Delegierte Verwaltung - AWS IAM Identity Center
Bewährte MethodenVoraussetzungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Delegierte Verwaltung

Die delegierte Administration bietet zugewiesenen Benutzern in einem registrierten Mitgliedskonto eine bequeme Möglichkeit, die meisten Verwaltungsaufgaben in IAM Identity Center auszuführen. Wenn Sie IAM Identity Center aktivieren, wird Ihre IAM Identity Center-Instanz standardmäßig im Verwaltungskonto erstellt. AWS Organizations Dies wurde ursprünglich so konzipiert, dass IAM Identity Center Rollen für alle Mitgliedskonten Ihrer Organisation bereitstellen, deren Bereitstellung aufheben und aktualisieren kann. Auch wenn sich Ihre IAM Identity Center-Instanz immer im Verwaltungskonto befinden muss, können Sie sich dafür entscheiden, die Verwaltung von IAM Identity Center an ein Mitgliedskonto in zu delegieren AWS Organizations, wodurch die Möglichkeit erweitert wird, IAM Identity Center von außerhalb des Verwaltungskontos zu verwalten.

Die Aktivierung der delegierten Administration bietet die folgenden Vorteile:

  • Minimiert die Anzahl der Personen, die Zugriff auf das Verwaltungskonto benötigen, um Sicherheitsbedenken auszuräumen

  • Ermöglicht ausgewählten Administratoren, Benutzern und Gruppen Anwendungen und Mitgliedskonten Ihrer Organisation zuzuweisen

Weitere Informationen zur Verwendung von IAM Identity Center finden Sie AWS Organizations unterAWS-Konto Zugriff. Weitere Informationen und ein Beispiel für ein Unternehmensszenario zur Konfiguration der delegierten Administration finden Sie unter Erste Schritte mit der delegierten IAM Identity Center-Administration im Sicherheits-Blog.AWS

Themen

Bewährte Methoden

Im Folgenden finden Sie einige bewährte Methoden, die Sie berücksichtigen sollten, bevor Sie die delegierte Administration konfigurieren:

  • Gewähren Sie dem Verwaltungskonto die geringsten Rechte — In dem Wissen, dass es sich bei dem Verwaltungskonto um ein Konto mit hohen Rechten handelt und dass Sie sich an das Prinzip der geringsten Rechte halten, empfehlen wir dringend, den Zugriff auf das Verwaltungskonto auf so wenige Personen wie möglich zu beschränken. Mit der Funktion für delegierte Administratoren soll die Anzahl der Personen minimiert werden, die Zugriff auf das Verwaltungskonto benötigen. Sie können auch erwägen, temporären erweiterten Zugriff zu verwenden, um diesen Zugriff nur bei Bedarf zu gewähren.

  • Dedizierte Berechtigungssätze für das Verwaltungskonto — Verwenden Sie spezielle Berechtigungssätze für das Verwaltungskonto. Aus Sicherheitsgründen kann ein für den Zugriff auf das Verwaltungskonto verwendeter Berechtigungssatz nur von einem IAM Identity Center-Administrator über das Verwaltungskonto geändert werden. Der delegierte Administrator kann die im Verwaltungskonto bereitgestellten Berechtigungssätze nicht ändern.

  • Zuweisen von Benutzern (nicht Gruppen) zu Berechtigungssätzen im Verwaltungskonto — Da das Verwaltungskonto über besondere Rechte verfügt, müssen Sie bei der Zuweisung von Zugriff auf dieses Konto in der Konsole oder AWS Command Line Interface (CLI) Vorsicht walten lassen. Wenn Sie Gruppen Berechtigungssätzen mit Zugriff auf das Verwaltungskonto zuweisen, kann jeder, der berechtigt ist, die Mitgliedschaften in diesen Gruppen zu ändern, add/remove to/from diese Gruppen verwenden und somit beeinflussen, wer Zugriff auf das Verwaltungskonto hat. Dies ist ein beliebiger Gruppenadministrator mit Kontrolle über Ihre Identitätsquelle, einschließlich Ihres Identitätsanbieters (IdP) -Administrators, Microsoft Active Directory Domain Service (AD DS) -Administrators oder IAM Identity Center-Administrators. Daher sollten Sie Benutzer direkt Berechtigungssätzen zuweisen, die Zugriff auf das Verwaltungskonto gewähren, und Gruppen vermeiden. Wenn Sie Gruppen verwenden, um den Zugriff auf das Verwaltungskonto zu verwalten, stellen Sie sicher, dass der IdP über angemessene Kontrollen verfügt, um einzuschränken, wer diese Gruppen ändern kann, und stellen Sie sicher, dass Änderungen an diesen Gruppen (oder Änderungen der Anmeldeinformationen für die Benutzer im Verwaltungskonto) protokolliert und gegebenenfalls überprüft werden.

  • Berücksichtigen Sie Ihren Active Directory-Standort — Wenn Sie Active Directory als Ihre IAM Identity Center-Identitätsquelle verwenden möchten, suchen Sie das Verzeichnis in dem Mitgliedskonto, in dem Sie die delegierte Administratorfunktion von IAM Identity Center aktiviert haben. Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis im delegierten IAM Identity Center-Administratorkonto befinden. Wenn Sie möchten, dass sich Ihr Active Directory im Verwaltungskonto befindet, müssen Sie die Einrichtung im Verwaltungskonto vornehmen, da der delegierte Administrator nicht über die erforderlichen Berechtigungen verfügt, um den Vorgang abzuschließen.

Beschränken Sie die IAM Identity Center-Identitätsspeicher-Aktionen im delegierten Administratorkonto auf externe Identitätsquellen

Wenn Sie eine externe Identitätsquelle wie einen IdP oder verwenden, sollten Sie Richtlinien implementieren AWS Directory Service, die die Identitätsspeicher-Aktionen einschränken, die ein IAM Identity Center-Administrator innerhalb des delegierten Administratorkontos ausführen kann. Schreib- und Löschvorgänge sollten sorgfältig abgewogen werden. Im Allgemeinen ist die externe Identitätsquelle die Informationsquelle für Benutzer und ihre Attribute sowie für Gruppenmitgliedschaften. Wenn Sie diese mithilfe des Identitätsspeichers APIs oder der Konsole ändern, werden Ihre Änderungen während normaler Synchronisierungszyklen überschrieben. Überlassen Sie diese Vorgänge am besten der alleinigen Kontrolle Ihrer Identitätsquelle. Dies schützt auch davor, dass ein IAM Identity Center-Administrator Gruppenmitgliedschaften ändert, um Zugriff auf einen der Gruppe zugewiesenen Berechtigungssatz oder eine Anwendung zu gewähren, anstatt die Kontrolle der Gruppenmitgliedschaft Ihrem IdP-Administrator zu überlassen. Sie sollten auch darauf achten, wer SCIM-Trägertoken vom delegierten Administratorkonto aus erstellen kann, da diese es einem Administrator eines Mitgliedskontos ermöglichen könnten, Gruppen und Benutzer über einen SCIM-Client zu ändern.

Es kann vorkommen, dass Schreib- oder Löschvorgänge vom delegierten Administratorkonto aus angemessen sind. Sie können beispielsweise eine Gruppe erstellen, ohne Mitglieder hinzuzufügen, und dann Zuweisungen zu einem Berechtigungssatz vornehmen, ohne darauf warten zu müssen, dass der IdP-Administrator die Gruppe erstellt. Niemand hat Zugriff auf diese Zuweisung, bis der IdP-Administrator die Gruppe bereitstellt und der IdP-Synchronisierungsprozess die Gruppenmitglieder festlegt. Es kann auch sinnvoll sein, einen Benutzer oder eine Gruppe zu löschen, um eine Anmeldung oder Autorisierung zu verhindern, wenn Sie nicht warten können, bis der IdP-Synchronisierungsprozess den Zugriff des Benutzers oder der Gruppe aufhebt. Ein Missbrauch dieser Berechtigung kann sich jedoch negativ auf die Benutzer auswirken. Bei der Zuweisung von Identitätsspeicherberechtigungen sollten Sie das Prinzip der geringsten Rechte verwenden. Mithilfe einer Service Control Policy (SCP) können Sie steuern, welche Identitätsspeicher-Aktionen von den Administratoren Ihres delegierten Administratorkontos zugelassen werden.

Das folgende Beispiel für SCP verhindert die Zuweisung von Benutzern zu Gruppen über die Identity Store-API und die. Dies wird empfohlen AWS Management Console, wenn es sich bei Ihrer Identitätsquelle um eine externe Identitätsquelle handelt. Dies hat keinen Einfluss auf die Benutzersynchronisierung von AWS Directory Service oder von einem externen IdP (über SCIM).

Anmerkung

Es ist möglich, dass Ihre Organisation, obwohl Sie eine externe Identitätsquelle verwenden, ganz oder teilweise auf den Identitätsspeicher APIs für die Bereitstellung von Benutzern und Gruppen angewiesen ist. Bevor Sie diesen SCP aktivieren, sollten Sie daher sicherstellen, dass Ihr Benutzerbereitstellungsprozess diesen Identity Store-API-Vorgang nicht verwendet. Im nächsten Abschnitt finden Sie außerdem Informationen darüber, wie Sie die Verwaltung von Gruppenmitgliedschaften auf bestimmte Gruppen beschränken können.

{
  "Version": "2012-10-17",
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}

Wenn Sie verhindern möchten, dass Benutzer nur zu Gruppen hinzugefügt werden, die Zugriff auf das Verwaltungskonto gewähren, können Sie mithilfe des Gruppen-ARN im folgenden Format auf diese spezifischen Gruppen verweisen:arn:${Partition}:identitystore:::group/${GroupId}. Dieser und andere im Identity Store verfügbare Ressourcentypen sind unter Ressourcentypen definiert durch AWS Identity Store in der Service Authorization Reference dokumentiert. Sie können auch erwägen, zusätzlichen Identitätsspeicher APIs in den SCP aufzunehmen. Weitere Informationen finden Sie unter Aktionen in der Identity Store-API-Referenz.

Indem Sie Ihrem SCP die folgende Richtlinienerklärung hinzufügen, können Sie die Erstellung von SCIM-Bearer-Token durch den delegierten Administrator verhindern. Sie können dies für beide externen Identitätsquellen anwenden.

Anmerkung

Wenn Ihr delegierter Administrator die Benutzerverwaltung mit SCIM einrichten oder die regelmäßige Rotation des SCIM-Bearer-Tokens durchführen muss, müssen Sie vorübergehend den Zugriff auf diese API gewähren, damit der delegierte Administrator diese Aufgaben ausführen kann.


    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }

Beschränken Sie die IAM Identity Center-Identitätsspeicher-Aktionen im delegierten Administratorkonto für lokal verwaltete Benutzer

Wenn Sie Ihre Benutzer und Gruppen direkt in IAM Identity Center erstellen, anstatt einen externen IdP oder zu verwenden AWS Directory Service, sollten Sie Vorkehrungen dafür treffen, wer Benutzer erstellen, Passwörter zurücksetzen und die Gruppenmitgliedschaft kontrollieren kann. Diese Aktionen geben dem Administrator umfassende Möglichkeiten, festzulegen, wer sich anmelden kann und wer durch die Mitgliedschaft in Gruppen Zugriff erhält. Diese Richtlinien lassen sich am besten als Inline-Richtlinien innerhalb der Berechtigungssätze implementieren, die Sie für Ihre IAM Identity Center-Administratoren verwenden, und nicht als. SCPs Das folgende Beispiel für eine Inline-Richtlinie verfolgt zwei Ziele. Erstens verhindert sie das Hinzufügen von Benutzern zu bestimmten Gruppen. Sie können dies verwenden, um zu verhindern, dass delegierte Administratoren Benutzer zu Gruppen hinzufügen, die Zugriff auf das Verwaltungskonto gewähren. Zweitens verhindert es die Ausgabe von SCIM-Inhaber-Tokens.


{ 
  "Version": "2012-10-17", 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}

Trennen Sie das IAM Identity Center-Konfigurationsmanagement vom Management PermissionSet

Trennen Sie die administrativen Aufgaben, einschließlich der Änderung der externen Identitätsquelle, der SCIM-Tokenverwaltung und der Konfiguration des Sitzungstimeouts, von den Aufgaben zum Erstellen, Ändern und Zuweisen von Berechtigungssätzen, indem Sie von Ihrem Verwaltungskonto aus unterschiedliche Administratorberechtigungssätze erstellen.

Beschränken Sie die Ausgabe von SCIM-Trägertoken

SCIM-Bearer-Token ermöglichen es einer externen Identitätsquelle, Benutzer, Gruppen und Gruppenmitgliedschaften über das SCIM-Protokoll bereitzustellen, wenn die Identitätsquelle Ihres IAM Identity Center ein externer IdP wie Okta oder Entra ID ist. Sie können den folgenden SCP einrichten, um die Erstellung von SCIM-Trägertoken durch delegierte Administratoren zu verhindern. Wenn Ihr delegierter Administrator die Benutzerverwaltung mit SCIM einrichten oder die regelmäßige Rotation der SCIM-Trägertoken durchführen muss, müssen Sie vorübergehend den Zugriff auf diese API zulassen, damit der delegierte Administrator diese Aufgaben ausführen kann.


    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}

Verwenden Sie Berechtigungssatz-Tags und Kontolisten, um die Verwaltung bestimmter Konten zu delegieren

Sie können Berechtigungssätze erstellen, die Sie Ihren IAM Identity Center-Administratoren zuweisen, um zu delegieren, wer Berechtigungssätze erstellen kann und wer welchen Konten welche Berechtigungssätze zuweisen kann. Dazu kennzeichnen Sie Berechtigungssätze mit Tags und verwenden Richtlinienbedingungen in den Berechtigungssätzen, die Sie Ihren Administratoren zuweisen. Sie können beispielsweise Berechtigungssätze erstellen, die es einem Benutzer ermöglichen, Berechtigungssätze zu erstellen, sofern sie auf eine bestimmte Weise gekennzeichnet sind. Sie können auch Richtlinien erstellen, die es einem Administrator ermöglichen, bestimmten Konten Berechtigungssätze zuzuweisen, die mit einem bestimmten Tag versehen sind. Auf diese Weise können Sie die Verwaltung von Konten delegieren, ohne einem Administrator die Rechte zu geben, seinen Zugriff und seine Rechte für das delegierte Administratorkonto zu ändern. Indem Sie beispielsweise Berechtigungssätze kennzeichnen, die Sie nur für das delegierte Administratorkonto verwenden, können Sie eine Richtlinie festlegen, die nur bestimmten Personen die Rechte zum Ändern von Berechtigungssätzen und Zuweisungen erteilt, die sich auf das delegierte Administratorkonto auswirken. Sie können auch anderen Personen die Erlaubnis geben, eine Liste von Konten außerhalb des delegierten Administratorkontos zu verwalten. Weitere Informationen finden Sie im AWS Sicherheits-Blog unter Delegieren der Verwaltung von Berechtigungssätzen und AWS IAM Identity Center der Kontozuweisung.

Voraussetzungen

Bevor Sie ein Konto als delegierter Administrator registrieren können, müssen Sie zunächst die folgende Umgebung bereitstellen:

  • AWS Organizations muss zusätzlich zu Ihrem Standard-Verwaltungskonto mit mindestens einem Mitgliedskonto aktiviert und konfiguriert sein.

  • Wenn Ihre Identitätsquelle auf Active Directory eingestellt ist, muss die IAM Identity Center, konfigurierbare AD-Synchronisierung Funktion aktiviert sein.