Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Organizations
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der AWS Cloud läuft. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für gelten AWS Organizations, finden Sie [AWS-Services unter Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Organizations zum Tragen kommt. Die folgenden Themen veranschaulichen, wie Sie Organizations zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie lernen auch, wie Sie andere verwenden können AWS-Services , die Ihnen helfen, die Ressourcen Ihres Unternehmens zu überwachen und zu sichern.
**Topics**
+ [AWS PrivateLink für AWS Organizations](orgs_security_privatelink.md)
+ [Identity and Access Management für AWS Organizations](orgs_security_iam.md)
+ [Einloggen und Überwachen AWS Organizations](orgs_security_incident-response.md)
+ [Konformitätsvalidierung für AWS Organizations](orgs_security_compliance-validation.md)
+ [Resilienz in AWS Organizations](orgs_security_disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS Organizations](orgs_security_infrastructure.md)
# AWS PrivateLink für AWS Organizations
Mit AWS PrivateLink for AWS Organizations können Sie von der Virtual Private Cloud (VPC) aus auf den AWS Organizations Service zugreifen, ohne das öffentliche Internet überqueren zu müssen.
Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen VPCs dazu finden Sie im [https://docs.aws.amazon.com/vpc/latest/userguide/](https://docs.aws.amazon.com/vpc/latest/userguide/).
Um Ihre Amazon-VPC mit zu verbinden AWS Organizations, müssen Sie zunächst einen VPC-Schnittstellen-Endpunkt (Schnittstellen-Endpunkte) definieren. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) dargestellt, denen private IP-Adressen aus Subnetzen in Ihrer VPC zugewiesen wurden. Anfragen von Ihrer VPC an Endpunkte AWS Organizations über Schnittstellen verbleiben im Amazon-Netzwerk.
Allgemeine Informationen zu Schnittstellenendpunkten finden Sie unter [Zugreifen auf einen AWS Service mithilfe eines Schnittstellen-VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Einschränkungen und Einschränkungen von für AWS PrivateLink AWS Organizations](#limits-restrictions-privatelink)
+ [Erstellung eines VPC-Endpunkts](create-vpc-endpoint.md)
+ [Erstellen einer VPC-Endpunktrichtlinie](create-vpc-endpoint-policy.md)
## Einschränkungen und Einschränkungen von für AWS PrivateLink AWS Organizations
VPC-Einschränkungen gelten AWS PrivateLink für AWS Organizations. Weitere Informationen finden Sie unter [Zugreifen auf einen AWS Service über eine Schnittstelle, VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) und [AWS PrivateLink Kontingente](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) im *Amazon VPC-Benutzerhandbuch*. Darüber hinaus gelten die folgenden Einschränkungen:
+ Nur in der Region verfügbar `us-east-1`
+ Unterstützt Transport Layer Security (TLS) 1.1 nicht
# Erstellen eines VPC-Endpunkts für AWS Organizations
Sie können einen AWS Organizations Endpunkt in Ihrer VPC mithilfe der Amazon VPC-Konsole, dem AWS Command Line Interface (AWS CLI) oder, erstellen. CloudFormation
Informationen zum Erstellen und Konfigurieren eines Endpunkts mithilfe der Amazon VPC-Konsole oder der AWS CLI finden [Sie unter Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *Amazon VPC-Benutzerhandbuch*. Informationen zum Erstellen und Konfigurieren eines Endpunkts mithilfe CloudFormation von finden Sie in der VPCEndpoint Ressource [AWS: :EC2::](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) im *AWS CloudFormation Benutzerhandbuch*.
Wenn Sie einen AWS Organizations Endpunkt erstellen, verwenden Sie Folgendes als Servicenamen:
```
com.amazonaws.us-east-1.organizations
```
Wenn Sie für den Zugriff FIPS 140-2-validierte kryptografische Module benötigen AWS, verwenden Sie den folgenden AWS Organizations FIPS-Dienstnamen:
```
com.amazonaws.us-east-1.organizations-fips
```
# Erstellen einer VPC-Endpunktrichtlinie für AWS Organizations
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Organizations steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
## Beispiel: VPC-Endpunktrichtlinie für Aktionen AWS Organizations
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"Organizations:DescribeAccount"
],
"Resource":"*"
}
]
}
```
# Identity and Access Management für AWS Organizations
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um die Ressourcen von Organizations zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Organizations funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Zugriffsberechtigungen für eine Organisation verwalten](orgs_permissions_overview.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Beispiele für eine ressourcenbasierte Richtlinie](security_iam_resource-based-policy-examples.md)
+ [AWS verwaltete Richtlinien](orgs_reference_available-policies.md)
+ [Attributbasierte Zugriffskontrolle mit Tags](orgs_tagging_abac.md)
+ [Fehlerbehebung](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS Organizations Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Organizations funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Organizations](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Organizations funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Organizations zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für Organizations verfügbar sind.
| IAM-Feature | Unterstützung durch Organizations |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Nein |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie Organizations und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Organizations
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Organizations
Beispiele für identitätsbasierte Richtlinien von Organizations finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Organizations](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von Organizations
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Der Organisationsdienst unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als *ressourcenbasierte Delegierungsrichtlinie* bezeichnet wird und festlegt, welche Mitgliedskonten Aktionen für Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben.
Weitere Informationen finden Sie unter [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
### Beispiele für ressourcenbasierte Richtlinien innerhalb von Organizations
Beispiele für ressourcenbasierte Richtlinien von Organizations finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für AWS Organizations](security_iam_resource-based-policy-examples.md)
## Politische Maßnahmen für Organizations
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Aktionen von Organizations finden Sie unter [Aktionen definiert von AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions) in der *Service Authorization Reference*.
Richtlinienaktionen in Organizations verwenden das folgende Präfix vor der Aktion:
```
organizations
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"organizations:action1",
"organizations:action2"
]
```
Beispiele für identitätsbasierte Richtlinien von Organizations finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Organizations](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für Organizations
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Ressourcentypen von Organizations und deren Eigenschaften ARNs finden Sie unter [Ressourcen definiert von AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Organizations definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Organizations finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Organizations](security_iam_id-based-policy-examples.md)
## Schlüssel für Richtlinienbedingungen für Organizations
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Bedingungsschlüssel für Organizations finden Sie unter [Bedingungsschlüssel für AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert von AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#your_service-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Organizations finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Organizations](security_iam_id-based-policy-examples.md)
## ACLs in Organizations
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Organizations
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit Organizations verwenden
**Unterstützt temporäre Anmeldeinformationen:** Nein
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Forward-Access-Sitzungen für Organizations
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Organizations
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Organizations beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Organizations Sie dazu anleitet.
## Servicebezogene Rollen für Organizations
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Verwaltung von Zugriffsberechtigungen für eine Organisation mit AWS Organizations
Alle AWS Ressourcen, einschließlich der Stammressourcen OUs, Konten und Richtlinien in einer Organisation, gehören einer AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. In einer Organisation ist das Verwaltungskonto Eigentümer aller Ressourcen. Ein Kontoadministrator kann den Zugriff auf AWS Ressourcen steuern, indem er Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anhängt.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. *Weitere Informationen finden Sie im Referenzhandbuch unter [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/accounts/latest/reference/getting-started-step4.html).AWS -Kontenverwaltung *
Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.
Standardmäßig haben IAM-Benutzer, ‑Gruppen und ‑Rollen keine Berechtigungen. Als Administrator im Verwaltungskonto einer Organisation können Sie administrative Aufgaben durchführen oder Administrationsberechtigungen an andere IAM-Benutzer oder ‑Rollen im Verwaltungskonto delegieren. Fügen Sie hier eine IAM-Berechtigungsrichtlinie an einen IAM-Benutzer, eine -Gruppe oder eine -Rolle an. Standardmäßig hat ein Benutzer keine Berechtigungen (*implizite Verweigerung*). Die Richtlinie überschreibt die implizite Verweigerung mit einer *expliziten Zulassung*. Diese legt fest, welche Aktionen der Benutzer für welche Ressourcen ausführen kann. Wenn einer Rolle die Berechtigungen erteilt werden, können die Benutzer in anderen Konten der Organisation diese Rolle annehmen.
## AWS Organizations Ressourcen und Abläufe
In diesem Abschnitt wird erläutert, wie AWS Organizations Konzepte ihren IAM-äquivalenten Konzepten zugeordnet werden.
### Ressourcen
In AWS Organizations können Sie den Zugriff auf die folgenden Ressourcen steuern:
+ Die Wurzel und OUs das bilden die hierarchische Struktur einer Organisation
+ Die Konten, die Mitglieder einer Organisation sind
+ Die Richtlinien, die Sie an die Entitäten der Organisation anhängen
+ Die Handshakes, die Sie zum Ändern des Status der Organisation verwenden
Jeder dieser Ressourcen ist ein eindeutiger Amazon-Ressourcenname (ARN) zugeordnet. Sie steuern den Zugriff auf eine Ressource, indem Sie dessen ARN im `Resource`-Element einer IAM-Berechtigung angeben. Eine vollständige Liste der ARN-Formate für Ressourcen, die in verwendet werden AWS Organizations, finden Sie unter [Ressourcentypen definiert von AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) in der *Service Authorization Reference*.
### Operationen
AWS bietet eine Reihe von Vorgängen für die Arbeit mit den Ressourcen in einer Organisation. Diese ermöglichen Ihnen die Durchführung von Aktivitäten wie das Erstellen, Auflisten, Ändern, Zugreifen auf Inhalte und das Löschen von Ressourcen. Die Berechtigungen für die meisten Vorgänge können über das `Action`-Element einer IAM-Richtlinie gesteuert werden. Eine Liste der AWS Organizations Vorgänge, die als Berechtigungen in einer IAM-Richtlinie verwendet werden können, finden Sie in der *Serviceautorisierungsreferenz* unter [Von Organisationen definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions).
Wenn Sie eine `Action` und eine `Resource` in einem einzigen Berechtigungsrichtlinien-`Statement` kombinieren, können Sie genau steuern, für welche Ressourcen die entsprechenden Aktionen genutzt werden können.
### Bedingungsschlüssel
AWS stellt Bedingungsschlüssel bereit, die Sie abfragen können, um bestimmte Aktionen genauer steuern zu können. Sie können auf diese Bedingungsschlüssel im `Condition`-Element einer IAM-Richtlinie verweisen, um die zusätzlichen Voraussetzungen anzugeben, die erfüllt sein müssen, bevor die Anweisung als zutreffend gilt.
Die folgenden Bedingungsschlüssel sind besonders nützlich bei AWS Organizations:
+ `aws:PrincipalOrgID` – Vereinfacht die Angabe des `Principal`-Elements in einer ressourcenbasierten Richtlinie. Dieser globale Schlüssel bietet eine Alternative zur Auflistung aller Konten IDs für alle AWS-Konten in einer Organisation. Anstatt alle Konten, die Mitglieder einer Organisation sind, aufzulisten, können Sie die [Organisations-ID](orgs_manage_org.md) im `Condition`-Element angeben.
**Anmerkung**
Diese globale Bedingung gilt auch für das Verwaltungskonto einer Organisation.
Weitere Informationen finden Sie in der Beschreibung der [Schlüssel `PrincipalOrgID` im Kontext AWS globaler Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
+ `aws:PrincipalOrgPaths` – Verwenden Sie diesen Bedingungsschlüssel, um Mitglieder eines bestimmten Organisationsstammes, einer OU oder deren untergeordneten Elemente abzugleichen. Der `aws:PrincipalOrgPaths`-Bedingungsschlüssel gibt „wahr“ zurück, wenn sich der Prinzipal (Stammbenutzer, IAM-Benutzer oder -Rolle), der die Anforderung durchführt, im angegebenen Organisationspfad befindet. Ein Pfad ist eine Textdarstellung der Struktur einer AWS Organizations Entität. Weitere Informationen zu Pfaden finden Sie unter [Grundlegendes zum AWS Organizations Entitätspfad](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path) im *IAM-Benutzerhandbuch*. Weitere Informationen zur Verwendung dieses Bedingungsschlüssels finden Sie unter [aws: PrincipalOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principal-org-paths) im *IAM-Benutzerhandbuch*.
Das folgende Bedingungselement trifft beispielsweise auf Mitglieder von zwei OUs Mitgliedern derselben Organisation zu.
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
]
}
}
```
+ `organizations:PolicyType` – Mit diesem Bedingungsschlüssel können Sie die richtlinienbezogenen Organizations-API-Vorgänge so einschränken, dass sie nur mit Organizations-Richtlinien des angegebenen Typs funktionieren. Sie können diesen Bedingungsschlüssel auf jede Richtlinienanweisung anwenden, die eine Aktion enthält, die mit Organizations-Richtlinien interagiert.
Mit diesem Bedingungsschlüssel können Sie die folgenden Werte verwenden:
+ `SERVICE_CONTROL_POLICY`
+ `RESOURCE_CONTROL_POLICY`
+ `DECLARATIVE_POLICY_EC2`
+ `BACKUP_POLICY`
+ `TAG_POLICY`
+ `CHATBOT_POLICY`
+ `AISERVICES_OPT_OUT_POLICY`
Mit der folgenden Beispielrichtlinie kann der Benutzer beispielsweise jede Organizations-Operation ausführen. Wenn der Benutzer jedoch einen Vorgang ausführt, der ein Richtlinienargument verwendet, ist der Vorgang nur zulässig, wenn die angegebene Richtlinie eine Tagging-Richtlinie ist. Der Vorgang schlägt fehl, wenn der Benutzer einen anderen Richtlinientyp angibt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [ "TAG_POLICY" ]
}
}
}
]
}
```
------
+ `organizations:ServicePrincipal`— Als Bedingung verfügbar, wenn Sie die Operationen [AWSServiceZugriff aktivieren oder AWSService Zugriff](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) [deaktivieren](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) verwenden, um den [vertrauenswürdigen Zugriff](orgs_integrate_services.md) mit anderen AWS Diensten zu aktivieren oder zu deaktivieren. Sie können `organizations:ServicePrincipal` verwenden, um Anfragen zu begrenzen, die diese Operationen an eine Liste genehmigter Service Prinzipal-Namen richten.
Mit der folgenden Richtlinie kann der Benutzer beispielsweise nur angeben, ob der vertrauenswürdige Zugriff mit AWS Firewall Manager AWS Organizations aktiviert und deaktiviert werden soll.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowOnlyAWSFirewallIntegration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
}
}
}
]
}
```
------
Eine Liste aller AWS Organizations—spezifischen Bedingungsschlüssel, die als Berechtigungen in einer IAM-Richtlinie verwendet werden können, finden Sie unter [Bedingungsschlüssel für AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) in der *Service* Authorization Reference.
## Grundlegendes zum Eigentum an Ressourcen
Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der [Prinzipalentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (d. h. der Root-Benutzer, ein IAM-Benutzer oder eine IAM-Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Für eine Organisation ist dies ***immer das Verwaltungskonto***. Sie können keine Vorgänge aufrufen, die Organisationsressourcen aus anderen Mitgliedskonten erstellen oder auf diese zugreifen. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie die Stammkonto-Anmeldeinformationen für Ihr Verwaltungskonto verwenden, um eine OU zu erstellen, ist Ihr Verwaltungskonto der Eigentümer der Ressource. (In AWS Organizations, die Ressource ist die Organisationseinheit).
+ Wenn Sie einen IAM-Benutzer in Ihrem Verwaltungskonto erstellen und diesem Berechtigungen zum Erstellen von OUs erteilen, kann dieser Benutzer eine OU erstellen. Der Eigentümer der OU-Ressource ist jedoch das Verwaltungskonto, dem der Benutzer angehört.
+ Wenn Sie in Ihrem Verwaltungskonto eine IAM-Rolle mit Berechtigungen zum Erstellen einer OU einrichten, kann jeder mit der Rolle eine OU erstellen. Der Eigentümer der OU-Ressource ist das Verwaltungskonto, zu dem die Rolle gehört (nicht der Benutzer mit der Rolle).
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Organizations beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie im [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html). Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als *ressourcenbasierte Richtlinien* bezeichnet.
**Topics**
+ [Identitätsbasierte Berechtigungsrichtlinien (IAM-Richtlinien)](#orgs-access-control-iam-policies)
### Identitätsbasierte Berechtigungsrichtlinien (IAM-Richtlinien)
Sie können Richtlinien an IAM-Identitäten anhängen, damit diese Identitäten Operationen mit Ressourcen ausführen können. AWS Sie können z. B. Folgendes tun:
+ **Ordnen Sie einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zu** — Um einem Benutzer Berechtigungen zum Erstellen einer AWS Organizations Ressource, wie z. B. einer [Service Control Policy (SCP)](orgs_manage_policies_scps.md) oder einer OU, zu gewähren, können Sie einem Benutzer oder einer Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie anhängen. Der Benutzer oder die Gruppe muss sich in der Organisation des Verwaltungskontos befinden.
+ **Eine Berechtigungsrichtlinie zu einer Rolle zuweisen (kontoübergreifende Berechtigungen erteilen)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Zugriffsberechtigungen zu erteilen. Der Administrator im Verwaltungskonto kann beispielsweise folgendermaßen eine Rolle erstellen, um einem Benutzer in einem Mitgliedskonto kontenübergreifende Berechtigungen zu erteilen:
1. Der Verwaltungskontoadministrator erstellt eine IAM-Rolle und fügt dieser eine Berechtigungsrichtlinie an, die die Berechtigungen für die Ressourcen der Organisation erteilt.
1. Der Verwaltungskontoadministrator fügt der Rolle eine Vertrauensrichtlinie hinzu. Diese definiert die Mitgliedskonto-ID des `Principal`, der die Rolle annehmen darf.
1. Der Mitgliedskontoadministrator kann dann die Berechtigung zum Annehmen der Rolle an jegliche Benutzer im Mitgliedskonto delegieren. Dadurch können Benutzer im Mitgliedskonto Ressourcen im Verwaltungskkonto und in der Organisation erstellen oder auf diese zugreifen. Der Principal in der Vertrauensrichtlinie kann auch ein AWS Dienstprinzipal sein, wenn Sie einem AWS Dienst die Erlaubnis erteilen möchten, diese Rolle zu übernehmen.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Die folgenden Beispiele zeigen Richtlinien, die Benutzern das Ausführen der Aktion `CreateAccount` in Ihrer Organisation gestatten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Stmt1OrgPermissions",
"Effect":"Allow",
"Action":[
"organizations:CreateAccount"
],
"Resource":"*"
}
]
}
```
------
Außerdem können Sie eine Teil-ARN im Element `Resource` der Richtlinie zur Angabe des Ressourcentyps einfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowCreatingAccountsOnResource",
"Effect":"Allow",
"Action":"organizations:CreateAccount",
"Resource":"arn:aws:organizations::*:account/*"
}
]
}
```
------
Darüber hinaus können Sie die Erstellung von Konten verweigern, die keine spezifischen Tags für das zu erstellende Konto enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
"Effect":"Deny",
"Action":"organizations:CreateAccount",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/key":"value"
}
}
}
]
}
```
------
Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter [IAM-Identitäten (Benutzer, Benutzergruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
## Angeben der Richtlinienelemente: Aktionen, Bedingungen, Effekte und Ressourcen
Für jede AWS Organizations Ressource definiert der Service eine Reihe von API-Vorgängen oder Aktionen, die mit dieser Ressource interagieren oder sie auf irgendeine Weise manipulieren können. AWS Organizations Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu gewähren. AWS Organizations Definiert beispielsweise für die OU-Ressource Aktionen wie die folgenden:
+ `AttachPolicy` und `DetachPolicy`
+ `CreateOrganizationalUnit` und `DeleteOrganizationalUnit`
+ `ListOrganizationalUnits` und `DescribeOrganizationalUnit`
In einigen Fällen erfordert die Durchführung einer API-Operation Berechtigungen für mehr als eine Aktion und Ressource.
Die folgenden grundlegenden Elemente können Sie in einer IAM-Berechtigungsrichtlinie verwenden:
+ **Aktion** – Mit diesem Schlüsselwort können Sie die Operationen (Aktionen) festlegen, die Sie zulassen oder verweigern möchten. `organizations:CreateAccount`Erlaubt oder verweigert dem Benutzer beispielsweise je nach Angabe `Effect` die Berechtigungen zur Ausführung des AWS Organizations `CreateAccount` Vorgangs. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Aktion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) im *IAM-Benutzerhandbuch*.
+ **Ressource** – Mit diesem Schlüsselwort legen Sie den ARN (Amazon-Ressourcenname) der Ressource fest, für die die Richtlinienanweisung gilt. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *IAM-Benutzerhandbuch*.
+ **Bedingung** – Verwenden Sie dieses Schlüsselwort, um eine Bedingung anzugeben, die erfüllt werden muss, damit die Richtlinienanweisung gilt. `Condition` gibt in der Regel zusätzliche Umstände an, die erfüllt sein müssen, damit die Richtlinie zutrifft. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Effekt** – Mit diesem Schlüsselwort geben Sie an, ob die Richtlinienanweisung die Aktion für die Ressource zulässt oder verweigert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten (bzw. zulassen), wird er automatisch verweigert. Sie können außerdem den Zugriff auf eine Ressource explizit verweigern. So können Sie gewährleisten, dass ein Benutzer die angegebene Aktion für die definierte Ressource nicht ausführen kann (selbst dann nicht, wenn er über eine andere Richtlinie Zugriff erhält). Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Wirkung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) im *IAM-Benutzerhandbuch*.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
*Weitere Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im IAM-Benutzerhandbuch.*
# Beispiele für identitätsbasierte Richtlinien für AWS Organizations
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Organisationsressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Organizations definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Erteilen von vollständigen Administratorberechtigungen an einen Benutzer](#orgs_permissions_grant-admin-actions)
+ [Gewähren von beschränktem Zugriff durch Aktionen](#orgs_permissions_grant-limited-actions)
+ [Gewähren des Zugriffs auf bestimmte Ressourcen](#orgs_permissions_grant-limited-resources)
+ [Erteilen der Fähigkeit zur Aktivierung des vertrauenswürdigen Zugriffs auf eingeschränkte Serviceprinzipale](#orgs_permissions_grant-trusted-access-condition)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Unternehmensressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Organisationskonsole
Um auf die AWS Organizations Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Ressourcen der Organizations in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Organisationskonsole weiterhin verwenden können, fügen Sie den Entitäten auch die [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html) AWS Organisations [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)- oder verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erteilen von vollständigen Administratorberechtigungen an einen Benutzer
Sie können eine IAM-Richtlinie erstellen, die einem IAM-Benutzer in Ihrer Organisation volle AWS Organizations Administratorrechte gewährt. Dies kann mithilfe des JSON-Richtlinieneditors in der IAM-Konsole erfolgen.
**So verwenden Sie den JSON-Richtlinieneditor zum Erstellen einer Richtlinie**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies (Richtlinien)**.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie oben auf der Seite **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie im Bereich **Policy editor** (Richtlinien-Editor) die Option **JSON** aus.
1. Geben Sie folgendes JSON-Richtliniendokument ein:
```
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*"
}
}
```
1. Wählen Sie **Weiter** aus.
**Anmerkung**
Sie können jederzeit zwischen den Editoroptionen **Visual** und **JSON** wechseln. Wenn Sie jedoch Änderungen vornehmen oder im **Visual**-Editor **Weiter** wählen, strukturiert IAM Ihre Richtlinie möglicherweise um, um sie für den visuellen Editor zu optimieren. Weitere Informationen finden Sie unter [Richtlinienrestrukturierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) im *IAM-Benutzerhandbuch*.
1. Geben Sie auf der Seite **Prüfen und erstellen** unter **Richtlinienname** einen Namen und unter **Beschreibung** (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen. Überprüfen Sie **Permissions defined in this policy** (In dieser Richtlinie definierte Berechtigungen), um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
Weitere Informationen zum Erstellen einer IAM-Richtlinie finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
## Gewähren von beschränktem Zugriff durch Aktionen
Wenn Sie einem Benutzer anstelle von vollständigen Berechtigungen eingeschränkte Berechtigungen erteilen möchten, können Sie im `Action`-Element der Richtlinie für IAM-Berechtigungen eine Richtlinie mit den einzelnen Berechtigungen erstellen. Wie im folgenden Beispiel dargestellt, können Sie mithilfe von Platzhaltern (\$1) der Organisation nur die Berechtigungen `Describe*` und `List*`, d. h. einen schreibgeschütztem Zugriff, erteilen.
**Anmerkung**
In einer Service-Kontrollrichtlinie (SCP) kann der Platzhalter (\$1) in einem `Action`-Element nur von sich selbst oder am Ende einer Zeichenfolge verwendet werden. Er darf nicht am Anfang oder in der Mitte der Zeichenfolge stehen. Daher `"servicename:action*"` ist gültig, aber `"servicename:*action"` beide `"servicename:some*action"` sind ungültig in. SCPs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
}
}
```
------
Eine Liste aller Berechtigungen, die in einer IAM-Richtlinie zugewiesen werden können, finden Sie unter [Von AWS Organizations definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-actions-as-permissions) in der *Serviceautorisierungsreferenz.*
## Gewähren des Zugriffs auf bestimmte Ressourcen
Sie können den Zugriff auf bestimmte Aktionen und auf bestimmte Entitäten in der Organisation beschränken. In den `Resource`-Elementen aus den beiden Beispielen in den vorherigen Abschnitten werden Platzhalterzeichen (\$1) angegeben; diese stehen für alle Ressourcen, auf die die Aktion zugreifen darf. Sie können das Platzhalterzeichen "\$1" auch durch den ARN (Amazon Resource Name) der Entitäten ersetzen, auf die Sie den Zugriff ermöglichen möchten.
**Beispiel: Gewähren von Berechtigungen für eine einzelne OU**
Die erste Anweisung der folgenden Richtlinie gewährt einem IAM-Benutzer Lesezugriff auf die gesamte Organisation; die zweite Anweisung ermöglicht dem Benutzer lediglich die Ausführung von administrativen Aufgaben in AWS Organizations in einer bestimmten Organisationseinheit (OU). Dies gilt nicht für Kinder OUs. Dem Benutzer wird kein Zugriff auf die Buchhaltung gewährt. Beachten Sie, dass Sie dadurch keinen Administratorzugriff auf die AWS-Konten in der Organisationseinheit haben. Es gewährt nur Berechtigungen zur Ausführung von AWS Organizations Vorgängen mit den Konten innerhalb der angegebenen Organisationseinheit:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "arn:aws:organizations::123456789012:ou/o-/ou-"
}
]
}
```
------
Sie erhalten die Informationen IDs für die Organisationseinheit und die Organisation über die AWS Organizations Konsole oder indem Sie die aufrufen `List*` APIs. Der Benutzer oder die Gruppe, der Sie diese Richtlinie zuweisen, kann beliebige Aktionen (`"organizations:*"`) für beliebige Entitäten direkt in der angegebenen Organisationseinheit ausführen. Die OU wird durch den ARN (Amazon Resource Name) angegeben.
Weitere Informationen zu den ARNs für die verschiedenen Ressourcen finden Sie unter [Ressourcentypen definiert von AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) in der *Service Authorization Reference*.
## Erteilen der Fähigkeit zur Aktivierung des vertrauenswürdigen Zugriffs auf eingeschränkte Serviceprinzipale
Sie können das `Condition`-Element einer Richtlinienanweisung verwenden, um die Umstände weiter einzuschränken, für die die Richtlinienanweisung zutrifft.
**Beispiel: Erteilen der Berechtigungen zur Aktivierung des vertrauenswürdigen Zugriffs auf einen bestimmten Service**
Die folgende Anweisung zeigt, wie Sie die Fähigkeit zur Aktivierung des vertrauenswürdigen Zugriffs auf nur die von Ihnen angegebenen Services einschränken können. Wenn der Benutzer versucht, die API mit einem anderen Dienstprinzipal als dem für aufzurufen AWS IAM Identity Center, stimmt diese Richtlinie nicht überein und die Anfrage wird abgelehnt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "organizations:EnableAWSServiceAccess",
"Resource": "*",
"Condition": {
"StringEquals" : {
"organizations:ServicePrincipal" : "sso.amazonaws.com"
}
}
}
]
}
```
------
Weitere Informationen zu den ARNs für die verschiedenen Ressourcen finden Sie unter [Ressourcentypen definiert von AWS Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsorganizations.html#awsorganizations-resources-for-iam-policies) in der *Service Authorization Reference*.
# Beispiele für ressourcenbasierte Richtlinien für AWS Organizations
Die folgenden Codebeispiele veranschaulichen, wie Sie ressourcenbasierte Delegierungsrichtlinien verwenden. Weitere Informationen finden Sie unter [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Organisation OUs, Konten und Richtlinien anzeigen](#orgs_delegate_policies_example_view_accts_orgs)
+ [Richtlinien erstellen, lesen, aktualisieren und löschen](#orgs_delegate_policies_example_crud_policies)
+ [Richtlinien kennzeichnen und deren Markierung aufheben](#orgs_delegate_policies_example_tag_untag_policies)
+ [Ordnen Sie Richtlinien einer einzelnen OU oder einem einzelnen Konto zu](#orgs_delegate_policies_example_attach_policies)
+ [Konsolidierte Berechtigungen zur Verwaltung der Backup-Richtlinien einer Organisation](#orgs_delegate_policies_example_consolidate_permissions)
## Beispiel: Organisation OUs, Konten und Richtlinien anzeigen
Bevor Sie die Verwaltung von Richtlinien delegieren, müssen Sie die Berechtigungen delegieren, um in der Struktur einer Organisation zu navigieren und die Organisationseinheiten (OUs), Konten und die damit verbundenen Richtlinien einzusehen.
Dieses Beispiel zeigt, wie Sie diese Berechtigungen in Ihre ressourcenbasierte Delegierungsrichtlinie für das Mitgliedskonto aufnehmen könnten. *AccountId*
**Wichtig**
Es ist ratsam, dass Sie nur Berechtigungen für die im Beispiel gezeigten Mindestaktionen gewähren. Es ist jedoch möglich, mithilfe dieser Richtlinie alle schreibgeschützten Aktionen von Organizations zu delegieren.
Dieses Beispiel für eine Delegierungsrichtlinie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert über die API oder abzuschließen. AWS AWS CLI Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS [Platzhaltertext](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) für *AccountId* durch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Beispiel: Richtlinien erstellen, lesen, aktualisieren und löschen
Sie können eine ressourcenbasierte Delegierungsrichtlinie erstellen, die es dem Verwaltungskonto ermöglicht,`create`, `read` und `delete` Aktionen für jeden Richtlinientyp zu delegieren. `update` Dieses Beispiel zeigt, wie Sie diese Aktionen für Dienststeuerungsrichtlinien an das Mitgliedskonto delegieren können. *MemberAccountId* Die beiden im Beispiel gezeigten Ressourcen gewähren Zugriff auf vom Kunden verwaltete bzw. AWS verwaltete Servicesteuerungsrichtlinien.
**Wichtig**
Diese Richtlinie ermöglicht delegierten Administratoren, bestimmte Aktionen für Richtlinien durchzuführen, die von einem beliebigen Konto in der Organisation erstellt wurden, einschließlich des Verwaltungskontos.
Sie erlaubt delegierten Administratoren nicht, Richtlinien anzuhängen oder zu trennen, da sie nicht die für die Ausführung `organizations:AttachPolicy` erforderlichen Berechtigungen und Aktionen beinhaltet. `organizations:DetachPolicy`
Diese Beispiel-Delegierungsrichtlinie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert über die API oder abzuschließen. AWS AWS CLI Ersetzen Sie den AWS Platzhaltertext für *MemberAccountId**ManagementAccountId*, und *OrganizationId* durch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Beispiel: Richtlinien zum Markieren und Aufheben von Kennzeichnungen
Dieses Beispiel zeigt, wie Sie eine ressourcenbasierte Delegierungsrichtlinie erstellen könnten, die es delegierten Administratoren ermöglicht, Backup-Richtlinien zu kennzeichnen oder deren Markierung aufzuheben. Sie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert über die API oder durchzuführen. AWS AWS CLI
Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS Platzhaltertext für *MemberAccountId**ManagementAccountId*, und *OrganizationId* durch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## Beispiel: Ordnen Sie Richtlinien einer einzelnen Organisationseinheit oder einem einzelnen Konto zu
Dieses Beispiel zeigt, wie Sie eine ressourcenbasierte Delegierungsrichtlinie erstellen können, die es delegierten Administratoren `attach` oder `detach` Organisationsrichtlinien von einer bestimmten Organisationseinheit (OU) oder einem bestimmten Konto aus ermöglicht. Bevor Sie diese Aktionen delegieren, müssen Sie die Berechtigungen delegieren, um in der Struktur einer Organisation zu navigieren und die Konten unter dieser Organisation einzusehen. Details hierzu finden Sie unter [Beispiel: Organisation OUs, Konten und Richtlinien anzeigen](#orgs_delegate_policies_example_view_accts_orgs)
**Wichtig**
Diese Richtlinie ermöglicht zwar das Anhängen oder Trennen von Richtlinien an die angegebene Organisationseinheit oder das Konto, schließt jedoch untergeordnete Konten und untergeordnete OUs Konten aus. OUs
Diese Richtlinie ermöglicht es delegierten Administratoren, die angegebenen Aktionen für Richtlinien auszuführen, die von einem beliebigen Konto in der Organisation erstellt wurden, einschließlich des Verwaltungskontos.
Diese Beispiel-Delegierungsrichtlinie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert über die API oder abzuschließen. AWS AWS CLI Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS Platzhaltertext für*MemberAccountId*, *ManagementAccountId**OrganizationId*, und *TargetAccountId* durch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Um das Anhängen und Trennen von Richtlinien an eine Organisationseinheit oder ein Konto in der Organisation zu delegieren, ersetzen Sie die Ressource im vorherigen Beispiel durch die folgenden Ressourcen:
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## Beispiel: Konsolidierte Berechtigungen zur Verwaltung der Backup-Richtlinien einer Organisation
Dieses Beispiel zeigt, wie Sie eine ressourcenbasierte Delegierungsrichtlinie erstellen können, die es dem Verwaltungskonto ermöglicht, alle Berechtigungen zu delegieren, die für die Verwaltung von Backup-Richtlinien innerhalb der Organisation erforderlich sind, einschließlich der Aktionen `create`, `read`, `update`und `delete` sowie der Richtlinienaktionen `attach` und `detach`.
**Wichtig**
Diese Richtlinie ermöglicht es delegierten Administratoren, die angegebenen Aktionen für Richtlinien auszuführen, die von einem beliebigen Konto in der Organisation erstellt wurden, einschließlich des Verwaltungskontos.
Dieses Beispiel für eine Delegierungsrichtlinie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS [Platzhaltertext](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) für*MemberAccountId*, *ManagementAccountId**OrganizationId*, und *RootId* durch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in [Delegierter Administrator für AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------
# AWS verwaltete Richtlinien für AWS Organizations
In diesem Abschnitt werden die AWS verwalteten Richtlinien aufgeführt, die Ihnen zur Verwaltung Ihrer Organisation zur Verfügung stehen. Sie können eine AWS verwaltete Richtlinie nicht ändern oder löschen, aber Sie können sie nach Bedarf an Entitäten in Ihrer Organisation anhängen oder davon trennen.
## AWS Organizations verwaltete Richtlinien zur Verwendung mit AWS Identity and Access Management (IAM)
Eine verwaltete IAM-Richtlinie wird von AWS bereitgestellt und verwaltet. Eine verwaltete Richtlinie bietet Berechtigungen für allgemeine Aufgaben, die Sie Ihren Benutzern zuweisen können, indem Sie die verwaltete Richtlinie an den entsprechenden IAM-Benutzer oder das entsprechende Rollenobjekt anhängen. Sie müssen die Richtlinie nicht selbst verfassen, und wenn die Richtlinie entsprechend AWS aktualisiert wird, um neue Dienste zu unterstützen, profitieren Sie automatisch und sofort von der Aktualisierung.
Sie können die Liste der AWS -verwalteten Richtlinien auf der Seite [Richtlinien](https://console.aws.amazon.com/iam/home?#/policies) in der IAM-Konsole anzeigen. Verwenden Sie das Dropdown-Menü **Filterrichtlinien**, um **AWS -verwaltet** auszuwählen.
Sie können die folgenden verwalteten Richtlinien verwenden, um Benutzern in Ihrer Organisation Berechtigungen zu erteilen.
### AWS verwaltete Richtlinie: AWSOrganizationsFullAccess
Stellt alle Berechtigungen bereit, die zum Erstellen und vollständigen Verwalten einer Organisation erforderlich sind.
Sehen Sie sich die Richtlinie an: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html).
### AWS verwaltete Richtlinie: AWSOrganizationsReadOnlyAccess
Bietet schreibgeschützten Zugriff auf Informationen über die Organisation. Es erlaubt dem Benutzer nicht, Änderungen vorzunehmen.
Sehen Sie sich die Richtlinie an: [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html).
### AWS verwaltete Richtlinie: DeclarativePoliciesEC2Report
Diese Richtlinie wird von der mit dem [AWSServiceRoleForDeclarativePoliciesEC2Berichtsdienst](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy) verknüpften Rolle verwendet, um den Status von Kontoattributen für Mitgliedskonten zu beschreiben.
Richtlinie anzeigen: [DeclarativePoliciesEC2Bericht](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html).
## Aktualisierungen der von Organizations AWS verwalteten Richtlinien
In der folgenden Tabelle sind die Aktualisierungen der AWS verwalteten Richtlinien seit Beginn der Erfassung dieser Änderungen durch diesen Dienst aufgeführt. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite [-Dokumentverlauf](document-history.md).
****
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aktualisiert, um Konto-API-Berechtigungen zuzulassen, die zum Anzeigen oder Ändern eines Kontonamens über die Organisationskonsole erforderlich sind. | Die `account:GetAccountInformation` Aktion zur Aktivierung des Zugriffs zur Anzeige des Kontonamens eines beliebigen Kontos in einer Organisation und die `account:PutAccountName` Aktion zum Aktivieren des Zugriffs zur Änderung eines beliebigen Kontonamens in einer Organisation wurden hinzugefügt. | 22. April 2025 |
| [DeclarativePoliciesEC2Bericht](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor) — Neue verwaltete Richtlinie | Die `DeclarativePoliciesEC2Report` Richtlinie wurde hinzugefügt, um die Funktionalität der `AWSServiceRoleForDeclarativePoliciesEC2Report` serviceverknüpften Rolle zu aktivieren. | 22. November 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aktualisiert, um Konto-API-Berechtigungen zuzulassen, die zum Anzeigen der E-Mail-Adresse eines Root-Benutzers erforderlich sind. Die E-Mail-Adresse von . | Es wurde die `account:GetPrimaryEmail` Aktion hinzugefügt, um den Zugriff auf die E-Mail-Adresse des Root-Benutzers, die E-Mail-Adresse von für jedes Mitgliedskonto in einer Organisation anzuzeigen, und die `account:GetRegionOptStatus` Aktion, um den Zugriff auf die aktivierten Regionen für jedes Mitgliedskonto in einer Organisation zu aktivieren, hinzugefügt. | 6. Juni 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— wurde aktualisiert und enthält nun `Sid` Elemente, die die Grundsatzerklärung beschreiben. | `Sid`Elemente für die `AWSOrganizationsFullAccess` verwaltete Richtlinie hinzugefügt. | 6. Februar 2024 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aktualisiert und enthält nun `Sid` Elemente, die die Grundsatzerklärung beschreiben. | `Sid`Elemente für die `AWSOrganizationsReadOnlyAccess` verwaltete Richtlinie hinzugefügt. | 6. Februar 2024 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aktualisiert, um Konto-API-Berechtigungen zuzulassen, die für die Aktivierung oder Deaktivierung AWS-Regionen über die Organisationskonsole erforderlich sind. | Der Richtlinie wurde die `account:DisableRegion` Aktion `account:EnableRegion` und hinzugefügt`account:ListRegions`, um den Schreibzugriff zur Aktivierung oder Deaktivierung von Regionen für ein Konto zu aktivieren oder zu deaktivieren. | 22. Dezember 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aktualisiert, um Konto-API-Berechtigungen zuzulassen, die für das Auflisten AWS-Regionen über die Organisationskonsole erforderlich sind. | Der Richtlinie wurde die `account:ListRegions` Aktion hinzugefügt, um den Zugriff auf die Ansicht von Regionen für ein Konto zu ermöglichen. | 22. Dezember 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aktualisiert, um Konto-API-Berechtigungen zuzulassen, die zum Hinzufügen oder Bearbeiten von Kontokontakten über die Organisationskonsole erforderlich sind. | Der Richtlinie wurde die `account:PutContactInformation` Aktion `account:GetContactInformation` und hinzugefügt, um Schreibzugriff zum Ändern von Kontakten für ein Konto zu ermöglichen. | 21. Oktober 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aktualisiert, um Konto-API-Berechtigungen zuzulassen, die zum Anzeigen von Kontokontakten über die Organisationskonsole erforderlich sind. | Der Richtlinie wurde die `account:GetContactInformation` Aktion hinzugefügt, um den Zugriff auf die Anzeige von Kontakten für ein Konto zu ermöglichen. | 21. Oktober 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aktualisiert, um die Erstellung einer Organisation zu ermöglichen. | Der Richtlinie wurde die `CreateServiceLinkedRole` Berechtigung hinzugefügt, die Erstellung der serviceverknüpften Rolle zu ermöglichen, die für die Erstellung einer Organisation erforderlich ist. Die Berechtigung ist auf das Erstellen einer Rolle beschränkt, die nur vom `organizations.amazonaws.com`-Service verwendet werden kann. | 24. August 2022 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— aktualisiert, um API-Berechtigungen für Konten zuzulassen, die zum Hinzufügen, Bearbeiten oder Löschen von alternativen Kontokontakten über die Organisationskonsole erforderlich sind. | Der Richtlinie wurden die `account:PutAlternateContact` Aktionen `account:GetAlternateContact``account:DeleteAlternateContact`,, hinzugefügt, um Schreibzugriff zur Änderung alternativer Kontakte für ein Konto zu ermöglichen. | 7. Februar 2022 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— aktualisiert, um API-Berechtigungen für Konten zuzulassen, die erforderlich sind, um alternative Kontokontakte über die Organisationskonsole anzuzeigen. | Der Richtlinie wurde die `account:GetAlternateContact` Aktion hinzugefügt, um den Zugriff auf alternative Kontakte für ein Konto zu ermöglichen. | 7. Februar 2022 |
## AWS verwaltete Autorisierungsrichtlinien
[Autorisierungsrichtlinien](orgs_manage_policies_authorization_policies.md) ähneln den IAM-Berechtigungsrichtlinien, sind aber kein Feature von AWS Organizations IAM. Sie verwenden Autorisierungsrichtlinien, um den Zugriff für Prinzipale und Ressourcen in Ihren Mitgliedskonten zentral zu konfigurieren und zu verwalten.
Die Liste der Richtlinien in Ihrer Organisation finden Sie auf der Seite [Richtlinien](https://console.aws.amazon.com/organizations/?#/policies) in der Organizations-Konsole.
****
| Richtlinienname | Description | ARN |
| --- | --- | --- |
| [VollAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | Ermöglicht den Zugriff auf jeden Vorgang. | arn:aws:organizations: :aws: -Voll policy/service\$1control\$1policy/p AWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | Ermöglicht den Zugriff auf alle Ressourcen. | arn:aws:organizations: :aws: - policy/resource\$1control\$1policy/p RCPFull AWSAccess |
# Attributbasierte Zugriffskontrolle mit Tags für AWS Organizations
Mit der *[attributbasierten Zugriffskontrolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)* können Sie vom Administrator verwaltete Attribute wie [Tags](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html) verwenden, die sowohl AWS Ressourcen als auch AWS Identitäten zugeordnet sind, um den Zugriff auf diese Ressourcen zu steuern. Sie können beispielsweise angeben, dass ein Benutzer auf eine Ressource zugreifen kann, wenn sowohl der Benutzer als auch die Ressource denselben Wert für ein bestimmtes Tag haben.
AWS Organizations Zu den Ressourcen, die mit Tags versehen werden können AWS-Konten, gehören das Stammverzeichnis, die Organisationseinheiten () oder die Richtlinien der Organisation. OUs Wenn Sie Tags an Organizationsressourcen anfügen, können Sie diese Tags verwenden, um zu steuern, wer auf diese Ressourcen zugreifen kann. Dazu fügen Sie Ihren AWS Identity and Access Management (IAM-) Berechtigungsrichtlinienerklärungen `Condition` Elemente hinzu, die prüfen, ob bestimmte Tagschlüssel und -werte vorhanden sind, bevor die Aktion zugelassen wird. Auf diese Weise können Sie eine IAM-Richtlinie erstellen, in der es heißt: „Erlaube dem Benutzer OUs , nur diejenigen zu verwalten, die ein Tag mit einem Schlüssel `X` und einem Wert haben`Y`“ oder „Dem Benutzer gestatten, nur diejenigen zu verwalten OUs , die mit einem Schlüssel gekennzeichnet sind`Z`, der denselben Wert hat wie der zugefügte Tag-Schlüssel `Z` des Benutzers“.
Sie können Ihre `Condition`-Tests auf verschiedenen Typen von Tag-Referenzen in einer IAM-Richtlinie aufbauen.
+ [Überprüfen der Tags, die den Ressourcen zugeordnet sind, die in der Anforderung angegeben sind](#abac-resource)
+ [Überprüfen der Tags, die dem IAM-Benutzer oder -Rolle angefügt sind, der die Anforderung stellt](#abac-prin)
+ [Überprüfen Sie die Tags, die als Parameter in der Anforderung enthalten sind](#abac-request)
Weitere Informationen zur Verwendung von Tags für die Zugriffssteuerung in Richtlinien finden Sie unter [Steuern des Zugriffs auf und für IAM-Benutzer und -Rollen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html). Die vollständige Syntax der IAM-Berechtigungsrichtlinien finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)
## Überprüfen der Tags, die den Ressourcen zugeordnet sind, die in der Anforderung angegeben sind
Wenn Sie eine Anfrage mit dem AWS-Managementkonsole, dem AWS Command Line Interface (AWS CLI) oder einem der beiden stellen, geben Sie an AWS SDKs, auf welche Ressourcen Sie mit dieser Anfrage zugreifen möchten. Unabhängig davon, ob Sie versuchen, verfügbare Ressourcen eines bestimmten Typs aufzulisten, eine Ressource zu lesen oder eine Ressource zu schreiben, zu ändern oder zu aktualisieren, geben Sie die Ressource als Parameter in der Anforderung an. Solche Anforderungen werden durch IAM-Berechtigungsrichtlinien gesteuert, die Sie Ihren Benutzern und Rollen zuordnen. In diesen Richtlinien können Sie die Tags vergleichen, die der angeforderten Ressource zugeordnet sind, und den Zugriff basierend auf den Schlüsseln und Werten dieser Tags zulassen oder verweigern.
Um ein Tag zu überprüfen, das an die Ressource angehängt ist, verweisen Sie auf das Tag in einem `Condition`-Element durch Voranstellen des Tag-Schlüsselnamens mit der folgenden Zeichenfolge: `aws:ResourceTag/`
Die folgende Beispielrichtlinie ermöglicht es dem Benutzer oder der Rolle beispielsweise, jede AWS Organizations -Operation auszuführen, ***es sei denn***, diese Ressource hat ein Tag mit dem Schlüssel `department` und dem Wert `security`. Wenn dieser Schlüssel und Wert vorhanden ist, verweigert die Richtlinie die Operation `UntagResource` explizit.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : "organizations:*",
"Resource" : "*"
},
{
"Effect" : "Deny",
"Action" : "organizations:UntagResource",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/department" : "security"
}
}
}
]
}
```
------
Weitere Informationen zur Verwendung dieses Elements finden Sie unter [Steuern des Zugriffs auf Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-resources) und [AWS: ResourceTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag) im *IAM-Benutzerhandbuch*.
## Überprüfen der Tags, die dem IAM-Benutzer oder -Rolle angefügt sind, der die Anforderung stellt
Steuern Sie, welche Aktionen die Person, von der die Anforderung stammt (der Prinzipal), durchführen darf, auf Grundlage der Tags, die dem IAM-Benutzer oder der Rolle der Person angefügt sind. Verwenden Sie dazu die `aws:PrincipalTag/key-name`, um anzugeben, welcher Tag und welcher Wert dem aufrufenden Benutzer oder der aufrufenden Rolle zugeordnet werden müssen.
Das folgende Beispiel zeigt, wie eine Aktion nur zugelassen wird, wenn das angegebene Tag (`cost-center`) denselben Wert sowohl für den die Operation aufrufenden Prinzipal als auch für die Ressource hat, auf die die Operation zugreift. In diesem Beispiel kann der aufrufende Benutzer eine Amazon-EC2-Instance nur starten und stoppen, wenn die Instance mit demselben `cost-center`-Wert wie der Benutzer gekennzeichnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:startInstances",
"ec2:stopInstances"
],
"Resource": "*",
"Condition": {"StringEquals":
{"ec2:ResourceTag/cost-center": "${aws:PrincipalTag/cost-center}"}}
}
}
```
------
Weitere Informationen zur Verwendung dieses Elements finden Sie unter [Steuern des Zugriffs für IAM-Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) im *IAM-Benutzerhandbuch*.
## Überprüfen Sie die Tags, die als Parameter in der Anforderung enthalten sind
Mehrere Operationen ermöglichen es Ihnen, Tags als Teil der Anforderung anzugeben. Wenn Sie beispielsweise eine Ressource erstellen, können Sie die Tags angeben, die der neuen Ressource zugeordnet sind. Sie können ein `Condition`-Element angeben, das `aws:TagKeys` verwendet, um den Vorgang zuzulassen oder zu verweigern, je nachdem, ob ein bestimmter Tag-Schlüssel oder eine Reihe von Schlüsseln in der Anforderung enthalten ist. Diesem Vergleichsoperator ist es egal, welchen Wert das Tag enthält. Es prüft nur, ob ein Tag mit dem angegebenen Schlüssel vorhanden ist.
Um den Tag-Schlüssel oder eine Liste von Schlüsseln zu überprüfen, geben Sie ein `Condition`-Element mit der folgenden Syntax an:
```
"aws:TagKeys": [ "tag-key-1", "tag-key-2", ... , "tag-key-n" ]
```
Sie können dem Vergleichsoperator [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) voranstellen, um sicherzustellen, dass alle Schlüssel in der Anforderung mit einem der in der Richtlinie angegebenen Schlüssel übereinstimmen müssen. Die folgende Beispielrichtlinie erlaubt beispielsweise alle Organisationsoperationen nur, wenn alle in der Anfrage vorhandenen Tags eine ***Teilmenge der drei*** Tags in dieser Richtlinie sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"department",
"costcenter",
"manager"
]
}
}
}
}
```
------
Alternativ können Sie [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions) verwenden, um einen Vergleichsoperator voranzustellen, um sicherzustellen, dass mindestens einer der Schlüssel in der Anforderung mit einem der in der Richtlinie angegebenen Schlüssel übereinstimmen muss. Die folgende Richtlinie lässt beispielsweise eine Organizations-Operation nur zu, wenn ***mindestens einer*** der angegebenen Tag-Schlüssel in der Anforderung vorhanden ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "organizations:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"stage",
"us-east-1",
"domain"
]
}
}
}
}
```
------
Mehrere Operationen ermöglichen es Ihnen, Tags in der Anforderung anzugeben. Wenn Sie beispielsweise eine Ressource erstellen, können Sie die Tags angeben, die der neuen Ressource zugeordnet sind. Sie können ein Tag-Schlüssel-Wert-Paar in der Richtlinie mit einem Schlüssel-Wert-Paar vergleichen, das in der Anforderung enthalten ist. Verweisen Sie dazu auf das Tag in einem `Condition`-Element, indem Sie dem Tag-Schlüsselnamen die folgende Zeichenfolge voranstellen: `aws:RequestTag/key-name` und dann den Tag-Wert angeben, der vorhanden sein muss.
Die folgende Beispielrichtlinie lehnt beispielsweise jede Anfrage des Benutzers oder der Rolle ab, eine zu erstellen, AWS-Konto wobei in der Anfrage entweder das `costcenter` Tag fehlt oder dem Tag ein anderer Wert als `1``2`, oder zugewiesen wird. `3`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "organizations:CreateAccount",
"Resource": "*",
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
Weitere Informationen zur Verwendung dieser Elemente finden Sie unter [aws: TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) und [aws: RequestTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag) im *IAM-Benutzerhandbuch*.
# Problembehandlung bei AWS Organizations Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Organizations und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Organizations durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meiner Organisation den Zugriff AWS-Konto auf die Ressourcen meiner Organizations ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Organizations durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `organizations:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: organizations:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `organizations:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam durchzuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Organizations weitergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Organizations auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meiner Organisation den Zugriff AWS-Konto auf die Ressourcen meiner Organizations ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Organizations diese Funktionen unterstützt, finden Sie unter[Wie AWS Organizations funktioniert mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Einloggen und Überwachen AWS Organizations
Als bewährte Methode sollten Sie Ihre Organisation überwachen, um sicherzustellen, dass Änderungen protokolliert werden. Auf diese Weise können Sie sicherstellen, dass alle unerwarteten Änderungen untersucht und unerwünschte Änderungen rückgängig gemacht werden können. AWS Organizations unterstützt derzeit zwei AWS-Services , mit denen Sie Ihr Unternehmen und die darin stattfindenden Aktivitäten überwachen können.
**Topics**
+ [AWS CloudTrail](orgs_cloudtrail-integration.md)
+ [Amazon EventBridge](orgs_cloudwatch-integration.md)
# Protokollieren von API-Aufrufen mit AWS CloudTrail für AWS Organizations
AWS Organizations ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden AWS Organizations. CloudTrail erfasst alle API-Aufrufe AWS Organizations als Ereignisse, einschließlich Aufrufe von der AWS Organizations Konsole und von Codeaufrufen an die AWS Organizations APIs. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS Organizations. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie ermitteln CloudTrail, an AWS Organizations welche Adresse die Anfrage gestellt wurde, von wem sie gestellt wurde, wann sie gestellt wurde und weitere Informationen.
Weitere Informationen CloudTrail dazu finden Sie im *AWS CloudTrail Benutzerhandbuch*.
**Wichtig**
Sie können alle CloudTrail Informationen AWS Organizations nur für die Region USA Ost (Nord-Virginia) anzeigen. Wenn Sie Ihre AWS Organizations Aktivität nicht in der CloudTrail Konsole sehen, stellen Sie Ihre Konsole mithilfe des Menüs in der oberen rechten Ecke auf **USA Ost (Nord-Virginia)** ein. Wenn Sie CloudTrail mit den AWS CLI oder SDK-Tools abfragen, richten Sie Ihre Anfrage an den Endpunkt USA Ost (Nord-Virginia).
## AWS Organizations Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn eine Aktivität in stattfindet AWS Organizations, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Zur kontinuierlichen Aufzeichnung von Ereignissen in Ihrem AWS-Konto, einschließlich Ereignissen für AWS Organizations, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn die CloudTrail Protokollierung in Ihrem aktiviert ist AWS-Konto, werden API-Aufrufe von AWS Organizations Aktionen in CloudTrail Protokolldateien nachverfolgt, wo sie zusammen mit anderen AWS Serviceaufzeichnungen geschrieben werden. Sie können andere konfigurieren AWS-Services , um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
Alle AWS Organizations Aktionen werden von der [AWS Organizations API-Referenz](https://docs.aws.amazon.com/organizations/latest/APIReference/) protokolliert CloudTrail und sind in dieser dokumentiert. Zum Beispiel Aufrufe `CreateAccount` (einschließlich des `CreateAccountResult` Ereignisses), `ListHandshakesForAccount``CreatePolicy`, und `InviteAccountToOrganization` generieren Einträge in den CloudTrail Protokolldateien.
Jeder Protokolleintrag enthält Informationen über den Ersteller der Anforderung. Der Benutzeridentität im Protokolleintrag können Sie folgende Informationen entnehmen:
+ Ob die Anfrage mit Anmeldeinformationen des Root-Benutzers oder des IAM-Benutzers gestellt wurde
+ Ob die Anfrage mit temporären Sicherheitsanmeldeinformationen für eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) oder einen [Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) ausgeführt wurde
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde
Weitere Informationen finden Sie unter [CloudTrail userIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
**Anmerkung**
CloudTrail protokolliert Ereignisse in dem Konto, das eine bestimmte Aktion ausführt (d. h. im Mitgliedskonto und nicht im Verwaltungskonto, falls das Mitgliedskonto die Aktion ausgeführt hat). Beispielsweise wird ein Mitgliedskonto, das eine Organisation verlässt, im Mitgliedskonto-Trail protokolliert, und ein Verwaltungskonto, das ein Mitgliedskonto löscht, wird im Verwaltungskonto-Trail protokolliert.
## AWS Organizations Logdateieinträge verstehen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis ist eine einzelne Anforderung aus einer beliebigen Quelle und enthält Informationen zur angeforderten Aktion, zu Datum und Uhrzeit der Aktion, zu den Anforderungsparametern usw. CloudTrail -Protokolldateien stellen kein geordnetes Stack-Trace der öffentlichen API-Aufrufe dar. Daher werden sie nicht in einer bestimmten Reihenfolge angezeigt.
### Beispiele für Protokolleinträge: CloseAccount
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `CloseAccount` Beispielaufruf, der generiert wird, wenn die API aufgerufen wird und der Workflow zum Schließen des Kontos im Hintergrund verarbeitet wird.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2022-03-18T18:17:06Z"
}
}
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)...",
"requestParameters": {
"accountId": "555555555555"
},
"responseElements": null,
"requestID": "e28932f8-d5da-4d7a-8238-ef74f3d5c09a",
"eventID": "19fe4c10-f57e-4cb7-a2bc-6b5c30233592",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `CloseAccountResult` Aufruf, nachdem der Hintergrundworkflow zum Schließen des Kontos erfolgreich abgeschlossen wurde.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2022-03-18T18:17:06Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CloseAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"closeAccountStatus": {
"accountId": "555555555555",
"state": "SUCCEEDED",
"requestedTimestamp": "Mar 18, 2022 6:16:58 PM",
"completedTimestamp": "Mar 18, 2022 6:16:58 PM"
}
},
"eventCategory": "Management"
}
```
### Beispiele für Protokolleinträge: CreateAccount
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `CreateAccount` Beispielaufruf, der generiert wird, wenn die API aufgerufen wird und der Workflow zur Kontoerstellung im Hintergrund verarbeitet wird.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE:my-admin-role",
"arn": "arn:aws:sts::111122223333:assumed-role/my-admin-role/my-session-id",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/my-admin-role",
"accountId": "111122223333",
"userName": "my-session-id"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-09-16T21:16:45Z"
}
}
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)...",
"requestParameters": {
"tags": [],
"email": "****",
"accountName": "****"
},
"responseElements": {
"createAccountStatus": {
"accountName": "****",
"state": "IN_PROGRESS",
"id": "car-examplecreateaccountrequestid111",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `CreateAccount` Aufruf, nachdem der Hintergrundworkflow zur Kontoerstellung erfolgreich abgeschlossen wurde.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "..."
},
"eventTime": "2020-09-16T21:20:53Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "....",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "SUCCEEDED",
"accountName": "****",
"accountId": "444455556666",
"requestedTimestamp": "Sep 16, 2020 9:20:50 PM",
"completedTimestamp": "Sep 16, 2020 9:20:53 PM"
}
}
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der generiert wird, nachdem ein `CreateAccount` Hintergrund-Workflow das Konto nicht erstellen konnte.
```
{
"eventVersion": "1.06",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-06-21T22:06:27Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateAccountResult",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"createAccountStatus": {
"id": "car-examplecreateaccountrequestid111",
"state": "FAILED",
"accountName": "****",
"failureReason": "EMAIL_ALREADY_EXISTS",
"requestedTimestamp": Jun 21, 2018 10:06:27 PM,
"completedTimestamp": Jun 21, 2018 10:07:15 PM
}
}
}
```
### Beispiel für einen Protokolleintrag: CreateOrganizationalUnit
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `CreateOrganizationalUnit` Beispielaufruf.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:40:11Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "CreateOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"name": "OU-Developers-1",
"parentId": "r-a1b2"
},
"responseElements": {
"organizationalUnit": {
"arn": "arn:aws:organizations::111111111111:ou/o-aa111bb222/ou-examplerootid111-exampleouid111",
"id": "ou-examplerootid111-exampleouid111",
"name": "test-cloud-trail",
"path": "o-aa111bb222/r-a1b2/ou-examplerootid111-exampleouid111/"
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Beispiel für einen Protokolleintrag: InviteAccountToOrganization
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `InviteAccountToOrganization` Beispielaufruf.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:41:17Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "InviteAccountToOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"requestParameters": {
"notes": "This is a request for Mary's account to join Diego's organization.",
"target": {
"type": "ACCOUNT",
"id": "111111111111"
}
},
"responseElements": {
"handshake": {
"requestedTimestamp": "Jan 18, 2017 9:41:16 PM",
"state": "OPEN",
"arn": "arn:aws:organizations::111111111111:handshake/o-aa111bb222/invite/h-examplehandshakeid111",
"id": "h-examplehandshakeid111",
"parties": [
{
"type": "ORGANIZATION",
"id": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"id": "222222222222"
}
],
"action": "invite",
"expirationTimestamp": "Feb 2, 2017 9:41:16 PM",
"resources": [
{
"resources": [
{
"type": "MASTER_EMAIL",
"value": "diego@example.com"
},
{
"type": "MASTER_NAME",
"value": "Management account for organization"
},
{
"type": "ORGANIZATION_FEATURE_SET",
"value": "ALL"
}
],
"type": "ORGANIZATION",
"value": "o-aa111bb222"
},
{
"type": "ACCOUNT",
"value": "222222222222"
},
{
"type": "NOTES",
"value": "This is a request for Mary's account to join Diego's organization."
}
]
}
},
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Beispiel für einen Protokolleintrag: AttachPolicy
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen `AttachPolicy` Beispielaufruf. Die Antwort gibt an, dass der Aufruf fehlgeschlagen ist, da der Typ der angeforderten Richtlinie nicht in dem Stammverzeichnis aktiviert ist, in dem der Anfügungsversuch ausgeführt wurde.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAMVNPBQA3EXAMPLE",
"arn": "arn:aws:iam::111111111111:user/diego",
"accountId": "111111111111",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "diego"
},
"eventTime": "2017-01-18T21:42:44Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AttachPolicy",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36",
"errorCode": "PolicyTypeNotEnabledException",
"errorMessage": "The given policy type ServiceControlPolicy is not enabled on the current view",
"requestParameters": {
"policyId": "p-examplepolicyid111",
"targetId": "ou-examplerootid111-exampleouid111"
},
"responseElements": null,
"requestID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"eventType": "AwsApiCall",
"recipientAccountId": "111111111111"
}
```
### Beispiel für einen Protokolleintrag: Ungültige gültige Richtlinie
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein `EffectivePolicyValidation` Beispielereignis. Dieses Ereignis wird immer dann an das Verwaltungskonto der Organisation gesendet, wenn eine Aktualisierung in der Organisation zu einer ungültigen gültigen Richtlinie für ein Konto führt.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:53:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "INVALID",
"requestTimestamp": "Jul 17, 2025, 2:53:40 PM",
"info": "All validation errors listed",
"validationErrors": [
{
"accountPath": "o-aa111bb222/r-a1b2/111111111111/",
"evaluationTimestamp": "Jul 17, 2025, 2:53:40 PM",
"errorCode": "ELEMENTS_TOO_MANY",
"errorMessage": "'hourly_rule' exceeds the allowed maximum limit 10",
"pathToError": "plans/hourly-backup/rules/hourly_rule",
"contributingPolicies": [
"p-examplepolicyid111"
]
}
]
},
"eventCategory": "Management"
}
```
### Beispiel für einen Protokolleintrag: Gültige gültige Richtlinie
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein `EffectivePolicyValidation` Beispielereignis. Dieses Ereignis wird immer dann an das Verwaltungskonto der Organisation gesendet, wenn eine Aktualisierung in der Organisation eine gültige Richtlinie für ein Konto behebt, das zuvor ungültig war.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-07-17T14:54:40Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "EffectivePolicyValidation",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "EXAMPLE8-90ab-cdef-fedc-ba987EXAMPLE",
"readOnly": true,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "111111111111",
"policyType": "BACKUP_POLICY",
"state": "VALID",
"requestTimestamp": "Jul 17, 2025, 2:54:40 PM",
"info": "Previous effective policy validation error(s) resolved for this account/policyType"
},
"eventCategory": "Management"
}
```
# Amazon EventBridge und AWS Organizations
AWS Organizations kann mit Amazon EventBridge, ehemals Amazon CloudWatch Events, zusammenarbeiten, um Ereignisse auszulösen, wenn vom Administrator festgelegte Aktionen in einer Organisation stattfinden. Zum Beispiel möchten die meisten Administratoren, aufgrund der Vertraulichkeit solcher Aktionen, gewarnt werden, sobald jemand ein neues Konto in der Organisation erstellt oder wenn der Administrator eines Mitgliedskontos versucht, die Organisation zu verlassen. Sie können EventBridge Regeln konfigurieren, die nach diesen Aktionen suchen und die generierten Ereignisse dann an vom Administrator definierte Ziele senden. Ziele können ein Amazon-SNS-Thema sein, das E-Mails oder SMS-Nachrichten an Abonnenten verwendet. Sie können auch eine AWS Lambda -Funktion erstellen, die Details der Aktion für die spätere Überprüfung protokolliert.
Ein Tutorial, das zeigt, wie Sie die Überwachung wichtiger Aktivitäten in Ihrer Organisation aktivieren EventBridge können, finden Sie unter. [Tutorial: Überwachen Sie wichtige Änderungen an Ihrer Organisation mit Amazon EventBridge](orgs_tutorials_cwe.md)
**Wichtig**
Derzeit AWS Organizations wird es nur in der Region USA Ost (Nord-Virginia) gehostet (obwohl es weltweit verfügbar ist). Um die Schritte in diesem Tutorial ausführen zu können, müssen Sie die AWS-Managementkonsole für die Verwendung dieser Region konfigurieren.
Weitere Informationen darüber EventBridge, einschließlich der Konfiguration und Aktivierung, finden Sie im *[ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Konformitätsvalidierung für AWS Organizations
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in AWS Organizations
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Infrastruktursicherheit in AWS Organizations
Als verwalteter Dienst AWS Organizations ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Organizations zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).