Überlegungen zur Freigabe von AWS Well-Architected Tool Workloads

Eine Workload kann für bis zu 20 verschiedene AWS-Konten und Benutzer freigegeben werden. Eine Workload kann nur für Konten und Benutzer freigegeben werden, die sich in derselben AWS-Region wie die Workload befinden.

Um eine Workload in einer Region freizugeben, die nach dem 20. März 2019 eingeführt wurde, müssen Sie und das freigegebene AWS-Konto die Region in der AWS-Managementkonsole aktivieren. Weitere Informationen finden Sie unter Globale AWS-Infrastruktur.

Sie können eine Workload für ein AWS-Konto, einzelne Benutzer in einem Konto oder beide freigeben. Wenn Sie eine Workload für ein AWS-Konto freigeben, erhalten alle Benutzer in diesem Konto Zugriff auf die Workload. Wenn nur bestimmte Benutzer in einem Konto Zugriff benötigen, befolgen Sie die bewährte Methode, die geringste Berechtigung zu gewähren, und geben Sie die Workload einzeln für diese Benutzer frei.

Wenn sowohl ein AWS-Konto als auch ein Benutzer in dem Konto Workload-Einladungen haben, bestimmt die Workload-Einladung für den Benutzer die Berechtigung des Benutzers für die Workload. Wenn Sie die Workload-Einladung für den Benutzer löschen, wird der Zugriff des Benutzers durch die Workload-Einladung für das AWS-Konto bestimmt. Löschen Sie beide Workload-Einladungen, um den Zugriff des Benutzers auf den Workload zu entfernen.

Bevor Sie eine Workload für eine Organisation oder Organisationseinheiten (OUs) freigeben können, müssen Sie den AWS Organizations-Zugriff aktivieren.

Wenn Sie eine Workload sowohl für eine Organisation als auch für eine oder mehrere Organisationseinheiten freigeben, bestimmt die Workload-Einladung mit den Berechtigungen der höchsten Ebene, welche Berechtigungen das Konto für die Workload hat.