Erste Schritte mit AWS Organizations

Probieren Sie AWS Organizations aus

AWS Organizations steht allen AWS Kunden ohne Zusatzkosten zur Verfügung.

F: Was ist AWS Organizations?

AWS Organizations bietet richtlinienbasierte Verwaltung für mehrere AWS-Konten. Mit Organizations können Sie Kontengruppen erstellen und anschließend Richtlinien für diese Gruppen anwenden. Organizations ermöglicht Ihnen die zentrale Verwaltung von Richtlinien für mehrere Konten, ohne benutzerdefinierte Skripts und manuelle Prozesse zu erfordern.

F: Welche Verwaltungsaktionen können mit AWS-Organizations ausgeführt werden?

Mit AWS-Organizations können die folgenden Verwaltungsaktionen ausgeführt werden:

  • Ein AWS-Konto erstellen und Ihrer Organisation hinzufügen oder ein vorhandenes AWS-Konto zu Ihrer Organisation hinzufügen
  • Organisieren Sie Ihre AWS-Konten in Gruppen; diese werden als Organizational Units (OUs, Organisationseinheiten) bezeichnet.
  • Organisieren Sie Ihre OUs entsprechend der hierarchischen Struktur Ihres Unternehmens.
  • Verwalten Sie Richtlinien zentral und weisen Sie diese der gesamten Organisation, OUs oder einzelnen AWS-Konten zu.

F: Welche Kontrollen lässt AWS-Organizations in dieser Version zu?

In dieser Version können Sie die Aktionen der AWS-Services (z. B. Amazon EC2 RunInstance) definieren und durchsetzen, die für die einzelnen AWS-Konten Ihrer Organisation verfügbar sind.

F: Muss ich eine Migration meiner konsolidierten Fakturierungsfamilie auf AWS Organizations ausführen?

Nein, AWS migriert automatisch konsolidierte Fakturierungsfamilien zu AWS Organizations, wobei nur konsolidierte Fakturierungsfunktionen aktiviert werden.

F: Was sind die ersten Schritte?

Als ersten Schritt müssen Sie aus Ihren AWS-Konten einMaster-Konto bestimmen. Wenn Sie über eine konsolidierte Fakturierungsfamilie verfügen, haben wir Ihr AWS-Zahlungskonto für konsolidierte Fakturierung bereits zum Master-Konto umgeändert. Wenn Sie über keine konsolidierte Fakturierungsfamilie verfügen, können Sie entweder ein neues AWS-Konto erstellen oder ein bestehendes auswählen.

Schritte für Kunden mit konsolidierter Fakturierung

  1. Navigieren Sie zur Konsole für konsolidierte Fakturierung. AWS leitet Sie zur neuen AWS Organizations-Konsole weiter.
  2. AWS hat Ihre konsolidierte Fakturierungsfamilie automatisch umgewandelt, sodass Sie die Vorteile der neuen organisatorischen Möglichkeiten nutzen können.
Schritte für Kunden ohne konsolidierte Abrechnung
 
Sie müssen eine neue Organisation erstellen, indem Sie diese Schritte befolgen:
 
  1. Melden Sie sich als Administrator über das AWS-Konto in der AWS Management Console an, mit dem Sie Ihre Organisation verwalten möchten.
  2. Navigieren Sie zur AWS Organizations-Konsole.
  3. Wählen Sie Create Organization aus.
  4. Wählen Sie die Funktionen aus, die Sie für Ihre Organisation aktivieren möchten. Entweder nur Funktionen für die konsolidierte Fakturierung oder alle Funktionen.
  5. Fügen Sie mithilfe einer der folgenden Methoden Ihrer Organisation AWS-Konten hinzu:
    1. Laden Sie bestehende AWS-Konten zu Ihrer Organisation ein, indem Sie ihre AWS-Konto-ID oder die damit verbundene E-Mail-Adresse verwenden.
    2. Erstellen Sie neue AWS-Konten.
  6. Ordnen Sie die hierarchische Struktur Ihrer Organisation durch Gruppierung Ihres AWS-Kontos in OUs.
  7. Wenn Sie sich dafür entschließen, alle Funktionen für Ihre Organisation zu aktivieren, können Sie für diese OUs Kontrollen erstellen und sie ihnen zuweisen.

Sie können außerdem die AWS-Befehlszeilenschnittstelle (für Befehlszeilenzugang) oder SDKs (für programmgesteuerten Zugriff) nutzen, um dieselben Schritte für das Erstellen einer neuen Organisation auszuführen.

Hinweis: Sie können die Erstellung einer neuen Organisation nur von einem AWS-Konto aus einleiten, das noch kein Mitglied einer anderen Organisation ist.
 
Für weitere Informationen siehe Erste Schritte mit AWS Organizations.

F: Was ist eine Organisation?

Eine Organisation ist eine Sammlung von AWS-Konten, die Sie hierarchisch organisieren und zentral verwalten können.

F: Was ist ein AWS-Konto?

Ein AWS-Konto ist ein Container für Ihre AWS-Ressourcen. In einem AWS-Konto erstellen und verwalten Sie Ihre AWS-Ressourcen, wobei das AWS-Konto die Verwaltungsfunktionen für den Zugriff und die Fakturierung bereitstellt.

F: Was ist ein Master-Konto?

Das Master-Konto ist das AWS-Konto, das Sie zur Erstellung Ihrer Organisation verwenden. Von einem Master-Konto aus können Sie weitere Konten in Ihrer Organisation erstellen, Einladungen ausstellen und das Ausstellen von Einladungen für andere Konten verwalten, damit diese Ihrer Organisation beitreten können, und Sie können Konten von Ihrer Organisation entfernen. Sie können außerdem Entitäten wie Verwaltungsstämmen, OUs oder Konten innerhalb Ihrer Organisation Richtlinien zuordnen. Das Master-Konto ist das Zahlungskonto. Über dieses Konto werden alle Gebühren beglichen, die für die Konten der zugehörigen Organisation auflaufen. Das einmal festgesetzte Master-Konto Ihrer Organisation können Sie nicht mehr ändern.

F: Was ist ein Mitgliedskonto?

Ein Mitgliedskonto ist ein AWS-Konto – nicht das Master-Konto – das Teil einer Organisation ist. Als Administrator einer Organisation können Sie für diese Organisation Mitgliedskonten erstellen und vorhandene Konten zum Beitritt zur Organisation einladen. Auf Mitgliedskonten können Sie auch Richtlinien anwenden. Ein Mitgliedskonto kann gleichzeitig immer nur einer Organisation zugeordnet sein.

F: Was ist ein Verwaltungsstamm?

Der Verwaltungsstamm ist der Ausgangspunkt für die Organisation Ihrer AWS-Konten. Der Verwaltungsstamm ist der oberste Container in der hierarchischen Struktur Ihrer Organisation. Unter diesem Stamm können Sie OUs so erstellen, dass Ihre Konten logisch gruppiert und diese OUs in jener hierarchischen Struktur organisiert werden, die am besten für Ihr Unternehmen geeignet ist.

F: Was ist eine Organisationseinheit (OU)?

Eine Organisationseinheit (OU) ist eine Gruppe von AWS-Konten innerhalb einer Organisation. Eine OU kann außerdem andere OUs enthalten, die Ihnen das Erstellen einer Hierarchie ermöglicht. Die Konten einer Abteilung können zum Beispiel in einer Abteilungs-OU zusammengefasst werden. Konten, aus denen Produktionsservices ausgeführt werden, können eine Produktions-OU bilden. OUs sind hilfreich, wenn Sie einem Teilsatz der Konten Ihrer Organisation die gleichen Kontrollen zuweisen möchten. Das Verschachteln von OUs ermöglicht kleinere Verwaltungseinheiten. In einer Abteilungs-OU können beispielsweise die Konten einzelner Teams in OUs auf Teamebene zusammengefasst werden. Diese OUs übernehmen zusätzlich zu den direkt auf Team-Ebene zugewiesenen Kontrollen auch die Richtlinien der übergeordneten OU.

F: Was ist eine Richtlinie?

Eine Richtlinie ist ein "Dokument" mit einer oder mehreren Aussagen, die die Kontrollen definieren, die Sie auf eine Gruppe von AWS-Konten anwenden möchten. In dieser Version unterstützt AWS Organizations eine bestimmte Art von Richtlinien, diese heißt Service Control Policy (SCP, Servicekontrollrichtlinie). Eine SCP definiert die Aktionen der AWS-Services z. B. EC2 RunInstances, die für die einzelnen Konten der Organisation verfügbar sind.


F: Kann ich meine Organisation regional definieren und verwalten?

Nein. Auf sämtliche Organizations-Entitäten kann, wie bei AWS Identity und Access Management (IAM), global zugegriffen werden. Sie brauchen bei der Erstellung und Verwaltung Ihrer Organisationen keine Region anzugeben. Die Benutzer Ihrer AWS-Konten können AWS-Services in jeder geografischen Region nutzen, in denen diese Services zur Verfügung stehen.

F: Kann ich das Master-Konto ändern?

Nein. Sie können das dem Master-Konto zugeordnete AWS-Konto nach der erstmaligen Festlegung nicht mehr ändern. Wählen Sie Ihr Master-Konto daher sorgfältig aus.

F: Wie füge ich ein AWS-Konto zu meiner Organisation hinzu?

Mit den folgenden beiden Methoden können Sie Ihrer Organisation ein AWS-Konto hinzufügen:

Methode 1: Laden Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation ein.

  1. Melden Sie sich als Administrator des Master-Kontos an und navigieren Sie zur AWS Organizations-Konsole.
  2. Klicken Sie auf die Registerkarte Accounts.
  3. Wählen Sie Add account und dann Invite account aus.
  4. Geben Sie die E-Mail-Adresse oder die AWS-Konto-ID des Kontos ein, das Sie einladen möchten.

Hinweis: Sie können gleichzeitig auch mehrere AWS-Konten einladen. Dazu geben Sie eine kommagetrennte Liste der E-Mail-Adressen oder AWS-Konto-IDs ein.

Das bestimmte AWS-Konto erhält daraufhin eine E-Mail-Nachricht mit einer Einladung zum Beitritt zu Ihrer Organisation. Ein Administrator des eingeladenen AWS-Kontos muss die Einladung in der AWS Organizations-Konsole, in der AWS-Befehlszeilenschnittstelle oder in der Organizations-API annehmen oder ablehnen. Wenn der Administrator Ihre Einladung annimmt, wird das Konto in der Liste der Mitgliedskonten in Ihrer Organisation sichtbar. Anwendbare Richtlinien, wie beispielsweise SCPs, werden automatisch auf das neu hinzugefügte Konto angewendet. Wenn Ihre Organisation beispielsweise dem Stamm Ihrer Organisation eine SCP zugeordnet hat, wird diese direkt auf die neu zugeordneten Konten angewendet.

Methode 2: Erstellen Sie ein AWS-Konto in Ihrer Organisation

  1. Melden Sie sich als Administrator des Master-Kontos an und navigieren Sie zur AWS Organizations-Konsole.
  2. Klicken Sie auf die Registerkarte Accounts.
  3. Wählen Sie Add account und dann Create account aus.
  4. Geben Sie einen Namen und eine E-Mail-Adresse für das Konto ein.

Ein Konto kann auch über die AWS SDK oder die AWS-Befehlszeilenschnittstelle erstellt werden. Nach dem Hinzufügen des Kontos können Sie es, unabhängig von der Erstellungsmethode, in eine Organisationseinheit (OU) verschieben. Das neue Konto übernimmt automatisch die der OU zugeordneten Richtlinien.

F: Kann ein AWS-Konto Mitglied mehrerer Organisationen sein?

Nein. Ein AWS-Konto kann gleichzeitig nur Mitglied einer Organisation sein.

F: Wie greife ich auf ein AWS-Konto zu, das in meiner Organisation erstellt wurde?

Im Zuge der Erstellung eines AWS-Kontos erstellt AWS Organizations eine IAM-Rolle mit vollständigen Verwaltungsrechten für das neue Konto. IAM-Benutzer und IAM-Rollen mit den entsprechenden Berechtigungen im Master-Konto können die IAM-Rolle annehmen und erhalten so Zugriff auf das neue Konto.

F: Kann MFA für ein AWS-Konto, das ich in meiner Organisation erstelle, programmgesteuert eingerichtet werden?

Nein. Dies wird derzeit nicht unterstützt.

F: Kann ich ein AWS-Konto, das ich in mithilfe von AWS Organizations erstellt habe, in eine andere Organisation verschieben?

Nein. Dies wird derzeit nicht unterstützt.

F:  Kann ich ein AWS-Konto entfernen, das ich über Organisationen erstellt habe, und es zu einem eigenständigen Konto machen?

Ja. Wenn Sie jedoch über die AWS-Organisationskonsole, API- oder CLI-Befehle ein Konto in einer Organisation erstellt haben, werden die für eigenständige Konten erforderlichen Informationen nicht automatisch erfasst. Sie müssen für jedes Konto, das Sie als eigenständig einrichten möchten, die AWS-Kundenvereinbarung akzeptieren, einen Support-Plan wählen, die erforderlichen Kontaktinformationen angeben und verifizieren sowie eine aktuelle Zahlungsmethode angeben. AWS verwendet die Zahlungsmethode, um alle gebührenpflichtigen (nicht aus der kostenlosen AWS-Stufe) AWS-Aktivitäten abzurechnen, die anfallen, während das Konto nicht mit einer Organisation verbunden ist. Weitere Informationen finden Sie im Abschnitt Verlassen einer Organisation, wenn noch nicht alle erforderlichen Kontoinformation eingegeben wurden (Konsole).

F: Wie viele AWS-Konten kann ich in meiner Organisation verwalten?

Dies kann variieren. Falls Sie mehr Konten benötigen, öffnen Sie über das AWS Support Center einen Support-Vorgang, um eine Erhöhung zu beantragen.

F: Wie entferne ich ein AWS-Mitgliedskonto aus einer Organisation?

Sie können das Konto eines Mitglied mit einer der folgenden beiden Methoden entfernen. Möglicherweise müssen Sie weitere Informationen angeben, um ein Konto zu entfernen, das Sie über Organisationen erstellt haben. Wenn ein Konto nicht entfernt werden kann, wechseln Sie zum AWS-Support Center, und bitten Sie dort um Hilfe beim Entfernen eines Kontos.

Methode 1: Entfernen Sie ein eingeladenes Mitgliedskonto durch Anmeldung beim Master-Konto

  1. Melden Sie sich als Administrator des Master-Kontos an und navigieren Sie zur AWS Organizations-Konsole.
  2. Wählen Sie auf der linken Seite Accounts aus.
  3. Wählen Sie das Konto aus, das Sie entfernen möchten, und klicken Sie dann auf Remove account.
  4. Wenn das Konto über keine gültige Zahlungsmethode verfügt, müssen Sie eine bereitstellen.

Methode 2: Entfernen Sie ein eingeladenes Mitgliedskonto durch Anmeldung beim Mitgliedskonto

  1. Melden Sie sich als Administrator des Mitgliedskontos an, das Sie aus der Organisation entfernen möchten.
  2. Navigieren Sie zur AWS Organizations-Konsole.
  3. Wählen Sie Leave organization aus.
  4. Wenn das Konto über keine Zahlungsmethode verfügt, müssen Sie eine bereitstellen.

F: Wie erstelle ich eine Organisationseinheit (OU)?

Führen Sie zur Erstellung einer OU die folgenden Schritte aus:

  1. Melden Sie sich als Administrator des Master-Kontos an und navigieren Sie zur AWS Organizations-Konsole.
  2. Klicken Sie auf die Registerkarte Organize accounts.
  3. Navigieren Sie in der Hierarchie dorthin, wo Sie die OU erstellen möchten. Sie können sie direkt unter dem Stamm oder innerhalb einer anderen OU erstellen.
  4. Wählen Sie Create organizational unit aus und geben Sie einen Namen für die OU ein. Der Name muss innerhalb der Organisation eindeutig sein.

Hinweis: Sie können die OU später umbenennen.

Sie können der OU nun AWS-Konten hinzufügen. Zur Erstellung und Verwaltung einer OU können Sie auch die AWS-Befehlszeilenschnittstelle oder die AWS-APIs verwenden.

F: Wie füge ich ein AWS-Mitgliedskonto zu einer OU hinzu?

Befolgen Sie diese Schritte, um einer OU ein Mitgliedskonto hinzuzufügen:

  1. Klicken Sie in der AWS Organizations-Konsole auf die Registerkarte Organize accounts.
  2. Wählen Sie das AWS-Konto aus und klicken Sie auf Move account.
  3. Wählen Sie im daraufhin angezeigten Dialogfeld die OU aus, in die Sie das AWS-Konto verschieben möchten.

Alternativ können Sie zum Hinzufügen von AWS-Konten zu einer OU auch die AWS-Befehlszeilenschnittstelle oder die AWS-APIs verwenden.

F: Kann ein AWS-Konto Mitglied mehrerer OUs sein?

Nein. Ein AWS-Konto kann gleichzeitig nur Mitglied einer OU sein.

F: Kann eine OU Mitglied mehrerer OUs sein?

Nein. Eine OU kann immer nur Mitglied einer OU sein.

F: Wie viele Ebenen kann ich in meiner OU-Hierarchie haben?

Sie können Ihre OUs auf bis zu fünf Ebenen verschachteln. Mit Stamm- und AWS-Konten, die in den untersten OUs erstellt wurden, kann Ihre Hierarchie fünf Ebenen haben.


F: Wie steuere ich, wer meine Organisation verwaltet?

Wer Ihre Organisation und deren Ressourcen verwalten kann, steuern Sie auf die gleiche Weise, wie Sie den Zugriff auf Ihre anderen AWS-Ressourcen verwalten: Sie weisen IAM-Benutzern, -Gruppen oder -Rollen im Master-Konto IAM-Richtlinien zu. Mit IAM-Richtlinien können Sie Folgendes steuern:

  • Erstellen einer Organisation, Organisationseinheit (OU) oder eines AWS-Kontos.
  • Das Hinzufügen, Verschieben und Entfernen von AWS-Konten in Ihrer Organisation und in Ihren OUs.
  • Erstellen von Richtlinien und deren Zuordnung zum Stamm Ihrer Organisation, OUs und individuellen Konten.

F: Warum wird in jedem Konto, das ich mit AWS Organizations erstelle, eine IAM-Rolle definiert?

Mithilfe dieser Rolle können Benutzer im Master-Konto auf ein neues Mitgliedskonto zugreifen. Ein neues Mitgliedskonto hat zunächst keine Benutzer oder Kennwörter und ist nur mithilfe dieser Rolle zugänglich. Wenn Sie die Rolle zum Zugriff auf das Mitgliedskonto verwendet und mindestens einen IAM-Benutzer mit Administratorberechtigungen darin erstellt haben, können Sie die Rolle auf Wunsch sicher löschen. Weitere Informationen über IAM-Rollen und Benutzer finden Sie unter Zugriff auf ein Mitgliedskonto mit Master-Kontozugriffsrolle.

F: Kann ich IAM-Benutzern beliebiger AWS-Mitgliedskonten meiner Organisation die Berechtigung erteilen, meine Organisation zu verwalten?

Ja. Wenn Sie IAM-Benutzern eines Mitgliedskontos die Berechtigung erteilen möchten, Ihre gesamte Organisation oder Teile davon zu verwalten, können Sie IAM-Rollen verwenden. Sie können eine Rolle mit den entsprechenden Berechtigungen im Master-Konto erstellen und Benutzern oder Rollen des Mitgliedskontos erlauben, die neue Rolle anzunehmen. Dies ist die gleiche kontenübergreifende Methode, die Sie verwenden, um einem IAM-Benutzer eines Kontos Zugriff auf eine Ressource (z. B. eine Amazon DynamoDB-Tabelle) in einem anderen Konto zu gewähren.

F: Kann sich ein IAM-Benutzer eines Mitgliedskontos bei meiner Organisation anmelden?

Nein. IAM-Benutzer können sich nur bei dem ihnen zugewiesenen Mitgliedskonto in Ihrer Organisation anmelden.

F: Kann sich ein IAM-Benutzer einer OU bei meiner Organisation anmelden?

Nein. IAM-Benutzer können sich nur bei dem ihnen zugewiesenen AWS-Konto in Ihrer Organisation anmelden.

F: Kann ich steuern, wer in meinem AWS-Konto Einladungen zum Beitritt zu einer Organisation annehmen darf?

Ja. Mit IAM-Berechtigungen können Sie festlegen, welche Benutzer Ihres Kontos Einladungen zum Beitritt zu einer Organisation annehmen oder ablehnen dürfen. Die folgende Richtlinie erteilt das Recht zum Anzeigen und Verwalten von Einladungen in einem AWS-Konto:

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                 "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}


F: Auf welcher Ebene meiner Organisation kann ich eine Richtlinie anwenden?

Richtlinien können Sie Ihrem Organisationsstamm (für alle Konten der Organisation), einzelnen OUs (für alle Konten der OU, einschließlich verschachtelter OUs) oder einzelnen Konten zuweisen.

F: Wie kann ich eine Richtlinie zuordnen?

Eine Richtlinie können Sie auf zwei Weisen zuweisen:

  • Navigieren Sie in der AWS Organizations-Konsole an den Ort, dem Sie die Richtlinie zuordnen möchten (Stamm, OU oder Konto), und wählen Sie dann Attach Policy aus.
  • Wählen Sie in der Organizations-Konsole die Registerkarte Policies und führen Sie dann einen der folgenden Schritte aus:
    • Wählen Sie eine vorhandene Richtlinie aus, wählen Sie in der Dropdown-Liste Actions die Option Attach Policy aus und wählen Sie dann den Stamm, die OU oder das Konto aus, dem bzw. der Sie die Richtlinie zuordnen möchten.
    • Wählen Sie Create Policy aus und wählen Sie anschließend, als Teil des Richtlinienerstellungs-Workflows, den Stamm, die OU oder das Konto aus, dem bzw. der Sie die neue Richtlinie zuordnen möchten.

Für weitere Informationen siehe Verwalten von Richtlinien

F: Werden Richtlinien über hierarchische Verbindungen in meiner Organisation übertragen?

Ja. Angenommen, Sie haben Ihre AWS-Konten entsprechend Ihrer Anwendungsentwicklungsstufen in folgende OUs unterteilt: DEV, TEST und PROD. Richtlinie P1 ist dem Organisationsstamm zugewiesen, Richtlinie P2 der OU "DEV" und Richtlinie P3 dem AWS-Konto A1 in der OU "DEV". Bei dieser Konfiguration werden P1, P2 und P3 auf das Konto A1 angewendet.

Für weitere Informationen sieheZu Servicekontrollrichtlinien.

F: Welche Typen von Richtlinien unterstützt AWS Organizations?

Derzeit unterstützt AWS Organizations nur Servicekontrollrichtlinien (SCPs). Mit SCPs können Sie die Aktionen definieren und durchsetzen, die IAM-Benutzer, -Gruppen und -Rollen der Konten ausführen können, denen die SCP zugewiesen ist.

F: Was ist eine Servicekontrollrichtlinie (SCP)?

Mit Servicekontrollrichtlinien (SCPs) können Sie festlegen, welche AWS-Service-Aktionen für Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rollen) in den Konten Ihrer Organisation zugänglich sind. Eine SCP ist erforderlich, sie ist jedoch nicht die einzige Kontrolle, die bestimmt, welche Prinzipals in einem Konto auf Ressourcen zugreifen können, um Prinzipals in einem Konto Zugang auf die Ressourcen zu gewähren. Die Aktionen, die ein Prinzipal eines Kontos, dem eine SCP zugewiesen ist, tatsächlich ausführen kann, ergeben sich aus der Schnittmenge der Berechtigungen, die explizit in der SCP zugeteilt sind, und den Berechtigungen, die dem Prinzipal zugeteilt sind. Legt die einem Konto zugewiesene SCP beispielsweise fest, dass nur Amazon EC2-Aktionen ausgeführt werden können, und die Berechtigungen eines Prinzipals des gleichen AWS-Kontos lassen sowohl Amazon EC2- als auch S3-Aktionen zu, so kann der Prinzipal nur EC2-Aktionen ausführen.

Prinzipals eines Mitgliedskontos (einschließlich des Stammbenutzers dieses Mitgliedskontos) können keine SCPs entfernen oder ändern, die diesem Mitgliedskonto zugewiesen sind.

F: Wie sieht eine SCP aus?

SCPs folgen denselben Regeln und derselben Grammatik wie IAM-Richtlinien, sie können jedoch keine Bedingungen festlegen und der Ressourcenabschnitt muss gleich “*” sein. Mit einer SCP können Sie den Zugriff auf Aktionen der AWS-Services zulassen oder verweigern.

Beispiel für eine Whitelist

Die folgende SCP erteilt dem AWS-Konto Zugriff auf alle EC2- und S3-Aktionen der AWS-Services. Unabhängig von den IAM-Richtlinien, die den Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) eines Kontos, für das diese SCP gilt, direkt zugewiesen sind, können die Prinzipals auf keine anderen Aktionen zugreifen. Diese IAM-Richtlinien müssen explizit EC2 oder S3-Service-Aktionen und den Zugang für die Prinzipals dazu gewähren.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

Beispiel für eine Sperrliste

Die folgende SCP erteilt Zugriff auf alle Aktionen der AWS-Services mit Ausnahme der S3-Aktion PutObject. Alle Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) eines Kontos, für das diese SCP gilt, können auf alle Aktionen mit Ausnahme der S3-Aktion PutObject zugreifen, vorausgesetzt sie verfügen selbst über die entsprechenden Berechtigungen.

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect": "Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

Für weitere Beispiele sieheStrategien für die Nutzung von SCPs

F: Wenn ich einem AWS-Konto eine leere SCP zuweise, sind dann für dieses AWS-Konto alle Aktionen der AWS-Services erlaubt?

Nein. SCPs weisen das gleiche Verhalten auf wie IAM-Richtlinien. Das bedeutet, dass eine leere IAM-Richtlinie dem standardmäßigen DENY entspricht. Die Anwendung einer leeren SCP auf ein Konto ist gleichbedeutend mit der Anwendung einer Richtlinie, die explizit alle Aktionen verweigert.

F: Kann ich in einer SCP Ressourcen und Prinzipals angeben?

Nein. In der aktuellen Version können Sie in einer SCP nur AWS-Services und -Aktionen angeben. Ressourcen und Prinzipals können Sie in IAM-Berechtigungsrichtlinien eines AWS-Kontos angeben. Für weitere Details sieheServicekontrollrichtliniensyntax.

F: Welche Berechtigungen gelten, wenn ich meiner Organisation eine SCP zuweise, meinen Prinzipals gleichzeitig aber auch IAM-Richtlinien zugewiesen sind?

Die geltenden Berechtigungen (Kontostamm, IAM-Benutzer und IAM-Rolle), die einem Prinzipal in einem AWS-Konto mit einer angewendeten SCP gewährt werden, ergeben sich aus der Schnittmenge der Berechtigungen, die in der SCP zugeteilt sind, und den Berechtigungen, die dem Prinzipal durch die IAM-Berechtigungsrichtlinien zugeteilt sind. Wenn ein IAM-Benutzer beispielsweise "Allow": "ec2:* " und "Allow": "sqs:* " hat, und die dem Konto zugeordnete SCP "Allow": "ec2:* " und "Allow": "s3:* " hat, lautet die daraus resultierende Erlaubnis für den IAM-Benutzer "Allow": "ec2:* " Der Prinzipal kann keine Amazon SQS- (durch die SCP nicht erlaubt) oder S3-Aktionen (durch die IAM-Richtlinie nicht erlaubt) durchführen.

F: Kann ich die Auswirkung einer SCP auf ein AWS-Konto simulieren?

Ja. Der IAM-Richtliniensimulator kann die Auswirkungen von SCPs enthalten. In einem Mitgliedskonto Ihrer Organisation verwendet, simuliert der Richtliniensimulator die Auswirkung auf einzelne Prinzipals des Kontos. Ein Administrator in einem Mitgliedskonto mit entsprechenden AWS Organizations-Berechtigungen kann sehen, ob sich eine SCP auf den Zugang für die Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) in Ihrem Mitgliedskonto auswirkt.

Für weitere Informationen sieheServicekontrollrichtlinien.

F: Kann ich eine Organisation auch ohne Durchsetzung einer SCP erstellen und verwalten?

Ja. Es ist Ihre Entscheidung, welche Richtlinien Sie durchsetzen möchten. Sie können beispielsweise eine Organisation erstellen, für die Sie nur die Funktion der konsolidierten Fakturierung nutzen. Der Vorteil ist ein gemeinsames Zahlungskonto für alle Konten Ihrer Organisation mit entsprechend gestaffelten Preisnachlässen.


F: Was kostet AWS Organizations?

AWS Organizations wird ohne Aufpreis angeboten.

F: Wer kommt für die Nutzungskosten auf, die für die Benutzer eines AWS-Mitgliedskontos meiner Organisation anfallen?

Der Eigentümer des Master-Kontos ist für die Nutzung wie auch sämtliche Daten und Ressourcen der Konten seiner Organisation verantwortlich.

F: Worin unterscheidet sich AWS Organizations von der konsolidierten Fakturierung?

Die Funktionen der konsolidierten Fakturierung sind nun Teil von AWS Organizations. Die konsolidierte Fakturierung ermöglicht Ihnen, Zahlungen für mehrere AWS-Konten innerhalb Ihres Unternehmens in einem einzigen Zahlungskonto zusammenzufassen. Für weitere Informationen siehe Konsolidierte Fakturierung und AWS Organizations.

F: Spiegelt meine Rechnung die OU-Struktur meiner Organisation wider?

Nein. Derzeit gibt Ihre Rechnung die in Ihrer Organisation definierte Struktur noch nicht wieder. Allerdings können Sie Ihre AWS-Kosten mit Tags für die Kostenzuordnung, die Sie Ihren AWS-Konten hinzufügen, kategorisieren und verfolgen. Diese Zuordnung ist dann auch in der konsolidierten Rechnung für Ihre Organisation enthalten.