Voraussetzungen - AWS Partner Central
Benutzerrollen und BerechtigungenDas richtige AWS Konto auswählenErteilen von IAM-BerechtigungenGrundlegendes zu den RollenberechtigungenEinen Berechtigungssatz für Single Sign-On erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

In den folgenden Themen sind die Voraussetzungen aufgeführt, die für die Verknüpfung von AWS Partner Central und AWS Konten erforderlich sind. Wir empfehlen, die Themen in der angegebenen Reihenfolge zu befolgen.

Anmerkung

Aufgrund von Benutzeroberflächen-, Funktions- und Leistungsproblemen unterstützt die Kontoverknüpfung das Firefox Extended Support Release (Firefox ESR) nicht. Wir empfehlen, die reguläre Version von Firefox oder einen der Chrome-Browser zu verwenden.

Benutzerrollen und Berechtigungen

Um Ihr AWS Konto mit einem AWS Partner Central-Konto zu verknüpfen, benötigen Sie Personen in den folgenden Rollen:

Administrator für Identity and Access Management (IAM)

Verwaltet Benutzerberechtigungen über IAM. Arbeitet in der Regel in IT-Sicherheit, Informationssicherheit, speziellen IAM-Teams oder Governance- und Compliance-Organisationen. Verantwortlich für die Implementierung von IAM-Richtlinien, die Konfiguration von SSO-Lösungen, die Durchführung von Compliance-Prüfungen und die Aufrechterhaltung von rollenbasierten Zugriffskontrollstrukturen.

Leiter oder Cloud-Administrator der AWS Partner Central Alliance

Der primäre Kontoadministrator Ihres Unternehmens. Diese Person muss in der Geschäftsentwicklung oder Geschäftsleitung tätig sein und über rechtliche Befugnisse verfügen, um die Allgemeinen Geschäftsbedingungen von AWS Partner Network akzeptieren zu können. Der Alliance Lead kann die Kontoverknüpfung an einen Partner Central-Benutzer mit der Benutzerrolle Cloud Admin delegieren.

Entscheiden Sie anhand der Informationen in der folgenden Tabelle, welches AWS Konto Sie mit Ihrem Partner Central-Konto verknüpfen sollten.

Wichtig

Beachten Sie bei der Auswahl eines AWS Kontos Folgendes:

  • AWS Partner Central benötigt ein AWS Konto, das IAM-Richtlinien zur Zugriffskontrolle verwendet.

  • Das verknüpfte AWS Konto verwaltet APN-Gebührenzahlungen, Lösungen und APN Customer Engagement (ACE) Opportunity Tracking mithilfe von Partner Central. APIs

  • AWS Die Funktionen des Partnernetzwerks APIs sind über das verknüpfte AWS Konto verfügbar.

  • AWS Ressourcen wie ACE-Opportunities, Opportunity-Historie und Opportunity-Einladungen für mehrere Partner werden im verknüpften AWS Konto erstellt und können nicht auf andere AWS Konten übertragen werden.

  • Für das AWS Konto, mit dem Sie eine Verknüpfung herstellen, muss es sich um ein kostenpflichtiges AWS Konto handeln. Wenn Sie sich für ein AWS Konto registrieren, wählen Sie den Tarif für kostenpflichtige Konten. Informationen zum Upgrade eines AWS Kontos auf den kostenpflichtigen AWS Tarif finden Sie unter Auswahl eines Tarifs mit AWS kostenlosem Nutzungskontingent im AWS Billing User Guide.

  • AWS empfiehlt, ein AWS Konto zu verknüpfen, das nicht für die folgenden Zwecke verwendet wird.

    • Ein Verwaltungskonto, in dem Sie die Kontoinformationen und Metadaten für alle AWS Konten in Ihrer Organisation verwalten.

    • Ein Produktionskonto, bei dem Benutzer und Daten mit Anwendungen und Diensten interagieren.

    • Ein Entwickler- oder Sandbox-Konto, in dem Entwickler Code schreiben.

    • Ein persönliches Konto, in dem Einzelpersonen lernen, experimentieren und an persönlichen Projekten arbeiten können.

    • Ein AWS Marketplace Käuferkonto, über das Sie Produkte kaufen AWS Marketplace.

    Wenn Sie das verknüpfte Konto von Ihren AWS Partnernetzwerk-Engagements trennen, können Sie flexibel auf AWS Partner Central-spezifische Konfigurationen zurückgreifen, ohne andere Umgebungen zu beeinträchtigen. Dadurch werden auch die Finanzverfolgung, die Steuerberichterstattung und die Prüfungen vereinfacht.

AWS Partnerszenario Beispiel AWS Kontooptionen Überlegungen

Szenario 1: Sie besitzen ein AWS oder mehrere Konten, die von einem Drittanbieter verwaltet werden, und Sie sind nicht als AWS Marketplace Verkäufer registriert

AWS Partner, die mit AWS Vertriebspartnern zusammenarbeiten

Option 1: Erstellen Sie ein AWS Konto und verknüpfen Sie es.

Option 2: Link zu einem bestehenden AWS Konto

Option 1:

  • Ist es akzeptabel, die APN-Gebühr diesem Konto in Rechnung zu stellen? Das AWS Verwaltungskonto kann die Gebühr zahlen, wenn sich das Konto in einer AWS Organisation befindet.

  • Möchten Sie hier auf die Funktionen des AWS Partner Network zugreifen und APIs?

Option 2:

  • Gleiche Überlegungen wie bei Option 1

  • Handelt es sich um ein AWS Management-, Produktions-, Entwickler- oder Privatkonto?

  • Können Sie externen Mitarbeitern Zugriff auf das Konto gewähren, mit dem AWS Partner Central-Engagements verwaltet werden?

  • Ist dieses Konto für die Verwaltung des Partner Central-Benutzerzugriffs geeignet?

Szenario 2: Sie besitzen AWS ein oder mehrere Konten und sind nicht als AWS Marketplace Verkäufer registriert

AWS Partner, die keine Geschäfte tätigen, AWS Marketplace oder Partner in Ländern, in denen AWS Marketplace das Angebot nicht verfügbar ist

Entspricht Szenario 1

Entspricht Szenario 1

Szenario 3: Sie besitzen ein AWS oder mehrere Konten und sind als AWS Marketplace Verkäufer mit einem einzigen Marketplace-Verkäuferkonto registriert

AWS Partner, die ein konsolidiertes Produktangebot in einem einzigen Land haben oder weltweit tätig sind

Option 1: Neues AWS Konto erstellen und mit diesem verknüpfen

Option 2: Link zu einem bestehenden AWS Konto

Option 3: Link zu einem AWS Marketplace Verkäuferkonto

Option 1:

  • Benötigen Sie Zugriff auf AWS Marketplace Funktionen, für die ein verknüpftes Marketplace-Verkäuferkonto erforderlich ist?

  • Planen Sie, am AWS ISV Accelerate-Programm teilzunehmen? Sehen Sie sich die Programmanforderungen an.

  • Müssen Sie AWS Partner Central- und Marketplace-Ressourcen wie Opportunities, Angebote, Lösungen und Produktlisten teilen?

  • Wäre es besser, ein AWS Marketplace Verkäuferkonto mit den meisten Produktangeboten oder Transaktionen als primäres Marketplace-Verkäuferkonto festzulegen?

  • Ist es akzeptabel, die APN-Gebühr diesem Konto in Rechnung zu stellen?

Option 2:

  • Gleiche Überlegungen wie bei Option 1

  • Handelt es sich um ein AWS Management-, Produktions-, Entwickler- oder Privatkonto?

  • Ist dieses Konto für die Verwaltung des Partner Central-Benutzerzugriffs geeignet?

Option 3:

  • Gleiche Überlegungen wie bei den Optionen 1 und 2

  • Haben Sie vor, weitere AWS Marketplace Verkäuferkonten einzurichten? Falls ja, ist es akzeptabel, das aktuelle Marketplace-Verkäuferkonto als primäres Marketplace-Verkäuferkonto festzulegen?

Szenario 4: Sie besitzen AWS ein oder mehrere Konten und sind als AWS Marketplace Verkäufer mit mehreren Verkäuferkonten registriert

AWS Partner, die mehrere Produktangebote in verschiedenen Geschäftsbereichen haben oder behördliche Auflagen und Compliance-Anforderungen erfüllen müssen

Entspricht Szenario 3

Entspricht Szenario 3

Erteilen von IAM-Berechtigungen

Die in diesem Abschnitt aufgeführte IAM-Richtlinie gewährt Benutzern von AWS Partner Central eingeschränkten Zugriff auf ein verknüpftes AWS Konto. Die Zugriffsebene hängt von der dem Benutzer zugewiesenen IAM-Rolle ab. Weitere Informationen zu Berechtigungsstufen finden Sie weiter unten Grundlegendes zu den Rollenberechtigungen in diesem Thema.

Um die Richtlinie zu erstellen, müssen Sie ein IT-Administrator sein, der für eine AWS Umgebung verantwortlich ist. Wenn Sie fertig sind, müssen Sie die Richtlinie einem IAM-Benutzer oder einer IAM-Rolle zuweisen.

In den Schritten in diesem Abschnitt wird erklärt, wie Sie die Richtlinie mithilfe der IAM-Konsole erstellen.

Anmerkung

Wenn Sie ein Alliance-Lead oder Cloud-Administrator sind und bereits über einen IAM-Benutzer oder eine IAM-Rolle mit AWS Administratorrechten verfügen, fahren Sie mit fort. Verknüpfen von AWS Partner Central und AWS Konten

Weitere Informationen zu Rollen in AWS Partner Central finden Sie weiter Rollen in AWS Partner Central unten in diesem Handbuch.

So erstellen Sie die Richtlinie

  1. Melden Sie sich bei der IAM-Konsole an.

  2. Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.

  3. Wählen Sie Richtlinie erstellen, wählen Sie JSON und fügen Sie die folgende Richtlinie hinzu:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

  4. Wählen Sie Weiter aus.

  5. Geben Sie unter Richtliniendetails im Feld Richtlinienname einen Namen für die Richtlinie und eine optionale Beschreibung ein.

  6. Überprüfen Sie die Richtlinienberechtigungen, fügen Sie nach Bedarf Tags hinzu und wählen Sie dann Richtlinie erstellen aus.

  7. Ordnen Sie der Richtlinie Ihren IAM-Benutzer oder Ihre IAM-Rolle zu. Informationen zum Anhängen finden Sie unter Hinzufügen von IAM-Identitätsberechtigungen (Konsole) im IAM-Benutzerhandbuch.

Grundlegendes zu den Rollenberechtigungen

Nachdem der IT-Administrator die Schritte im vorherigen Abschnitt abgeschlossen hat, können Allianzleiter und andere Personen in AWS Partner Central Sicherheitsrichtlinien zuweisen und Benutzerrollen zuordnen. In der folgenden Tabelle sind die Standardrollen aufgeführt und beschrieben, die bei der Kontoverknüpfung erstellt wurden, sowie die Aufgaben, die für jede Rolle verfügbar sind.

Standard-IAM-Rolle AWS Verwendete verwaltete Richtlinien von Partner Central Kann ich Geht nicht
Cloud-Administrator

  • Ordnen Sie AWS Partner Central-Benutzern IAM-Rollen zu und weisen Sie sie zu.

  • Erledigen Sie dieselben Aufgaben wie Allianz- und ACE-Teams.
Allianz-Team

  • Voller Zugriff auf alle Aktivitäten des Verkäufers AWS Marketplace, einschließlich des AWS Marketplace Management-Portals. Sie können auch das Amazon EC2 AMI verwalten, das in AMI-basierten Produkten verwendet wird.

  • Verknüpfen Sie Möglichkeiten zur AWS Kundenbindung mit privaten AWS Marketplace-Angeboten.

  • Verknüpfen Sie APN-Lösungen mit AWS Marketplace Produktangeboten.

  • Greifen Sie auf das Partner Analytics-Dashboard zu.

 Ordnen Sie Benutzern von AWS Partner Central IAM-Rollen zu oder weisen Sie sie zu. Nur Allianzleiter und Cloud-Administratoren ordnen Rollen zu oder weisen sie zu.
ACE-Team

  • Erstellen Sie private AWS Marketplace-Angebote.

  • Verknüpfen Sie Möglichkeiten zur AWS Kundenbindung mit privaten AWS Marketplace-Angeboten.

  • Ordnen Sie AWS Partner Central-Benutzern IAM-Rollen zu oder weisen Sie sie ihnen zu. Nur Allianzleiter und Cloud-Administratoren können Rollen zuordnen oder zuweisen.

  • Verwenden Sie alle AWS Marketplace Tools und Funktionen.

  • Verwenden Sie das Partners Analytics-Dashboard.

Einen Berechtigungssatz für Single Sign-On erstellen

In den folgenden Schritten wird erklärt, wie Sie mit dem IAM Identity Center einen Berechtigungssatz erstellen, der Single Sign-On für den Zugriff auf AWS Partner Central ermöglicht.

Weitere Informationen zu Berechtigungssätzen finden Sie unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.

  1. Melden Sie sich bei der IAM Identity Center-Konsole an.

  2. Wählen Sie unter Berechtigungen für mehrere Konten die Option Berechtigungssätze aus.

  3. Wählen Sie Create permission set (Berechtigungssatz erstellen) aus.

  4. Wählen Sie auf der Seite Berechtigungssatztyp auswählen unter Typ des Berechtigungssatzes die Option Benutzerdefinierter Berechtigungssatz und dann Weiter aus.

  5. Gehen Sie wie folgt vor:

    1. Wählen Sie auf der Seite Richtlinien und Berechtigungsgrenzen angeben die Typen von IAM-Richtlinien aus, die Sie auf den Berechtigungssatz anwenden möchten.

      Standardmäßig können Sie Ihrem Berechtigungssatz eine beliebige Kombination aus bis zu 10 AWS verwalteten Richtlinien und kundenverwalteten Richtlinien hinzufügen. IAM legt dieses Kontingent fest. Um ihn zu erhöhen, fordern Sie in der Service Quota-Konsole in jedem AWS Konto, dem Sie den Berechtigungssatz zuweisen möchten, eine Erhöhung des IAM-Kontingents an Verwaltete Richtlinien an, die einer IAM-Rolle zugeordnet sind.

    2. Erweitern Sie Inline-Richtlinie, um benutzerdefinierten Richtlinientext im JSON-Format hinzuzufügen. Inline-Richtlinien entsprechen nicht vorhandenen IAM-Ressourcen. Um eine Inline-Richtlinie zu erstellen, geben Sie die benutzerdefinierte Richtliniensprache in das bereitgestellte Formular ein. IAM Identity Center fügt die Richtlinie zu den IAM-Ressourcen hinzu, die es in Ihren Mitgliedskonten erstellt. Weitere Informationen finden Sie unter Inline-Richtlinien.

    3. Kopieren Sie die JSON-Richtlinie aus AWS Partner Central und fügen Sie sie ein. Voraussetzungen für die AWS Kontoverknüpfung

  6. Gehen Sie auf der Seite „Details zum Berechtigungssatz angeben“ wie folgt vor:

    1. Geben Sie unter Name des Berechtigungssatzes einen Namen ein, um diesen Berechtigungssatz in IAM Identity Center zu identifizieren. Der Name, den Sie für diesen Berechtigungssatz angeben, wird im AWS Zugriffsportal als verfügbare Rolle angezeigt. Benutzer melden sich beim AWS Access-Portal an, wählen ein AWS Konto und dann die Rolle aus.

    2. (Optional) Sie können auch eine Beschreibung eingeben. Die Beschreibung wird nur in der IAM Identity Center-Konsole angezeigt, nicht im AWS Zugriffsportal.

    3. (Optional) Geben Sie den Wert für die Sitzungsdauer an. Dieser Wert bestimmt, wie lange ein Benutzer angemeldet sein kann, bevor die Konsole ihn von seiner Sitzung abmeldet. Weitere Informationen finden Sie unter Sitzungsdauer für AWS Konten festlegen.

    4. (Optional) Geben Sie den Wert für den Relay-Status an. Dieser Wert wird im Verbundprozess verwendet, um Benutzer innerhalb des Kontos umzuleiten. Weitere Informationen finden Sie unter Relay-Status für schnellen Zugriff auf die AWS Managementkonsole festlegen.

      Anmerkung

      Sie müssen eine URL der AWS Managementkonsole für den Relay-Status verwenden. Beispiel: https://console.aws.amazon.com/ec2/

    5. Erweitern Sie Tags (optional), wählen Sie Tag hinzufügen aus, und geben Sie dann Werte für Schlüssel und Wert an (optional).

      Informationen zu Tags finden Sie unter Tagging AWS IAM Identity Center-Ressourcen.

    6. Wählen Sie Weiter aus.

  7. Überprüfen Sie auf der Seite Überprüfen und erstellen die von Ihnen getroffenen Auswahlen und wählen Sie dann Erstellen aus.

    Wenn Sie einen Berechtigungssatz erstellen, wird der Berechtigungssatz standardmäßig nicht bereitgestellt (wird in allen AWS Konten verwendet). Um einen Berechtigungssatz in einem AWS Konto bereitzustellen, müssen Sie Benutzern und Gruppen im Konto IAM Identity Center-Zugriff zuweisen und dann den Berechtigungssatz auf diese Benutzer und Gruppen anwenden. Weitere Informationen finden Sie unter Benutzerzugriff auf AWS Konten zuweisen im AWS IAM Identity Center-Benutzerhandbuch.