer Organisation entfernt wurde, hat keinen Zugriff mehr aufOrganisationsvereinbarungen.

Sie können den vertrauenswürdigen Zugriff auf der Organisationen-Seite deaktivieren, indem Sie entwederdie AWS Organizations-Konsole verwenden, einen AWS CLI-Befehl ausführen oder eine API-Operation ineinem der AWS-SDKs aufrufen.


So deaktivieren Sie den vertrauenswürdigen Servicezugriff über die Organisationen-Konsole


2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Artifact sind, warten Sie,

bis der Administrator von AWS Artifact Ihnen mitteilt, dass er die Integration in die Konsole oderdie Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigt wurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Artifact und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

232





AWS Organizations BenutzerhandbuchAWS Audit Manager

AWS CLI, AWS API

So deaktivieren Sie den vertrauenswürdigen Servicezugriff mit einem Organisationen-AWS CLI-Befehloder einer API

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigenServicezugriff deaktivieren:

• AWS CLI: aws organizations disable-aws-service-access

Sie können den folgenden Befehl ausführen, um AWS Artifact als vertrauenswürdigen Service beiOrganisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle AWSArtifactAccountSync

Der vorherige Befehl erzeugt bei Erfolg keine Ausgabe.• AWS-API: DisableAWSServiceAccess

AWS Audit Manager und AWS OrganizationsAWS Audit Manager unterstützt Sie bei der kontinuierlichen Prüfung Ihrer AWS-Nutzung, um zuvereinfachen, wie Sie Risiken und Compliance mit Vorschriften und Branchenstandards bewerten. AuditManager automatisiert das Erfassen von Nachweisen, um die Bewertung zu erleichtern, ob Ihre Richtlinien,Verfahren und Aktivitäten effektiv funktionieren. Wenn es an der Zeit für eine Prüfung ist, hilft AuditManager Ihnen, die Überprüfungen Ihrer Kontrollen durch die Besitzer zu verwalten und mit viel wenigermanuellem Aufwand Audit-Berichte zu erstellen.

Wenn Sie Audit Manager in AWS Organizations integrieren, können Sie Nachweise aus einer breiterenQuelle erfassen, indem Sie mehrere AWS-Konten von Ihrer Organisation im Rahmen Ihrer Bewertungeneinschließen.

Weitere Informationen finden Sie unter Aktivieren von AWS Organizations im -BenutzerhandbuchAuditManager.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Audit Manager mitAWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 233)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 234)• So aktivieren Sie den vertrauenswürdigen Zugriff mit Audit Manager (p. 234)• So deaktivieren Sie den vertrauenswürdigen Zugriff mit Audit Manager (p. 234)• Aktivieren eines delegierten Administratorkontos für Audit Manager (p. 235)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgende serviceverknüpfte Rolle wird automatisch in den Konten Ihrer Organisation erstellt, wennSie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Audit Manager, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen. Weitere Informationen darüber,wie Audit Manager diese Rolle verwendet, finden Sie unter Verwenden von serviceverknüpften Rollen imBenutzerhandbuchAWS Audit Manager.

233



https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html#enabling-orgs


https://docs.aws.amazon.com/audit-manager/latest/userguide/using-service-linked-roles.html

AWS Organizations BenutzerhandbuchAWS Audit Manager

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AuditManager und Organisationen deaktivieren.

• AWSServiceRoleForAuditManager

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon Audit Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• auditmanager.amazonaws.com

So aktivieren Sie den vertrauenswürdigen Zugriff mit AuditManagerWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Audit Manager erfordert vertrauenswürdigen Zugriff auf AWS Organizations, bevor Sie ein Mitgliedskontoals delegierten Administrator für Ihre Organisation festlegen können.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Audit Manager-Konsole oder über dieAWS CLI oder die API aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Audit Manager-Konsole

Anweisungen zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Einrichten im -BenutzerhandbuchAWS Audit Manager.

Note

Wenn Sie einen delegierten Administrator mit der AWS Audit Manager-Konsole konfigurieren,aktiviert AWS Audit Manager automatisch den vertrauenswürdigen Zugriff für Sie.

So deaktivieren Sie den vertrauenswürdigen Zugriff mit AuditManagerWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Nur ein Administrator im AWS Organizations-Verwaltungskonto kann den vertrauenswürdigen Zugriff mitAWS Audit Manager deaktivieren. Sie können den vertrauenswürdigen Zugriff über die Organisationen-Konsole deaktivieren.

So deaktivieren Sie den vertrauenswürdigen Zugriff mithilfe der AWS Organizations-Konsole

Siehe So aktivieren oder deaktivieren Sie den vertrauenswürdigen Zugriff (p. 212).

234

https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao

AWS Organizations BenutzerhandbuchAWS Backup

Aktivieren eines delegierten Administratorkontos für AuditManagerWenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzerund Rollen dieses Kontos administrative Aktionen für Audit Manager ausführen, die andernfalls nur vonBenutzern oder Rollen im Managementkonto der Organisation ausgeführt werden können. Auf diese Weisekönnen Sie die Verwaltung der Organisation von der Verwaltung von Audit Manager trennen.


Nur ein IAM-Benutzer oder eine Rolle im Organisationen-Verwaltungskonto mit der folgendenBerechtigung kann ein Mitgliedskonto als delegierter Administrator für Audit Manager in derOrganisation konfigurieren:audit-manager:RegisterAccount

Eine Anleitung zum Aktivieren eines delegierten Administratorkontos für Audit Manager finden Sie unterEinrichten im AWS Audit Manager-Benutzerhandbuch.

Wenn Sie einen delegierten Administrator mithilfe der AWS Audit Manager-Konsole konfigurieren, aktiviertAudit Manager automatisch den vertrauenswürdigen Zugriff für Sie.

AWS CLI, AWS API

Wenn Sie ein delegiertes Administratorkonto mit der AWS-CLI oder einem der AWS-SDKskonfigurieren möchten, können Sie die folgenden Befehle verwenden:

• AWS CLI:

$ aws audit-manager register-account \ --delegated-admin-account 123456789012

• -AWS-SDK: Rufen Sie die Operation RegisterAccount auf und geben SiedelegatedAdminAccount als Parameter an, um das Administratorkonto zu delegieren.

AWS Backup und AWS OrganizationsAWS Backup ist ein Service, mit dem Sie die AWS Backup-Aufgaben in Ihrer Organisation verwaltenund überwachen können. Wenn Sie sich mit AWS Backup als Benutzer im Managementkonto derOrganisation (früher als „Masterkonto“ bezeichnet) anmelden, können Sie den organisationsweitenSicherungsschutz und die Überwachung aktivieren. Dies hilft Ihnen, Compliance zu erzielen, da mithilfevon Sicherungsrichtlinien (p. 138) AWS Backup-Pläne zentral auf Ressourcen für alle Konten in IhrerOrganisation angewendet werden. Wenn Sie AWS Backup und AWS Organizations zusammen verwenden,bringt Ihnen dies folgende Vorteile:

Schutz

Sie können den Sicherungsrichtlinientyp in Ihrer Organisation aktivieren (p. 74) und dannSicherungsrichtlinien erstellen (p. 142), die an den Organisationsstamm, die OUs oder die Kontenangefügt werden sollen. Eine Sicherungsrichtlinie kombiniert einen AWS Backup-Plan mit den anderenDetails, die erforderlich sind, um den Plan automatisch auf Ihre Konten anzuwenden. Richtlinien,die direkt an ein Konto angefügt sind, werden mit Richtlinien zusammengeführt, die von demOrganisationsstamm und allen übergeordneten (p. 82)vererbten Richtlinien zum Erstellen einerOUsEffektive Richtlinie (p. 149) die für das Konto gelten. Die Richtlinie enthält die ID einer IAM-Rolle, dieüber Berechtigungen zur Ausführung von AWS Backup auf den Ressourcen in Ihren Konten verfügt.AWS Backup verwendet die IAM-Rolle, um die Sicherung gemäß dem Sicherungsplan in der effektivenRichtlinie in Ihrem Namen durchzuführen.

235

https://docs.aws.amazon.com/audit-manager/latest/userguide/console-settings.html#settings-ao


Überwachen

Wenn Sie vertrauenswürdigen Zugriff für AWS Backupin Ihrer Organisation aktivieren (p. 212),können Sie über die AWS Backup-Konsole Details zu den Sicherungs-, Wiederherstellungs- undKopieraufgaben in den Konten Ihrer Organisation anzeigen. Weitere Informationen finden Sie unterÜberwachen der Sicherungsaufgaben im AWS Backup-Entwicklerhandbuch.

Weitere Informationen zu AWS Backup finden Sie im AWS Backup-Entwicklerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Backup mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 236)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 236)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Backup (p. 236)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Backup (p. 237)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS Backup,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSBackup und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSBackupDefaultServiceRole

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon AWS Backup verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• backup.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS BackupWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Wir empfehlen, dass Sie den vertrauenswürdigen Zugriff mit AWS Backup über die AWS Backup-Konsoleaktivieren. Weitere Informationen finden Sie unter Aktivieren von Sicherungen in mehreren AWS-Konten imAWS Backup-Entwicklerhandbuch.

236

https://docs.aws.amazon.com/aws-backup/latest/devguide/monitor-and-verify-protected-resources.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/


https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-xaccount-management


Deaktivieren des vertrauenswürdigen Zugriffs mit AWS BackupWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

AWS Backup erfordert vertrauenswürdigen Zugriff mit AWS Organizations, um die Überwachung vonSicherungs-, Wiederherstellungs- und Kopieraufträgen über die Konten Ihrer Organisation hinweg zuermöglichen. Wenn Sie den vertrauenswürdigen Zugriff für AWS Backup deaktivieren, haben Sie nichtmehr die Möglichkeit, Aufgaben außerhalb des aktuellen Kontos anzuzeigen. Die AWS Backup-Rolle, dieAWS Backup erstellt, bleibt erhalten. Wenn Sie den vertrauenswürdigen Zugriff später wieder aktivieren,funktioniert AWS Backup weiter wie vorher, ohne dass der Service neu konfiguriert werden muss.





2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Backup sind, warten Sie,

bis der Administrator von AWS Backup Ihnen mitteilt, dass er die Integration in die Konsole oderdie Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigt wurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Backup und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Backup als vertrauenswürdigen Service beiOrganisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle backup.amazonaws.com


237





AWS Organizations BenutzerhandbuchAWS CloudFormation StackSets

AWS CloudFormation StackSets und AWSOrganizationsAWS CloudFormation Mit StackSets können Sie Stacks über mehrere Konten und Regionen in einereinzigen Operation erstellen, aktualisieren oder löschen.

Weitere Informationen zu StackSets finden Sie unter Arbeiten mit AWS CloudFormation StackSets im.AWS CloudFormation-Benutzerhandbuch

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS CloudFormationStackSets mit AWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 238)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 238)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS CloudFormation Stacksets (p. 238)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS CloudFormation Stacksets (p. 239)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS CloudFormationStacksets, unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSCloudFormation Stacksets und Organisationen deaktivieren oder wenn das Konto aus der Organisationoder der Ziel-Organisationseinheit entfernt wird.

• Management-Konto: CloudFormationStackSetsOrgAdmin• Mitgliedskonten: CloudFormationStackSetsOrgMember

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon AWS CloudFormation Stacksets verwendeten serviceverknüpften Rollen gewähren Zugriff auf diefolgenden Service-Prinzipale:

• Management-Konto: stacksets.cloudformation.amazonaws.com• Mitgliedskonten: member.org.stacksets.cloudformation.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWSCloudFormation StacksetsWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

238



AWS Organizations BenutzerhandbuchAWS CloudFormation StackSets

Sie können den vertrauenswürdigen Zugriff entweder über die AWS CloudFormation StackSets-Konsoleoder über die AWS Organizations-Konsole aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff über die AWS CloudFormation Stacksets-Konsole

Weitere Informationen finden Sie unter Aktivieren des vertrauenswürdigen Zugriffs mit AWS Organizationsim .AWS CloudFormation-Benutzerhandbuch

Auf der Organisationen-Seite können Sie den vertrauenswürdigen Zugriff mithilfe der AWS Organizations-Konsole aktivieren.


So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organisationen-Konsole


2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Suchen Sie im Abschnitt Trusted access for AWS services die Zeile für AWS CloudFormation

StackSets und wählen Sie dann Enable access.4. Wenn Sie nur der Administrator von AWS Organizations sind, informieren Sie den Administrator

von AWS CloudFormation StackSets, dass dieser Service nun mit AWS Organizations arbeitenkann.

Deaktivieren des vertrauenswürdigen Zugriffs mit AWSCloudFormation StacksetsWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff über die AWS Organizations-Konsole deaktivieren. Wenn Sieden vertrauenswürdigen Zugriff mit AWS Organizations deaktivieren, während Sie AWS CloudFormationStackSets verwenden, werden alle zuvor erstellten Stack-Instances beibehalten. Stack-Sets, die mit denBerechtigungen der serviceverknüpften Rolle bereitgestellt werden, können jedoch keine Bereitstellungenmehr für Konten ausführen, die von AWS Organizations verwaltet werden.

Auf der Organisationen-Seite können Sie den vertrauenswürdigen Zugriff entweder über die AWSOrganizations-Konsole, durch Ausführen eines AWS CLI-Befehls oder durch Aufrufen einer API-Operationin einer der AWS SDKs deaktivieren.


So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organisationen-Konsole


2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie der Administrator nur von AWS Organizations und nicht von AWS CloudFormation

StackSets sind, warten Sie, bis der Administrator von AWS CloudFormation StackSets Ihnenmitteilt, dass die Integration mit der Konsole oder den Tools dieses Services deaktiviert wurde unddass alle Ressourcen bereinigt wurden.

239

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html





AWS Organizations BenutzerhandbuchAWS CloudTrail

4. Suchen Sie im Abschnitt Trusted access for AWS services den Eintrag für AWS CloudFormationStackSets und wählen Sie dann Disable access.

AWS CLI, AWS API

So deaktivieren Sie den vertrauenswürdigen Servicezugriff mit einem Organisationen AWS CLI-Befehloder einer API

Sie können die folgenden AWS CLI-Befehle oder API-Operationen verwenden, um denvertrauenswürdigen Servicezugriff zu deaktivieren:

• AWS CLI: AWS Organizations disable-aws-service-access

Sie können die folgenden Befehle ausführen, um AWS CloudFormation StackSets alsvertrauenswürdigen Service mit Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle stacksets.cloudformation.amazonaws.com$ aws organizations disable-aws-service-access \ --service-principle member.org.stacksets.cloudformation.amazonaws.com

Diese Befehle erzeugen bei Erfolg keine Ausgabe.• AWS -API: DisableAWSServiceAccess

AWS CloudTrail und AWS OrganizationsAWS CloudTrail ist ein AWS-Service für die Überwachung von Governance, Compliance, Betrieb undRisiken im AWS-Konto. Mit AWS CloudTrail kann ein Benutzer in einem Verwaltungskonto (früher als"Masterkonto" bezeichnet) einen Organisations-Trail erstellen, der alle Ereignisse für alle AWS-Kontenin dieser Organisation protokolliert. Organisations-Trails werden automatisch auf alle Mitgliedskonten inder Organisation angewendet. Mitgliedskonten können den Organisations-Trail sehen, diesen aber wederändern noch löschen. Standardmäßig haben Mitgliedskonten keinen Zugriff auf die Protokolldateien für denOrganisations-Trail im Amazon S3-Bucket. So können Sie Ihre Ereignisprotokollstrategie einheitlich auf dieKonten in Ihrer Organisation anwenden und durchsetzen. Weitere Informationen finden Sie im Thema überdas Erstellen eines Trails für eine Organisation im AWS CloudTrail User Guide.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS CloudTrail mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 240)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 241)• Aktivieren des vertrauenswürdigen Zugriffs mit CloudTrail (p. 241)• Deaktivieren des vertrauenswürdigen Zugriffs mit CloudTrail (p. 241)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es CloudTrail, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenCloudTrail und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

240



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html


AWS Organizations BenutzerhandbuchAWS CloudTrail

• AWSServiceRoleForCloudTrail

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonCloudTrail verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• cloudtrail.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit CloudTrailWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie müssen sich mit Ihrem AWS Organizations-Managementkonto anmelden, um einen Organisations-Trailzu erstellen. Wenn Sie den Trail über die AWS CloudTrail-Konsole erstellen, wird der vertrauenswürdigeZugriff automatisch konfiguriert. Wenn Sie eine Organisations-Trail mit AWS CLI oder der AWS-API erstellen möchten, müssen Sie den vertrauenswürdigen Zugriff manuell konfigurieren. WeitereInformationen finden Sie unter Aktivieren von CloudTrail als vertrauenswürdigen Service AWSOrganizations im AWS CloudTrail User Guide./

Sie können den vertrauenswürdigen Zugriff auf der Organisationen-Seite aktivieren, indem Sie einen AWSCLI-Befehl ausführen oder eine API-Operation in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS CloudTrail als vertrauenswürdigen Service beiOrganisationen zu aktivieren.

$ aws organizations enable-aws-service-access \ --service-principle cloudtrail.amazonaws.com


Deaktivieren des vertrauenswürdigen Zugriffs mit CloudTrailWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

AWS CloudTrail erfordert vertrauenswürdigen Zugriff mit AWS Organizations, um mit Organisations-Trails arbeiten zu können. Wenn Sie den vertrauenswürdigen Zugriff mithilfe von AWS Organizations

241

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service



AWS Organizations BenutzerhandbuchAWS Compute Optimizer

deaktivieren, während Sie AWS CloudTrail für Organisations-Trails nutzen, funktioniert der Trail nicht mehrfür Mitgliedskonten, da CloudTrail nicht auf die Organisation zugreifen kann. Die Organisations-Trailsbleiben erhalten. Dasselbe gilt für die AWSServiceRoleForCloudTrail-Rolle, die für die Integrationzwischen CloudTrail und AWS Organizations erstellt wurde. Wenn Sie den vertrauenswürdigen Zugriffwieder aktivieren, funktioniert CloudTrail wie vorher, ohne dass die Trails neu konfiguriert werden müssen.





2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS CloudTrail sind, warten

Sie, bis der Administrator von AWS CloudTrail Ihnen mitteilt, dass er die Integration in die Konsoleoder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigt wurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS CloudTrail und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS CloudTrail als vertrauenswürdigen Service beiOrganisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle cloudtrail.amazonaws.com


AWS Compute Optimizer und AWS OrganizationsAWS Compute Optimizer ist ein Service, der die Konfigurations- und Auslastungsmetriken Ihrer AWS-Ressourcen analysiert. Ressourcenbeispiele umfassen Amazon Elastic Compute Cloud (Amazon EC2)-Instances und Auto Scaling-Gruppen. Compute Optimizer berichtet, ob Ihre Ressourcen optimal sind,und generiert Optimierungsempfehlungen, um die Kosten zu senken und die Leistung Ihrer Workloadszu verbessern. Weitere Informationen zu Compute Optimizer finden Sie im AWS Compute OptimizerBenutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Compute Optimizer mitAWS Organizations helfen.

242







AWS Organizations BenutzerhandbuchAWS Compute Optimizer

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 243)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 243)• Aktivieren des vertrauenswürdigen Zugriffs mit Compute Optimizer (p. 243)• Deaktivieren des vertrauenswürdigen Zugriffs mit Compute Optimizer (p. 243)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Compute Optimizer,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenCompute Optimizer und Organisationen deaktivieren oder wenn das Konto aus der Organisation entferntwird.

• AWSServiceRoleForComputeOptimizer

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonCompute Optimizer verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• compute-optimizer.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit ComputeOptimizerWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Compute Optimizer-Konsole

Sie müssen sich mit dem Managementkonto Ihrer Organisation bei der Compute Optimizer-Konsoleanmelden. Melden Sie sich im Namen Ihrer Organisation an, indem Sie die Anweisungen unter Opting inyour Account im AWS Compute Optimizer Benutzerhandbuch befolgen.

Deaktivieren des vertrauenswürdigen Zugriffs mit ComputeOptimizerWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff auf der Organisationen-Seite deaktivieren, indem Sie einenAWS CLI-Befehl ausführen oder eine API-Operation in einem der AWS-SDKs aufrufen.

243


https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#account-opt-in

https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#account-opt-in

AWS Organizations BenutzerhandbuchAWS Config

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Compute Optimizer als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle compute-optimizer.amazonaws.com


AWS Config und AWS OrganizationsMithilfe der Datenaggregation für mehrere Konten und Regionen in AWS Config können Sie AWS Config-Daten aus mehreren Konten und AWS-Regionen in ein einziges Konto aggregieren. Die Datenaggregationfür mehrere Konten und Regionen ist für IT-Administratoren hilfreich, die die Compliance mehrererAWS-Konten im Unternehmen überwachen. Ein Aggregator ist ein Ressourcentyp in AWS Config, derAWS Config-Daten aus mehreren Quellkonten und -regionen sammelt. Erstellen Sie einen Aggregatorin der Region, in der Sie die aggregierten AWS Config-Daten ansehen möchten. Beim Erstellen einesAggregators können Sie entweder das einzelne Konto IDs oder Ihre Organisation hinzufügen. WeitereInformationen zu AWS Config finden Sie im AWS Config Developer Guide.

Sie können auch AWS Config APIs verwenden, um AWS Config-Regeln für alle AWS-Konten in IhrerOrganisation zu verwalten. Weitere Informationen finden Sie unter Aktivieren von AWS Config-Regeln füralle Konten in Ihrer Organisation im AWS Config Developer Guide.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Config mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 244)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 245)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Config (p. 245)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Config (p. 245)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS Config, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSConfig und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

244



https://docs.aws.amazon.com/config/latest/developerguide/





AWS Organizations BenutzerhandbuchAWS Config

• Für AWS Config: AWSConfigRoleForOrganizations• Für AWS Config-Regeln: AWSServiceRoleForConfigMultiAccountSetup

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonAWS Config verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• Für AWS Config: config.amazonaws.com• Für AWS Config-Regeln: config-multiaccountsetup.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS ConfigWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der AWS Config-Konsole

Um den vertrauenswürdigen Zugriff auf AWS Organizations mithilfe von AWS Config zu aktivieren, erstellenSie einen Aggregator für mehrere Konten und fügen die Organisation hinzu. Weitere Informationen zumKonfigurieren eines Multi-Konten-Aggregators finden Sie unter Einrichten eines Aggregators mithilfe derKonsole im AWS Config Developer Guide.

Deaktivieren des vertrauenswürdigen Zugriffs mit AWS ConfigWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).


AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Config als vertrauenswürdigen Service beiOrganisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle config.amazonaws.com


245

https://docs.aws.amazon.com/config/latest/developerguide/setup-aggregator-console.html

https://docs.aws.amazon.com/config/latest/developerguide/setup-aggregator-console.html



AWS Organizations BenutzerhandbuchAWS Directory Service

AWS Directory Service und AWS OrganizationsAWS Directory Service für Microsoft Active Directory, oder AWS Managed Microsoft AD, ermöglicht Ihnen,Microsoft Active Directory (AD) als verwalteten Service auszuführen. AWS Directory Service vereinfachtdie Einrichtung und Ausführung von Verzeichnissen in der AWS Cloud sowie die Verbindung der AWS-Ressourcen mit einem bestehenden lokalen Microsoft Active Directory. AWS Managed Microsoft AD istaußerdem eng in AWS Organizations integriert, um eine nahtlose Verzeichnisfreigabe über mehrere AWS-Konten hinweg und in jeder beliebigen VPC in einer Region zu ermöglichen. Weitere Informationen hierzufinden Sie unter AWS Directory Service Administration Guide.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Directory Service mitAWS Organizations helfen.

Themen• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Directory Service (p. 246)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Directory Service (p. 246)

Aktivieren des vertrauenswürdigen Zugriffs mit AWS DirectoryServiceWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff nur über die AWS Directory Service-Konsole aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff über die AWS Directory Service-Konsole

Informationen zum Freigeben eines Verzeichnisses, das automatisch den vertrauenswürdigen Zugriffaktiviert, finden Sie unter Freigeben Ihres Verzeichnisses im AWS Directory Service Administration Guide.Schritt-für-Schritt-Anleitungen finden Sie im Tutorial:. Freigeben Ihres AWS Managed Microsoft AD-Verzeichnisses.

Deaktivieren des vertrauenswürdigen Zugriffs mit AWS DirectoryServiceWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Wenn Sie den vertrauenswürdigen Zugriff mit AWS Organizations deaktivieren, während Sie AWSDirectory Service verwenden, funktionieren alle zuvor freigegebenen Verzeichnisse weiterhin wie gewohnt.Sie können jedoch keine neuen Verzeichnisse innerhalb der Organisation mehr freigeben, bis Sie denvertrauenswürdigen Zugriff erneut aktivieren.

Sie können den vertrauenswürdigen Zugriff auf der Organisationen-Seite mithilfe der AWS Organizations-Konsole deaktivieren.




246


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html



AWS Organizations BenutzerhandbuchAWS Firewall Manager

2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Directory Service sind,

warten Sie, bis der Administrator von AWS Directory Service Ihnen mitteilt, dass er die Integrationin die Konsole oder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigtwurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Directory Service und wählen Sie dann Disable access(Zugriff deaktivieren) aus.

AWS Firewall Manager und AWS OrganizationsAWS Firewall Manager ist ein Sicherheitsverwaltungsdienst für die zentrale Konfiguration und Verwaltungvon Webanwendungs-Firewall-Regeln für verschiedene Konten und Anwendungen. Mit AWS FirewallManager können Sie AWS WAF-Regeln gleichzeitig für Ihre Application Load Balancers und AmazonCloudFront-Verteilungen über alle Konten in Ihrer AWS-Organisation hinweg ausgeben. Mit AWS FirewallManager müssen Sie Ihre Firewall-Regeln nur einmal einrichten. Diese werden dann automatisch auf alleKonten und Ressourcen in Ihrer Organisation angewendet. Dies gilt auch für neu hinzugefügte Ressourcenund Konten. Weitere Informationen über AWS Firewall Manager finden Sie im AWS Firewall Manager-Entwicklerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Firewall Manager mitAWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 247)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 247)• Aktivieren des vertrauenswürdigen Zugriffs mit Firewall Manager (p. 248)• Deaktivieren des vertrauenswürdigen Zugriffs mit Firewall Manager (p. 248)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Firewall Manager,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenFirewall Manager und Organisationen deaktivieren oder wenn das Konto aus der Organisation entferntwird.

• AWSServiceRoleForFMS

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon Firewall Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• fms.amazonaws.com

247

https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html

https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html


AWS Organizations BenutzerhandbuchAmazon GuardDuty

Aktivieren des vertrauenswürdigen Zugriffs mit Firewall ManagerWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie müssen den vertrauenswürdigen Zugriff über die AWS Firewall Manager-Konsole aktivieren.

Sie müssen sich mit Ihrem AWS Organizations-Managementkonto anmelden und ein Konto innerhalb derOrganisation als AWS Firewall Manager-Administratorkonto konfigurieren. Weitere Informationen findenSie unter Schritt 2:. Legen Sie das AWS Firewall Manager-Administratorkonto im AWS Firewall Manager-Entwicklerhandbuch fest.

Deaktivieren des vertrauenswürdigen Zugriffs mit FirewallManagerWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können das AWS Firewall Manager-Administratorkonto ändern oder widerrufen, indem Sie dieAnweisungen unter Ein anderes Konto als AWS Firewall Manager-Administratorkonto festlegen im AWSFirewall Manager-Entwicklerhandbuch befolgen.

Wenn Sie das Administratorkonto widerrufen, müssen Sie sich beim AWS Organizations-Verwaltungskontoanmelden und ein neues Administratorkonto für AWS Firewall Manager einrichten.


AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Firewall Manager als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle fms.amazonaws.com


Amazon GuardDuty und AWS OrganizationsAmazon GuardDuty ist ein Service zur kontinuierlichen Sicherheitsüberwachung, der eine Vielzahl vonDatenquellen analysiert und verarbeitet. Dazu werden Bedrohungsdatenfeeds und Machine Learningverwendet, um unerwartete und potenziell unbefugte und schädliche Aktivitäten in Ihrer AWS-Umgebungzu identifizieren. Dazu gehören möglicherweise Probleme wie Berechtigungseskalationen, die Verwendung

248

https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html

https://docs.aws.amazon.com/waf/latest/developerguide/fms-change-administrator.html




kompromittierter Anmeldeinformationen oder die Kommunikation mit schädlichen IP-Adressen, URLs oderDomänen.

Sie können die Verwaltung von GuardDuty vereinfachen, indem Sie Organisationen verwenden, umGuardDuty für alle Konten in Ihrer Organisation zu verwalten.

Weitere Informationen finden Sie unter Verwalten von GuardDuty-Konten mit AWS Organizations imBenutzerhandbuch für Amazon GuardDuty.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von Amazon GuardDuty mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 249)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 249)• Aktivieren des vertrauenswürdigen Zugriffs mit GuardDuty (p. 249)• Deaktivieren des vertrauenswürdigen Zugriffs mit GuardDuty (p. 250)• Aktivieren eines delegierten Administratorkontos für GuardDuty (p. 251)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es GuardDuty, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenGuardDuty und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForAmazonGuardDuty

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonGuardDuty verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• guardduty.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit GuardDutyWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff über die Amazon GuardDuty-Konsole oder die AWSOrganizations-Konsole aktivieren.

Amazon GuardDuty erfordert vertrauenswürdigen Zugriff auf AWS Organizations, bevor Sie einMitgliedskonto als GuardDuty-Administrator für Ihre Organisation festlegen können. Wenn Sie einendelegierten Administrator mit der AWS Management Console konfigurieren, aktiviert GuardDuty

249

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.htm



automatisch den vertrauenswürdigen Zugriff für Sie. Wenn Sie jedoch ein delegiertes Administratorkontomithilfe der AWS CLI oder einer der AWS SDKs konfigurieren möchten, müssen Sie die OperationEnableAWSServiceAccess explizit aufrufen und den Service-Prinzipal als Parameter angeben.Anschließend können Sie EnableOrganizationAdminAccount aufrufen, um das -Administratorkonto zudelegieren.GuardDuty






Services) die Zeile für den Amazon GuardDuty und wählen Sie dann Enable access (Zugriffaktivieren).

4. Wenn Sie nur Administrator von AWS Organizations sind, teilen Sie dem Administrator vonAmazon GuardDuty mit, dass er diesen Service jetzt für die Arbeit mit AWS Organizationsaktivieren kann.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um Amazon GuardDuty als vertrauenswürdigenService bei Organisationen zu aktivieren.

$ aws organizations enable-aws-service-access \ --service-principle guardduty.amazonaws.com


Deaktivieren des vertrauenswürdigen Zugriffs mit GuardDutyWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff nur über die AWS Organizations-Konsole deaktivieren.


250


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html









2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von Amazon GuardDuty sind,

warten Sie, bis der Administrator von Amazon GuardDuty Ihnen mitteilt, dass er die Integrationin die Konsole oder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigtwurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für Amazon GuardDuty und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um Amazon GuardDuty als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle guardduty.amazonaws.com


Aktivieren eines delegierten Administratorkontos für GuardDutyWenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzerund Rollen dieses Kontos administrative Aktionen für GuardDuty ausführen, die andernfalls nur vonBenutzern oder Rollen im Managementkonto der Organisation ausgeführt werden können. Auf diese Weisekönnen Sie die Verwaltung der Organisation von der Verwaltung von GuardDuty trennen.


Weitere Informationen zu den erforderlichen Berechtigungen zum Festlegen eines Mitgliedskontosals delegierter Administrator finden Sie unter Erforderliche Berechtigungen zum Festlegen einesdelegierten Administrators im Benutzerhandbuch für Amazon GuardDuty.

So legen Sie ein Mitgliedskonto als delegierter Administrator für GuardDuty fest

Weitere Informationen finden Sie unter Bezeichnen eines delegierten Administrators und Hinzufügenvon Mitgliedskonten (Konsole) und Bezeichnen eines delegierten Administrators und Hinzufügen vonMitgliedskonten (API).

251





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api

AWS Organizations BenutzerhandbuchAWS Health

AWS Health und AWS OrganizationsAWS Health bietet einen kontinuierlichen Einblick in die Leistung Ihrer Ressourcen und die VerfügbarkeitIhrer AWS-Services und -Konten. AWS Health liefert Ereignisse, wenn Ihre AWS-Ressourcen und -Services von einem Problem betroffen sind oder durch bevorstehende Änderungen beeinträchtigtwerden. Nachdem Sie die Organisationsansicht aktiviert haben, kann ein Benutzer im Verwaltungskontoder Organisation AWS Health-Ereignisse für alle Konten in der Organisation aggregieren. DieOrganisationsansicht zeigt nur AWS Health-Ereignisse an, die nach Aktivierung der Funktion übermitteltwurden, und behält sie 90 Tage lang bei.

Sie können die Organisationsansicht über die AWS Health-Konsole, die AWS Command Line Interface(AWS CLI) oder die AWS Health-API aktivieren.

Weitere Informationen finden Sie unter Aggregieren von AWS Health-Ereignissen im AWS Health-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Health mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 252)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 252)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Health (p. 252)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Health (p. 253)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS Health, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSHealth und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForHealth_Organizations

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonAWS Health verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• health.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS HealthWenn Sie die Funktion zur Aktivierung der Organisationsansicht für AWS Health aktivieren, wird dervertrauenswürdige Zugriff auch automatisch für Sie aktiviert.

252

https://docs.aws.amazon.com/health/latest/ug/aggregate-events.html


AWS Organizations BenutzerhandbuchAWS Health

Weitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff mit einer der folgenden Optionen aktivieren:

• Verwendung der AWS Health-Konsole. Weitere Informationen finden Sie unter Organisationsansicht(Konsole) im AWS Health-Benutzerhandbuch.

• Verwenden Sie die AWS CLI. Weitere Informationen finden Sie unter Organisationsansicht (CLI) im -BenutzerhandbuchAWS Health.

• Rufen Sie die API-Operation EnableHealthServiceAccessForOrganization auf.

Deaktivieren des vertrauenswürdigen Zugriffs mit AWS HealthNachdem Sie die Funktion der Organisationsansicht deaktiviert haben, stoppt AWS Health dieAggregation von Ereignissen für alle anderen Konten in Ihrer Organisation. Dies deaktiviert auch denvertrauenswürdigen Zugriff für Sie automatisch.

Weitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff mit einer der folgenden Optionen deaktivieren:

• Verwendung der AWS Health-Konsole. Weitere Informationen finden Sie unter Deaktivieren derOrganisationsansicht (Konsole) im AWS Health-Benutzerhandbuch.

• Verwenden Sie die AWS CLI. Weitere Informationen finden Sie unter Deaktivieren derOrganisationsansicht (CLI) im -BenutzerhandbuchAWS Health.

• Rufen Sie die API-Operation DisableHealthServiceAccessForOrganization auf.





2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Health sind, warten Sie,

bis der Administrator von AWS Health Ihnen mitteilt, dass er die Integration in die Konsole oder dieTools dieses Services deaktiviert hat und dass alle Ressourcen bereinigt wurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für&AWS;-Services) nach dem Eintrag für AWS Health und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

AWS CLI, AWS API


253

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-from-aws-command-line.html

https://docs.aws.amazon.com/health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html#disabling-organizational-view-console

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-in-health-console.html#disabling-organizational-view-console

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-from-aws-command-line.html#disabling-organizational-view

https://docs.aws.amazon.com/health/latest/ug/enable-organizational-view-from-aws-command-line.html#disabling-organizational-view

https://docs.aws.amazon.com/health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html



AWS Organizations BenutzerhandbuchAWS License Manager



Sie können den folgenden Befehl ausführen, um AWS Health als vertrauenswürdigen Service beiOrganisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle health.amazonaws.com


AWS License Manager und AWS OrganizationsAWS License Manager optimiert die Migration von Softwarelizenzen zur Cloud. Wenn Sie eine Cloud-Infrastruktur auf AWS aufbauen, können Sie Kosten sparen, indem Sie die Möglichkeiten der Verwendungder eigenen Lizenz (Bring Your Own License, BYOL) nutzen — d. h. indem Sie Ihren vorhandenenLizenzbestand für die Verwendung mit Cloud-Ressourcen wiederverwenden. Mittels regelbasierterKontrollen für die Nutzung von Lizenzen können Administratoren harte oder weiche Limits für neue undvorhandene Cloud-Bereitstellungen festlegen. Dies verhindert eine nicht konforme Servernutzung, bevorsie überhaupt erfolgt.

Sie können die kontoübergreifende Entdeckung von Datenverarbeitungsressourcen in Ihrer gesamtenOrganisation aktivieren, indem Sie License Manager mit AWS Organizations verknüpfen.

Weitere Informationen zu License Manager finden Sie im License Manager-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS License Manager mitAWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 254)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 255)• Aktivieren des vertrauenswürdigen Zugriffs mit License Manager (p. 255)• Deaktivieren des vertrauenswürdigen Zugriffs mit License Manager (p. 255)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es License Manager,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenLicense Manager und Organisationen deaktivieren oder wenn das Konto aus der Organisation entferntwird.

• AWSLicenseManagerMasterAccountRole

• AWSLicenseManagerMemberAccountRole

• AWSServiceRoleForAWSLicenseManagerRole

254



https://docs.aws.amazon.com/license-manager/latest/userguide/


AWS Organizations BenutzerhandbuchAWS License Manager

Weitere Informationen finden Sie unter Verwenden der License ManagerVerwaltungskontorolle– undVerwenden der MitgliedskontorolleLicense Manager.–

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon License Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• license-manager.amazonaws.com

• license-manager.member-account.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit License ManagerWeitere Informationen zu den erforderlichen Berechtigungen für den vertrauenswürdigen Zugriff finden Sieunter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs (p. 210).

So aktivieren Sie den vertrauenswürdigen Zugriff mit License Manager

Sie müssen sich mit Ihrem License Manager-Managementkonto bei der AWS Organizations-Konsoleanmelden und Ihrem License Manager-Konto zuordnen. Anschließend können Sie Ihre License Manager-Einstellungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von AWS LicenseManager-Guide-Einstellungen.

Deaktivieren des vertrauenswürdigen Zugriffs mit LicenseManagerWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).


AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS License Manager als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle license-manager.amazonaws.com


255

https://docs.aws.amazon.com/license-manager/latest/userguide/master-role.html

https://docs.aws.amazon.com/license-manager/latest/userguide/member-role.html

https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html

https://docs.aws.amazon.com/license-manager/latest/userguide/settings.html



AWS Organizations BenutzerhandbuchAmazon Macie

Amazon Macie und AWS OrganizationsAmazon Macie ist ein vollständig verwalteter Datensicherheits- und Datenschutzservice, der MachineLearning und Patternmatching zum Erkennen, Überwachen und Schützen Ihrer sensiblen Daten in AmazonSimple Storage Service (Amazon S3) verwendet. Macie automatisiert die Erkennung sensibler Daten, wiebeispielsweise personenbezogener Daten (PII) und geistiges Eigentum, um Ihnen ein besseres Verständnisfür die Daten zu bieten, die Ihre Organisation in Amazon S3 speichert.

Weitere Informationen finden Sie unter Verwalten mehrerer Amazon Macie-Konten mit AWS Organizationsim Amazon Macie-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von Amazon Macie mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 256)• Service-Prinzipale, die von den Servie-verknüpften Rollen verwendet werden (p. 256)• Aktivieren des vertrauenswürdigen Zugriffs mit Macie (p. 256)• Aktivieren eines delegierten Administratorkontos für Macie (p. 257)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Macie, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenMacie und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleRorAmazonMacie

Service-Prinzipale, die von den Servie-verknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonMacie verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• macie.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit MacieWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Macie-Konsole

Amazon Macie erfordert vertrauenswürdigen Zugriff auf AWS Organizations, um ein Mitgliedskonto alsMacie-Administrator für Ihre Organisation festzulegen. Wenn Sie einen delegierten Administrator mithilfe

256

https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html

https://docs.aws.amazon.com/macie/latest/userguide/


AWS Organizations BenutzerhandbuchAmazon Macie

der Macie-Managementkonsole konfigurieren, aktiviert Macie automatisch den vertrauenswürdigen Zugrifffür Sie.

Weitere Informationen finden Sie unter https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin

So aktivieren Sie den vertrauenswürdigen Zugriff mit der AWS CLI oder dem AWS-SDK

Wenn Sie ein delegiertes Administratorkonto mit der AWS CLI oder einem der AWS SDKs konfigurierenmöchten, müssen Sie die Operation EnableAWSServiceAccess explizit aufrufen und den Service-Prinzipalals Parameter angeben. Anschließend können Sie EnableOrganizationAdminAccount aufrufen, um das -Administratorkonto zu delegieren.Macie

Beispiel:

$ aws organizations enable-aws-service-access \ --service-principal macie.amazonaws.com>

Dieser Befehl erzeugt bei Erfolg keine Ausgabe.

Befolgen Sie diesen Befehl mit diesem Befehl, um den Prozess abzuschließen:

$ aws macie2 enable-organization-admin-account \ --admin-account-id 123456789012

Dieses Konto erzeugt bei Erfolg keine Ausgabe.

Weitere Informationen finden Sie unter Aktivieren des vertrauenswürdigen Zugriffs mit AWS Organizationsim Amazon Macie-Benutzerhandbuch.

Aktivieren eines delegierten Administratorkontos für MacieWenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzerund Rollen dieses Kontos administrative Aktionen für Macie ausführen, die andernfalls nur von Benutzernoder Rollen im Managementkonto der Organisation ausgeführt werden können. Auf diese Weise könnenSie die Verwaltung der Organisation von der Verwaltung von Macie trennen.


Nur ein IAM-Benutzer oder eine Rolle im Organisationen-Verwaltungskonto mit den folgendenBerechtigungen kann ein Mitgliedskonto als delegierter Administrator für Macie in der Organisationkonfigurieren:

• organizations:EnableAWSServiceAccess

• macie:EnableOrganizationAdminAccount

So legen Sie ein Mitgliedskonto als delegierter Administrator für Macie fest

Amazon Macie erfordert vertrauenswürdigen Zugriff auf AWS Organizations, um ein Mitgliedskonto alsMacie-Administrator für Ihre Organisation festzulegen. Wenn Sie einen delegierten Administrator mithilfeder Macie-Managementkonsole konfigurieren, aktiviert Macie automatisch den vertrauenswürdigen Zugrifffür Sie.

Weitere Informationen finden Sie unter https://docs.aws.amazon.com/macie/latest/user/macie-organizations.html#register-delegated-admin

257




https://docs.aws.amazon.com/macie/latest/APIReference/admin.html#EnableOrganizationAdminAccount




AWS Organizations BenutzerhandbuchAWS Marketplace

AWS Marketplace und AWS OrganizationsAWS Marketplace ist ein zusammengestellter digitaler Katalog, mit dem Sie Drittanbieter-Software, -Datenund -Services suchen, kaufen, bereitstellen und verwalten können, die Sie zum Erstellen von Lösungen undfür die Unternehmensführung benötigen.

AWS Marketplace erstellt und verwaltet Lizenzen mit AWS License Manager für Ihre Käufe in AWSMarketplace. Wenn Sie Ihre Lizenzen für andere Konten in Ihrer Organisation freigeben (Zugriff gewähren),erstellt und verwaltet AWS Marketplace neue Lizenzen für diese Konten.

Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für AWS Marketplace im AWSMarketplace Käuferhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Marketplace mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 258)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 258)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Marketplace (p. 258)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Marketplace (p. 259)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS Marketplace,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSMarketplace und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForMarketplaceLicenseManagement

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon AWS Marketplace verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• license-management.marketplace.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS MarketplaceWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff über die AWS Marketplace-Konsole aktivieren.

258

https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html


AWS Organizations BenutzerhandbuchAWS Resource Access Manager

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der AWS Marketplace-Konsole

finden Sie unter Erstellen einer serviceverknüpften Rolle für AWS Marketplace im AWS MarketplaceKäuferhandbuch.

Deaktivieren des vertrauenswürdigen Zugriffs mit AWSMarketplaceWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).


AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Marketplace als vertrauenswürdigen Servicebei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle license-management.marketplace.amazonaws.com


AWS Resource Access Manager und AWSOrganizationsAWS Resource Access Manager (AWS RAM) ermöglicht Ihnen die gemeinsame Nutzung angegebenerAWS-Ressourcen, die Sie besitzen, zusammen mit anderen AWS-Konten. Es handelt sich um einenzentralen Service, der eine konsistente Erfahrung für die Freigabe verschiedener Arten von AWS-Ressourcen über mehrere Konten hinweg bereitstellt.

Weitere Informationen zu AWS RAM finden Sie im AWS RAM-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Resource AccessManager mit AWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 260)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 260)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS RAM (p. 260)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS RAM (p. 261)

259

https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html#buyer-creating-service-linked-role



https://docs.aws.amazon.com/ram/latest/userguide/what-is.html


Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS RAM, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSRAM und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForResourceAccessManager

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonAWS RAM verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• ram.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS RAMWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Resource Access Manager-Konsoleoder über die AWS Organizations-Konsole aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff über die AWS RAM-Konsole oder die CLI

Weitere Informationen finden Sie unter Freigabe für AWS Organizations aktivieren im AWS RAM-Benutzerhandbuch.






Services) die Zeile für den AWS Resource Access Manager und wählen Sie dann Enable access(Zugriff aktivieren).

4. Wenn Sie nur Administrator von AWS Organizations sind, teilen Sie dem Administrator von AWSResource Access Manager mit, dass er diesen Service jetzt für die Arbeit mit AWS Organizationsaktivieren kann.

260


https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs




AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Resource Access Manager alsvertrauenswürdigen Service bei Organisationen zu aktivieren.

$ aws organizations enable-aws-service-access \ --service-principle ram.amazonaws.com


Deaktivieren des vertrauenswürdigen Zugriffs mit AWS RAMWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).





2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Resource Access

Manager sind, warten Sie, bis der Administrator von AWS Resource Access Manager Ihnenmitteilt, dass er die Integration in die Konsole oder die Tools dieses Services deaktiviert hat unddass alle Ressourcen bereinigt wurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Resource Access Manager und wählen Sie dann Disableaccess (Zugriff deaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Resource Access Manager alsvertrauenswürdigen Service bei Organisationen zu deaktivieren.

261






AWS Organizations BenutzerhandbuchAWS Security Hub

$ aws organizations disable-aws-service-access \ --service-principle ram.amazonaws.com


AWS Security Hub und AWS OrganizationsAWS Security Hub liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS und hilftIhnen dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche zuüberprüfen.

Security Hub sammelt Sicherheitsdaten aus Ihren AWS-Konten, den von Ihnen verwendeten AWS-Servicesund unterstützten Drittanbieter-Partnerprodukten. Es hilft Ihnen, Ihre Sicherheitstrends zu analysieren unddie Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.

Wenn Sie Security Hub und AWS Organizations zusammen verwenden, können Sie Security Hubautomatisch für alle Ihre Konten aktivieren, einschließlich neuer Konten, wenn sie hinzugefügt werden.Dies erhöht die Abdeckung für Security Hub-Prüfungen und -Ergebnisse, was ein umfassenderes undgenaueres Bild Ihrer allgemeinen Sicherheitslage liefert.

Weitere Informationen zu Security Hub finden Sie im AWS Security Hub-Benutzerhandbuch.

Die folgende Liste enthält nützliche Informationen zur Integration von Security Hub und Organisationen:

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Security Hub mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 262)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 262)• Aktivieren des vertrauenswürdigen Zugriffs mit Security Hub (p. 263)• Aktivieren eines delegierten Administratorkontos für Security Hub (p. 263)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Security Hub,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenSecurity Hub und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForSecurityHub

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die

262




AWS Organizations BenutzerhandbuchAmazon S3 Storage Lens

von Security Hub verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• securityhub.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Security HubWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Wenn Sie einen delegierten Administrator für Security Hub festlegen, aktiviert Security Hub automatischden vertrauenswürdigen Zugriff für Security Hub in Ihrer Organisation.

Aktivieren eines delegierten Administratorkontos für Security HubWenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzerund Rollen dieses Kontos administrative Aktionen für Security Hub ausführen, die andernfalls nur vonBenutzern oder Rollen im Managementkonto der Organisation ausgeführt werden können. Auf diese Weisekönnen Sie die Verwaltung der Organisation von der Verwaltung von Security Hub trennen.

Weitere Informationen finden Sie unter Bezeichnen eines Security Hub-Administratorkontos im AWSSecurity Hub-Benutzerhandbuch.

So legen Sie ein Mitgliedskonto als delegierter Administrator für Security Hub fest

1. Melden Sie sich mit Ihrem Organisationen-Managementkonto an.2. Führen Sie einen der folgenden Schritte aus:

• Wenn für Ihr Managementkonto Security Hub nicht aktiviert ist, wählen Sie in der Security Hub-Konsole Go to Security Hub (Zu wechseln) aus.

• Wenn für Ihre Verwaltungskonto aktiviert ist, wählen Sie in der Security Hub-Konsole SecurityHubSettings (Einstellungen) aus.

3. Geben Sie unter Delegated Administrator (Delegierter Administrator) die Konto-ID ein.

Amazon S3 Storage Lens und AWS OrganizationsIndem Sie vertrauenswürdigen Amazon S3 Storage Lens Zugriff auf Ihre Organisation gewähren, könnenSie Metriken über alle AWS-Konten in Ihrer Organisation erfassen und aggregieren. S3 Storage Lens greifthierzu auf die Liste der Konten zu, die zu Ihrer Organisation gehören, sammelt und analysiert die Speicher-und Nutzungs- und Aktivitätsmetriken für alle.

Weitere Informationen finden Sie unter . Weitere Informationen finden Sie unter Verwenden vonserviceverknüpften Rollen für Amazon S3 Storage Lens im -BenutzerhandbuchAmazon S3 Storage Lens.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von Amazon S3 Storage Lens mitAWS Organizations helfen.

Themen• Serviceverknüpfte Rolle, die erstellt wird, wenn Sie die Integration aktivieren (p. 264)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 264)• Aktivieren des vertrauenswürdigen Zugriffs mit Amazon S3 Storage Lens (p. 264)• Deaktivieren des vertrauenswürdigen Zugriffs mit Amazon S3 Storage Lens (p. 264)

263

https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-service-linked-roles.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-service-linked-roles.html

AWS Organizations BenutzerhandbuchAmazon S3 Storage Lens

• Aktivieren eines delegierten Administratorkontos für Amazon S3 Storage Lens (p. 265)

Serviceverknüpfte Rolle, die erstellt wird, wenn Sie die IntegrationaktivierenDie folgende serviceverknüpfte Rolle wird automatisch im Managementkonto Ihrer Organisation erstellt,wenn Sie nach der Aktivierung des vertrauenswürdigen Zugriffs ein Dashboard oder eine Konfiguration fürS3-Speicherelemente auf Organisationsebene erstellen. Diese Rolle ermöglicht es Amazon S3 StorageLens, unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenAmazon S3 Storage Lens und Organisationen deaktivieren.

• AWSServiceRoleForS3StorageLens

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon Amazon S3 Storage Lens verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgendenService-Prinzipale:

• storage-lens.s3.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Amazon S3Storage LensWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff über die Amazon S3-Konsole, die AWS-CLI oder eine derAWS-SDKs aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Amazon S3-Konsole

Weitere Informationen finden Sie unter So aktivieren Sie den vertrauenswürdigen Zugriff imEntwicklerhandbuch für Amazon Simple Storage Service.

Deaktivieren des vertrauenswürdigen Zugriffs mit Amazon S3Storage LensWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff über die Amazon S3-Konsole, die AWS-CLI oder eine derAWS-SDKs deaktivieren.

So deaktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Amazon S3-Konsole

Weitere Informationen finden Sie unter So deaktivieren Sie den vertrauenswürdigen Zugriff imEntwicklerhandbuch für Amazon Simple Storage Service.

264


https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_console_organizations_enabling_trusted_access.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_console_organizations_disabling_trusted_access.html

AWS Organizations BenutzerhandbuchAWS Service Catalog

Aktivieren eines delegierten Administratorkontos für Amazon S3Storage LensWenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzerund Rollen dieses Kontos administrative Aktionen für Amazon S3 Storage Lens ausführen, die andernfallsnur von Benutzern oder Rollen im Managementkonto der Organisation ausgeführt werden können. Aufdiese Weise können Sie die Verwaltung der Organisation von der Verwaltung von Amazon S3 StorageLens trennen.


Nur ein IAM-Benutzer oder eine Rolle im Organisationen-Verwaltungskonto mit der folgendenBerechtigung kann ein Mitgliedskonto als delegierter Administrator für Amazon S3 Storage Lens inder Organisation konfigurieren:organizations:RegisterDelegatedAdministratororganizations:DeregisterDelegatedAdministrator

Amazon S3 Storage Lens unterstützt maximal fünf delegierte Administratorkonten in Ihrer Organisation.

So legen Sie ein Mitgliedskonto als delegierter Administrator für Amazon S3 Storage Lens fest

Sie können einen delegierten Administrator über die Amazon S3-Konsole, die AWS-CLI oder eineder AWS-SDKs registrieren. Informationen zum Registrieren eines Mitgliedskontos als delegiertesAdministratorkonto für Ihre Organisation mithilfe der Amazon S3-Konsole finden Sie unter So registrierenSie einen delegierten Administrator im Entwicklerhandbuch für Amazon Simple Storage Service.

So heben Sie die Registrierung eines delegierten Administrators für Amazon S3 Storage Lens auf

Sie können die Registrierung eines delegierten Administrators über die Amazon S3-Konsole, die AWS-CLI oder eine der AWS-SDKs aufheben. Informationen zum Aufheben der Registrierung eines delegiertenAdministrators mit der Amazon S3-Konsole finden Sie unter How to deregisterated Administrator imEntwicklerhandbuch für Amazon Simple Storage Service.

AWS Service Catalog und AWS OrganizationsAWS Service Catalog ermöglicht Ihnen das Erstellen und Verwalten von Katalogen mit IT-Services, die zurVerwendung in AWS genehmigt wurden.

Die Integration von AWS Service Catalog mit AWS Organizations vereinfacht die Freigabe von Portfolienund das Kopieren von Produkten innerhalb einer Organisation. AWS Service Catalog-Administratorenkönnen eine vorhandene Organisation in AWS Organizations referenzieren, wenn sie ein Portfoliofreigeben, und das Portfolio für jede vertrauenswürdige Organisationseinheit (Organizational Unit, OU) inder Struktur der Organisation freigeben. Dadurch müssen Sie das Portfolio IDs nicht freigeben und dasempfangende Konto muss beim Importieren des Portfolios nicht manuell auf die Portfolio-ID verweisen.Über diesen Mechanismus freigegebene Portfolien werden in „Shared-to account (Konto, für das diesfreigegeben ist)“ in der Administrator-Ansicht Imported Portfolio (Importiertes Portfolio) in AWS ServiceCatalog aufgelistet.

Weitere Informationen zu AWS Service Catalog finden Sie im AWS Service Catalog Administrator Guide.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Service Catalog mitAWS Organizations helfen.

Themen• Service-Prinzipale, die zum Erteilen von Berechtigungen verwendet werden (p. 266)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS Service Catalog (p. 266)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS Service Catalog (p. 267)

265



https://docs.aws.amazon.com/AmazonS3/latest/user-guide/storage_lens_console_organizations_deregistering_delegated_admins.html



Service-Prinzipale, die zum Erteilen von Berechtigungenverwendet werdenUm den vertrauenswürdigen Zugriff zu aktivieren, müssen Sie den folgenden Service-Prinzipal angeben:

• servicecatalog.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS ServiceCatalogWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff über die AWS Organizations-Konsole oder über die CLI oderdas AWS-SDK aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff über die AWS Service Catalog-CLI oder das AWS-SDK

Rufen Sie einen der folgenden Befehle oder Operationen auf:

• AWS CLI: aws servicecatalog enable-aws-organizations-access• AWS-API: AWSServiceCatalog::EnableAWSOrganizationsAccess






Services) die Zeile für den AWS Service Catalog und wählen Sie dann Enable access (Zugriffaktivieren).

4. Wenn Sie nur Administrator von AWS Organizations sind, teilen Sie dem Administrator von AWSService Catalog mit, dass er diesen Service jetzt für die Arbeit mit AWS Organizations aktivierenkann.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Service Catalog als vertrauenswürdigenService bei Organisationen zu aktivieren.

266

https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/enable-aws-organizations-access.html

https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html





$ aws organizations enable-aws-service-access \ --service-principle servicecatalog.amazonaws.com


Deaktivieren des vertrauenswürdigen Zugriffs mit AWS ServiceCatalogWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Wenn Sie den vertrauenswürdigen Zugriff über AWS Organizations deaktivieren, während Sie AWSService Catalog verwenden, werden die aktuellen Freigaben nicht gelöscht. Sie können jedoch keineneuen Freigaben für die gesamte Organisation erstellen. Aktuelle Freigaben werden nicht mit der StrukturIhrer Organisation synchronisiert, wenn sie nach dem Aufruf dieser Aktion geändert wird.

Sie können den vertrauenswürdigen Zugriff über die AWS Organizations-Konsole oder die CLI oder dasAWS-SDK deaktivieren.

So deaktivieren Sie den vertrauenswürdigen Zugriff über die AWS Service Catalog-CLI oder das AWS-SDK

Rufen Sie einen der folgenden Befehle oder Operationen auf:

• AWS CLI: aws servicecatalog enable-aws-organizations-access• AWS -API: DisableAWSOrganizationsAccess





2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Service Catalog sind,

warten Sie, bis der Administrator von AWS Service Catalog Ihnen mitteilt, dass er die Integrationin die Konsole oder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigtwurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Service Catalog und wählen Sie dann Disable access(Zugriff deaktivieren) aus.

AWS CLI, AWS API


267


https://docs.aws.amazon.com/cli/latest/reference/servicecatalog/enable-aws-organizations-access.html

https://docs.aws.amazon.com/servicecatalog/latest/dg/API_DisableAWSOrganizationsAccess.html



AWS Organizations BenutzerhandbuchServicekontingente



Sie können den folgenden Befehl ausführen, um AWS Service Catalog als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle servicecatalog.amazonaws.com


Servicekontingente und AWS OrganizationsServicekontingente ist ein AWS-Service, mit dem Sie Ihre Kontingente von einem zentralen Ort ausanzeigen und verwalten können. Kontingente, die auch als Einschränkungen bezeichnet werden, sind derHöchstwert für Ihre Ressourcen, Aktionen und Elemente in Ihrem AWS-Konto.

Wenn Servicekontingente mit AWS Organizations verknüpft ist, können Sie eineKontingentanforderungsvorlage erstellen, um automatisch Kontingenterhöhungen anzufordern, wennKonten erstellt werden.

Weitere Informationen zu Servicekontingente finden Sie im Servicekontingente-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von Servicekontingente mit AWSOrganizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 268)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 268)• Aktivieren des vertrauenswürdigen Zugriffs mit Servicekontingente (p. 269)• Deaktivieren des vertrauenswürdigen Zugriffs mit Servicekontingente (p. 270)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Servicekontingente,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenServicekontingente und Organisationen deaktivieren oder wenn das Konto aus der Organisation entferntwird.

• AWSServiceRoleForServiceQuotas

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die von

268



https://docs.aws.amazon.com/servicequotas/latest/userguide/



Servicekontingente verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• servicequotas.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mitServicekontingenteWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff entweder über die Servicekontingente-Konsole oder über dieAWS Organizations-Konsole aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Servicekontingente-Konsole

Melden Sie sich mit Ihrem AWS Organizations-Managementkonto an und konfigurieren Sie dann dieVorlage in der Service Quotas-Konsole. Weitere Informationen finden Sie unter Using the Service QuotaTemplate im Service Quotas User Guide.

So aktivieren Sie den vertrauenswürdigen Zugriff über die Servicekontingente AWS CLI oder das SDK

Rufen Sie den folgenden Befehl oder die folgende Operation auf:

• AWS CLI: aws service-quotas associate-service-quota-template• AWS -API: AssociateServiceQuotaTemplate






Services) die Zeile für den Servicekontingente und wählen Sie dann Enable access (Zugriffaktivieren).

4. Wenn Sie nur Administrator von AWS Organizations sind, teilen Sie dem Administrator vonServicekontingente mit, dass er diesen Service jetzt für die Arbeit mit AWS Organizationsaktivieren kann.

AWS CLI, AWS API




269

https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html

https://docs.aws.amazon.com/servicequotas/latest/userguide/organization-templates.html

https://docs.aws.amazon.com/cli/latest/reference/service-quotas/API_AssociateServiceQuotaTemplate.html

https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_AssociateServiceQuotaTemplate.html





Sie können den folgenden Befehl ausführen, um Servicekontingente als vertrauenswürdigen Servicebei Organisationen zu aktivieren.

$ aws organizations enable-aws-service-access \ --service-principle servicequotas.amazonaws.com


Deaktivieren des vertrauenswürdigen Zugriffs mitServicekontingenteWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Sie können den vertrauenswürdigen Zugriff über die AWS Organizations-Konsole oder die CLI oder dasAWS-SDK deaktivieren.





2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von Servicekontingente sind,

warten Sie, bis der Administrator von Servicekontingente Ihnen mitteilt, dass er die Integration indie Konsole oder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigtwurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für Servicekontingente und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um Servicekontingente als vertrauenswürdigen Servicebei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \

270





AWS Organizations BenutzerhandbuchAWS – Einmaliges Anmelden

--service-principle servicequotas.amazonaws.com


AWS – Einmaliges Anmelden und AWS OrganizationsAWS – Einmaliges Anmelden (AWS SSO) bietet Single-Sign-On-Services für Ihre gesamten AWS-Kontenund Cloud-Anwendungen. Es verbindet sich über AWS Directory Service mit Microsoft Active Directory, umBenutzern in diesem Verzeichnis die Möglichkeit zu geben, sich bei einem personalisierten Benutzerportalmit ihren bestehenden Active Directory-Benutzernamen und -Passwörtern anzumelden. Vom Portal aushaben die Benutzer Zugriff auf alle AWS-Konten und Cloud-Anwendungen, die Sie im Portal bereitstellen.

Weitere Informationen zu AWS SSO finden Sie im AWS – Einmaliges Anmelden-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS – Einmaliges Anmeldenmit AWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 271)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 271)• Aktivieren des vertrauenswürdigen Zugriffs mit AWS SSO (p. 271)• Deaktivieren des vertrauenswürdigen Zugriffs mit AWS SSO (p. 272)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es AWS SSO, unterstützteOperationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen AWSSSO und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForSSO

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Die vonAWS SSO verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• sso.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit AWS SSOWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

271


https://docs.aws.amazon.com/singlesignon/latest/userguide/


AWS Organizations BenutzerhandbuchAWS Systems Manager

AWS SSO erfordert vertrauenswürdigen Zugriff mit AWS Organizations, um zu funktionieren. Dervertrauenswürdige Zugriff ist aktiviert, wenn Sie AWS SSO einrichten. Weitere Informationen findenSie unter Erste Schritte – Schritt 1:. Aktivieren Sie AWS – Einmaliges Anmelden im AWS – EinmaligesAnmelden-Benutzerhandbuch.

Deaktivieren des vertrauenswürdigen Zugriffs mit AWS SSOWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

AWS SSO erfordert vertrauenswürdigen Zugriff, damit AWS Organizations funktioniert. Wenn Sie denvertrauenswürdigen Zugriff mit AWS Organizations deaktivieren, während Sie AWS SSO verwenden, istdieses nicht mehr funktionsfähig, da es keinen Zugriff auf die Organisation hat. Benutzer können nicht mitAWS SSO auf Konten zugreifen. Alle von AWS SSO erstellten Rollen bleiben erhalten, der AWS SSO-Service kann aber nicht auf sie zugreifen. Die serviceverknüpften AWS SSO-Rollen bleiben erhalten. WennSie den vertrauenswürdigen Zugriff wieder aktivieren, funktioniert AWS SSO wie vorher, ohne dass derService neu konfiguriert werden muss.

Wenn Sie ein Konto aus Ihrer Organisation entfernen, bereinigt AWS SSO automatisch alle Metadaten undRessourcen, wie z. B. die servicegebundene Rolle. Ein eigenständiges Konto, das aus einer Organisationentfernt wurde, funktioniert nicht mehr mit AWS SSO.

AWS Systems Manager und AWS OrganizationsAWS Systems Manager ist eine Sammlung von Funktionen, die für Transparenz und Kontrolle überIhre AWS-Ressourcen sorgen. Zwei der Funktionen, die Teil von Systems Manager sind, können mitOrganisationen arbeiten, um über alle AWS-Konten in Ihrer Organisation hinweg zu arbeiten.

• Systems Manager Explorer ist ein anpassbares Betriebs-Dashboard, das Informationen über IhreAWS-Ressourcen meldet. Mithilfe von Organisationen und Systems Manager Explorer können SieBetriebsdaten für alle AWS-Konten in Ihrer Organisation mit synchronisieren. Weitere Informationenfinden Sie unter Systems Manager Explorer im AWS Systems Manager-Benutzerhandbuch.

• Systems Manager Change Manager ist ein Change Management Framework für Unternehmenfür das Anfordern, Genehmigen, Implementieren und Melden von operativen Änderungen an IhrerAnwendungskonfiguration und -infrastruktur. Weitere Informationen finden Sie unter AWS SystemsManager Change Manager im AWS Systems Manager-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Systems Manager mitAWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 272)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 273)• Aktivieren des vertrauenswürdigen Zugriffs mit Systems Manager (p. 273)• Deaktivieren des vertrauenswürdigen Zugriffs mit Systems Manager (p. 273)• Aktivieren eines delegierten Administratorkontos für Systems Manager (p. 274)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Systems Manager,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

272

https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html



Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenSystems Manager und Organisationen deaktivieren oder wenn das Konto aus der Organisation entferntwird.

• AWSServiceRoleForAmazonSSM_AccountDiscovery

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon Systems Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• ssm.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Systems ManagerWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie müssen sich mit Ihrem AWS Organizations-Managementkonto anmelden und eine Resource Data Syncerstellen. Weitere Informationen finden Sie unter Einrichten von Explorer zum Anzeigen von Daten ausmehreren Konten und Regionen im AWS Systems Manager-Benutzerhandbuch.

Deaktivieren des vertrauenswürdigen Zugriffs mit SystemsManagerSystems Manager erfordert vertrauenswürdigen Zugriff mit AWS Organizations, um Betriebsdaten überAWS-Konten in Ihrer Organisation hinweg zu synchronisieren. Wenn Sie den vertrauenswürdigen Zugriffdeaktivieren, können Betriebsdaten in Systems Manager nicht synchronisiert werden, und es wird einFehler gemeldet.

Weitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

So deaktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Systems Manager-Konsole

Weitere Informationen finden Sie unter Löschen einer Systems Manager Explorer-Ressourcendatensynchronisierung im AWS Systems Manager-Benutzerhandbuch. WennSie den vertrauenswürdigen Zugriff wieder aktivieren möchten, müssen Sie eine neueRessourcendatensynchronisierung für Systems Manager Explorer erstellen.





273

https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-resource-data-sync.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-resource-data-sync.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-using-resource-data-sync-delete.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-using-resource-data-sync-delete.html




2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Systems Manager sind,

warten Sie, bis der Administrator von AWS Systems Manager Ihnen mitteilt, dass er die Integrationin die Konsole oder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigtwurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Systems Manager und wählen Sie dann Disable access(Zugriff deaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Systems Manager als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle ssm.amazonaws.com


Aktivieren eines delegierten Administratorkontos für SystemsManagerWenn Sie ein Mitgliedskonto als delegierter Administrator für die Organisation festlegen, können Benutzerund Rollen dieses Kontos administrative Aktionen für Systems Manager ausführen, die andernfalls nur vonBenutzern oder Rollen im Managementkonto der Organisation ausgeführt werden können. Auf diese Weisekönnen Sie die Verwaltung der Organisation von der Verwaltung von Systems Manager trennen.

Wenn Sie Change Manager in einer Organisation verwenden, verwenden Sie ein delegiertesAdministratorkonto. Dies ist das AWS-Konto, das als Konto für die Verwaltung von Änderungsvorlagen,Änderungsanforderungen, Änderungs-Runbooks und Genehmigungs-Workflows in Change Managerfestgelegt wurde. Das delegierte Konto verwaltet Änderungsaktivitäten in Ihrer Organisation. Wenn SieIhre Organisation für die Verwendung mit Change Manager einrichten, geben Sie an, welches IhrerKonten in dieser Rolle dient. Es muss nicht das Verwaltungskonto der Organisation sein. Das delegierteAdministratorkonto ist nicht erforderlich, wenn Sie Change Manager nur mit einem einzigen Kontoverwenden.“

So legen Sie ein Mitgliedskonto als delegierten Administrator für Systems Manager fest

Informationen zu Systems Manager Explorer finden Sie unter Konfigurieren eines delegiertenAdministrators im AWS Systems Manager-Benutzerhandbuch.

Weitere Informationen zu Systems Manager Change Manager finden Sie unter Einrichten einerOrganisation und eines delegierten Kontos für Change Manager im AWS Systems Manager-Benutzerhandbuch.

274







AWS Organizations BenutzerhandbuchAWS Trusted Advisor

AWS Trusted Advisor und AWS OrganizationsAWS Trusted Advisor überprüft Ihre AWS-Umgebung und gibt Empfehlungen für Möglichkeiten ab, Geldzu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen.Wenn in Organisationen integriert, können Sie Trusted Advisor-Prüfungsergebnisse für alle Konten in IhrerOrganisation erhalten und Berichte herunterladen, um die Zusammenfassungen Ihrer Prüfungen und derbetroffenen Ressourcen anzuzeigen.

Weitere Informationen finden Sie unter Organisationsansicht für AWS Trusted Advisor im -BenutzerhandbuchAWS Support.

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von AWS Trusted Advisor mitAWS Organizations helfen.

Themen• Serviceverknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren (p. 275)• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 275)• Aktivieren des vertrauenswürdigen Zugriffs mit Trusted Advisor (p. 275)• Deaktivieren des vertrauenswürdigen Zugriffs mit Trusted Advisor (p. 276)

Serviceverknüpfte Rollen, die erstellt werden, wenn Sie dieIntegration aktivierenDie folgenden serviceverknüpften Rollen werden automatisch in den Konten Ihrer Organisation erstellt,wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rollen ermöglichen es Trusted Advisor,unterstützte Operationen innerhalb der Konten in Ihrer Organisation durchzuführen.

Sie können diese Rollen nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischenTrusted Advisor und Organisationen deaktivieren oder wenn das Konto aus der Organisation entfernt wird.

• AWSServiceRoleForTrustedAdvisorReporting

Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenDie serviceverknüpften Rollen im vorherigen Abschnitt können nur von den Service-Prinzipalenübernommen werden, die von den für die Rolle definierten Vertrauensstellungen autorisiert wurden. Dievon Trusted Advisor verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Service-Prinzipale:

• reporting.trustedadvisor.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Trusted AdvisorWeitere Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffserforderlich sind, finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigenZugriffs (p. 210).

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Trusted Advisor-Konsole oder über dieAWS Organizations-Konsole aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Trusted Advisor-Konsole

275

https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html


AWS Organizations BenutzerhandbuchAWS Trusted Advisor

Weitere Informationen finden Sie unter Aktivieren der Organisationsansicht im -BenutzerhandbuchAWSSupport.






Services) die Zeile für den AWS Trusted Advisor und wählen Sie dann Enable access (Zugriffaktivieren).

4. Wenn Sie nur Administrator von AWS Organizations sind, teilen Sie dem Administrator von AWSTrusted Advisor mit, dass er diesen Service jetzt für die Arbeit mit AWS Organizations aktivierenkann.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Trusted Advisor als vertrauenswürdigenService bei Organisationen zu aktivieren.

$ aws organizations enable-aws-service-access \ --service-principle reporting.trustedadvisor.amazonaws.com


Deaktivieren des vertrauenswürdigen Zugriffs mit Trusted AdvisorWeitere Informationen zu den erforderlichen Berechtigungen zum Deaktivieren des vertrauenswürdigenZugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigenZugriffs (p. 211).

Nachdem Sie diese Funktion deaktiviert haben, stoppt Trusted Advisor die Aufzeichnung vonPrüfinformationen für alle anderen Konten in Ihrer Organisation. Sie können vorhandene Berichte nichtanzeigen oder herunterladen oder neue Berichte erstellen.

So deaktivieren Sie den vertrauenswürdigen Zugriff mithilfe der Trusted Advisor-Konsole

Weitere Informationen finden Sie unter Deaktivieren der Organisationsansicht im -BenutzerhandbuchAWSSupport.

276

https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#enable-organizational-view





https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#disable-organizational-view






2. Wählen Sie rechts oben die Option Settings (Einstellungen) aus.3. Wenn Sie nur Administrator von AWS Organizationsund nicht von AWS Trusted Advisor sind,

warten Sie, bis der Administrator von AWS Trusted Advisor Ihnen mitteilt, dass er die Integrationin die Konsole oder die Tools dieses Services deaktiviert hat und dass alle Ressourcen bereinigtwurden.

4. Suchen Sie im Abschnitt Trusted access for AWS services (Vertrauenswürdiger Zugriff für &AWS;-Services) nach dem Eintrag für AWS Trusted Advisor und wählen Sie dann Disable access (Zugriffdeaktivieren) aus.

AWS CLI, AWS API




Sie können den folgenden Befehl ausführen, um AWS Trusted Advisor als vertrauenswürdigenService bei Organisationen zu deaktivieren.

$ aws organizations disable-aws-service-access \ --service-principle reporting.trustedadvisor.amazonaws.com


Tag-Richtlinien und AWS Organizations-Tag-Richtlinien sind eine Richtlinie in AWS Organizations, die Ihnen helfen kann, Tags für alle Ressourcenin den Konten Ihrer Organisation zu standardisieren. Weitere Informationen zu Tag-Richtlinien finden Sieunter Tag-Richtlinien (p. 172).

Verwenden Sie die folgenden Informationen, die Ihnen bei der Integration von tag policies mit AWSOrganizations helfen.

Themen• Service-Prinzipale, die von den serviceverknüpften Rollen verwendet werden (p. 278)• Aktivieren des vertrauenswürdigen Zugriffs für Tag-Richtlinien (p. 278)• Deaktivieren des vertrauenswürdigen Zugriffs mit tag policies (p. 278)

277






Service-Prinzipale, die von den serviceverknüpften Rollenverwendet werdenOrganisationen interagiert mit den Tags, die Ihren Ressourcen mit dem folgenden Service-Prinzipalangefügt sind:

• tagpolicies.tag.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs für Tag-RichtlinienSie können den vertrauenswürdigen Zugriff für Tag-Richtlinien aktivieren, indem Sie den Tag-Richtlinientypin der AWS Organizations-Konsole aktivieren. Weitere Informationen finden Sie unter Aktivieren einesRichtlinientyps (p. 74).

Deaktivieren des vertrauenswürdigen Zugriffs mit tag policiesSie können den vertrauenswürdigen Zugriff für Tag-Richtlinien deaktivieren, indem Sie den Tag-Richtlinientyp in der AWS Organizations-Konsole deaktivieren. Weitere Informationen finden Sie unterDeaktivieren eines Richtlinientyps (p. 75).

278

AWS Organizations BenutzerhandbuchIAM und Organisationen

Sicherheit in AWS OrganizationsCloud-Sicherheit hat bei AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums-und Netzwerkarchitektur, die zur Erfüllung der Anforderungen von Organisationen entwickelt wurden, fürdie Sichherheit eine kritische Bedeutung hat.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Im Modell derübergreifenden Verantwortlichkeit wird Folgendes mit „Sicherheit der Cloud“ bzw. „Sicherheit in der Cloud“umschrieben:

• Sicherheit der Cloud selbst – AWS ist dafür verantwortlich, die Infrastruktur zu schützen, mit derAWS-Services in der AWS- Cloud ausgeführt werden. AWS stellt Ihnen außerdem Services bereit,die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivitätunserer Sicherheitsmaßnahmen im Rahmen der AWS-Compliance-Programme regelmäßig. WeitereInformationen zu den Compliance-Programmen für AWS Organizations finden Sie unter Im Rahmen desCompliance-Programms zugelassene AWS-Services.

• Sicherheit in der Cloud in – Ihr Verantwortungsumfang wird durch den AWS-Service bestimmt, den Sieverwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, fürdie Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

In dieser Dokumentation wird die Bedeutung des Modells der übergreifenden Verantwortlichkeit beider Verwendung von Organisationen beschrieben. Die folgenden Themen veranschaulichen, wie SieOrganisationen zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahrenauch, wie Sie andere AWS-Services nutzen können, die Ihnen bei der Überwachung und Sicherung IhrerOrganisationen-Ressourcen helfen.

Topics• AWS Identity and Access Management und AWS Organizations (p. 279)• Protokollierung und Überwachung in AWS Organizations (p. 293)• Compliance-Validierung für AWS Organizations (p. 300)• Ausfallsicherheit in AWS Organizations (p. 300)• Infrastruktursicherheit in AWS Organizations (p. 301)

AWS Identity and Access Management und AWSOrganizations

Für den Zugriff auf AWS Organizations sind Anmeldeinformationen erforderlich. DieseAnmeldeinformationen müssen Berechtigungen für den Zugriff auf AWS-Ressourcen haben, wie einAmazon Simple Storage Service (Amazon S3)-Bucket, eine Amazon Elastic Compute Cloud (AmazonEC2)-Instance oder eine AWS Organizations-Organisationseinheit (OU). In den folgenden Abschnitten wirdbeschrieben, wie Sie mit AWS Identity and Access Management (IAM) den Zugriff auf Ihre Organisationschützen und kontrollieren können, wer sie verwaltet.

Um festzulegen, wer welche Teile Ihrer Organisation verwalten kann, nutzt AWS Organizations dasselbeIAM-Berechtigungsmodell wie andere AWS-Services. Als Administrator im Managementkonto (früher als"Masterkonto" bezeichnet) einer Organisation können Sie IAM-basierte Berechtigungen zum Ausführenvon AWS Organizations-Aufgaben erteilen, indem Sie Richtlinien an Benutzer, Gruppen und Rollen imManagementkonto anfügen. Diese Richtlinien geben die Aktionen an, die diese Prinzipale ausführenkönnen. Sie fügen eine IAM-Berechtigungsrichtlinie an eine Gruppe an, der der Benutzer angehört,oder direkt an einen Benutzer oder eine Rolle. Als bewährte Methode empfehlen wir, die Richtlinien an

279

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-groups-for-permissions

AWS Organizations BenutzerhandbuchAuthentication

Gruppen statt an Benutzer anzuhängen. Sie haben auch die Möglichkeit, anderen Benutzern vollständigeAdministratorberechtigungen zu gewähren.

Für die meisten Administratoroperationen für AWS Organizations müssen Sie Berechtigungen anBenutzer oder Gruppen im Managementkonto anfügen. Wenn ein Benutzer in einem MitgliedskontoAdministratoroperationen für Ihre Organisation ausführen muss, müssen Sie einer AWS Organizations-Rolle im Managementkonto die IAM-Berechtigungen erteilen und dem Benutzer im Mitgliedskontoermöglichen, die Rolle zu übernehmen. Allgemeine Informationen zu IAM-Berechtigungsrichtlinien findenSie unter Übersicht über IAM-Richtlinien im IAM-Benutzerhandbuch.

Themen• Authentication (p. 280)• Zugriffskontrolle (p. 281)• Verwaltung von Zugriffsberechtigungen für Ihre AWS-Organisation (p. 281)• Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Organizations (p. 287)• Attributbasierte Zugriffskontrolle mit Tags undAWS Organizations (p. 290)

AuthenticationSie können mit einer der folgenden Identitäten auf AWS zugreifen:

• AWS-Konto Root-Benutzer – Wenn Sie sich bei AWS anmelden, geben Sie eine E-Mail-Adresse und einPasswort an, die mit Ihrem AWS-Konto verknüpft sind. Dies sind Ihre Root-Anmeldeinformationen. Siebieten vollständigen Zugriff auf alle Ihre AWS-Ressourcen.

Important

Aus Sicherheitsgründen empfehlen wir, die Root-Anmeldeinformationen nur zum Erstelleneines Administrator-Benutzers zu verwenden. Hierbei handelt es sich um einen IAM-Benutzermit vollständigen Berechtigungen für Ihr AWS-Konto. Anschließend können Sie mit diesemAdministratorbenutzer andere IAM-Benutzer und -Rollen mit eingeschränkten Berechtigungenerstellen. Weitere Informationen finden Sie unter Bewährte Methoden für IAM und ErstellenIhres ersten IAM-Admin-Benutzers und einer Gruppe im IAM-Benutzerhandbuch.

• IAM-Benutzer – Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmtenbenutzerdefinierten Berechtigungen (z. B. Berechtigungen zum Erstellen eines Dateisystems in AmazonElastic File System). Sie können einen IAM-Benutzernamen und ein Passwort für die Anmeldung beisicheren AWS-Webseiten wie der AWS-Managementkonsole, AWS-Diskussionsforen oder dem AWSSupport-Center verwenden.

Zusätzlich zu einem Benutzernamen und Passwort können Sie Zugriffsschlüssel für jeden Benutzererstellen. Sie können diese Schlüssel verwenden, wenn Sie programmgesteuert auf AWS-Services zugreifen, und zwar entweder über eine der verschiedenen SDKs oder über die AWS-Befehlszeilenschnittstelle (AWS CLI). Das SDK und die AWS CLI-Tools verwenden die Zugriffsschlüssel,um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie die AWS-Tools nicht nutzen, müssen Sie dieAnfrage selbst signieren. AWS Organizations unterstützt Signature Version 4, ein Protokoll für dieAuthentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anfragenfinden Sie unter Signature Version 4-Signaturprozess im AWS General Reference.

• IAM-Rolle – Eine IAM-Rolle ist eine andere IAM-Identität, die Sie in Ihrem Konto mit bestimmtenBerechtigungen erstellen können. Sie ähnelt einem IAM-Benutzer, ist aber nicht mit einer bestimmtenPerson verknüpft. Eine IAM-Rolle ermöglicht Ihnen, temporäre Zugriffsschlüssel zu erhalten, mitdenen Sie auf die AWS-Services und -Ressourcen zugreifen können. IAM-Rollen mit temporärenAnmeldeinformationen sind in folgenden Situationen hilfreich:• Verbundener Benutzerzugriff – Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene

Benutzeridentitäten von AWS Directory Service, dem Benutzerverzeichnis Ihres Unternehmens, odervon einem Web-Identitätsanbieter verwenden. Diese werden als verbundene Benutzer bezeichnet.

280

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-groups-for-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/



https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

AWS Organizations BenutzerhandbuchZugriffskontrolle

AWS weist einem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieterangefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter VerbundeneBenutzer und Rollen im IAM-Benutzerhandbuch.

• Kontenübergreifender Zugriff – Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einemanderen AWS-Konto Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. EinBeispiel finden Sie im Tutorial:. Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollenim IAM-Benutzerhandbuch.

• Zugriff auf AWS-Services – Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem AWS-Service Berechtigungen für den Zugriff auf die Ressourcen Ihres Konto zu erteilen. Sie könnenbeispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon Redshift-Cluster ladenkann. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungenan einen AWS-Service im IAM-Benutzerhandbuch.

• Anwendungen in Amazon EC2 – Anstatt Zugriffsschlüssel in der EC2-Instance zu speichern, dievon den dort ausgeführten Anwendungen zum Senden von AWS-API-Anforderungen verwendetwerden, können Sie eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für dieseAnwendungen zu verwalten. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eineAWS-Rolle zu einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instancebereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen findenSie unter Verwenden von Rollen für Anwendungen in Amazon EC2 im IAM-Benutzerhandbuch.

ZugriffskontrolleSie können über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anfragen verfügen, doch Siekönnen die AWS Organizations-Ressourcen nur mit entsprechenden Berechtigungen verwalten oder daraufzugreifen. Sie müssen z. B. über Berechtigungen verfügen, um eine OU zu erstellenoder einem Konto eineService-Kontrollrichtlinie (SCP) (p. 93) zuzuweisen.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für AWS Organizations beschrieben.

• Verwaltung von Zugriffsberechtigungen für Ihre AWS-Organisation (p. 281)• Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Organizations (p. 287)• Attributbasierte Zugriffskontrolle mit Tags undAWS Organizations (p. 290)

Verwaltung von Zugriffsberechtigungen für Ihre AWS-OrganisationAlle AWS-Ressourcen, einschließlich der Roots, OUs, Konten und Richtlinien in einer Organisation,gehören einem AWS-Konto an und die Berechtigungen zum Erstellen einer Ressource oder zumZugriff auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Für eine Organisationist ihr Verwaltungskonto (früher als "Masterkonto" bezeichnet) Eigentümer aller Ressourcen. EinKontoadministrator kann den Zugriff auf AWS-Ressourcen steuern, indem er Berechtigungsrichtlinien zuIAM-Identitäten (Benutzer, Gruppen und Rollen) zuweist.

Note

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mitAdministratorberechtigungen. Weitere Informationen finden Sie unter Bewährte Methoden für IAMim IAM-Benutzerhandbuch.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcendie Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

281

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

AWS Organizations BenutzerhandbuchVerwaltung von Zugriffsberechtigungen

für Ihre AWS-Organisation

Standardmäßig haben IAM-Benutzer, ‑Gruppen und ‑Rollen keine Berechtigungen. Als Administratorim Verwaltungskonto einer Organisation können Sie administrative Aufgaben ausführen oderAdministratorberechtigungen an andere IAM-Benutzer oder -Rollen im Verwaltungskonto delegieren.Fügen Sie hier eine IAM-Berechtigungsrichtlinie an einen IAM-Benutzer, eine -Gruppe oder eine -Rolle an.Standardmäßig hat ein Benutzer keine Berechtigungen (implizite Verweigerung). Die Richtlinie überschreibtdie implizite Verweigerung mit einer expliziten Zulassung. Diese legt fest, welche Aktionen der Benutzerfür welche Ressourcen ausführen kann. Wenn einer Rolle die Berechtigungen erteilt werden, können dieBenutzer in anderen Konten der Organisation diese Rolle annehmen.

AWS Organizations-Ressourcen und -OperationenIn diesem Abschnitt wird die Zuordnung der AWS Organizations-Konzepte zu den entsprechenden IAM-Konzepten erläutert.

Resources

In AWS Organizations können Sie den Zugriff auf die folgenden Ressourcen steuern:

• Der Stamm und die OUs, aus denen die hierarchische Struktur einer Organisation besteht• Die Konten, die Mitglieder einer Organisation sind• Die Richtlinien, die Sie an die Entitäten der Organisation anhängen• Die Handshakes, die Sie zum Ändern des Status der Organisation verwenden

Jeder dieser Ressourcen ist ein eindeutiger Amazon-Ressourcenname (ARN) zugeordnet. Siesteuern den Zugriff auf eine Ressource, indem Sie dessen ARN im Resource-Element einer IAM-Berechtigungsrichtlinie angeben. Eine vollständige Liste der ARN-Formate für Ressourcen, die in AWSOrganizations verwendet werden, finden Sie unter Von AWS Organizations definierte Ressourcen im IAM-Benutzerhandbuch.

Operations

AWS stellt verschiedene Vorgänge zur Arbeit mit den Ressourcen in einer Organisation bereit. Dieseermöglichen Ihnen die Durchführung von Aktivitäten wie das Erstellen, Auflisten, Ändern, Zugreifen aufInhalte und das Löschen von Ressourcen. Die Berechtigungen für die meisten Vorgänge können über dasAction-Element einer IAM-Richtlinie gesteuert werden. Eine Liste mit AWS Organizations-Operationen,die als Berechtigungen in einer IAM-Richtlinie verwendet werden können, finden Sie unter API ActionPermissions Defined by AWS Organizations im IAM-Benutzerhandbuch.

Wenn Sie eine Action und eine Resource in einem einzigen Berechtigungsrichtlinien-Statementkombinieren, können Sie genau steuern, für welche Ressourcen die entsprechenden Aktionen genutztwerden können.

Bedingungsschlüssel

AWS bietet Bedingungsschlüssel, die Sie abfragen können, um über differenziertereSteuerungsmöglichkeiten über bestimmte Aktionen zu verfügen. Sie können auf dieseBedingungsschlüssel im Condition-Element einer IAM-Richtlinie verweisen, um die zusätzlichenVoraussetzungen anzugeben, die erfüllt sein müssen, bevor die Anweisung als zutreffend gilt.

Die folgenden Bedingungsschlüssel sind besonders nützlich für AWS Organizations:

• aws:PrincipalOrgID – Vereinfacht die Angabe des Principal-Elements in einerressourcenbasierten Richtlinie. Dieser globale Schlüssel bietet eine Alternative zur Auflistung aller IDs-Konten für alle AWS-Konten in einer Organisation. Anstatt alle Konten, die Mitglieder einer Organisationsind, aufzulisten, können Sie die Organisations-ID (p. 40) im Condition-Element angeben.

282

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-actions-as-permissions




Note

Diese globale Bedingung gilt auch für das Managementkonto einer Organisation.

Weitere Informationen finden Sie in der Beschreibung von PrincipalOrgID in Globale AWS-Bedingungskontextschlüssel im IAM-Benutzerhandbuch.

• aws:PrincipalOrgPaths – Verwenden Sie diesen Bedingungsschlüssel, um Mitglieder einesbestimmten Organisationsstammes, einer OU oder deren untergeordneten Elemente abzugleichen.Der aws:PrincipalOrgPaths-Bedingungsschlüssel gibt „wahr“ zurück, wenn sich der Prinzipal(Root-Benutzer, IAM-Benutzer oder -Rolle), der die Anforderung durchführt, im angegebenenOrganisationspfad befindet. Ein Pfad ist eine Textdarstellung der Struktur einer AWS Organizations-Entität. Weitere Informationen zu Pfaden finden Sie unter AWS Organizations-Entitätspfad verstehenimIAM-Benutzerhandbuch. Weitere Informationen zur Verwendung dieses Bedingungsschlüssels findenSie unter aws:PrincipalOrgPaths im IAM-Benutzerhandbuch.

Beispielsweise stimmt das folgende Bedingungselement für Mitglieder von einem von zwei OUs inderselben Organisation überein.

"Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/" ] } }

• organizations:PolicyType – Mit diesem Bedingungsschlüssel können Sie die richtlinienbezogenenOrganisationen-API-Vorgänge so einschränken, dass sie nur mit Organisationen-Richtlinien desangegebenen Typs funktionieren. Sie können diesen Bedingungsschlüssel auf jede Richtlinienanweisunganwenden, die eine Aktion enthält, die mit Organisationen-Richtlinien interagiert.

Mit diesem Bedingungsschlüssel können Sie die folgenden Werte verwenden:• AISERVICES_OPT_OUT_POLICY

• BACKUP_POLICY

• SERVICE_CONTROL_POLICY

• TAG_POLICY

Mit der folgenden Beispielrichtlinie kann der Benutzer beispielsweise jede Organisationen-Operationausführen. Wenn der Benutzer jedoch einen Vorgang ausführt, der ein Richtlinienargument verwendet,ist der Vorgang nur zulässig, wenn die angegebene Richtlinie eine Tagging-Richtlinie ist. Die Operationschlägt fehl, wenn der Benutzer eine andere Art von Richtlinie angibt.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies", "Effect": "Allow", "Action": "organizations:*", "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "TAG_POLICY" ] } } } ]

283

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths



}

• organizations:ServicePrincipal – Verfügbar als Bedingung, wenn Sie die OperationenEnableAWSServiceAccess oder DisableAWSServiceAccess verwenden, um den vertrauenswürdigenZugriff mit anderen (p. 210)-Services zu aktivieren oder zu deaktivieren.AWS Sie könnenorganizations:ServicePrincipal verwenden, um Anfragen zu begrenzen, die diese Operationenan eine Liste genehmigter Service Prinzipal-Namen richten.

Die folgende Richtlinie beispielsweise erlaubt dem Benutzer nur die Angabe von AWS Firewall Manager,wenn der vertrauenswürdige Zugang mit AWS Organizations aktiviert und deaktiviert wird:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyAWSFirewallIntegration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "fms.amazonaws.com" ] } } } ]}

Eine Liste aller AWS Organizations–-spezifischen Bedingungsschlüssel, die als Berechtigungen ineiner IAM-Richtlinie verwendet werden können, finden Sie unter Bedingungskontextschlüssel für AWSOrganizations im IAM-Benutzerhandbuch.

Grundlegendes zum Eigentum an RessourcenDas AWS-Konto ist Eigentümer aller Ressourcen, die innerhalb des Kontos erstellt werden, unabhängigdavon, wer sie erstellt. Genauer gesagt ist das AWS-Konto der Prinzipal-Entität (d. h. das Root-Konto,ein IAM-Benutzer oder eine IAM-Rolle), welche die Ressourcenerstellungsanforderung authentifiziert, derRessourceneigentümer. Für eine AWS-Organisation, die das Managementkonto immer ist. Sie könnenkeine Vorgänge aufrufen, die Organisationsressourcen aus anderen Mitgliedskonten erstellen oder aufdiese zugreifen. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

• Wenn Sie die Root-Konto-Anmeldeinformationen für Ihr Management-Konto verwenden, um eine OUzu erstellen, ist Ihr Management-Konto der Eigentümer der Ressource. (In AWS Organizations ist dieRessource die OU).

• Wenn Sie einen IAM-Benutzer in Ihrem Managementkonto erstellen und diesem Berechtigungen zumErstellen einer OU erteilen, kann dieser Benutzer eine OU erstellen. Eigentümer der OU-Ressource istjedoch das Verwaltungskonto, zu dem der Benutzer gehört.

• Wenn Sie in Ihrem Managementkonto eine IAM-Rolle mit Berechtigungen zum Erstellen einer OUeinrichten, kann jeder, der die Rolle übernimmt, eine OU erstellen. Eigentümer der OU-Ressource ist dasManagementkonto, zu dem die Rolle gehört (nicht der Benutzer, der die Rolle übernimmt).

284



https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html



Verwalten des Zugriffs auf RessourcenEine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werdendie verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Note

Dieser Abschnitt behandelt die Verwendung von IAM im Zusammenhang mit AWS Organizations.Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassendeIAM-Dokumentation finden Sie im IAM-Benutzerhandbuch. Informationen über die IAM-Richtliniensyntax und -beschreibungen finden Sie in der IAM JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (IAM-Richtlinien)bezeichnet. An Ressourcen angefügte Berechtigungsrichtlinien werden als ressourcenbasierte Richtlinienbezeichnet. AWS Organizations unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Themen• Identitätsbasierte Berechtigungsrichtlinien (IAM-Richtlinien) (p. 285)• Ressourcenbasierte Richtlinien (p. 286)

Identitätsbasierte Berechtigungsrichtlinien (IAM-Richtlinien)

Sie können Richtlinien IAM-Identitäten zuweisen, damit diese Identitäten Vorgänge für AWS-Ressourcenausführen können. Sie können z. B. Folgendes tun:

• Eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto anfügen – Umeine Benutzerberechtigung zum Erstellen einer AWS Organizations-Ressource (z. B. eine Service-Kontrollrichtlinie (p. 93) oder eine Organisationseinheit) zu erteilen, können Sie einem Benutzer odereiner Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie anhängen. Der Benutzer oder dieGruppe muss sich im Managementkonto der Organisation befinden.

• Eine Berechtigungsrichtlinie zu einer Rolle zuweisen (kontoübergreifende Berechtigungen erteilen) – Siekönnen einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifendeZugriffsberechtigungen zu erteilen. Beispielsweise kann der Administrator im Managementkonto eineRolle erstellen, um einem Benutzer in einem Mitgliedskonto kontoübergreifende Berechtigungen zuerteilen. Gehen Sie dazu wie folgt vor:1. Der Administrator des Verwaltungskontos erstellt eine IAM-Rolle und weist ihr eine

Berechtigungsrichtlinie zu, die Berechtigungen für die Ressourcen der Organisation erteilt.2. Der Administrator des Managementkontos weist der Rolle eine Vertrauensrichtlinie zu, die die ID des

Mitgliedskontos als die Principal identifiziert, die die Rolle übernehmen kann.3. Der Mitgliedskontoadministrator kann dann die Berechtigung zum Annehmen der Rolle an jegliche

Benutzer im Mitgliedskonto delegieren. Dadurch können Benutzer im Mitgliedskonto Ressourcenim Managementkonto und in der Organisation erstellen oder darauf zugreifen. Wenn Sie einemAWS-Service die Berechtigungen zum Annehmen der Rolle erteilen möchten, kann es sich bei demPrinzipal in der Vertrauensrichtlinie auch um ein AWS-Service-Prinzipal handeln.

Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unterZugriffsverwaltung im IAM-Benutzerhandbuch.

Das folgende Beispiel zeigt eine Richtlinie, die einem Benutzer das Ausführen der Aktion CreateAccountin Ihrer Organisation gestattet:

{ "Version": "2012-10-17", "Statement": [

285


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html



{ "Sid" : "Stmt1OrgPermissions", "Effect": "Allow", "Action": [ "organizations:CreateAccount" ], "Resource": "*" } ]}

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten(Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Einige Services (beispielsweise Amazon S3) unterstützen ressourcenbasierte Berechtigungsrichtlinien.Beispielsweise können Sie einem Amazon S3-Bucket eine ressourcenbasierte Richtlinie zuweisen, um dieZugriffsberechtigungen für diesen Bucket zu verwalten. AWS Organizations bietet keine Unterstützung fürressourcenbasierte Richtlinien.

Angeben von Richtlinienelementen: Aktionen, Bedingungen,Effekte und RessourcenFür jede AWS Organizations-Ressource definiert der Service eine Reihe von API-Operationenoder Aktionen, die mit dieser Ressource interagieren oder sie verändern können. Zur Erteilung vonBerechtigungen für diese API-Operationen definiert AWS Organizations Aktionen, die Sie in einer Richtlinieangeben können. Für die OU-Ressource (Organisationseinheit) definiert AWS Organizations zum Beispieldie folgenden Aktionen:

• AttachPolicyundDetachPolicy• CreateOrganizationalUnitundDeleteOrganizationalUnit• ListOrganizationalUnitsundDescribeOrganizationalUnit

In einigen Fällen erfordert die Durchführung einer API-Operation Berechtigungen für mehr als eine Aktionund Ressource.

Die folgenden grundlegenden Elemente können Sie in einer IAM-Berechtigungsrichtlinie verwenden:

• Aktion – Mit diesem Schlüsselwort können Sie die Operationen (Aktionen) festlegen, die Sie zulassenoder verweigern möchten. Beispielsweise gestattet oder verweigert organizations:CreateAccountje nach Einstellung von Effect in den Benutzerberechtigungen die Durchführung der AWSOrganizations-Operation CreateAccount. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente:. -Aktion im IAM-Benutzerhandbuch.

• Ressource – Mit diesem Schlüsselwort legen Sie den ARN (Amazon-Ressourcenname) der Ressourcefest, für die die Richtlinienanweisung gilt. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente:. -Ressource im IAM-Benutzerhandbuch.

• Condition – Mit diesem Schlüsselwort geben Sie eine Bedingung an, die erfüllt sein muss, damit dieRichtlinienanweisung angewendet wird. Condition gibt in der Regel zusätzliche Umstände an, dieerfüllt sein müssen, damit die Richtlinie zutrifft. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente:. -Bedingung im IAM-Benutzerhandbuch.

• Effekt – Mit diesem Schlüsselwort geben Sie an, ob die Richtlinienanweisung die Aktion für dieRessource zulässt oder verweigert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklichgestatten (bzw. zulassen), wird er automatisch verweigert. Sie können außerdem den Zugriff auf eineRessource explizit verweigern. So können Sie gewährleisten, dass ein Benutzer die angegebene Aktionfür die definierte Ressource nicht ausführen kann (selbst dann nicht, wenn er über eine andere Richtlinie

286

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html







AWS Organizations BenutzerhandbuchVerwenden von identitätsbasierten Richtlinien

(IAM-Richtlinien) für AWS Organizations

Zugriff erhält). Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente:. Effect im IAM-Benutzerhandbuch.

• Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtliniezugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer,das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (giltnur für ressourcenbasierte Richtlinien). AWS Organizations unterstützt derzeit nur identitätsbasierteRichtlinien. Ressourcenbasierte Richtlinien werden nicht unterstützt.

Weitere Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS OrganizationsAls Administrator des Verwaltungskontos (früher als "Masterkonto" bezeichnet) einer Organisation könnenSie den Zugriff auf AWS-Ressourcen steuern, indem Sie Berechtigungsrichtlinien an AWS Identity andAccess Management (IAM)-Identitäten (Benutzer, Gruppen und Rollen) innerhalb der Organisationanfügen. Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welcheRessourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werdensollen. Wenn einer Rolle die Berechtigungen erteilt werden, können die Benutzer in anderen Konten derOrganisation diese Rolle annehmen.

Standardmäßig hat ein Benutzer keinerlei Berechtigungen. Alle Berechtigungen müssen durch eineRichtlinie explizit gewährt werden. Eine Berechtigung, die nicht explizit gewährt wird, wird stillschweigendverweigert. Wenn eine Berechtigung explizit verweigert wird, werden dadurch alle anderen Richtlinienüberschrieben, die die Berechtigung möglicherweise zugelassen hätten. Mit anderen Worten, ein Benutzerverfügt nur über die Berechtigungen, die ihm explizit erteilt und nicht explizit verweigert wurden.

Zusätzlich zu den grundlegenden Techniken in diesem Thema können Sie den Zugriff auf IhreOrganisation steuern, indem Sie die Tags für die Ressourcen in Ihrer Organisation verwenden:Organisationsstamm, Organisationseinheiten (OU), Konten und Richtlinien. Weitere Informationen findenSie unter Attributbasierte Zugriffskontrolle mit Tags undAWS Organizations (p. 290).

Erteilen von vollständigen Administratorberechtigungen an einenBenutzerSie können eine IAM-Richtlinie erstellen, die einem AWS Organizations-Benutzer in Ihrer Organisationvollständige IAM-Administratorberechtigungen erteilt. Dies kann mithilfe des JSON-Richtlinieneditors in derIAM-Konsole erfolgen.

So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie in der Navigationsleiste auf der linken Seite auf Policies (Richtlinien).

Wenn Sie zum ersten Mal Policies (Richtlinien) auswählen, erscheint die Seite Welcome to ManagedPolicies (Willkommen bei verwalteten Richtlinien). Wählen Sie Get Started.

3. Wählen Sie oben auf der Seite Create policy (Richtlinie erstellen) aus.4. Wählen Sie die Registerkarte JSON.5. Geben Sie das folgende JSON-Richtliniendokument ein:

{ "Version": "2012-10-17",

287

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html







"Statement": { "Effect": "Allow", "Action": "organizations:*", "Resource": "*" }}

6. Wählen Sie Review policy aus.Note

Sie können jederzeit zwischen den Registerkarten Visual editor (Visueller Editor) und JSONwechseln. Wenn Sie jedoch Änderungen vornehmen oder auf der Registerkarte Visual editor(Visueller Editor) die Option Review policy (Richtlinie prüfen) auswählen, strukturiert IAMIhre Richtlinie möglicherweise neu, um sie für den visuellen Editor zu optimieren. WeitereInformationen finden Sie unter Umstrukturierung einer Richtlinie im IAM-Benutzerhandbuch.

7. Geben Sie auf der Seite Review policy (Richtlinie überprüfen) unter Name einen Namen und unterDescription (Beschreibung) eine optionale Beschreibung für die Richtlinie ein, die Sie erstellen.Überprüfen Sie unter Summary (Zusammenfassung) die Richtlinienzusammenfassung, um dieBerechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann Create policy(Richtlinie erstellen) aus, um Ihre Eingaben zu speichern.

Weitere Informationen zum Erstellen von IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien imIAM-Benutzerhandbuch.

Gewähren von eingeschränktem Zugriff durch AktionenWenn Sie einem Benutzer anstelle von vollständigen Berechtigungen eingeschränkte Berechtigungenerteilen möchten, können Sie im Action-Element der Richtlinie für IAM-Berechtigungen eine Richtliniemit den einzelnen Berechtigungen erstellen. Wie im folgenden Beispiel dargestellt, können Sie mithilfevon Platzhaltern (*) der Organisation nur die Berechtigungen Describe* und List*, d. h. einenschreibgeschütztem Zugriff, erteilen.

Note

In einer Service-Kontrollrichtlinie (SCP) kann der Platzhalter (*) in einem Action-Element nurvon sich selbst oder am Ende einer Zeichenfolge verwendet werden. Er darf nicht am Anfangoder in der Mitte der Zeichenfolge stehen. Daher ist "servicename:action*" gültig, aber"servicename:*action" und "servicename:some*action" sind beide in SCPs ungültig.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "organizations:Describe*", "organizations:List*" ], "Resource": "*" }}

Eine Liste aller Berechtigungen, die in einer IAM-Richtlinie zugewiesen werden können, finden Sie unterVon AWS Organizations definierte Aktionen im IAM-Benutzerhandbuch.

Gewähren von Zugriff auf bestimmte RessourcenSie können den Zugriff auf bestimmte Aktionen und auf bestimmte Entitäten in der Organisationbeschränken. In den Resource-Elementen aus den beiden Beispielen in den vorherigen Abschnitten

288

troubleshoot_policies.html#troubleshoot_viseditor-restructure

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html




werden Platzhalterzeichen (*) angegeben; diese stehen für alle Ressourcen, auf die die Aktion zugreifendarf. Sie können das Platzhalterzeichen "*" auch durch den ARN (Amazon Resource Name) der Entitätenersetzen, auf die Sie den Zugriff ermöglichen möchten.

Beispiel: Erteilen von Berechtigungen für eine einzelne Organisationseinheit

Die erste Anweisung der folgenden Richtlinie gewährt einem IAM-Benutzer Lesezugriff auf die gesamteOrganisation, aber die zweite Anweisung ermöglicht dem Benutzer das Ausführen von administrativenAWS Organizations-Aktionen nur innerhalb einer einzigen, angegebenen Organisationseinheit (OU) undder untergeordneten OUs. Es wird kein Zugriff auf die Fakturierung gewährt. Beachten Sie, dass dadurchkein administrativer Zugriff auf die AWS-Konten in der OU gewährt wird. Sie gewährt nur Berechtigungenzum Ausführen von AWS Organizations-Operationen für die Konten und untergeordneten OUs innerhalbder angegebenen OU:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:Describe*", "organizations:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "organizations:*", "Resource": "arn:aws:organizations::<masterAccountId>:ou/o-<organizationId>/ou-<organizationalUnitId>" } ]}

Sie erhalten die IDs für die Organisationseinheit und die Organisation über die AWS Organizations-Konsoleoder durch Aufrufen der List* APIs. Der Benutzer oder die Gruppe, auf den bzw. die Sie diese Richtlinieanwenden, kann jede beliebige Aktion ("organizations:*") für jede Entität ausführen, die von der OUenthalten ist. Die OU wird durch den ARN (Amazon Resource Name) angegeben.

Weitere Informationen zum ARNs für verschiedene Ressourcen finden Sie unter Von AWS Organizationsdefinierte Ressourcen im IAM-Benutzerhandbuch.

Erteilen der Möglichkeit, den vertrauenswürdigen Zugriff aufeingeschränkte Service-Prinzipale zu aktivierenSie können das Condition-Element einer Richtlinienanweisung verwenden, um die Umstände weitereinzuschränken, für die die Richtlinienanweisung zutrifft.

Beispiel: Erteilen von Berechtigungen zum Aktivieren des vertrauenswürdigen Zugriffs auf einenbestimmten Service

Die folgende Anweisung zeigt, wie Sie die Fähigkeit zur Aktivierung des vertrauenswürdigen Zugriffs aufnur die von Ihnen angegebenen Services einschränken können. Wenn der Benutzer versucht, die API miteinem anderen Serviceprinzipal als dem für AWS – Einmaliges Anmelden aufzurufen, trifft diese Richtlinienicht zu, und die Anforderung wird abgelehnt:

{ "Version": "2012-10-17", "Statement": [ {

289



AWS Organizations BenutzerhandbuchAttributbasierte Zugriffskontrolle mit Tags

"Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals" : { "organizations:ServicePrincipal" : "sso.amazonaws.com" } } } ]}

Weitere Informationen zum ARNs für verschiedene Ressourcen finden Sie unter Von AWS Organizationsdefinierte Ressourcen im IAM-Benutzerhandbuch.

Attributbasierte Zugriffskontrolle mit Tags undAWSOrganizationsAttributbasierte Zugriffskontrolle ermöglicht Ihnen die Verwendung von vom Administrator verwaltetenAttributen wie Tags, die sowohl an -Ressourcen als auch an AWS-Identitäten angefügt sind, um den Zugriffauf diese Ressourcen zu steuern.AWS Sie können beispielsweise festlegen, dass ein Benutzer auf eineRessource zugreifen kann, wenn sowohl der Benutzer als auch die Ressource denselben Wert für einbestimmtes Tag haben.

Zu den mit AWS Organizations markierten Ressourcen gehören AWS-Konten, der Organisationsstamm,Organisationseinheiten (OUs) oder Richtlinien. Wenn Sie Tags an Organisationen-Ressourcenanfügen, können Sie diese Tags verwenden, um zu steuern, wer auf diese Ressourcen zugreifenkann. Dazu fügen Sie Condition-Elemente zu Ihren AWS Identity and Access Management (IAM)-Berechtigungsrichtlinienanweisungen hinzu, die überprüfen, ob bestimmte Tag-Schlüssel und -Wertevorhanden sind, bevor Sie die Aktion zulassen. Auf diese Weise können Sie eine IAM-Richtlinie erstellen,die effektiv besagt, dass der Benutzer nur die OUs verwaltet, die einen Tag mit einem Schlüssel X undeinen Wert Y haben, oder dass er nur die OUs verwaltet, die mit einem Schlüssel Z markiert sind, derdenselben Wert wie der dem angehängten Tag-Schlüssel Z des Benutzers hat.

Sie können Ihre Condition-Tests auf verschiedenen Arten von Tag-Referenzen in einer IAM-Richtliniebasieren.

• Überprüfen der Tags, die an Ressourcen angefügt sind, die in der Anforderung angegebensind (p. 290)

• Überprüfen der Tags, die dem IAM-Benutzer oder der Rolle angefügt sind, der bzw. die die Anforderungstellt (p. 291)

• Überprüfen der Tags, die als Parameter in der Anforderung enthalten sind (p. 292)

Weitere Informationen zur Verwendung von Tags für die Zugriffskontrolle in -Richtlinien finden Sie unterSteuern des Zugriffs auf und für IAM-Benutzer und -Rollen mithilfe von Ressourcen-Tags. Die vollständigeSyntax der IAM-Berechtigungsrichtlinien finden Sie in der IAM-JSON-Richtlinienreferenz.

Überprüfen der Tags, die an Ressourcen angefügt sind, die in derAnforderung angegeben sindWenn Sie eine Anforderung über die AWS Management Console, die AWS Command Line Interface (AWSCLI) oder eine der AWS SDKs senden, geben Sie an, auf welche Ressourcen mit dieser Anforderungzugegriffen werden soll. Unabhängig davon, ob Sie versuchen, verfügbare Ressourcen eines bestimmtenTyps aufzulisten, eine Ressource zu lesen oder eine Ressource zu schreiben, zu ändern oder zuaktualisieren, geben Sie die Ressource an, auf die als Parameter in der Anforderung zugegriffen werdensoll. Solche Anforderungen werden durch IAM-Berechtigungsrichtlinien gesteuert, die Sie Ihren Benutzern

290



https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html

https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html



und Rollen anfügen. In diesen Richtlinien können Sie die der angeforderten Ressource zugeordnetenTags vergleichen und den Zugriff basierend auf den Schlüsseln und Werten dieser Tags zulassen oderverweigern.

Um ein Tag zu überprüfen, das der Ressource zugeordnet ist, verweisen Sie auf das Tag in einemCondition-Element, indem Sie dem Tag-Schlüsselnamen die folgende Zeichenfolge voranstellen:aws:ResourceTag/.

Die folgende Beispielrichtlinie beispielsweise erlaubt dem Benutzer oder der Rolle, eine beliebige AWSOrganizations-Operation ausgenommen, diese Ressource hat ein Tag mit dem Schlüssel departmentund dem Wert security. Wenn dieser Schlüssel und dieser Wert vorhanden sind, verweigert dieRichtlinie die Operation UntagResource explizit.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : "organizations:*", "Resource" : "*" }, { "Effect" : "Deny", "Action" : "organizations:UntagResource", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:ResourceTag/department" : "security" } } } ]}

Weitere Informationen zur Verwendung dieses Elements finden Sie unter Steuern des Zugriffs auf eineRessource und aws:ResourceTag im IAM-Benutzerhandbuch.

Überprüfen der Tags, die dem IAM-Benutzer oder der Rolleangefügt sind, der bzw. die die Anforderung stelltSie können steuern, was die Person, von der die Anfrage stammt (der Prinzipal), tun darf, basierend aufden Tags, die dem IAM-Benutzer oder der Rolle dieser Person angefügt sind. Verwenden Sie dazu denaws:PrincipalTag/key-name-Bedingungsschlüssel, um anzugeben, welches Tag und welcher Wertdem aufrufenden Benutzer oder der aufrufenden Rolle angefügt werden müssen.

Das folgende Beispiel zeigt, wie Sie eine Aktion nur zulassen, wenn das angegebene Tag (cost-center)den gleichen Wert sowohl für den Prinzipal hat, der die Operation aufruft, als auch für die Ressource, aufdie die die Operation zugreift. In diesem Beispiel kann der aufrufende Benutzer eine Amazon EC2-Instancenur starten und stoppen, wenn die Instance mit demselben cost-center-Wert wie der Benutzer markiertist.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "ec2:startInstances", "ec2:stopInstances" ], "Resource": "*",

291

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag


"Condition": {"StringEquals": {"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}} }}

Weitere Informationen zur Verwendung dieses Elements finden Sie unter Steuern des Zugriffs für IAM-Prinzipale und aws:PrincipalTag im IAM-Benutzerhandbuch.

Überprüfen der Tags, die als Parameter in der Anforderungenthalten sindMehrere Operationen ermöglichen es Ihnen, Tags als Teil der Anforderung anzugeben. Wenn Siebeispielsweise eine Ressource erstellen, können Sie die Tags angeben, die der neuen Ressourcezugeordnet sind. Sie können ein Condition-Element angeben, das aws:TagKeys verwendet, um dieOperation basierend darauf zuzulassen oder abzulehnen, ob ein bestimmter Tag-Schlüssel oder einSchlüsselsatz in der Anforderung enthalten ist. Dieser Vergleichsoperator spielt keine Rolle, welcher Wertim Tag enthalten ist. Es prüft nur, ob ein Tag mit dem angegebenen Schlüssel vorhanden ist.

Um den Tag-Schlüssel oder eine Liste von Schlüsseln zu überprüfen, geben Sie ein Condition-Elementmit der folgenden Syntax an:

"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]

Sie können den Vergleichsoperator mit ForAllValues: voranstellen, um sicherzustellen, dass alleSchlüssel in der Anforderung mit einem der in der Richtlinie angegebenen Schlüssel übereinstimmen. Diefolgende Beispielrichtlinie erlaubt beispielsweise eine beliebige Organisationen-Operation nur, wenn alledrei angegebenen Tag-Schlüssel in der Anforderung vorhanden sind.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "organizations:*", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "department", "costcenter", "manager" ] } } }}

Alternativ können Sie mit ForAnyValue: einem Vergleichsoperator voranstellen, um sicherzustellen, dassmindestens einer der Schlüssel in der Anforderung mit einem der in der Richtlinie angegebenen Schlüsselübereinstimmt. Die folgende Richtlinie erlaubt beispielsweise eine Organisationen-Operation nur, wennmindestens ein der angegebenen Tag-Schlüssel in der Anforderung vorhanden ist.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "*", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": {

292

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions

AWS Organizations BenutzerhandbuchProtokollierung und Überwachung

"aws:TagKeys": [ "stage", "region", "domain" ] } } }}

Mehrere Operationen ermöglichen es Ihnen, Tags in der Anforderung anzugeben. Wenn Sie beispielsweiseeine Ressource erstellen, können Sie die Tags angeben, die der neuen Ressource zugeordnet sind. Siekönnen ein Tag-Schlüssel-Wert-Paar in der Richtlinie mit einem Schlüssel-Wert-Paar vergleichen, das inder Anforderung enthalten ist. Verweisen Sie dazu auf das Tag in einem Condition-Element, indem Siedem Tag-Schlüsselnamen die folgende Zeichenfolge voranstellen: aws:RequestTag/key-name undgeben Sie dann den Tag-Wert an, der vorhanden sein muss.

Die folgende Beispielrichtlinie verweigert beispielsweise jede Anforderung des Benutzers oder der Rolle,ein AWS-Konto zu erstellen, in dem die Anforderung entweder das Tag costcenter fehlt, oder stelltdiesem Tag einen anderen Wert als 1, 2 oder 3 bereit.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "organizations:CreateAccount", "Resource": "*", "Condition": { "Null": { "aws:RequestTag/costcenter": "true" } } }, { "Effect": "Deny", "Action": "organizations:CreateAccount", "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:RequestTag/costcenter": [ "1", "2", "3" ] } } } ]}

Weitere Informationen zur Verwendung dieser Elemente finden Sie unter aws:TagKeys undaws:RequestTag im IAM-Benutzerhandbuch.

Protokollierung und Überwachung in AWSOrganizations

Als bewährte Methode sollten Sie Ihre Organisation überwachen, um sicherzustellen, dass Änderungenprotokolliert werden. Auf diese Weise können Sie sicherstellen, dass alle unerwarteten Änderungen

293

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag

AWS Organizations BenutzerhandbuchProtokollieren von AWS Organizations-

API-Aufrufen mit AWS CloudTrail

untersucht werden und ungewollte Änderungen rückgängig gemacht werden können. AWS Organizationsunterstützt zurzeit zwei AWS-Services, mit denen Sie Ihre Organisation und die Aktivitäten darinüberwachen können.

Themen• Protokollieren von AWS Organizations-API-Aufrufen mit AWS CloudTrail (p. 294)• Amazon CloudWatch Events (p. 299)

Protokollieren von AWS Organizations-API-Aufrufenmit AWS CloudTrailAWS Organizations ist in AWS CloudTrail integriert, einen Service, der die Aktionen eines Benutzers, einerRolle oder eines AWS-Services in AWS Organizations aufzeichnet. CloudTrail erfasst alle API-Aufrufefür AWS Organizations als Ereignisse, einschließlich Aufrufen von der AWS Organizations-Konsole undvon Code-Aufrufen an die AWS Organizations APIs. Wenn Sie einen Trail erstellen, aktivieren Sie diekontinuierliche Bereitstellung von CloudTrail-Ereignissen an einen Amazon S3-Bucket, einschließlichEreignissen für AWS Organizations. Auch wenn Sie keinen Trail konfigurieren, können Sie die neuestenEreignisse in der CloudTrail-Konsole in Event history (Ereignisverlauf) anzeigen. Mit den von CloudTrailgesammelten Informationen können Sie die an AWS Organizations gestellte Anfrage, die IP-Adresse, vonder sie gestellt wurde, wer sie initiiert hat, den Zeitpunkt der Anfrage und weitere Angaben bestimmen.

Weitere Informationen zu CloudTrail finden Sie im AWS CloudTrail User Guide.Important

Sie können alle CloudTrail-Informationen für AWS Organizations nur in der Region „USA Ost(Nord-Virginia)“ anzeigen. Wenn Ihre AWS Organizations-Aktivitäten nicht in der CloudTrail-Konsole zu sehen sind, stellen Sie Ihre Konsole über das Menü in der rechten oberen Ecke aufUSA Ost (Nord-Virginia) ein. Wenn Sie CloudTrail mit der AWS CLI oder SDK-Tools abfragen,richten Sie Ihre Abfrage an den USA Ost (Nord-Virginia)-Endpunkt.

AWS Organizations-Informationen in CloudTrailCloudTrail wird beim Erstellen Ihres AWS-Kontos für Sie aktiviert. Die in AWS Organizations auftretendenAktivitäten werden als CloudTrail-Ereignis zusammen mit anderen AWS-Service-Ereignissen im Eventhistory (Ereignisverlauf) aufgezeichnet. Sie können die neusten Ereignisse in Ihrem AWS-Konto anzeigen,suchen und herunterladen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit demCloudTrail-API-Ereignisverlauf.

Erstellen Sie für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, darunter Ereignissefür AWS Organizations, einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateienan einen Amazon S3-Bucket. Wenn die CloudTrail-Protokollierung in Ihrem AWS-Konto aktiviert ist,werden API-Aufrufe von AWS Organizations-Aktionen zusammen mit anderen AWS-Servicedatensätzen inCloudTrail-Protokolldateien aufgezeichnet. Sie können andere AWS-Services konfigurieren, um die in denCloudTrail-Protokollen erfassten Ereignisdaten weiter zu analysieren und entsprechend zu agieren. WeitereInformationen finden Sie unter:

• Übersicht zum Erstellen eines Pfads• CloudTrail Unterstützte Services und Integrationen• Konfigurieren von Amazon SNS-Benachrichtigungen für CloudTrail

Alle AWS Organizations-Aktionen werden von CloudTrail protokolliert und in der AWS Organizations-API-Referenz dokumentiert. Zum Beispiel werden durch Aufrufe von CreateAccount (einschließlichdes CreateAccountResult-Ereignisses), ListHandshakesForAccount, CreatePolicy undInviteAccountToOrganization Einträge in den CloudTrail-Protokolldateien generiert.

294

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html





Jeder Protokolleintrag enthält Informationen über den Ersteller der Anforderung. Der Benutzeridentität imProtokolleintrag können Sie folgende Informationen entnehmen:

• Ob die Anfrage mit Root- oder IAM-Benutzeranmeldeinformationen ausgeführt wurde.• Ob die Anfrage mit temporären Sicherheitsanmeldeinformationen für eine IAM-Rolle oder einen

verbundenen Benutzer ausgeführt wurde.• Ob die Anforderung von einem anderen AWS-Service getätigt wurde.

Weitere Informationen hierzu finden Sie unter dem CloudTrail-Element userIdentity.

Grundlagen zu AWS Organizations-ProtokolldateieinträgenEin Trail ist eine Konfiguration, durch die Ereignisse an den von Ihnen angegebenen Amazon S3-Bucket übermittelt werden. CloudTrail-Protokolldateien können einen oder mehrere Einträge enthalten.Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält unter anderemInformationen über die angeforderte Aktion, das Datum und die Uhrzeit der Aktion sowie über dieAnfrageparameter. CloudTrail-Protokolldateien sind kein geordnetes Stacktrace der öffentlichen API-Aufrufe und erscheinen daher nicht in einer bestimmten Reihenfolge.

Beispielprotokolleinträge: CreateAccount

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag für einen CreateAccount-Beispielaufruf, derbeim Aufrufen der API generiert wird.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role", "arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111122223333:role/my-admin-role", "accountId": "111122223333", "userName": "my-session-id" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2020-09-16T21:16:45Z" } } }, "eventTime": "2018-06-21T22:06:27Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateAccount", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.1", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...", "requestParameters": { "tags": [], "email": "****", "accountName": "****" }, "responseElements": { "createAccountStatus": {

295

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html



"accountName": "****", "state": "IN_PROGRESS", "id": "car-examplecreateaccountrequestid111", "requestedTimestamp": "Sep 16, 2020 9:20:50 PM" } }, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag für einen CreateAccount-Aufruf, nachdemer erfolgreich abgeschlossen wurde.

{ "eventVersion": "1.05", "userIdentity": { "accountId": "111122223333", "invokedBy": "..." }, "eventTime": "2020-09-16T21:20:53Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateAccountResult", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "....", "requestParameters": null, "responseElements": null, "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "readOnly": false, "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "serviceEventDetails": { "createAccountStatus": { "id": "car-examplecreateaccountrequestid111", "state": "SUCCEEDED", "accountName": "****", "accountId": "444455556666", "requestedTimestamp": "Sep 16, 2020 9:20:50 PM", "completedTimestamp": "Sep 16, 2020 9:20:53 PM" } }}

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag, der generiert wird, nachdem einCreateAccount-Aufruf fehlgeschlagen ist.

{ "eventVersion": "1.06", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2018-06-21T22:06:27Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateAccountResult", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null,

296



"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "readOnly": false, "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "serviceEventDetails": { "createAccountStatus": { "id": "car-examplecreateaccountrequestid111", "state": "FAILED", "accountName": "****", "failureReason": "EMAIL_ALREADY_EXISTS", "requestedTimestamp": Jun 21, 2018 10:06:27 PM, "completedTimestamp": Jun 21, 2018 10:07:15 PM } }}

Beispielprotokolleintrag: CreateOrganizationalUnit

Das folgende Beispiel zeigt den CloudTrail-Protokolleintrag des BeispielaufrufsCreateOrganizationalUnit:

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111111111111:user/diego", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2017-01-18T21:40:11Z", "eventSource": "organizations.amazonaws.com", "eventName": "CreateOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "requestParameters": { "name": "OU-Developers-1", "parentId": "r-examplerootid111" }, "responseElements": { "organizationalUnit": { "arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "id": "ou-examplerootid111-exampleouid111", "name": "test-cloud-trail" } }, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Beispielprotokolleintrag: InviteAccountToOrganization

Das folgende Beispiel zeigt den CloudTrail-Protokolleintrag des BeispielaufrufsInviteAccountToOrganization:

{

297



"eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111111111111:user/diego", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2017-01-18T21:41:17Z", "eventSource": "organizations.amazonaws.com", "eventName": "InviteAccountToOrganization", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "requestParameters": { "notes": "This is a request for Mary's account to join Diego's organization.", "target": { "type": "ACCOUNT", "id": "111111111111" } }, "responseElements": { "handshake": { "requestedTimestamp": "Jan 18, 2017 9:41:16 PM", "state": "OPEN", "arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "id": "h-examplehandshakeid111", "parties": [ { "type": "ORGANIZATION", "id": "o-exampleorgid" }, { "type": "ACCOUNT", "id": "222222222222" } ], "action": "invite", "expirationTimestamp": "Feb 2, 2017 9:41:16 PM", "resources": [ { "resources": [ { "type": "MASTER_EMAIL", "value": "[email protected]" }, { "type": "MASTER_NAME", "value": "Management account for organization" }, { "type": "ORGANIZATION_FEATURE_SET", "value": "ALL" } ], "type": "ORGANIZATION", "value": "o-exampleorgid" }, { "type": "ACCOUNT", "value": "222222222222" }, {

298

AWS Organizations BenutzerhandbuchAmazon CloudWatch Events

"type": "NOTES", "value": "This is a request for Mary's account to join Diego's organization." } ] } }, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Beispielprotokolleintrag: AttachPolicyDas folgende Beispiel zeigt den CloudTrail-Protokolleintrag des Beispielaufrufs AttachPolicy: DieAntwort gibt an, dass der Aufruf fehlgeschlagen ist, da der Typ der angeforderten Richtlinie nicht in demStammverzeichnis aktiviert ist, in dem der Anfügungsversuch ausgeführt wurde.

{ "eventVersion": "1.06", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::111111111111:user/diego", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "diego" }, "eventTime": "2017-01-18T21:42:44Z", "eventSource": "organizations.amazonaws.com", "eventName": "AttachPolicy", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36", "errorCode": "PolicyTypeNotEnabledException", "errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view", "requestParameters": { "policyId": "p-examplepolicyid111", "targetId": "ou-examplerootid111-exampleouid111" }, "responseElements": null, "requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Amazon CloudWatch EventsAWS Organizations kann mit CloudWatch-Ereignisse arbeiten, um Ereignisse auszulösen, wenn vomAdministrator festgelegte Aktionen in einer Organisation auftreten. Zum Beispiel möchten die meistenAdministratoren, aufgrund der Vertraulichkeit solcher Aktionen, gewarnt werden, sobald jemand einneues Konto in der Organisation erstellt oder wenn der Administrator eines Mitgliedskontos versucht,die Organisation zu verlassen. Sie können CloudWatch-Ereignisse-Regeln konfigurieren, die auf dieseAktionen achten und die generierten Ereignisse dann an die vom Administrator festgelegten Ziele senden.Ziele können ein Amazon SNS-Thema sein, das E-Mails oder SMS-Nachrichten an Abonnenten verwendet.Sie können auch eine AWS Lambda-Funktion erstellen, die Details der Aktion für die spätere Überprüfungprotokolliert.

299

AWS Organizations BenutzerhandbuchCompliance-Validierung

Ein Tutorial, das zeigt, wie Sie CloudWatch-Ereignisse aktivieren, um wichtige Aktivitäten in IhrerOrganisation zu überwachen, finden Sie unter Tutorial: Überwachen wichtiger Änderungen an IhrerOrganisation mit CloudWatch-Ereignisse (p. 17).

Weitere Informationen über CloudWatch-Ereignisse, einschließlich Konfiguration und Aktivierung, findenSie im Benutzerhandbuch für Amazon CloudWatch Events.

Compliance-Validierung für AWS OrganizationsExterne Prüfer bewerten im Rahmen verschiedener AWS-Compliance-Programme die Sicherheit undCompliance von AWS Organizations. Dazu gehören SOC, PCI, FedRAMP, HIPAA und andere.

Eine Liste der AWS-Services, die in bestimmten Compliance-Programmen enthalten sind, finden Sie unterAWS-Services in Scope nach Compliance-Programm. Allgemeine Informationen finden Sie unter AWS-Compliance-Programme.

Die Auditberichte von Drittanbietern lassen sich mit AWS Artifact herunterladen. Weitere Informationenfinden Sie unter Herunterladen von Berichten in AWS Artifact.

Ihre Compliance-Verantwortung bei der Verwendung von Organisationen wird durch die Sensibilität IhrerDaten, die Compliance-Ziele Ihres Unternehmens und die geltenden Gesetze und Vorschriften bestimmt.AWS stellt die folgenden Ressourcen zur Unterstützung der Compliance bereit:

• Kurzanleitungen für Sicherheit und Compliance: In diesen Bereitstellungsleitfäden finden Sie wichtigeÜberlegungen zur Architektur sowie die einzelnen Schritte zur Bereitstellung von sicherheits- undCompliance-orientierten Basisumgebungen in AWS.

• Whitepaper zur Erstellung einer Architektur mit HIPAA-konformer Sicherheit und Compliance – DiesesWhitepaper beschreibt, wie Unternehmen mithilfe von AWS HIPAA-konforme Anwendungen erstellenkönnen.

• AWS-Compliance-Ressourcen – Diese Arbeitsbücher und Leitfäden könnten für Ihre Branche und IhrenStandort interessant sein.

• AWS Config – Dieser AWS-Service bewertet, zu welchem Grad die Konfiguration Ihrer Ressourcen deninternen Vorgehensweisen, Branchenrichtlinien und Vorschriften entspricht.

• AWS Security Hub – Dieser AWS-Service liefert einen umfassenden Überblick über denSicherheitsstatus in AWS. So können Sie die Compliance mit den Sicherheitsstandards in der Brancheund den bewährten Methoden abgleichen.

Ausfallsicherheit in AWS OrganizationsDie globale AWS-Infrastruktur basiert auf AWS-Regionen und Availability Zones. AWS -Regionen stellenmehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerkemit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können SieAnwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen AvailabilityZones ausführen, ohne dass es zu Unterbrechungen kommt. Verfügbarkeitszonen haben eine höhereVerfügbarkeit und sind fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem odermehreren Rechenzentren.

Weitere Informationen über zu AWS-Regionen und Availability Zones finden Sie unter Weltweite AWS-Infrastruktur.

300





https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

AWS Organizations BenutzerhandbuchSicherheit der Infrastruktur

Infrastruktursicherheit in AWS OrganizationsAls verwalteter Service ist AWS Organizations durch die globalen Verfahren zur Gewährleistung derNetzwerksicherheit von AWS geschützt, die in Amazon Web Services beschrieben sind: WhitepaperÜbersicht über Sicherheitsprozesse.

Sie verwenden von AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Organisationenzuzugreifen. Clients müssen Transport Layer Security (TLS) unterstützen. TLS 1.2 oder höher wirdjedoch empfohlen. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE(Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Diemeisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.

Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationenzu den verfügbaren FIPS-Endpunkten finden Sie unter Federal Information Processing Standard (FIPS)140-2.

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüsselsigniert sein, der mit einem IAM-Prinzipal verknüpft ist. Alternativ können Sie mit AWS Security TokenService (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zusignieren.

301

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/

https://docs.aws.amazon.com/STS/latest/APIReference/

https://docs.aws.amazon.com/STS/latest/APIReference/

AWS Organizations BenutzerhandbuchKontingente für AWS Organizations

AWS Organizations-ReferenzIn den Themen in diesem Abschnitt finden Sie ausführliche Referenzinformationen für verschiedeneAspekte von AWS Organizations.

Themen• Kontingente für AWS Organizations (p. 302)• Von AWS verwaltete Richtlinien zur Nutzung mit AWS Organizations (p. 304)

Kontingente für AWS OrganizationsIn diesem Abschnitt werden Kontingente angegeben, die AWS Organizations beeinflussen.

Vorgaben für die BenennungIm Folgenden finden Sie Vorgaben für Namen, die Sie in AWS Organizations anlegen, einschließlich derNamen von Konten, Organisationseinheiten (OUs), Roots und Richtlinien:

• Sie müssen aus Unicode-Zeichen bestehen• Die maximale Zeichenfolgenlänge für Namen variiert je nach Objekt. Informationen zu den tatsächlichen

Limits für jedes finden Sie unter AWS Organizations-API-Referenz. Suchen Sie die API-Operation, diedas Objekt erstellt. Sehen Sie sich die Details für den Name-Parameter dieser Operation an. Beispiel: Account name (Kontoname) oder OU name (OU-Name).

Höchst- und MindestwerteIm Folgenden sind die Standard-Maximen für Entitäten in AWS Organizations aufgeführt.

Note

Sie können Erhöhungen für einige Werte über die -ServicekontingenteKonsole anfordern.Organisationen ist ein globaler Service, der physisch in der USA Ost (Nord-Virginia)-Region(us-east-1) gehostet wird. Daher müssen Sie us-east-1 für den Zugriff auf Organisationen-Kontingente verwenden, wenn Sie die Servicekontingente-Konsole, die AWS CLI oder ein AWS-SDK verwenden.

Anzahl der AWS-Kontenje Organisation

4

Dies ist die standardmäßige maximale Anzahl von Konten, die in einerOrganisation zulässig sind.

Eine an ein Konto gesendete Einladung wird auf dieses Kontingentangerechnet. Die Anzahl wird zurückgegeben, wenn das eingeladene Kontoablehnt, das Management-Konto (früher als "Master-Konto" bezeichnet) dieEinladung ablehnt oder die Einladung abgelaufen ist.

Anzahl der Roots jeOrganisation

1

Anzahl der OUs in einerOrganisation

1000

302


https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html#organizations-CreateAccount-request-AccountName

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html#organizations-CreateAccount-request-AccountName

https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganizationalUnit.html#organizations-CreateOrganizationalUnit-request-Name

https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas

AWS Organizations BenutzerhandbuchHöchst- und Mindestwerte

Anzahl der Richtlinienjedes Typs in einerOrganisation

1000 pro Richtlinientyp

Maximale Größe einesRichtliniendokuments

Service-Kontrollrichtlinien: 5120 Bytes (nicht Zeichen)

AI-Services-Abmelderichtlinien: 2500 Zeichen

Sicherungsrichtlinien: 10.000 Zeichen

Tag-Richtlinien: 2500 Zeichen

Hinweis: Wenn Sie die Richtlinie mithilfe der AWS ManagementConsole speichern, werden zusätzliche Leerzeichen (wie Leerzeichenund Zeilenumbrüche) zwischen JSON-Elementen und außerhalb vonAnführungszeichen entfernt und nicht gezählt. Wenn Sie die Richtliniemit einer SDK-Operation oder der AWS CLI speichern, wird die Richtliniegenau so gespeichert, wie Sie sie angegeben haben, und es erfolgt keineautomatische Entfernung von Zeichen.

MaximaleVerschachtelungstiefederOrganisationseinheitenin einem Root

Fünf Ebenen von OUs unter einem Stammverzeichnis.

Anzahl der offenenEinladungen, die Siein einem Zeitraum von24 Stunden hinzufügenkönnen

20 — Akzeptierte Einladungen werden nicht auf dieses Kontingentangerechnet. Sobald eine Einladung akzeptiert wird, können Sie am selbenTag eine weitere Einladung senden.

Die Anzahl derMitgliedskonten, die Siegleichzeitig erstellenkönnen

5 — Sobald eines abgeschlossen ist, können Sie mit einem anderenbeginnen. Allerdings können nur fünf zugleich verarbeitet werden.

Anzahl der Entitäten,denen eine Richtliniezugeordnet werdenkann

Unbegrenzt

Anzahl der Tags, die Siean ein Konto anfügenkönnen

50

Ablaufzeiten für HandshakesEs folgen Zeitbeschränkungen für Handshakes in AWS Organizations.

Einladung zum Beitrittzu einer Organisation

15 Tage

Anforderung zurAktivierung allerFunktionen in einerOrganisation

90 Tage

303

AWS Organizations BenutzerhandbuchVerwaltete Richtlinien

Handshake wurdegelöscht und erscheintnicht mehr in Listen

30 Tage, nachdem der Handshake abgeschlossen wurde

Anzahl der Richtlinien je EntitätDas Minimum und Maximum hängen vom Richtlinientyp und der Entität ab, an die Sie die Richtlinieanfügen. In der folgenden Tabelle werden die einzelnen Richtlinientypen und die Anzahl der Entitätenaufgeführt, die Sie jedem Typ zuordnen können.

Richtlinientyp Einer Entity angefügtesMinimum

Dem Root-Benutzer maximalangefügt

Maximal angefügtpro OU

Maximal angefügtpro Konto

Service-Kontrollrichtlinie

1 — Jeder Entitätmuss zu jeder Zeitmindestens eineService-Kontrollrichtliniezugeordnet sein. Es istnicht möglich, die letzteService-Kontrollrichtlinievon einer Entität zuentfernen.

5 5 5

Richtlinie für dieAbmeldung vonAI-Services

0 5 5 5

Sicherungsrichtlinie 0 10 10 10

Tag-Richtlinie 0 5 5 5

Note

Derzeit ist nur ein Root-Element je Organisation möglich.

Von AWS verwaltete Richtlinien zur Nutzung mitAWS Organizations

In diesem Abschnitt werden die von AWS verwalteten Richtlinien für die Administration beschrieben. Siekönnen eine von AWS verwaltete Richtlinie nicht ändern oder löschen. Sie können sie jedoch an Entitätenin Ihrer Organisation anfügen oder sie trennen.

Verwaltete AWS Organizations-Service-KontrollrichtlinienService-Kontrollrichtlinien (Service Control Policies, SCPs) (p. 93) entsprechen IAM-Berechtigungsrichtlinien. Sie sind jedoch Teil von AWS Organizations und nicht von IAM. Sie verwendenSCPs, um maximale Berechtigungen für betroffene Entitäten anzugeben. Sie können SCPs an Roots,Organisationseinheiten (OUs) oder Konten in Ihrer Organisation anfügen. Sie können entweder Ihre

304

AWS Organizations BenutzerhandbuchVerwaltete AWS Organizations-Service-Kontrollrichtlinien

eigenen SCPs erstellen oder die von IAM definierten Richtlinien verwenden. Die Liste der Richtlinien inIhrer Organisation finden Sie auf der Seite Richtlinien in der Organisationen-Konsole.

Important

Jeder Root, jede OU und jedes Konto muss über mindestens eine angehängte SCP verfügen.

Richtlinienname Description (Beschreibung) ARN

FullAWSAccess Bietet AWS Organizations-Managementkonto (ehemals als"Masterkonto" bezeichnet) Zugriff aufMitgliedskonten.

arn:aws:iam::aws:policy/AWSFullAccess

305

https://console.aws.amazon.com/organizations/?#/policies

https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess

AWS Organizations BenutzerhandbuchFehlerbehebung bei allgemeinen Problemen

Fehlerbehebung für AWSOrganizations

Wenn Sie Probleme bei der Arbeit mit AWS Organizations haben, finden Sie in diesem Abschnittentsprechende Themen.

Themen• Fehlerbehebung bei allgemeinen Problemen (p. 306)• Fehlerbehebung bei AWS Organizations-Richtlinien (p. 309)

Fehlerbehebung bei allgemeinen ProblemenVerwenden Sie die hier aufgeführten Informationen, um Probleme durch Verweigerung des Zugriffsoder andere allgemeine Probleme, die beim Arbeiten mit AWS Organizations auftreten können, zudiagnostizieren und zu beheben.

Themen• Ich erhalte eine "Zugriff verweigert"-Meldung, wenn ich eine Anfrage an AWS Organizations

stelle. (p. 306)• Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich eine Anfrage mit temporären

Sicherheitsanmeldeinformationen erstelle (p. 307)• Ich erhalte eine Meldung, dass der Zugriff verweigert wird, wenn ich versuche, eine Organisation als

Mitgliedskonto zu verlassen oder ein Mitgliedskonto als Managementkonto (früher als „Hauptkonto“bezeichnet) zu entfernen. (p. 307)

• Ich erhalte eine Meldung „Kontingent überschritten“, wenn ich versuche, meiner Organisation ein Kontohinzuzufügen. (p. 308)

• Ich erhalte die Meldung "Diese Operation benötigt eine Wartezeit", wenn ich Konten hinzufüge oderentferne. (p. 308)

• Ich erhalte eine Meldung, dass die Organisation immer noch initialisiert wird, wenn ich versuche,meiner Organisation ein Konto hinzuzufügen. (p. 308)

• Ich erhalte die Meldung „Einladungen sind deaktiviert“, wenn ich versuche, ein Konto zu meinerOrganisation einzuladen. (p. 308)

• Beim Erstellen eines Mitgliedkontos habe ich eine falsche E-Mail-Adresse verwendet (p. 308)• Änderungen, die ich vornehme, sind nicht immer direkt sichtbar (p. 309)

Ich erhalte eine "Zugriff verweigert"-Meldung, wenn icheine Anfrage an AWS Organizations stelle.• Stellen Sie sicher, dass Sie die entsprechenden Berechtigungen zum Aufrufen der Aktion und Ressource

besitzen, die Sie angefordert haben. Ein Administrator muss Berechtigungen erteilen, indem er an

306

AWS Organizations BenutzerhandbuchIch erhalte eine Meldung, dass der Zugriff verweigert

wird, wenn ich eine Anfrage mit temporärenSicherheitsanmeldeinformationen erstelle

Ihren IAM-Benutzer oder an eine Gruppe, bei der Sie Mitglied sind, eine IAM-Richtlinie anfügt. Wenndie Richtlinienanweisungen, die diese Berechtigungen gewähren, Bedingungen enthalten, z. B.Einschränkungen der Tageszeit oder der IP-Adressen, müssen Sie diese Anforderungen erfüllen,wenn Sie die Anfrage senden. Weitere Informationen zum Anzeigen oder Ändern von Richtlinien füreinen IAM-Benutzer, eine Gruppe oder eine Rolle, finden Sie unter Arbeiten mit Richtlinien im IAM-Benutzerhandbuch.

• Wenn Sie API-Anforderungen manuell signieren (ohne die AWS SDKs), stellen Sie sicher, dass Sie dieAnforderung korrekt signiert haben.

Ich erhalte eine Meldung, dass der Zugriff verweigertwird, wenn ich eine Anfrage mit temporärenSicherheitsanmeldeinformationen erstelle• Stellen Sie sicher, dass der IAM-Benutzer oder die Rolle, die Sie zum Erstellen der Anfrage

verwenden, über die entsprechenden Berechtigungen verfügt. Berechtigungen für temporäreSicherheitsanmeldeinformationen werden von einem IAM-Benutzer oder einer Rolle abgeleitet,sodass die Berechtigungen auf die Berechtigungen des entsprechenden IAM-Benutzers oderder Rolle beschränkt sind. Weitere Informationen über die Berechtigungen für temporäreSicherheitsanmeldeinformationen finden Sie unter Kontrolle von Berechtigungen für temporäreSicherheitsanmeldeinformationen im IAM-Benutzerhandbuch.

• Stellen Sie sicher, dass Ihre Anfragen korrekt signiert sind und die Anfrage richtig aufgebaut ist. WeitereInformationen finden Sie in der Toolkit-Dokumentation für das ausgewählte SDK oder unter Verwendentemporärer Sicherheitsanmeldeinformationen zum Anfordern des Zugriffs auf AWS-Ressourcen im IAM-Benutzerhandbuch.

• Stellen Sie sicher, dass die temporären Sicherheitsanmeldeinformationen nicht abgelaufen sind. WeitereInformationen finden Sie unter Anfordern von temporären Sicherheitsanmeldeinformationen im IAM-Benutzerhandbuch.

Ich erhalte eine Meldung, dass der Zugriff verweigertwird, wenn ich versuche, eine Organisation alsMitgliedskonto zu verlassen oder ein Mitgliedskontoals Managementkonto (früher als „Hauptkonto“bezeichnet) zu entfernen.• Sie können ein Mitgliedskonto nur entfernen, nachdem Sie IAM-Benutzerzugriff auf die Fakturierung im

Konto aktiviert haben. Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die Billing andCost Management-Konsole im Benutzerhandbuch für AWS Billing and Cost Management.

• Sie können ein Konto nur aus Ihrer Organisation entfernen, wenn es über die Informationen verfügt,die erforderlich sind, um als ein eigenständiges Konto zu funktionieren. Wenn Sie ein Konto in einerOrganisation mithilfe der AWS Organizations-Konsole, der API oder von AWS CLI-Befehlen erstellen,werden diese Informationen nicht automatisch gesammelt. Sie müssen für jedes Konto, das Sieals eigenständig einrichten möchten, die AWS-Kundenvereinbarung akzeptieren, einen Support-Plan wählen, die erforderlichen Kontaktinformationen angeben und verifizieren sowie eine aktuelleZahlungsmethode angeben. AWS verwendet die Zahlungsmethode, um alle gebührenpflichtigen AWS-Aktivitäten (d. h. alle Aktivitäten, die nicht auf des kostenlosen AWS-Kontingents ausgeführt werden)abzurechnen, die ausgeführt werden, wenn das Konto nicht mit einer Organisation verbunden ist.Weitere Informationen finden Sie im Verlassen einer Organisation als Mitgliedskonto (p. 62).

307

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html

http://aws.amazon.com/tools/

https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html



AWS Organizations BenutzerhandbuchIch erhalte eine Meldung „Kontingent überschritten“, wennich versuche, meiner Organisation ein Konto hinzuzufügen.

Ich erhalte eine Meldung „Kontingent überschritten“,wenn ich versuche, meiner Organisation ein Kontohinzuzufügen.Es gibt ein maximale Anzahl von Konten, die Sie in einer Organisation haben können. Gelöschte odergeschlossene Konten werden weiterhin auf dieses Kontingent angerechnet.

Eine Einladung zur Teilnahme wird auf die maximale Anzahl von Konten in Ihrer Organisation angerechnet.Die Anzahl wird zurückgegeben, wenn das eingeladene Konto ablehnt, das Management-Konto dieEinladung ablehnt oder die Einladung abläuft.

• Bevor Sie ein AWS-Konto schließen oder löschen, entfernen Sie es aus Ihrer Organisation (p. 59),sodass es nicht weiterhin auf Ihr Kontingent angerechnet wird.

• Weitere Informationen zum Anfordern einer Kontingenterhöhung finden Sie unter Höchst- undMindestwerte (p. 302).

Ich erhalte die Meldung "Diese Operation benötigt eineWartezeit", wenn ich Konten hinzufüge oder entferne.Einige Operationen benötigen eine Wartezeit. Beispielsweise können Sie neu erstellte Konten nicht sofortentfernen. Versuchen Sie die Aktion in ein paar Tagen erneut. Wenn beim Hinzufügen und Entfernen vonKonten Probleme mit Kontokontingenten auftreten, finden Sie unter Höchst- und Mindestwerte (p. 302)Informationen zum Anfordern einer Kontingenterhöhung.

Ich erhalte eine Meldung, dass die Organisation immernoch initialisiert wird, wenn ich versuche, meinerOrganisation ein Konto hinzuzufügen.Wenn Sie diese Fehlermeldung erhalten und seit der Erstellung der Organisation mehr als eine Stundevergangen ist, wenden Sie sich an den AWS Support.

Ich erhalte die Meldung „Einladungen sind deaktiviert“,wenn ich versuche, ein Konto zu meiner Organisationeinzuladen.Dies geschieht, wenn Sie alle Funktionen in Ihrer Organisation aktivieren (p. 36). Dieser Vorgang kanneinige Zeit in Anspruch nehmen und erfordert, dass alle Mitgliedskonten reagieren. Bis der Vorgangabgeschlossen ist, können Sie keine neuen Konten zur Teilnahme an der Organisation einladen.

Beim Erstellen eines Mitgliedkontos habe ich einefalsche E-Mail-Adresse verwendetWenn Sie ein Mitgliedskonto in einer Organisation mit einer falschen E-Mail-Adresse erstellt haben,können Sie sich möglicherweise nicht als Stammbenutzer beim Mitgliedskonto anmelden. In diesem Fallkönnen Sie versuchen, auf die Zugriffsrolle des Managementkontos für das Konto zuzugreifen. Weitere

308


AWS Organizations BenutzerhandbuchÄnderungen, die ich vornehme,sind nicht immer direkt sichtbar

Informationen finden Sie im Zugreifen auf ein Mitgliedskonto mit einer Zugriffsrolle für ein Management-Konto (p. 58). Wenn dies nicht funktioniert, können Sie die E-Mail-Adresse des Mitgliedskontos nicht selbstkorrigieren. Wenden Sie sich stattdessen an AWS Support, um die E-Mail-Adresse im Mitgliedskonto zukorrigieren. Verwenden Sie Ihren Browser, um auf die Seite Kontakt zuzugreifen, und wählen Sie dasElement bezüglich der Fakturierung aus, um AWS Support zu kontaktieren.

Änderungen, die ich vornehme, sind nicht immer direktsichtbarAls Service, auf den Computer in weltweit angesiedelten Rechenzentren zugreifen, nutzt AWSOrganizations ein verteiltes Computing-Modell namens Eventual consistency. Jede Änderung, die Sie inAWS Organizations vornehmen, braucht Zeit, bis sie von allen möglichen Endpunkten aus sichtbar ist.Die Verzögerung ergibt sich teilweise aus der Zeit, die erforderlich ist, um die Daten von Server zu Server,von Replikationszone zu Replikationszone und von einer Region der Welt in eine andere zu senden. AWSOrganizations verwendet darüber hinaus Zwischenspeicherungen zur Verbesserung der Leistung, doch ineinigen Fällen kann dies Zeit erfordern. Die Änderung ist möglicherweise erst sichtbar, wenn die Zeit für dievorher zwischengespeicherten Daten abgelaufen ist.

Entwerfen Sie Ihre globalen Anwendungen unter Berücksichtigung dieser potenziellen Verzögerungen,und stellen Sie sicher, dass sie wie erwartet funktionieren, und zwar auch wenn eine Änderung an einemStandort nicht sofort in einem anderen sichtbar ist.

Weitere Informationen darüber, wie einige andere AWS-Services davon betroffen sind, finden Sie in denfolgenden Ressourcen:

• Verwalten der Datenkonsistenz im Amazon Redshift Database Developer Guide• Amazon S3-Datenkonsistenzmodell im Entwicklerhandbuch für Amazon Simple Storage Service• Sicherstellen der Konsistenz bei Verwendung von Amazon S3 und Amazon Elastic MapReduce für ETL-

Workflows im AWS Big Data-Blog• EC2 Eventual Consistency im Amazon EC2 API Reference.

Fehlerbehebung bei AWS Organizations-RichtlinienVerwenden Sie die Informationen in diesem Artikel, um häufige Probleme im Zusammenhang mit AWSOrganizations-Richtlinien zu diagnostizieren und zu beheben.

Service-KontrollrichtlinienService-Kontrollrichtlinien (Service Control Policies, SCPs) in AWS Organizations entsprechen IAM-Richtlinien. Sie arbeiten mit einer gemeinsamen Syntax. Diese Syntax beginnt mit den Regeln derJavaScript-Objektnotation (JSON). JSON beschreibt ein Objekt über Name/Wert-Paare für das Objekt. DieIAM-Richtliniensyntax baut auf dieser Vorgehensweise auf. Sie definiert, welche Namen und Werte welcheBedeutung haben und wie diese von den AWS-Services zur Gewährung von Berechtigungen genutztwerden.

AWS Organizations nutzt eine Teilmenge der IAM-Syntax. Details hierzu finden Sie unter SCP-Syntax (p. 106).

Häufige Fehler bei Richtlinien• Mehr als ein Richtlinienobjekt (p. 310)• Mehr als ein Statement-Element (p. 310)• Richtliniendokument überschreitet die maximal zulässige Größe (p. 311)

309


https://wikipedia.org/wiki/Eventual_consistency

https://docs.aws.amazon.com/redshift/latest/dg/managing-data-consistency.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/Introduction.html#ConsistencyModel

http://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/

http://aws.amazon.com/blogs/big-data/ensuring-consistency-when-using-amazon-s3-and-amazon-elastic-mapreduce-for-etl-workflows/

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/query-api-troubleshooting.html#eventual-consistency

http://www.json.org

https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html


Mehr als ein RichtlinienobjektEine SCP darf nur ein JSON-Objekt haben. Ein Objekt wird mithilfe von {}-Klammern definiert. IndemSie weitere {}-Klammern innerhalb von {}-Klammern einfügen, ist es möglich, verschachtelte Objekte zuerstellen. Eine Richtlinie darf jedoch nur ein äußeres Paar {}-Klammern enthalten. Das folgende Beispiel istfalsch, da es zwei Objekte auf oberster Ebene enthält (in hervorgehoben). red):

{ "Version": "2012-10-17", "Statement": { "Effect":"Allow", "Action":"ec2:Describe*", "Resource":"*" }}{ "Statement": { "Effect": "Deny", "Action": "s3:*", "Resource": "*" }}

Mit der richtigen Schreibweise können Sie das Beispiel jedoch in eine korrekte Richtlinie umwandeln. Stattzwei vollständige Richtlinienobjekte mit jeweils eigenen Statement-Elementen zu nutzen, können Siedie beiden Blöcke in einem einzelnen Statement-Element kombinieren. Im folgenden Beispiel hat dasStatement-Element zwei Objekte als Wert:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource":" *" }, { "Effect": "Deny", "Action": "s3:*", "Resource": "*" } ]}

Dieses Beispiel kann nicht noch weiter in ein Statement mit einem Element zusammengefasst werden(die beiden Elemente haben unterschiedliche Effekte). Grundsätzlich können Sie Anweisungen nur dannkombinieren, wenn die Elemente Effect und Resource der Anweisungen identisch sind.

Mehr als ein Statement-ElementDieser Fehler sieht möglicherweise zunächst wie eine Variante des Fehlers im vorherigen Abschnittaus. Syntaktisch handelt es sich jedoch um einen anderen Fehler. Im folgenden Beispiel gibt es auf derobersten Ebene nur ein Richtlinienobjekt (durch die {}-Klammern definiert). Das Objekt enthält jedoch zweiStatement-Elemente.

Eine SCP darf nur ein Statement-Element enthalten. Dies setzt sich aus dem Namen (Statement) linksvom Doppelpunkt und dem Wert auf der rechten Seite des Doppelpunktes zusammen. Der Wert einesStatement-Elements muss ein Objekt sein (durch {}-Klammern definiert). Es muss ein Effect-Element,

310


ein Action-Element und ein Resource-Element enthalten. Das folgende Beispiel ist falsch. Es enthältzwei Statement-Elemente in der Richtlinie:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, "Statement": { "Effect": "Deny", "Action": "s3:*", "Resource": "*" }}

Da ein Wert-Objekt eine Gruppe mit mehreren Wert-Objekten sein kann, können Sie dieses Problem lösen,indem Sie die zwei Statement-Elemente in einem Element mit einer Objekt-Gruppe kombinieren:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource":"*" }, { "Effect": "Deny", "Action": "s3:*", "Resource": "*" } ]}

Der Wert des Statement-Elements ist eine Objekt-Gruppe. Die Gruppe im Beispiel besteht aus zweiObjekten. Jedes Objekt ist ein gültiger Wert für ein Statement-Element. Die Objekte in der Gruppewerden durch Kommas getrennt.

Richtliniendokument überschreitet die maximal zulässige GrößeDie maximal zulässige Größe eines SCP-Dokuments ist 5.120 Bytes. Diese maximale Größe umfasstalle Zeichen einschließlich Leerzeichen. Zur Reduzierung der Größe Ihrer Service-Kontrollrichtliniekönnen Sie alle Leerraumzeichen (wie z. B. Leerzeichen und Zeilenumbrüche), die sich außerhalb vonAnführungszeichen befinden, entfernen.

311

AWS Organizations BenutzerhandbuchEndpoints

Aufrufen der API mittels HTTP-Abfrageanforderungen

Dieser Abschnitt enthält allgemeine Informationen über die Verwendung der Abfrage-API für AWSOrganizations. Weitere Informationen über die API-Vorgänge und Fehler finden Sie in der AWSOrganizations-API-Referenz.

Note

Anstatt die AWS Organizations-Abfrage-API direkt aufzurufen, können Sie eine der AWS SDKsverwenden. Das AWS SDKs besteht aus Bibliotheken und Beispiel-Code für verschiedeneProgrammiersprachen und Plattformen (Java, Ruby, .NET, iOS, Android und mehr). Die SDKsbietet eine bequeme Möglichkeit, programmgesteuerten Zugriff auf AWS Organizations undAWS zu erstellen. Der SDKs übernimmt beispielsweise Aufgaben wie das kryptografischeSignieren von Anforderungen, das Verwalten von Fehlern und das automatische Wiederholenvon Anforderungen. Weitere Informationen zum AWS SDKs, einschließlich einer Anleitung zumHerunterladen und Installieren, finden Sie unter Tools für Amazon Web Services.

Die Abfrage-API für AWS Organizations dient zum Aufrufen von Serviceaktionen. Abfrage-API-Anforderungen sind HTTPS-Anforderungen, in denen eine auszuführende Operation mittels einesAction-Parameters angegeben wird. AWS Organizations unterstützt GET- und POST-Anforderungenfür alle Operationen. Dies bedeutet, es ist nicht erforderlich, je nach Aktion zwischen GET- und POST-Anforderungen zu unterscheiden. Allerdings unterliegen GET-Anforderungen der Größenbeschränkungvon URLs. Diese sind abhängig vom Browser; die übliche Beschränkung liegt bei 2.048 Byte. Für größereAbfrage-API-Anforderungen muss daher eine POST-Anforderung verwendet werden.

Die Antwort erfolgt in Form eines XML-Dokuments. Weitere Informationen über die Antwort finden Sie aufden Seiten zu den einzelnen Aktionen in der AWS Organizations-API-Referenz.

Themen• Endpoints (p. 312)• HTTPS erforderlich (p. 312)• Signieren von AWS Organizations-API-Anforderungen (p. 313)

EndpointsAWS Organizations verfügt über einen einzelnen globalen API-Endpunkt, der in der Region USA Ost (Nord-Virginia) gehostet wird.

Weitere Informationen zu AWS-Endpunkten und -Regionen für alle Services finden Sie unter Regionen undEndpunkte in der AWS General Reference.

HTTPS erforderlichDie Abfrage-API gibt vertrauliche Informationen wie Sicherheitsanmeldeinformationen zurück; dahermüssen Sie zum Verschlüsseln aller API-Anforderungen HTTPS verwenden.

312





https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html

https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html

AWS Organizations BenutzerhandbuchSignieren von AWS Organizations-API-Anforderungen

Signieren von AWS Organizations-API-Anforderungen

Anforderungen müssen über eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel signiertwerden. Wir raten nachdrücklich davon ab, die Anmeldeinformationen für Ihr AWS-Root-Konto fürdie tägliche Arbeit mit AWS Organizations zu verwenden. Greifen Sie stattdessen lieber auf dieAnmeldeinformationen für einen IAM-Benutzer oder auf temporäre Anmeldeinformationen zurück, die Siez. B. mit einer IAM-Rolle verwenden.

Zum Signieren von API-Anforderungen müssen Sie Signature Version 4 für AWS verwenden. WeitereInformationen zu Signature Version 4 finden Sie im Signaturprozess mit Signaturversion 4 in derAllgemeinen Referenz zu AWS.

AWS Organizations unterstützt keine älteren Versionen, wie z. B. Signature Version 2.

Weitere Informationen finden Sie unter:

• AWS-Sicherheitsanmeldeinformationen – Bietet allgemeine Informationen zu den Arten derAnmeldeinformationen, mit denen Sie auf AWS zugreifen können.

• Bewährte Methoden für IAM – Bietet Vorschläge für die Verwendung des IAM-Service zur Sicherung vonAWS-Ressourcen, einschließlich der AWS Organizations-Ressourcen.

• Temporäre Anmeldeinformationen – Beschreibt die Erstellung und Verwendung von temporärenSicherheitsanmeldeinformationen.

313

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/general/latest/gr/aws-security-credentials.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html


Dokumentverlauf für AWSOrganizations

Die folgende Tabelle beschreibt die wesentlichen Dokumentationsupdates für AWS Organizations.

• API-Version: 2016-11-28

update-history-change update-history-description update-history-date

Organisationen unterstütztjetzt die Integration mit AWSMarketplace

Sie können jetzt AWSMarketplace aktivieren, um IhreSoftwarelizenzen für alle Kontenin Ihrer Organisation einfacherfreizugeben.

December 3, 2020

Organisationen unterstützt jetztdie Integration mit Amazon S3Lens

Amazon S3 Lens unterstütztsowohl vertrauenswürdigenZugriff als auch delegiertenAdministrator mit Organisationen.Weitere Informationen findenSie unter Amazon S3 StorageLens im Entwicklerhandbuch fürAmazon Simple Storage Service.

November 18, 2020

KontoübergreifendeSicherungskopien

Wenn Sie Sicherungsrichtlinienverwenden, um die Ressourcenin Ihrer Organisation zu sichern,können Sie jetzt Kopien IhrerSicherung in anderen AWS-Konten in der Organisationspeichern.

November 18, 2020

-Regionen in Chinaunterstützen jetzt AWS alsvertrauenswürdigen AWSResource Access Manager-Service.Organisationen (p. 314)

Sie können jetzt AWS RAM-Funktionen verwenden,die in Organisationen alsvertrauenswürdigen Serviceintegriert werden können, wennSie Organisationen und AWSRAM in China verwenden.

November 18, 2020

Organisationen unterstützt jetztdie Integration mit AWS SecurityHub

Sie können Security Hubfür alle Konten in IhrerOrganisation aktivieren undeines der Mitgliedskonten IhrerOrganisation als delegiertesAdministratorkonto für SecurityHub festlegen.

November 12, 2020

Das Hauptkonto wurdeumbenannt. (p. 314)

AWS Organizations hat denNamen des „Masterkontos“in „Managementkonto“geändert. Dies ist nur eine

October 20, 2020

314

https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-marketplace.html



https://docs.aws.amazon.com/organizations/latest/userguide/services_that_can_integrate-s3lens.html



https://docs.aws.amazon.com/AmazonS3/latest/dev/storage_lens.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/storage_lens.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html


https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html




Namensänderung und esgibt keine Änderung derFunktionalität.

Neue Abschnitte und Themen zubewährten Methoden

Es wurde ein neuer Abschnittmit bewährten Methoden fürAWS Organizations hinzugefügt.Der neue Abschnitt enthältThemen, in denen bewährteMethoden für die Root-Benutzerund die Passwortverwaltungdes Verwaltungskontos und desMitgliedskontos erläutert werden.

October 6, 2020

Neue Abschnitt zu bewährtenMethoden und erste zwei Seitenhinzugefügt

Es gibt einen neuen Abschnittzu Themen, in denen bewährteMethoden für AWS Organizationsbeschrieben werden. DiesesUpdate enthält ein Themafür bewährte Methoden fürdas Managementkonto einerOrganisation und ein Themafür bewährte Methoden fürMitgliedskonten.

October 2, 2020

Organisationen-Sicherungsrichtlinienunterstützen jetztanwendungskonsistenteSicherungen auf Windows EC2-Instances mithilfe von VSS(Volume Shadow Copy Service).

Sicherungsrichtlinien unterstützeneinen neuen Abschnittadvanced_backup_settings".Der erste Eintrag in diesemneuen Abschnitt ist eineec2-Einstellung namensWindowsVSS, die Sie aktivierenoder deaktivieren können.Weitere Informationen finden Sieunter Erstellen einer VSS-fähigenWindows-Sicherung im AWSBackup-Entwicklerhandbuch.

September 24, 2020

Organisationen unterstützt dieTag-on-Create- und Tag-basierteZugriffskontrolle

Sie können Tags zuOrganisationen-Ressourcenhinzufügen, wenn Sie sieerstellen. Sie können Tag-Richtlinien verwenden, um dieTag-Nutzung für Organisationen-Ressourcen zu standardisieren.Sie können -Richtlinienverwenden, um den Zugriff aufRessourcen einzuschränken, dieüber angegebene Tag-Schlüsselund -Werte verfügenIAM.

September 15, 2020

wurde als vertrauenswürdigerService hinzugefügt.AWS Health

Sie können AWS Health-Ereignisse kontenübergreifend inIhrer Organisation aggregieren.

August 4, 2020

315

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices.html














https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging.html



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html


https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_iam_tbac.html





https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-health.html

https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-health.html


Abmeldung von Services mitkünstlicher Intelligence (KI)-Richtlinien

Sie können AI services opt-out-Richtlinien verwenden, um zusteuern, ob AWS AI-ServicesKundeninhalte speichernund verwenden können, dievon diesen Services (AI-Inhalten) für die Entwicklung undkontinuierliche Verbesserungvon AWS AI-Services und -Technologien verarbeitet werden.

July 8, 2020

Sicherungsrichtlinien undIntegration in AWS Backuphinzugefügt.

Sie können Sicherungsrichtlinienverwenden, umSicherungsrichtlinien für alleKonten in Ihrer Organisation zuerstellen und durchzusetzen.

June 24, 2020

Unterstützung der delegiertenAdministration für IAM AccessAnalyzer.

Ermöglicht das Delegierendes administrativen Zugriffsfür Access Analyzer in IhrerOrganisation an ein designiertesMitgliedskonto.

March 30, 2020

Integration in AWSCloudFormation StackSets

Sie können einserviceverwaltetes Stack-Seterstellen, um Stack-Instances fürKonten bereitzustellen, die vonAWS Organizations verwaltetwerden.

February 11, 2020

Integration in Compute Optimizer Compute Optimizer wurdeals Service hinzugefügt, derfür Konten Ihrer Organisationausgeführt werden kann.

February 4, 2020

Tag-Richtlinien Mithilfe von Tag-Richtlinienkönnen Sie Tags für alleRessourcen in den Konten IhrerOrganisation standardisieren.

November 26, 2019

Integration in Systems Manager In Systems Manager Explorerkönnen Sie Betriebsdatenfür alle AWS-Konten in IhrerOrganisation synchronisieren.

November 26, 2019

aws:PrincipalOrgPaths Der neue globaleBedingungsschlüssel überprüftden AWS Organizations-Pfadfür den IAM-Benutzer, die IAM-Rolle oder den Root-Benutzerdes AWS-Kontos, der dieAnforderung stellt.

November 20, 2019

Integration in AWS Config-Regeln

Mithilfe von AWS Config-API-Operationen können Sie AWSConfig-Regeln für alle AWS-Konten in Ihrer Organisationverwalten.

July 8, 2019

316

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-settings.html#access-analyzer-delegated-administrator





https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrated-services-list.html



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html




Neuer Service für denvertrauenswürdigen Zugriff

Servicekontingente wurdeals Service hinzugefügt, derfür Konten Ihrer Organisationausgeführt werden kann.

June 24, 2019

Integration in AWS Control Tower AWS Control Tower wurdeals Service hinzugefügt, derfür Konten Ihrer Organisationausgeführt werden kann.

June 24, 2019

Integration in AWS Identity andAccess Management

IAM stellt das letzte Service-Zugriffsdatum für dieEntitys Ihrer Organisation(Organisationsstamm, OUsund Konten) bereit. Sie könnendiese Daten verwenden, um denZugriff auf die AWS-Services zubeschränken, die Sie benötigen.

June 20, 2019

Tagging von Konten Sie können Tags zu Konten inIhrer Organisation hinzufügenbzw. von diesen entfernen undTags auf einem Konto in IhrerOrganisation anzeigen.

June 6, 2019

Ressourcen, Bedingungenund das Element NotAction inService-Kontrollrichtlinien (SCPs)

Sie können jetzt Ressourcen,Bedingungen und dasNotAction-Element inSCPs angeben, um denkontenübergreifenden Zugriffin Ihrer Organisation oderOrganisationseinheit (OU) zuverweigern.

March 25, 2019

Neue Services für denvertrauenswürdigen Zugriff

AWS License Manager undAWS Service Catalog wurdenals Services hinzugefügt, diefür Konten Ihrer Organisationausgeführt werden können.

December 21, 2018


AWS CloudTrail und AWS RAMwurden als Services hinzugefügt,die für Konten Ihrer Organisationausgeführt werden können.

December 4, 2018


AWS Directory Service wurdeals Service hinzugefügt, derfür Konten Ihrer Organisationausgeführt werden kann.

September 25, 2018

Verifizierung über E-Mail-Adresse Sie müssen überprüfen, obSie der Eigentümer der E-Mail-Adresse sind, die mitdem Management-Konto(früher als „Masterkonto“bezeichnet) verknüpft ist, bevorSie vorhandene Konten zu IhrerOrganisation einladen können.

September 20, 2018

317




https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp.html













https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_create.html#about-email-verification


CreateAccount-Benachrichtigungen

Benachrichtigungen zuCreateAccount werden inden CloudTrail-Protokollen desManagementkontos veröffentlicht.

June 28, 2018


AWS Artifact wurde als Servicehinzugefügt, der für Konten IhrerOrganisation ausgeführt werdenkann.

June 20, 2018


AWS Config und AWS FirewallManager wurden als Serviceshinzugefügt, die für Konten IhrerOrganisation ausgeführt werdenkönnen.

April 18, 2018

VertrauenswürdigerServicezugriff

Sie können jetzt den Zugriff fürausgewählte AWS-Serviceszum Arbeiten mit KontenIhrer Organisation aktivierenoder deaktivieren. AWS SSOist der erste unterstütztevertrauenswürdige Service.

March 29, 2018

Kontoentfernung ist jetzt Self-Service

Sie können jetzt Kontenentfernen, die innerhalb von AWSOrganizations erstellt wurden,ohne sich an AWS Supportwenden zu müssen.

December 19, 2017

Unterstützung für den neuenService AWS – EinmaligesAnmelden wurde hinzugefügt.

AWS Organizations unterstütztjetzt die Integration mit AWS– Einmaliges Anmelden (AWSSSO).

December 7, 2017

AWS hat eineservicegebundene Rolle zu allenOrganisationskonten hinzugefügt.

Eine servicegebundeneRolle namensAWSServiceRoleForOrganizationswird allen Konten in einerOrganisation hinzugefügt, umdie Integration zwischen AWSOrganizations und anderen AWS-Services zu ermöglichen.

October 11, 2017

Sie können jetzt Kontenentfernen (p. 314)

Kunden können nun erstellteKonten mithilfe von AWS Supportaus ihrer Organisation entfernen.

June 15, 2017

Service-Start Erste Version der AWSOrganizations-Dokumentationzum Start des neuen Service.

February 17, 2017

318

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html#Log-entries-create-account

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html#Log-entries-create-account







https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html#orgs_manage_accounts_remove-from-managment-account

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html#orgs_manage_accounts_remove-from-managment-account




https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs



https://docs.aws.amazon.com/organizations/latest/userguide/


AWS-GlossarDie aktuelle AWS-Terminologie finden Sie im AWS-Glossar im AWS General Reference.

319

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html


Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchszwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge vonVerzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

cccxx

aws organizations - benutzerhandbuch · aws organizations benutzerhandbuch aws...

Documents