

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Single Sign-On-Zugriff auf AWS-Konten
<a name="useraccess"></a>

Sie können Benutzern in Ihrem verbundenen Verzeichnis AWS Organizations basierend auf den [allgemeinen Aufgabenfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) Berechtigungen für das Verwaltungskonto oder die Mitgliedskonten in Ihrer Organisation zuweisen. Alternativ können Sie benutzerdefinierte Berechtigungen verwenden, um Ihre spezifischen Sicherheitsanforderungen zu erfüllen. Beispielsweise können Sie Datenbankadministratoren umfassende Berechtigungen für Amazon RDS in Entwicklungskonten gewähren, ihre Berechtigungen jedoch in Produktionskonten einschränken. IAM Identity Center konfiguriert automatisch alle erforderlichen Benutzerberechtigungen in Ihrem AWS-Konten .

**Anmerkung**  
Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um im AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die [IAMFullZugriffsrichtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

**Topics**
+ [Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md)
+ [Entfernen Sie den Benutzer- und Gruppenzugriff auf ein AWS-Konto](howtoremoveaccess.md)
+ [Widerrufen Sie aktive IAM-Rollensitzungen, die mit Berechtigungssätzen erstellt wurden](revoke-user-permissions.md)
+ [Delegieren Sie, wer Benutzern und Gruppen im Verwaltungskonto Single Sign-On-Zugriff zuweisen kann](howtodelegatessoaccess.md)

# Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten
<a name="assignusers"></a>

Gehen Sie wie folgt vor, um Benutzern und Gruppen in Ihrem verbundenen Verzeichnis Single Sign-On-Zugriff zuzuweisen und mithilfe von Berechtigungssätzen deren Zugriffsebene zu bestimmen.

Informationen zum Überprüfen vorhandener Benutzer- und Gruppenzugriffe finden Sie unter[Einen Berechtigungssatz anzeigen und ändern](howtoviewandchangepermissionset.md).

**Anmerkung**  
Zur vereinfachten Administration der Zugriffsberechtigungen wird empfohlen, den Zugriff direkt den Gruppen zuzuweisen (und nicht einzelnen Benutzern). Bei Gruppen können Sie Berechtigungen für Benutzergruppen gewähren oder verweigern, anstatt dies für jede Einzelperson individuell zu tun. Wenn ein Benutzer zu einer anderen Organisation wechselt, verschieben Sie diesen Benutzer einfach in eine andere Gruppe. Er erhält dann automatisch die Berechtigungen für die neue Organisation.

**So weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**  
Stellen Sie sicher, dass die IAM Identity Center-Konsole die Region verwendet, in der sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**

1. Auf der **AWS-Konten**Seite wird eine Strukturansicht Ihrer Organisation angezeigt. Aktivieren Sie das Kontrollkästchen AWS-Konto neben dem, dem Sie Zugriff zuweisen möchten. Wenn Sie Administratorzugriff für IAM Identity Center einrichten, aktivieren Sie das Kontrollkästchen neben dem Verwaltungskonto.
**Anmerkung**  
Sie können pro Berechtigungssatz bis zu 10 AWS-Konten gleichzeitig auswählen, wenn Sie Benutzern und Gruppen Single Sign-On-Zugriff zuweisen. Um derselben Gruppe von Benutzern und Gruppen mehr als 10 AWS-Konten zuzuweisen, wiederholen Sie dieses Verfahren nach Bedarf für die zusätzlichen Konten. Wenn Sie dazu aufgefordert werden, wählen Sie dieselben Benutzer, Gruppen und denselben Berechtigungssatz aus.

1. Wählen Sie **Benutzer oder Gruppen zuweisen** aus. 

1. Gehen Sie für **Schritt 1: Benutzer und Gruppen auswählen** auf der Seite **Benutzer und Gruppen zuweisen zu *AWS-account-name* ""** wie folgt vor:

   1. Wählen Sie auf der Registerkarte **Benutzer** einen oder mehrere Benutzer aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie zunächst den Namen des gewünschten Benutzers in das Suchfeld ein.

   1. Wählen Sie auf der Registerkarte **Gruppen** eine oder mehrere Gruppen aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie zunächst den Namen der gewünschten Gruppe in das Suchfeld ein.

   1. Um die ausgewählten Benutzer und Gruppen anzuzeigen, klicken Sie auf das seitliche Dreieck neben **Ausgewählte Benutzer und Gruppen**.

   1. Nachdem Sie bestätigt haben, dass die richtigen Benutzer und Gruppen ausgewählt sind, wählen Sie **Weiter**.

1. Gehen Sie für **Schritt 2: Berechtigungssätze auswählen** auf der Seite **Berechtigungssätze zuweisen zu *AWS-account-name* ""** wie folgt vor:

   1. Wählen Sie einen oder mehrere Berechtigungssätze aus. Bei Bedarf können Sie neue Berechtigungssätze erstellen und auswählen.
      + Um einen oder mehrere vorhandene Berechtigungssätze auszuwählen, wählen Sie unter **Berechtigungssätze** die Berechtigungssätze aus, die Sie auf die Benutzer und Gruppen anwenden möchten, die Sie im vorherigen Schritt ausgewählt haben.
      + Um einen oder mehrere neue Berechtigungssätze zu **erstellen, wählen Sie Berechtigungssatz** erstellen aus und folgen Sie den Schritten unter[Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md). Nachdem Sie die Berechtigungssätze erstellt haben, die Sie anwenden möchten, kehren Sie in der IAM Identity Center-Konsole zu den Anweisungen zurück **AWS-Konten**und folgen Sie den Anweisungen, bis Sie zu **Schritt 2: Berechtigungssätze auswählen** gelangen. Wenn Sie diesen Schritt erreicht haben, wählen Sie die neuen Berechtigungssätze aus, die Sie erstellt haben, und fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.

   1. Nachdem Sie bestätigt haben, dass die richtigen Berechtigungssätze ausgewählt wurden, wählen Sie **Weiter**.

1. Gehen **Sie für Schritt 3: Überprüfen und abschicken** auf der Seite **Aufgaben überprüfen und einreichen an *AWS-account-name* ""** wie folgt vor:

   1. Überprüfen Sie die ausgewählten Benutzer, Gruppen und Berechtigungssätze.

   1. Nachdem Sie sich vergewissert haben, dass die richtigen Benutzer, Gruppen und Berechtigungssätze ausgewählt wurden, wählen Sie **Senden** aus.

**Überlegungen**
   + Der Vorgang der Benutzer- und Gruppenzuweisung kann einige Minuten dauern. Lassen Sie diese Seite geöffnet, bis der Vorgang erfolgreich abgeschlossen ist.
   + 
**Anmerkung**  
Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um mit dem AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die [IAMFullZugriffsrichtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

1. Wenn einer der folgenden Punkte zutrifft, gehen Sie wie unter beschrieben vor, [Benutzer zur MFA auffordern](mfa-getting-started.md) um MFA für IAM Identity Center zu aktivieren:
   + Sie verwenden das standardmäßige Identity Center-Verzeichnis als Identitätsquelle.
   + Sie verwenden ein AWS Managed Microsoft AD Verzeichnis oder ein selbstverwaltetes Verzeichnis in Active Directory als Identitätsquelle und Sie verwenden RADIUS MFA nicht mit. AWS Directory Service
**Anmerkung**  
Wenn Sie einen externen Identitätsanbieter verwenden, beachten Sie, dass der externe IdP, nicht das IAM Identity Center, die MFA-Einstellungen verwaltet. MFA in IAM Identity Center wird für die externe Verwendung nicht unterstützt. IdPs 

Wenn Sie den Kontozugriff für den Administratorbenutzer einrichten, erstellt IAM Identity Center eine entsprechende IAM-Rolle. Diese Rolle, die von IAM Identity Center gesteuert wird, wird in der entsprechenden Datei erstellt AWS-Konto, und die im Berechtigungssatz angegebenen Richtlinien werden der Rolle zugewiesen. 

Alternativ können Sie sie verwenden, [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)um Berechtigungssätze zu erstellen und zuzuweisen und diesen Berechtigungssätzen Benutzer zuzuweisen. Benutzer können [sich dann beim AWS Zugriffsportal anmelden oder die](howtosignin.md) Befehle [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html) verwenden.

# Entfernen Sie den Benutzer- und Gruppenzugriff auf ein AWS-Konto
<a name="howtoremoveaccess"></a>

Gehen Sie wie folgt vor, um den Single Sign-On-Zugriff auf einen oder mehrere Benutzer und Gruppen in Ihrem verbundenen Verzeichnis zu entfernen. AWS-Konto Sie können aber auch die [delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLI verwenden.

**Anmerkung**  
Wenn Sie die Bereitstellung von IAM Identity Center-Benutzern oder -Gruppen aufheben müssen, sollten Sie zunächst [alle Zuweisungen von Berechtigungssätzen für Ihre Benutzer und Gruppen entfernen](howtoremovepermissionset.md), bevor Sie die Benutzer und Gruppen löschen.

**Um den Benutzer- und Gruppenzugriff auf ein AWS-Konto**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie im Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option **AWS-Konten**.

1. Auf der **AWS-Konten**Seite wird eine Strukturansicht Ihrer Organisation angezeigt. Wählen Sie den Namen der Datei aus AWS-Konto , die die Benutzer und Gruppen enthält, für die Sie den Single Sign-On-Zugriff entfernen möchten.

1. Wählen Sie auf der **Übersichtsseite** für unter **Zugewiesene Benutzer und Gruppen** den Namen eines oder mehrerer Benutzer oder Gruppen aus, und wählen Sie **Zugriff entfernen** aus. AWS-Konto

1. Vergewissern Sie sich im Dialogfeld **Zugriff entfernen**, dass die Namen der Benutzer oder Gruppen korrekt sind, und wählen Sie **Zugriff entfernen** aus. 

# Widerrufen Sie aktive IAM-Rollensitzungen, die mit Berechtigungssätzen erstellt wurden
<a name="revoke-user-permissions"></a>

 Im Folgenden finden Sie ein allgemeines Verfahren zum Widerrufen einer aktiven Berechtigungssatz-Sitzung für einen IAM Identity Center-Benutzer. Das Verfahren geht davon aus, dass Sie einem Benutzer, dessen Anmeldeinformationen kompromittiert wurden, oder einem böswilligen Akteur, der sich im System befindet, jeglichen Zugriff entziehen möchten. Voraussetzung ist, dass Sie die Anweisungen in [Bereiten Sie sich darauf vor, eine aktive IAM-Rollensitzung zu widerrufen, die mit einem Berechtigungssatz erstellt wurde](prereqs-revoking-user-permissions.md#prepare-to-revoke-session) befolgt haben. Wir gehen davon aus, dass die Richtlinie „Alle verweigern“ in einer Service Control Policy (SCP) enthalten ist. 

**Anmerkung**  
AWS empfiehlt, dass Sie eine Automatisierung für alle Schritte einrichten, mit Ausnahme von Vorgängen, die nur auf der Konsole ausgeführt werden.

1. **Besorgen Sie sich die Benutzer-ID der Person, deren Zugriff Sie widerrufen müssen.** Sie können den Identitätsspeicher verwenden APIs , um den Benutzer anhand seines Benutzernamens zu finden.

1. **Aktualisieren Sie die Deny-Richtlinie, um die Benutzer-ID aus Schritt 1 zu Ihrer Service Control Policy (SCP) hinzuzufügen.** Nach Abschluss dieses Schritts verliert der Zielbenutzer den Zugriff und kann keine Aktionen mit Rollen ausführen, die von der Richtlinie betroffen sind.

1. **Entfernen Sie alle Zuweisungen von Berechtigungssätzen für den Benutzer.** Wenn der Zugriff über Gruppenmitgliedschaften zugewiesen wird, entfernen Sie den Benutzer aus allen Gruppen und allen direkten Zuweisungen von Berechtigungssätzen. Dieser Schritt verhindert, dass der Benutzer zusätzliche IAM-Rollen übernimmt. Wenn ein Benutzer über eine aktive AWS Access-Portal-Sitzung verfügt und Sie den Benutzer deaktivieren, kann er weiterhin neue Rollen annehmen, bis Sie ihm den Zugriff entziehen. 

1. **Wenn Sie einen Identitätsanbieter (IdP) oder Microsoft Active Directory als Identitätsquelle verwenden, deaktivieren Sie den Benutzer in der Identitätsquelle.** Durch die Deaktivierung des Benutzers wird die Erstellung zusätzlicher AWS Access-Portal-Sitzungen verhindert. Verwenden Sie Ihre IdP- oder Microsoft Active Directory-API-Dokumentation, um zu erfahren, wie Sie diesen Schritt automatisieren können. Wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, deaktivieren Sie den Benutzerzugriff noch nicht. In Schritt 6 deaktivieren Sie den Benutzerzugriff.

1.  **Suchen Sie in der IAM Identity Center-Konsole nach dem Benutzer und löschen Sie seine aktive Sitzung.** 

   1. Wählen Sie **Users** (Benutzer) aus.

   1. Wählen Sie den Benutzer aus, dessen aktive Sitzung Sie löschen möchten.

   1. Wählen Sie auf der Detailseite des Benutzers den Tab **Aktive Sitzungen** aus.

   1. Aktivieren Sie die Kontrollkästchen neben den Sitzungen, die Sie löschen möchten, und wählen Sie **Sitzung löschen** aus.

    Nach dem Löschen einer Benutzersitzung verliert der Benutzer sofort den Zugriff auf das AWS Zugangsportal. Erfahren Sie mehr über die [Sitzungsdauer](authconcept.md). 

1. **Deaktivieren Sie in der IAM Identity Center-Konsole den Benutzerzugriff.**

   1. Wählen Sie **Users** (Benutzer) aus.

   1. Wählen Sie den Benutzer aus, dessen Zugriff Sie deaktivieren möchten.

   1. Erweitern Sie auf der Detailseite des Benutzers den Bereich **Allgemeine Informationen** und wählen Sie die Schaltfläche **Benutzerzugriff deaktivieren**, um weitere Anmeldungen des Benutzers zu verhindern. 

1. **Lassen Sie die Ablehnungsrichtlinie mindestens 12 Stunden lang bestehen.** Andernfalls hat der Benutzer mit einer aktiven IAM-Rollensitzung Aktionen mit der IAM-Rolle wiederhergestellt. Wenn Sie 12 Stunden warten, laufen aktive Sitzungen ab und der Benutzer kann nicht mehr auf die IAM-Rolle zugreifen.

**Wichtig**  
Wenn Sie den Zugriff eines Benutzers deaktivieren, bevor Sie die Benutzersitzung beenden (Sie haben Schritt 6 abgeschlossen, ohne Schritt 5 abgeschlossen zu haben), können Sie die Benutzersitzung nicht mehr über die IAM Identity Center-Konsole beenden. Wenn Sie versehentlich den Benutzerzugriff deaktivieren, bevor Sie die Benutzersitzung beenden, können Sie den Benutzer erneut aktivieren, seine Sitzung beenden und dann seinen Zugriff wieder deaktivieren.

 [Sie können jetzt die Anmeldeinformationen des Benutzers ändern, falls sein Passwort kompromittiert wurde, und seine Zuweisungen wiederherstellen.](useraccess.md) 

# Delegieren Sie, wer Benutzern und Gruppen im Verwaltungskonto Single Sign-On-Zugriff zuweisen kann
<a name="howtodelegatessoaccess"></a>

Die Zuweisung von Single Sign-On-Zugriff auf das Verwaltungskonto mithilfe der IAM Identity Center-Konsole ist eine privilegierte Aktion. Standardmäßig kann nur ein Benutzer Root-Benutzer des AWS-Kontos oder ein Benutzer, dem die Richtlinien zugewiesen **AWSSSOMasterAccountAdministrator**und **IAMFullAccess** AWS verwaltet wurden, dem Verwaltungskonto Single Sign-On-Zugriff zuweisen. Die **IAMFullAccess**Richtlinien **AWSSSOMasterAccountAdministrator**und verwalten den Single Sign-On-Zugriff auf das Verwaltungskonto innerhalb einer AWS Organizations Organisation.

Sie können sie auch verwenden, um Richtlinien AWS CLI zu erstellen, ihnen anzuhängen und ihnen Berechtigungssätze zuzuweisen. Im Folgenden sind die Befehle für jeden Schritt aufgeführt:
+ Um einen Berechtigungssatz zu erstellen: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ Um ihn an einen Berechtigungssatz AWS Managed Policy anzuhängen: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ [So fügen Sie einem Berechtigungssatz eine vom Kunden verwaltete Richtlinie hinzu: - attach-customer-managed-policy to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ So weisen Sie einem Prinzipal einen Berechtigungssatz zu: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)

Gehen Sie wie folgt vor, um Berechtigungen zur Verwaltung des Single Sign-On-Zugriffs an Benutzer und Gruppen in Ihrem Verzeichnis zu delegieren.

**So gewähren Sie Benutzern und Gruppen in Ihrem Verzeichnis Berechtigungen zur Verwaltung des Single Sign-On-Zugriffs**

1. Melden Sie sich bei der IAM Identity Center-Konsole als Root-Benutzer des Verwaltungskontos oder mit einem anderen Benutzer an, der über Administratorrechte für das Verwaltungskonto verfügt.

1. Folgen Sie den Schritten unter[Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md), um einen Berechtigungssatz zu erstellen, und gehen Sie dann wie folgt vor:

   1. Aktivieren **Sie auf der Seite Neuen Berechtigungssatz** **erstellen das Kontrollkästchen Benutzerdefinierten Berechtigungssatz** erstellen und wählen Sie dann **Weiter: Details** aus.

   1. Geben Sie auf der **Seite Neuen Berechtigungssatz erstellen** einen Namen für den benutzerdefinierten Berechtigungssatz und optional eine Beschreibung an. Ändern Sie bei Bedarf die Sitzungsdauer und geben Sie eine Relay-Status-URL an. 
**Anmerkung**  
Für die Relay-State-URL müssen Sie eine URL angeben, die sich in der befindet AWS-Managementkonsole. Beispiel:  
 **https://console.aws.amazon.com/ec2/**  
Weitere Informationen finden Sie unter [Stellen Sie den Relay-Status für den schnellen Zugriff auf die ein AWS-Managementkonsole](howtopermrelaystate.md).

   1. Unter **Welche Richtlinien möchten Sie in Ihren Berechtigungssatz aufnehmen?** , aktivieren Sie das Kontrollkästchen ** AWS Verwaltete Richtlinien anhängen**.

   1. Wählen Sie in der Liste der IAM-Richtlinien sowohl die als auch die **AWSSSOMasterAccountAdministrator**IAMFullAccess**** AWS verwalteten Richtlinien aus. Diese Richtlinien gewähren allen Benutzern und Gruppen, denen in future Zugriff auf diesen Berechtigungssatz zugewiesen wird, Berechtigungen.

   1. Wählen Sie **Weiter: Tags** aus.

   1. Geben **Sie unter Tags hinzufügen (optional)** Werte für **Schlüssel** und **Wert (optional)** an und wählen Sie dann **Weiter: Überprüfen** aus. Weitere Informationen zu Tags erhalten Sie unter [Ressourcen taggen AWS IAM Identity Center](tagging.md).

   1. Überprüfen Sie die von Ihnen getroffenen Auswahlen und wählen Sie dann **Erstellen** aus.

1. Folgen Sie den Schritten unter[Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md), um dem soeben erstellten Berechtigungssatz die entsprechenden Benutzer und Gruppen zuzuweisen.

1. Teilen Sie den zugewiesenen Benutzern Folgendes mit: Wenn sie sich beim AWS Zugriffsportal anmelden und die Registerkarte **Konten** auswählen, müssen sie den entsprechenden Rollennamen auswählen, um mit den Berechtigungen authentifiziert zu werden, die Sie gerade delegiert haben.