Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Das Verwaltungskonto, der vertrauenswürdige Zugriff und die delegierten Administratoren
| Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen |
Das Verwaltungskonto (auch AWS Organisationsverwaltungskonto oder Organisationsverwaltungskonto genannt) ist einzigartig und unterscheidet sich von allen anderen Konten in AWS Organizations. Es ist das Konto, das die AWS Organisation erstellt. Von diesem Konto aus können Sie Konten AWS-Konten in der AWS Organisation erstellen, andere bestehende Konten zur AWS Organisation einladen (beide Typen werden als Mitgliedskonten betrachtet), Konten aus der AWS Organisation entfernen und IAM-Richtlinien auf das Stammkonto oder Konten innerhalb der AWS Organisation anwenden. OUs
Mit dem Verwaltungskonto werden allgemeine Sicherheitsvorkehrungen durch SCPs, und Dienstbereitstellungen (z. B. CloudTrail) bereitgestellt RCPs, die sich auf alle Mitgliedskonten in der Organisation auswirken. AWS Um die Berechtigungen im Verwaltungskonto weiter einzuschränken, können diese Berechtigungen nach Möglichkeit an ein anderes geeignetes Konto, z. B. ein Sicherheitskonto, delegiert werden.
Das Verwaltungskonto hat die Aufgabe eines Zahlungskontos; von ihm gehen sämtliche Gebühren ab, die auf den Mitgliedskonten anfallen. Sie können das Verwaltungskonto einer AWS Organisation nicht wechseln. Ein AWS-Konto kann jeweils nur Mitglied einer AWS Organisation sein.
Aufgrund der Funktionalität und des Einflussbereichs, den das Verwaltungskonto besitzt, empfehlen wir, den Zugriff auf dieses Konto zu beschränken und Berechtigungen nur Rollen zu gewähren, die diese benötigen. Zwei Funktionen, die Ihnen dabei helfen, sind vertrauenswürdiger Zugriff und delegierter Administrator. Mithilfe des vertrauenswürdigen Zugriffs können Sie einen AWS-Service von Ihnen angegebenen vertrauenswürdigen Dienst aktivieren, der Aufgaben in Ihrer AWS Organisation und deren Konten in Ihrem Namen ausführt. Dies umfasst das Erteilen von Berechtigungen für den vertrauenswürdigen Service, hat aber keine Auswirkungen auf die Berechtigungen für IAM-Benutzer und -Rollen. Sie können Trusted Access verwenden, um Einstellungen und Konfigurationsdetails festzulegen, die der vertrauenswürdige Dienst in Ihrem Namen in den Konten Ihrer AWS Organisation verwalten soll. Im Abschnitt „Konto für die Unternehmensverwaltung“ der AWS SRA wird beispielsweise erklärt, wie Sie dem CloudTrail Dienst vertrauenswürdigen Zugriff gewähren können, um einen CloudTrail Organisationspfad für alle Konten in Ihrer AWS Organisation zu erstellen.
Einige AWS-Services unterstützen die Funktion für delegierte Administratoren in. AWS OrganizationsMit dieser Funktion können kompatible Dienste ein AWS Mitgliedskonto in der AWS Organisation als Administrator für die Konten der AWS Organisation in diesem Dienst registrieren. Diese Funktion bietet verschiedenen Teams in Ihrem Unternehmen die Flexibilität, je nach ihren Zuständigkeiten separate Konten für die Verwaltung der AWS-Services gesamten Umgebung zu verwenden. Zu den AWS Sicherheitsdiensten in der AWS SRA, die derzeit delegierte Administratoren unterstützen, gehören IAM Identity Center,, Amazon AWS Config AWS Firewall Manager GuardDuty, IAM Access Analyzer, Amazon Macie, AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM), Amazon Detective AWS Audit Manager, Amazon Inspector und. AWS Systems Manager Die Verwendung der Funktion für delegierte Administratoren wird in der AWS SRA als bewährte Methode hervorgehoben, und wir delegieren die Verwaltung sicherheitsrelevanter Dienste an das Security Tooling-Konto.
