Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten

Gehen Sie wie folgt vor, um Benutzern und Gruppen in Ihrem verbundenen Verzeichnis Single Sign-On-Zugriff zuzuweisen und mithilfe von Berechtigungssätzen deren Zugriffsebene zu bestimmen.

Informationen zum Überprüfen vorhandener Benutzer- und Gruppenzugriffe finden Sie unterEinen Berechtigungssatz anzeigen und ändern.

Anmerkung

Zur vereinfachten Administration der Zugriffsberechtigungen wird empfohlen, den Zugriff direkt den Gruppen zuzuweisen (und nicht einzelnen Benutzern). Bei Gruppen können Sie Berechtigungen für Benutzergruppen gewähren oder verweigern, anstatt dies für jede Einzelperson individuell zu tun. Wenn ein Benutzer zu einer anderen Organisation wechselt, verschieben Sie diesen Benutzer einfach in eine andere Gruppe. Er erhält dann automatisch die Berechtigungen für die neue Organisation.

So weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

    Anmerkung

    Stellen Sie sicher, dass die IAM Identity Center-Konsole die Region verwendet, in der sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.

  2. Wählen Sie im Navigationsbereich unter Berechtigungen für mehrere Konten die Option. AWS-Konten

  3. Auf der AWS-KontenSeite wird eine Strukturansicht Ihrer Organisation angezeigt. Aktivieren Sie das Kontrollkästchen AWS-Konto neben dem, dem Sie Zugriff gewähren möchten. Wenn Sie Administratorzugriff für IAM Identity Center einrichten, aktivieren Sie das Kontrollkästchen neben dem Verwaltungskonto.

    Anmerkung

    Sie können pro Berechtigungssatz bis zu 10 AWS-Konten gleichzeitig auswählen, wenn Sie Benutzern und Gruppen Single Sign-On-Zugriff zuweisen. Um derselben Gruppe von Benutzern und Gruppen mehr als 10 AWS-Konten zuzuweisen, wiederholen Sie dieses Verfahren nach Bedarf für die zusätzlichen Konten. Wenn Sie dazu aufgefordert werden, wählen Sie dieselben Benutzer, Gruppen und denselben Berechtigungssatz aus.

  4. Wählen Sie Benutzer oder Gruppen zuweisen aus.

  5. Gehen Sie für Schritt 1: Benutzer und Gruppen auswählen auf der Seite Benutzer und Gruppen zuweisen zu AWS-account-name "" wie folgt vor:

    1. Wählen Sie auf der Registerkarte Benutzer einen oder mehrere Benutzer aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie den Namen des gewünschten Benutzers in das Suchfeld ein.

    2. Wählen Sie auf der Registerkarte Gruppen eine oder mehrere Gruppen aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie den Namen der gewünschten Gruppe in das Suchfeld ein.

    3. Um die ausgewählten Benutzer und Gruppen anzuzeigen, klicken Sie auf das seitliche Dreieck neben Ausgewählte Benutzer und Gruppen.

    4. Nachdem Sie bestätigt haben, dass die richtigen Benutzer und Gruppen ausgewählt sind, wählen Sie Weiter.

  6. Gehen Sie für Schritt 2: Berechtigungssätze auswählen auf der Seite Berechtigungssätze zuweisen zu AWS-account-name "" wie folgt vor:

    1. Wählen Sie mindestens einen Berechtigungssatz aus. Bei Bedarf können Sie neue Berechtigungssätze erstellen und auswählen.

      • Um einen oder mehrere vorhandene Berechtigungssätze auszuwählen, wählen Sie unter Berechtigungssätze die Berechtigungssätze aus, die Sie auf die Benutzer und Gruppen anwenden möchten, die Sie im vorherigen Schritt ausgewählt haben.

      • Um einen oder mehrere neue Berechtigungssätze zu erstellen, wählen Sie Berechtigungssatz erstellen aus und folgen Sie den Schritten unterBerechtigungssatz erstellen. Nachdem Sie die Berechtigungssätze erstellt haben, die Sie anwenden möchten, kehren Sie in der IAM Identity Center-Konsole zu den Anweisungen zurück AWS-Kontenund folgen Sie den Anweisungen, bis Sie zu Schritt 2: Berechtigungssätze auswählen gelangen. Wenn Sie diesen Schritt erreicht haben, wählen Sie die neuen Berechtigungssätze aus, die Sie erstellt haben, und fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.

    2. Nachdem Sie bestätigt haben, dass die richtigen Berechtigungssätze ausgewählt wurden, wählen Sie Weiter.

  7. Gehen Sie für Schritt 3: Überprüfen und abschicken auf der Seite Aufgaben überprüfen und einreichen an AWS-account-name "" wie folgt vor:

    1. Überprüfen Sie die ausgewählten Benutzer, Gruppen und Berechtigungssätze.

    2. Nachdem Sie sich vergewissert haben, dass die richtigen Benutzer, Gruppen und Berechtigungssätze ausgewählt wurden, wählen Sie Senden aus.

    Überlegungen

    • Die Benutzer- und Gruppenzuweisung kann einige Minuten dauern. Lassen Sie diese Seite geöffnet, bis der Vorgang erfolgreich abgeschlossen ist.

    • Anmerkung

      Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um mit dem AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die IAMFullZugriffsrichtlinie oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

  8. Wenn einer der folgenden Punkte zutrifft, gehen Sie wie unter beschrieben vor, Benutzer zur MFA auffordern um MFA für IAM Identity Center zu aktivieren:

    • Sie verwenden das standardmäßige Identity Center-Verzeichnis als Identitätsquelle.

    • Sie verwenden ein AWS Managed Microsoft AD Verzeichnis oder ein selbstverwaltetes Verzeichnis in Active Directory als Identitätsquelle und Sie verwenden RADIUS MFA nicht mit. AWS Directory Service

    Anmerkung

    Wenn Sie einen externen Identitätsanbieter verwenden, beachten Sie, dass der externe IdP, nicht IAM Identity Center, die MFA-Einstellungen verwaltet. MFA in IAM Identity Center wird für die externe Verwendung nicht unterstützt. IdPs

Wenn Sie den Kontozugriff für den Administratorbenutzer einrichten, erstellt IAM Identity Center eine entsprechende IAM-Rolle. Diese Rolle, die von IAM Identity Center gesteuert wird, wird im entsprechenden erstellt AWS-Konto, und die im Berechtigungssatz angegebenen Richtlinien werden an die Rolle angehängt.

Alternativ können Sie sie verwenden, AWS CloudFormationum Berechtigungssätze zu erstellen und zuzuweisen und diesen Berechtigungssätzen Benutzer zuzuweisen. Benutzer können sich dann beim AWS Zugriffsportal anmelden oder die Befehle AWS Command Line Interface (AWS CLI) verwenden.