- Produkte›
- Verwaltungstools›
- AWS Organizations›
- Häufig gestellte Fragen
AWS Organizations – Häufig gestellte Fragen
Allgemeines
Was ist AWS Organizations?
AWS Organizations hilft Ihnen dabei, ihre Umgebung zentral zu steuern, während Sie Ihre Workloads auf AWS skalieren. Unabhängig davon, ob Sie ein wachsendes Start-up oder ein großes Unternehmen sind, unterstützt Organizations Sie bei der programmatischen Erstellung neuer Konten und der Zuweisung von Ressourcen, bei der Vereinfachung der Rechnungsstellung durch die Einrichtung einer einzigen Zahlungsmethode für alle Ihre Konten, bei der Erstellung von Kontengruppen zur Organisation Ihrer Arbeitsabläufe und bei der Anwendung von Richtlinien auf diese Gruppen zur Steuerung. Außerdem ist AWS Organizations mit anderen AWS-Services integriert, sodass Sie zentrale Konfigurationen, Sicherheitsmechanismen und die gemeinsame Nutzung von Ressourcen über Konten in Ihrem Unternehmen hinweg definieren können.
Welche zentralen Governance- und Managementfunktionen ermöglichen AWS Organizations?
Mit AWS Organizations können die folgenden Funktionen ausgeführt werden:
- Automatisieren der AWS-Kontoerstellung und -Verwaltung und der Bereitstellung von Ressourcen mit AWS CloudFormation StackSets
- Aufrechterhalten einer sicheren Umgebung mit Richtlinien und der Verwaltung der AWS-Sicherheitsservices
- Zugriff auf AWS-Services, Ressourcen und Regionen festlegen
- Zentrales Verwalten von Richtlinien für mehrere AWS-Konten
- Prüfen der Umgebung auf Compliance
- Anzeigen und Verwalten von Kosten mit der konsolidierten Fakturierung
- Konfigurieren von AWS-Services für mehrere Konten
In welchen AWS-Regionen ist AWS Organizations verfügbar?
AWS Organizations ist in allen AWS Commercial-Regionen, AWS GovCloud (USA)-Regionen und der Region China verfügbar. Die Service-Endpunkte für AWS Organizations befinden sich für kommerzielle Organisationen in USA Ost (Nord-Virginia), für AWS GovCloud (USA)-Organisationen in AWS GovCloud (USA-West) und in der AWS Region China (Ningxia), betrieben von NWCD.
Was sind die ersten Schritte?
Als ersten Schritt müssen Sie festlegen, welches Ihrer AWS-Konten zum Verwaltungskonto (ehemals Master-Konto) werden soll. Sie können entweder ein neues AWS-Konto erstellen oder ein bestehendes auswählen.
- Melden Sie sich als Administrator über das AWS-Konto in der AWS-Managementkonsole an, mit dem Sie Ihre Organisation verwalten möchten.
- Navigieren Sie zur AWS Organizations-Konsole.
- Wählen Sie Organisation erstellen aus.
- Wählen Sie die Funktionen aus, die Sie für Ihre Organisation aktivieren möchten. Entweder alle Funktionen oder ausschließlich Funktionen für die konsolidierte Fakturierung. Die Auswahl aller Funktionen wird empfohlen, wenn Sie alle Vorteile der zentralen Verwaltungsfunktionen von AWS Organizations nutzen möchten.
- Fügen Sie mithilfe einer der folgenden Methoden Ihrer Organisation AWS-Konten hinzu:
- Laden Sie bestehende AWS-Konten zu Ihrer Organisation ein, indem Sie die AWS-Konto-ID oder die damit verbundene E-Mail-Adresse verwenden.
- Erstellen Sie neue AWS-Konten.
- Ordnen Sie die hierarchische Struktur Ihrer Organisation durch Gruppierung Ihres AWS-Kontos in OUs.
- Erstellen Sie Richtlinien (z. B. Service-Kontrollrichtlinien oder Sicherungsrichtlinien) für OUs, Konten oder für die Organisation (nur verfügbar für Organisationen mit allen Funktionen).
- Derzeit mit AWS Organizations integrierte AWS-Services aktivieren.
Sie können außerdem die AWS-Befehlszeilenschnittstelle (für Befehlszeilenzugang) oder SDKs nutzen, um dieselben Schritte für das Erstellen einer neuen Organisation auszuführen.
Hinweis: Sie können die Erstellung einer neuen Organisation nur von einem AWS-Konto aus einleiten, das noch kein Mitglied einer anderen Organisation ist.
Weitere Informationen finden Sie unter Erste Schritte mit AWS Organizations.
AWS Control Tower
Was ist AWS Control Tower?
AWS Control Tower basiert auf AWS-Services wie AWS Organizations und bietet die einfachste Methode zur Einrichtung und Steuerung einer neuen sicheren AWS-Umgebung mit mehreren Konten. Es richtet eine Landing Zone ein, die eine gut strukturierte Umgebung mit mehreren Konten auf Grundlage bewährter Entwürfe darstellt, und ermöglicht die Verwaltung mit Leitplanken Ihrer Wahl. Integritätsschutz umfasst SCPs, RCPs und AWS-Config-Regeln, die die Governance für Sicherheit, Compliance und Betrieb umsetzen.
Was ist der Unterschied zwischen AWS Control Tower und AWS Organizations?
AWS Control Tower bietet eine abstrahierte, automatisierte und vorgegebene Erfahrung als Ergänzung zu AWS Organizations. Es setzt AWS Organizations automatisch als zugrundeliegenden AWS-Service zur Organisation von Konten ein und implementiert präventive Leitplanken unter Verwendung von SCPs und RCPs. Control Tower und Organizations ergänzen sich gut. Sie können Control Tower verwenden, um Ihre Umgebung einzurichten und Leitplanken zu bestimmen. Anschließend können Sie mithilfe von AWS Organizations benutzerdefinierte Richtlinien (wie Tag-Richtlinien, Sicherungsrichtlinien oder SCPs) erstellen, die die Nutzung von AWS-Services und Ressourcen über mehrere AWS-Konten hinweg zentral steuern.
AWS Control Tower verwendet Integritätsschutz. Was ist Integritätsschutz?
Leitplanken sind vorkonfigurierte SCP- und AWS Config-Governance-Regeln für Sicherheit, Betrieb und Compliance, die Kunden auswählen und unternehmensweit oder auf bestimmte Kontengruppen anwenden können. Eine Leitplanke wird in einfacher Sprache ausgedrückt und erzwingt eine spezifische Governance-Richtlinie für Ihre AWS-Umgebung, die innerhalb einer Organisationseinheit (OU) aktiviert werden kann.
Wann sollte ich AWS Control Tower einsetzen?
AWS Control Tower eignet sich für Kunden, die ihre kontenübergreifende AWS-Umgebung mit integrierten bewährten Methoden erstellen oder verwalten möchten. Es bietet eine vordefinierte Anleitung zur umfangreichen Steuerung Ihrer AWS-Umgebung und verleiht Ihnen die Kontrolle über Ihre Umgebung, ohne die Geschwindigkeit und Agilität zu beeinträchtigen, die AWS für Entwickler bereitstellt. Sie profitieren von AWS Control Tower, wenn Sie eine neue AWS-Umgebung einrichten, mit Ihrem Umstieg auf AWS gerade erst beginnen, eine neue Cloud-Initiative starten, noch neu bei AWS sind oder eine bestehende AWS-Umgebung mit mehreren Konten haben.
Kernkonzepte
Was ist eine Organisation?
Eine Organisation ist eine Sammlung von AWS-Konten, die Sie hierarchisch organisieren und zentral verwalten können.
Was ist ein AWS-Konto?
Ein AWS-Konto ist ein Container für Ihre AWS-Ressourcen. In einem AWS-Konto erstellen und verwalten Sie Ihre AWS-Ressourcen, wobei das AWS-Konto die Verwaltungsfunktionen für den Zugriff und die Fakturierung bereitstellt.
Die Verwendung mehrerer AWS-Konten stellt eine bewährte Methode zur Skalierung Ihrer Umgebung dar, da sie eine natürliche Kostengrenze bietet, Ressourcen aus Sicherheitsgründen isoliert, Flexibilität für Einzelpersonen und Teams bietet und zudem auf neue Geschäftsprozesse angepasst werden kann.
Was ist ein Verwaltungskonto (ehemals Master-Konto)?
Das Verwaltungskonto ist das AWS-Konto, das Sie zur Erstellung Ihrer Organisation verwenden. Von einem Verwaltungskonto aus können Sie weitere Konten in Ihrer Organisation erstellen, Einladungen ausstellen und das Ausstellen von Einladungen für andere Konten verwalten, damit diese Ihrer Organisation beitreten können, und Sie können Konten von Ihrer Organisation entfernen. Sie können außerdem Entitäten wie Verwaltungsstämmen, OUs oder Konten innerhalb Ihrer Organisation Richtlinien zuordnen. Letztendlich ist das Verwaltungskonto Besitzer der Organisation und hat die finale Kontrolle über Sicherheits-, Infrastruktur- und Kostenrichtlinien. Das Verwaltungskonto ist das Zahlungskonto. Über dieses Konto werden alle Gebühren beglichen, die für die Konten der zugehörigen Organisation auflaufen. Das einmal festgesetzte Verwaltungskonto Ihrer Organisation können Sie nicht mehr ändern.
Was ist ein Mitgliedskonto?
Ein Mitgliedskonto ist ein AWS-Konto, das Teil einer Organisation ist und entspricht nicht dem Verwaltungskonto. Als Administrator einer Organisation können Sie für diese Organisation Mitgliedskonten erstellen und vorhandene Konten zum Beitritt zur Organisation einladen. Auf Mitgliedskonten können Sie auch Richtlinien anwenden. Ein Mitgliedskonto kann jeweils nur einer Organisation angehören.
Was ist ein Verwaltungsstamm?
Der Verwaltungsstamm gehört zum Verwaltungskonto und ist der Ausgangspunkt für die Organisation Ihrer AWS-Konten. Der Verwaltungsstamm ist der oberste Container in der hierarchischen Struktur Ihrer Organisation. Unter diesem Stamm können Sie OUs so erstellen, dass Ihre Konten logisch gruppiert und diese OUs in jener hierarchischen Struktur organisiert werden, die am besten für Ihr Unternehmen geeignet ist.
Was ist eine Organisationseinheit (OU)?
Eine Organisationseinheit (OU) ist eine Gruppe von AWS-Konten innerhalb einer Organisation. Eine OU kann außerdem andere OUs enthalten, die Ihnen das Erstellen einer Hierarchie ermöglicht. Die Konten einer Abteilung können zum Beispiel in einer Abteilungs-OU zusammengefasst werden. Konten, aus denen Sicherheitsservices ausgeführt werden, können eine Sicherheits-OU bilden. OUs sind hilfreich, wenn Sie einem Teilsatz der Konten Ihrer Organisation die gleichen Kontrollen zuweisen möchten. Das Verschachteln von OUs ermöglicht kleinere Verwaltungseinheiten. Beispielsweise können Sie OEs für jeden Workload anlegen und anschließend zwei verschachtelte OEs in jeder Workload-OE anlegen, um Workloads für die Produktion von der Vorproduktion zu trennen. Diese OUs übernehmen zusätzlich zu den direkt auf Team-Ebene zugewiesenen Kontrollen auch die Richtlinien der übergeordneten OU.
Was ist eine Richtlinie?
Eine Richtlinie ist ein "Dokument" mit einer oder mehreren Aussagen, die die Kontrollen definieren, die Sie auf eine Gruppe von AWS-Konten anwenden möchten. AWS Organizations unterstützt folgende Richtlinien:
- Sicherungsrichtlinien – erfordern AWS-Sicherungen mit einer bestimmten Kadenz
- Tag-Richtlinien – definieren Tag-Schlüssel und zulässige Werte
- Opt-Out-Richtlinien für KI-Services – kontrollieren die Speicherung und Verwendung von Inhalten bei KI-Services
- Service-Kontrollrichtlinien (Service Control Policies, SCPs) – Eine SCP definiert die Aktionen der AWS-Services z. B. Amazon EC2 RunInstances, die für die einzelnen Konten der Organisation verfügbar sind.
Organisieren von AWS-Konten
Kann ich meine Organisation regional definieren und verwalten?
Auf sämtliche Organizations-Entitäten mit Ausnahme von Organisationen, die in China verwaltet werden, kann, wie bei AWS Identity and Access Management (IAM), global zugegriffen werden. Sie müssen keine AWS-Region angeben, wenn Sie Ihre Organisation erstellen und verwalten, aber Sie müssen eine separate Organisation für Konten erstellen, die in China verwendet werden. Die Benutzer Ihrer AWS-Konten können AWS-Services in jeder geografischen Region nutzen, in denen diese Services zur Verfügung stehen.
Kann ich das Verwaltungskonto ändern?
Nein. Sie können das dem Verwaltungskonto zugeordnete AWS-Konto nach der erstmaligen Festlegung nicht mehr ändern. Wählen Sie Ihr Verwaltungskonto daher sorgfältig aus.
Wie füge ich ein AWS-Konto zu meiner Organisation hinzu?
Mit den folgenden beiden Methoden können Sie Ihrer Organisation ein AWS-Konto hinzufügen:
Methode 1: Laden Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation ein.
1. Melden Sie sich als Administrator des Verwaltungskontos an und navigieren Sie zur AWS Organizations-Konsole.
2. Klicken Sie auf die Registerkarte Accounts.
3. Wählen Sie Add account und dann Invite account aus.
4. Geben Sie die E-Mail-Adresse oder die AWS-Konto-ID des Kontos ein, das Sie einladen möchten.
Hinweis: Sie können gleichzeitig auch mehrere AWS-Konten einladen. Dazu geben Sie eine kommagetrennte Liste der E-Mail-Adressen oder AWS-Konto-IDs ein.
Das bestimmte AWS-Konto erhält daraufhin eine E-Mail-Nachricht mit einer Einladung zum Beitritt zu Ihrer Organisation. Ein Administrator des eingeladenen AWS-Kontos muss die Einladung in der AWS Organizations-Konsole, in der AWS-Befehlszeilenschnittstelle oder in der Organizations-API annehmen oder ablehnen. Wenn der Administrator Ihre Einladung annimmt, wird das Konto in der Liste der Mitgliedskonten in Ihrer Organisation sichtbar. Anwendbare Richtlinien, wie beispielsweise SCPs, werden automatisch auf das neu hinzugefügte Konto angewendet. Wenn Ihre Organisation beispielsweise dem Stamm Ihrer Organisation eine SCP zugeordnet hat, wird diese direkt auf die neu zugeordneten Konten angewendet.
Methode 2: Erstellen Sie ein AWS-Konto in Ihrer Organisation
1. Melden Sie sich als Administrator Ihres Verwaltungskontos an und navigieren Sie zur AWS Organizations-Konsole.
2. Klicken Sie auf die Registerkarte Accounts.
3. Wählen Sie Add account und dann Create account aus.
4. Geben Sie einen Namen und eine E-Mail-Adresse für das Konto ein.
Ein Konto kann auch über die AWS SDK oder die AWS-Befehlszeilenschnittstelle erstellt werden. Nach dem Hinzufügen des Kontos können Sie es, unabhängig von der Erstellungsmethode, in eine Organisationseinheit (OU) verschieben. Das neue Konto übernimmt automatisch die der OU zugeordneten Richtlinien.
Kann ein AWS-Konto Mitglied mehrerer Organisationen sein?
Nein. Ein AWS-Konto kann gleichzeitig nur Mitglied einer Organisation sein.
Wie greife ich auf ein AWS-Konto zu, das in meiner Organisation erstellt wurde?
Im Zuge der Erstellung eines AWS-Kontos erstellt AWS Organizations eine IAM-Rolle mit vollständigen Verwaltungsrechten für das neue Konto. IAM-Benutzer und IAM-Rollen mit den entsprechenden Berechtigungen im Master-Konto können die IAM-Rolle annehmen und erhalten so Zugriff auf das neue Konto.
Kann Multi-Factor Authentication (MFA) für ein AWS-Konto, das ich in meiner Organisation erstelle, programmgesteuert eingerichtet werden?
Nein. Dies wird derzeit nicht unterstützt.
Kann ich ein AWS-Konto, das ich in mithilfe von AWS Organizations erstellt habe, in eine andere Organisation verschieben?
Ja. Sie müssen jedoch zunächst das Konto aus Ihrer Organisation entfernen und es zu einem eigenständigen Konto machen (siehe unten). Wenn Sie ein eigenständiges Konto erstellt haben, kann es von einer anderen Organisation eingeladen werden.
Kann ich ein AWS-Konto entfernen, das ich über Organisationen erstellt habe, und es zu einem eigenständigen Konto machen?
Ja. Wenn Sie mit der AWS Organizations-Konsole, der API oder den CLI-Befehlen ein Konto in einer Organisation erstellen, erfasst AWS nicht alle für eigenständige Konten erforderlichen Daten. Für jedes Konto, das eigenständig gemacht werden soll, müssen Sie diese Daten aktualisieren. Hierzu kann Folgendes zählen: Bereitstellen von Kontaktdaten, Bereitstellen einer gültigen Zahlungsmethode und Auswählen einer Option für das Support-Paket. AWS verwendet die Zahlungsmethode, um alle gebührenpflichtigen (nicht aus der kostenlosen AWS-Stufe) AWS-Aktivitäten abzurechnen, die anfallen, während das Konto nicht mit einer Organisation verbunden ist. Weitere Informationen finden Sie unter Entfernen eines Mitgliedskontos aus Ihrer Organisation.
Wie viele AWS-Konten kann ich in meiner Organisation verwalten?
Dies kann variieren. Falls Sie mehr Konten benötigen, öffnen Sie über das AWS Support Center einen Support-Vorgang, um eine Erhöhung zu beantragen.
Wie entferne ich ein AWS-Mitgliedskonto aus einer Organisation?
Sie können das Konto eines Mitglied mit einer der folgenden beiden Methoden entfernen. Möglicherweise müssen Sie weitere Informationen angeben, um ein Konto zu entfernen, das Sie über Organisationen erstellt haben. Wenn ein Konto nicht entfernt werden kann, wechseln Sie zum AWS Support Center und bitten Sie dort um Hilfe beim Entfernen des Kontos.
Methode 1: Entfernen Sie ein eingeladenes Mitgliedskonto durch Anmeldung beim Verwaltungskonto
1. Melden Sie sich als Administrator des Master-Kontos an und navigieren Sie zur AWS Organizations-Konsole.
2. Wählen Sie auf der linken Seite Accounts aus.
3. Wählen Sie das Konto aus, das Sie entfernen möchten, und klicken Sie dann auf Remove account (Konto entfernen).
4. Wenn das Konto über keine gültige Zahlungsmethode verfügt, müssen Sie eine bereitstellen.
Methode 2: Entfernen Sie ein eingeladenes Mitgliedskonto durch Anmeldung beim Mitgliedskonto
1. Melden Sie sich als Administrator des Mitgliedskontos an, das Sie aus der Organisation entfernen möchten.
2. Navigieren Sie zur AWS Organizations-Konsole.
3. Wählen Sie *Organisation verlassen* aus.
4. Wenn das Konto über keine Zahlungsmethode verfügt, müssen Sie eine bereitstellen.
Wie erstelle ich eine Organisationseinheit (OU)?
Führen Sie zur Erstellung einer OU die folgenden Schritte aus:
1. Melden Sie sich als Administrator des Verwaltungskontos an und navigieren Sie zur AWS Organizations-Konsole.
2. Wählen Sie die Registerkarte Konten organisieren.
3. Navigieren Sie in der Hierarchie dorthin, wo Sie die OU erstellen möchten. Sie können sie direkt unter dem Stamm oder innerhalb einer anderen OU erstellen.
4. Wählen Sie Organisationseinheit erstellen aus und geben Sie einen Namen für die OU ein. Der Name muss innerhalb der Organisation eindeutig sein.
Hinweis: Sie können die OU später umbenennen.
Sie können der OU nun AWS-Konten hinzufügen. Zur Erstellung und Verwaltung einer OU können Sie auch die AWS-Befehlszeilenschnittstelle oder die AWS-APIs verwenden.
Wie füge ich ein AWS-Mitgliedskonto zu einer OU hinzu?
Befolgen Sie diese Schritte, um einer OU ein Mitgliedskonto hinzuzufügen:
1. Klicken Sie in der AWS Organizations-Konsole auf die Registerkarte Organize accounts.
2. Wählen Sie das AWS-Konto aus und klicken Sie auf Move account.
3. Wählen Sie im daraufhin angezeigten Dialogfeld die OU aus, in die Sie das AWS-Konto verschieben möchten.
Alternativ können Sie zum Hinzufügen von AWS-Konten zu einer OU auch die AWS-Befehlszeilenschnittstelle oder die AWS-APIs verwenden.
Kann ein AWS-Konto Mitglied mehrerer OUs sein?
Nein. Ein AWS-Konto kann gleichzeitig nur Mitglied einer OU sein.
Kann eine OU Mitglied mehrerer OUs sein?
Nein. Eine OU kann immer nur Mitglied einer OU sein.
Wie viele Ebenen kann ich in meiner OU-Hierarchie haben?
Sie können Ihre OUs auf bis zu fünf Ebenen verschachteln. Mit Stamm- und AWS-Konten, die in den untersten OUs erstellt wurden, kann Ihre Hierarchie fünf Ebenen haben.
Kontrollverwaltung
Auf welcher Ebene meiner Organisation kann ich eine Richtlinie anwenden?
Richtlinien können Sie Ihrem Organisationsstamm (für alle Konten der Organisation), einzelnen OUs (für alle Konten der OU, einschließlich verschachtelter OUs) oder einzelnen Konten zuweisen.
Wie kann ich eine Richtlinie zuordnen?
Eine Richtlinie können Sie auf zwei Weisen zuweisen:
- Navigieren Sie in der AWS Organizations-Konsole an den Ort, dem Sie die Richtlinie zuordnen möchten (Stamm, OU oder Konto), und wählen Sie dann Attach Policy (Richtlinie anfügen) aus.
- Wählen Sie in der Organizations-Konsole die Registerkarte Richtlinien und führen Sie dann einen der folgenden Schritte aus:
Wählen Sie eine vorhandene Richtlinie aus, wählen Sie in der Dropdown-Liste Aktionen die Option Richtlinie anfügen aus und wählen Sie dann den Stamm, die OU oder das Konto aus, dem bzw. der Sie die Richtlinie zuordnen möchten. - Wählen Sie Create Policy (Richtlinie erstellen) aus und wählen Sie anschließend, als Teil des Richtlinienerstellungs-Workflows, den Stamm, die OU oder das Konto aus, dem bzw. der Sie die neue Richtlinie zuordnen möchten.
Weitere Informationen finden Sie unter Verwalten von Richtlinien.
Werden Richtlinien über hierarchische Verbindungen in meiner Organisation übertragen?
Ja. Angenommen, Sie haben Ihre AWS-Konten entsprechend Ihrer Anwendungsentwicklungsstufen in folgende OUs unterteilt: DEV, TEST und PROD. Richtlinie P1 ist dem Organisationsstamm zugewiesen, Richtlinie P2 der OU "DEV" und Richtlinie P3 dem AWS-Konto A1 in der OU "DEV". Bei dieser Konfiguration werden P1, P2 und P3 auf das Konto A1 angewendet.
Weitere Informationen finden Sie unter Zu Service-Kontrollrichtlinien.
Welche Typen von Richtlinien unterstützt AWS Organizations?
Derzeit unterstützt AWS Organizations folgende Richtlinien:
- Sicherungsrichtlinien – erfordern Sicherungen mit einer bestimmten Kadenz unter Verwendung von AWS Backup
- Tag-Richtlinien – definieren Tag-Schlüssel und zulässige Werte
- Opt-Out-Richtlinien für KI-Services – kontrollieren die Speicherung und Verwendung von Inhalten der Organisation bei KI-Services
- Service-Kontrollrichtlinien (Service Control Policies, SCPs) – Mit SCPs können Sie die Aktionen definieren und durchsetzen, die IAM-Benutzer, -Gruppen und -Rollen der Konten ausführen können, denen die SCP zugewiesen ist.
Was ist eine Servicekontrollrichtlinie (SCP)?
Mit Service-Kontrollrichtlinien (SCPs) können Sie festlegen, welche AWS-Service-Aktionen für Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rollen) in den Konten Ihrer Organisation zugänglich sind. Eine SCP ist erforderlich, sie ist jedoch nicht die einzige Kontrolle, die bestimmt, welche Prinzipals in einem Konto auf Ressourcen zugreifen können, um Prinzipals in einem Konto Zugang auf die Ressourcen zu gewähren. Die Aktionen, die ein Prinzipal eines Kontos, dem eine SCP zugewiesen ist, tatsächlich ausführen kann, ergeben sich aus der Schnittmenge der Berechtigungen, die explizit in der SCP zugeteilt sind, und den Berechtigungen, die dem Prinzipal zugeteilt sind. Legt die einem Konto zugewiesene SCP beispielsweise fest, dass nur Amazon EC2-Aktionen ausgeführt werden können, und die Berechtigungen eines Prinzipals des gleichen AWS-Kontos lassen sowohl EC2- als auch Amazon S3-Aktionen zu, so kann der Prinzipal nur EC2-Aktionen ausführen.
Prinzipals eines Mitgliedskontos (einschließlich des Stammbenutzers dieses Mitgliedskontos) können keine SCPs entfernen oder ändern, die diesem Mitgliedskonto zugewiesen sind.
Wie sieht eine SCP aus?
SCPs folgen den gleichen Regeln und der gleichen Grammatik wie IAM-Richtlinien. Informationen zu SCP Syntax finden Sie unterSCP Syntax.. Zum Beispiel SCPs, sieheBeispiel Service-Kontrollrichtlinien.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["EC2:*","S3:*"],
"Resource":"*"
}
]
}
Beispiel für eine Sperrliste
Die folgende SCP erteilt Zugriff auf alle Aktionen der AWS-Services mit Ausnahme der S3-Aktion PutObject. Alle Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) eines Kontos, für das diese SCP gilt, können auf alle Aktionen mit Ausnahme der S3-Aktion PutObject zugreifen, vorausgesetzt sie verfügen selbst über die entsprechenden Berechtigungen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "*:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"S3:PutObject",
"Resource":"*"
}
]
}
Weitere Beispiele finden Sie unter Strategien für die Nutzung von SCPs.
Wenn ich einem AWS-Konto eine leere SCP zuweise, sind dann für dieses AWS-Konto alle Aktionen der AWS-Services erlaubt?
Nein. SCPs weisen das gleiche Verhalten auf wie IAM-Richtlinien. Das bedeutet, dass eine leere IAM-Richtlinie dem standardmäßigen DENY entspricht. Die Anwendung einer leeren SCP auf ein Konto ist gleichbedeutend mit der Anwendung einer Richtlinie, die explizit alle Aktionen verweigert.
Welche Berechtigungen gelten, wenn ich meiner Organisation eine SCP zuweise, meinen Prinzipals gleichzeitig aber auch IAM-Richtlinien zugewiesen sind?
Die geltenden Berechtigungen (Kontostamm, IAM-Benutzer und IAM-Rolle), die einem Prinzipal in einem AWS-Konto mit einer angewendeten SCP gewährt werden, ergeben sich aus der Schnittmenge der Berechtigungen, die in der SCP zugeteilt sind, und den Berechtigungen, die dem Prinzipal durch die IAM-Berechtigungsrichtlinien zugeteilt sind. Wenn ein IAM-Benutzer beispielsweise "Allow": "ec2:* " und "Allow": "sqs:* " hat, und die dem Konto zugeordnete SCP "Allow": "ec2:* " und "Allow": "s3:* " hat, lautet die daraus resultierende Erlaubnis für den IAM-Benutzer "Allow": "ec2:* " Der Prinzipal kann keine Amazon SQS- (durch die SCP nicht erlaubt) oder S3-Aktionen (durch die IAM-Richtlinie nicht erlaubt) durchführen.
Kann ich die Auswirkung einer SCP auf ein AWS-Konto simulieren?
Ja. Der IAM-Richtliniensimulator kann die Auswirkungen von SCPs enthalten. In einem Mitgliedskonto Ihrer Organisation verwendet, simuliert der Richtliniensimulator die Auswirkung auf einzelne Prinzipals des Kontos. Ein Administrator in einem Mitgliedskonto mit entsprechenden AWS Organizations-Berechtigungen kann sehen, ob sich eine SCP auf den Zugang für die Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) in Ihrem Mitgliedskonto auswirkt.
Weitere Informationen finden Sie unter Service-Kontrollrichtlinien.
Kann ich eine Organisation auch ohne Durchsetzung einer SCP erstellen und verwalten?
Ja. Es ist Ihre Entscheidung, welche Richtlinien Sie durchsetzen möchten. Sie können beispielsweise eine Organisation erstellen, für die Sie nur die Funktion der konsolidierten Fakturierung nutzen. Der Vorteil ist ein gemeinsames Zahlungskonto für alle Konten Ihrer Organisation mit entsprechend gestaffelten Preisnachlässen.
Was ist eine Resource Control Policy (RCP)?
RCP ist eine Richtlinie von AWS Organizations, mit der Sie präventive Kontrollen für AWS-Ressourcen in Ihrer Organisation definieren und durchsetzen können. Mithilfe von RCPs können Sie zentral die maximal verfügbaren Berechtigungen für Ihre AWS-Ressourcen festlegen, während Sie Ihre Workloads auf AWS skalieren. Ein RCP kann beispielsweise dazu beitragen, den Zugriff auf Ihre Ressourcen so einzuschränken, dass nur Identitäten darauf zugreifen können, die zu Ihrer Organisation gehören, oder die Bedingungen festzulegen, unter denen Identitäten außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können.
Wie sieht eine RCP aus?
Beispiele für RCPs finden Sie auf den Dokumentationsseiten. Zu den allgemeinen Beispielen für RCPs gehören:
Wann sollten SCPs im Vergleich zu RCPs verwendet werden?
SCPs und RCPs sind unabhängig voneinander. Sie können wählen, ob Sie nur SCPs oder RCPs aktivieren oder beide Richtlinientypen zusammen verwenden möchten. SCPs gewähren IAM-Benutzern und -Rollen in Ihren Mitgliedskonten maximal verfügbare Berechtigungen. Sie können eine SCP verwenden, wenn Sie konsistente Zugriffskontrollen für Prinzipale in Ihrer Organisation zentral durchsetzen möchten. Dies kann die Angabe beinhalten, auf welche AWS-Services Ihre Benutzer und Rollen zugreifen können, auf welche Ressourcen sie zugreifen können oder unter welchen Bedingungen sie Anfragen stellen können (z. B. aus bestimmten Regionen oder Netzwerken). RCPs ermöglichen es, die maximal verfügbaren Berechtigungen für Ressourcen in einer Organisation einzuschränken. Sie können eine RCP verwenden, wenn Sie konsistente Zugriffskontrollen für Ressourcen in Ihrer Organisation zentral durchsetzen möchten. Sie können beispielsweise einschränken, wer über Zugriffsberechtigungen auf Ihre Ressourcen verfügt, oder Anforderungen für den Zugriff auf Ihre Ressourcen durchsetzen (z. B. nur den Zugriff über verschlüsselte Verbindungen über HTTPS zulassen). Sie können Kontrollen angeben, die für Ressourcen von AWS-Services gelten, die RCPs unterstützen (z. B. alle S3-Buckets).
Fakturierung
Was kostet AWS Organizations?
AWS Organizations wird ohne Aufpreis angeboten.
Wer kommt für die Nutzungskosten auf, die für die Benutzer eines AWS-Mitgliedskontos meiner Organisation anfallen?
Der Besitzer des Verwaltungskontos ist für die Nutzung wie auch sämtliche Daten und Ressourcen der Konten seiner Organisation verantwortlich.
Spiegelt meine Rechnung die OU-Struktur meiner Organisation wider?
Nein. Derzeit gibt Ihre Rechnung die in Ihrer Organisation definierte Struktur noch nicht wieder. Allerdings können Sie Ihre AWS-Kosten mit Tags für die Kostenzuordnung, die Sie Ihren AWS-Konten hinzufügen, kategorisieren und verfolgen. Diese Zuordnung ist dann auch in der konsolidierten Rechnung für Ihre Organisation enthalten.
Integrierte AWS-Services
Warum sollte ich einen AWS-Service aktivieren, der in AWS Organizations integriert ist?
Die AWS-Services haben sich mit den AWS Organizations integriert, um den Kunden eine zentralisierte Verwaltung und Konfiguration über alle Konten hinweg in ihren Organisationen zu ermöglichen. Auf diese Weise können Sie Services über Ihre Konten hinweg von einem einzigen Ort aus verwalten und die Bereitstellung und Konfiguration vereinfachen.
Welche AWS-Services sind derzeit mit AWS Organizations integriert?
Eine Liste der mit AWS Organizations integrierten AWS-Services finden Sie unter AWS-Services, die Sie mit AWS Organizations verwenden können.
Wie kann ich eine Integration von AWS-Service aktivieren?
Um mit der Verwendung eines in die AWS Organization integrierten AWS-Services zu beginnen, navigieren Sie in der AWS-Managementkonsole zu diesem Service und aktivieren Sie die Integration.