View a markdown version of this page

Ressourcen-Kontrollrichtlinien (RCPs) - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcen-Kontrollrichtlinien (RCPs)

Anmerkung

Richtlinien zur Servicesteuerung (SCPs) und Ressourcenkontrollrichtlinien (RCPs)

Verwenden Sie einen SCP, wenn Sie die Berechtigungen von IAM-Prinzipalen innerhalb der Mitgliedskonten Ihrer Organisation einschränken müssen.

Verwenden Sie ein RCP, wenn Sie IAM-Prinzipale einschränken müssen, die sich außerhalb Ihrer Unternehmenskonten befinden und Anfragen für den Zugriff auf Ressourcen innerhalb der Mitgliedskonten Ihrer Organisation stellen.

Weitere Informationen finden Sie unter Grundlegendes zu SCPs und RCPs.

Ressourcenkontrollrichtlinien (RCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. RCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation. RCPs helfen Ihnen dabei, sicherzustellen, dass die Ressourcen in Ihren Konten den Richtlinien für die Zugriffskontrolle Ihrer Organisation entsprechen. RCPs sind nur in einer Organisation verfügbar, in der alle Funktionen aktiviert sind. RCPs sind nicht verfügbar, wenn Ihre Organisation nur die Funktionen für die konsolidierte Abrechnung aktiviert hat. Anweisungen zur Aktivierung von RCPs finden Sie unter. Aktivieren eines Richtlinientyps

RCPs allein reichen nicht aus, um den Ressourcen in Ihrer Organisation Berechtigungen zu erteilen. Ein RCP gewährt keine Berechtigungen. Ein RCP definiert eine Berechtigungsleitplanke oder legt Beschränkungen für die Aktionen fest, die Identitäten in Bezug auf Ressourcen in Ihren Organisationen ergreifen können. Der Administrator muss weiterhin identitätsbasierte Richtlinien an IAM-Benutzer oder -Rollen oder ressourcenbasierte Richtlinien an Ressourcen in Ihren Konten anhängen, um tatsächlich Berechtigungen zu gewähren. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Identity-based Richtlinien und ressourcenbasierte Richtlinien.

Die effektiven Berechtigungen stellen die logische Schnittstelle zwischen dem, was die RCPs und Service Control Policies (SCPs) zulassen, und dem, was die identitäts- und ressourcenbasierten Richtlinien zulassen, dar.

RCPs wirken sich nicht auf Ressourcen im Verwaltungskonto aus

RCPs wirken sich nicht auf Ressourcen im Verwaltungskonto aus. Sie wirken sich nur auf Ressourcen in den Mitgliedskonten innerhalb Ihrer Organisation aus. Das bedeutet auch, dass RCPs für Mitgliedskonten gelten, die als delegierte Administratoren benannt wurden.

Liste von AWS-Services die RCPs unterstützen

RCPs gelten für Maßnahmen in den folgenden Bereichen: AWS-Services

Testen der Auswirkungen von RCPs

AWS empfiehlt dringend, RCPs nicht an das Stammverzeichnis Ihrer Organisation anzuhängen, ohne die Auswirkungen der Richtlinie auf die Ressourcen in Ihren Konten gründlich zu testen. Sie können damit beginnen, RCPs an einzelne Testkonten anzuhängen, sie in die Organisationseinheiten weiter unten in der Hierarchie zu verschieben und sich dann nach Bedarf in der Organisationsstruktur nach oben vorzuarbeiten. Eine Möglichkeit, die Auswirkungen zu ermitteln, besteht darin, die AWS CloudTrail Protokolle auf Fehler „Zugriff verweigert“ zu überprüfen.

Maximale Größe von RCPs

Alle Zeichen in Ihrem RCP werden auf die maximale Größe angerechnet. Die Beispiele in diesem Handbuch zeigen, dass die RCPs mit zusätzlichem Leerraum formatiert wurden, um ihre Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

Tipp

Verwenden Sie den visuellen Editor, um Ihr RCP zu erstellen. Hier werden zusätzliche Leerzeichen automatisch entfernt.

Hinzufügen von RCPs zu verschiedenen Ebenen in der Organisation

Sie können RCPs direkt einzelnen Konten, Organisationseinheiten oder dem Stammverzeichnis der Organisation zuordnen. Eine ausführliche Erläuterung der Funktionsweise von RCPs finden Sie unter. RCP-Bewertung

Auswirkungen von RCP auf Berechtigungen

RCPs sind eine Art von AWS Identity and Access Management (IAM-) Richtlinie. Sie stehen in engem Zusammenhang mit ressourcenbasierten Richtlinien. Ein RCP gewährt jedoch niemals Berechtigungen. Stattdessen handelt es sich bei RCPs um Zugriffskontrollen, die die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter Logik der Richtlinienauswertung im Handbuch zu -IAM-Benutzer.

  • RCPs gelten für Ressourcen für eine Teilmenge von. AWS-Services Weitere Informationen finden Sie unter Liste von AWS-Services die RCPs unterstützen.

  • RCPs betreffen nur Ressourcen, die von Konten verwaltet werden, die Teil der Organisation sind, die die RCPs angehängt hat. Sie wirken sich nicht auf Ressourcen aus Konten außerhalb der Organisation aus. Stellen Sie sich zum Beispiel einen Amazon S3 S3-Bucket vor, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Benutzern von Konto B außerhalb der Organisation Zugriff. An Konto A ist ein RCP angehängt. Dieser RCP gilt für den S3-Bucket in Konto A, auch wenn Benutzer von Konto B aus darauf zugreifen. Dieser RCP gilt jedoch nicht für Ressourcen in Konto B, wenn Benutzer in Konto A darauf zugreifen.

  • Ein RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein. Jede Ressource in einem Konto verfügt nur über die Berechtigungen, die von allen übergeordneten Eltern zugelassen wurden. Wenn eine Berechtigung auf einer Ebene über dem Konto gesperrt ist, verfügt eine Ressource im betroffenen Konto nicht über diese Berechtigung, selbst wenn der Ressourcenbesitzer eine ressourcenbasierte Richtlinie anhängt, die jedem Benutzer vollen Zugriff gewährt.

  • RCPs gelten für die Ressourcen, die im Rahmen einer Betriebsanforderung autorisiert wurden. Diese Ressourcen finden Sie in der Spalte „Ressourcentyp“ der Aktionstabelle in der Service Authorization Reference. Wenn in der Spalte „Ressourcentyp“ eine Ressource angegeben ist, werden die RCPs des aufrufenden Hauptkontos angewendet. s3:GetObjectAutorisiert beispielsweise die Objektressource. Immer wenn eine GetObject Anfrage gestellt wird, wird ein entsprechender RCP angewendet, um zu bestimmen, ob der anfordernde Principal den Vorgang aufrufen kann. GetObject Ein gültiger RCP ist ein RCP, der einem Konto, einer Organisationseinheit (OU) oder dem Stamm der Organisation zugeordnet wurde, der die Ressource gehört, auf die zugegriffen wird.

  • RCPs wirken sich nur auf Ressourcen in Mitgliedskonten der Organisation aus. Sie haben keine Auswirkungen auf Ressourcen im Verwaltungskonto. Das bedeutet auch, dass RCPs für Mitgliedskonten gelten, die als delegierte Administratoren benannt wurden. Weitere Informationen finden Sie unter Bewährte Methoden für das Verwaltungskonto.

  • Wenn ein Principal eine Anfrage für den Zugriff auf eine Ressource innerhalb eines Kontos stellt, dem ein RCP angehängt ist (eine Ressource mit einem entsprechenden RCP), wird der RCP in die Bewertungslogik der Richtlinie einbezogen, um festzustellen, ob dem Principal der Zugriff gewährt oder verweigert wird.

  • RCPs wirken sich auf die effektiven Berechtigungen von Prinzipalen aus, die versuchen, auf Ressourcen in einem Mitgliedskonto mit einem entsprechenden RCP zuzugreifen, unabhängig davon, ob die Principals derselben Organisation angehören oder nicht. Dies schließt Root-Benutzer ein. Eine Ausnahme ist, wenn es sich bei Principals um dienstbezogene Rollen handelt, da RCPs nicht für Aufrufe gelten, die von dienstbezogenen Rollen getätigt werden. Service-linked Rollen ermöglichen AWS-Services die Durchführung der erforderlichen Aktionen in Ihrem Namen und können nicht durch RCPs eingeschränkt werden.

  • Benutzern und Rollen müssen weiterhin Berechtigungen mit entsprechenden IAM-Berechtigungsrichtlinien, einschließlich identitäts- und ressourcenbasierter Richtlinien, erteilt werden. Ein Benutzer oder eine Rolle ohne IAM-Berechtigungsrichtlinien hat keinen Zugriff, auch wenn ein entsprechender RCP alle Dienste, alle Aktionen und alle Ressourcen zulässt.

Ressourcen und Entitäten, die nicht durch RCPs eingeschränkt sind

Sie können RCPs nicht verwenden, um Folgendes einzuschränken:

  • Jede Aktion mit Ressourcen im Verwaltungskonto.

  • RCPs wirken sich nicht auf die effektiven Berechtigungen einer serviceverknüpften Rolle aus. Service-linked Rollen sind eine einzigartige Art von IAM-Rolle, die direkt mit einem AWS Dienst verknüpft ist und alle Berechtigungen beinhaltet, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Die Berechtigungen von dienstbezogenen Rollen können nicht durch RCPs eingeschränkt werden. RCPs wirken sich auch nicht auf die Fähigkeit AWS der Dienste aus, eine dienstbezogene Rolle zu übernehmen. Das heißt, die Vertrauensrichtlinie der dienstbezogenen Rolle wird von RCPs ebenfalls nicht beeinflusst.

  • RCPs bewerben sich nicht für.Von AWS verwaltete SchlüsselAWS Key Management Service Von AWS verwaltete Schlüssel werden in Ihrem Namen von einem AWS-Service erstellt, verwaltet und verwendet. Sie können ihre Berechtigungen nicht ändern oder verwalten.

  • RCPs haben keinen Einfluss auf die folgenden Berechtigungen:

    Service API Ressourcen, die nicht von RCPs autorisiert wurden
    AWS Key Management Service

    kms:RetireGrant

    RCPs haben keinen Einfluss auf die kms:RetireGrant Genehmigung. Weitere Informationen darüber, wie die Erlaubnis dazu bestimmt kms:RetireGrant wird, finden Sie im Entwicklerhandbuch unter Aussetzung und Widerruf von Zuschüssen.AWS KMS