Anzeigen der zuletzt aufgerufenen Informationen für AWS Organizations - AWS Identitäts- und Zugriffsverwaltung
Der AWS Organizations-EntitätspfadAnzeigen von Informationen für AWS Organizations (Konsole)Anzeigen von Informationen für AWS Organizations (AWS CLI)Anzeigen von Informationen für AWS Organizations (AWS-API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anzeigen der zuletzt aufgerufenen Informationen für AWS Organizations

Sie können Informationen zum letzten Servicezugriff für AWS Organizations mithilfe der IAM-Konsole, AWS CLI oder der AWS-API anzeigen lassen. Für wichtige Informationen über die Daten, die erforderlichen Berechtigungen, Fehlerbehebungen und unterstützte Regionen finden Sie unter Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen.

Wenn Sie sich bei der IAM-Konsole mit den Anmeldeinformationen für das AWS Organizations-Verwaltungskonto anmelden, können Sie die Daten für alle Entitäten in Ihrer Organisation anzeigen lassen. AWS Organizations-Entitäten beinhalten den Organisationsstamm, Organisationseinheiten (OUs) und Konten. Sie können die IAM-Konsole auch verwenden, um sich Informationen für alle Service-Kontrollrichtlinien (Service Control Policies, SCPs) in Ihrer Organisation anzeigen zu lassen. IAM zeigt eine Liste der Services, die von allen SCPs, die auf die Entity angewendet werden, zugelassen sind. Für jeden Service können Sie sich die aktuellen Kontoaktivitätsdaten für die ausgewählte AWS Organizations-Entität oder die untergeordneten Elemente der Entität anzeigen lassen.

Wenn Sie die AWS CLI- oder AWS-API mit den Anmeldeinformationen für das Hauptkonto verwenden, können Sie einen Datenbericht für alle Entitäten oder Richtlinien in Ihrer Organisation generieren. Ein programmgesteuerter Bericht für eine Entity enthält eine Liste der Dienste, die von allen SCPs, die auf die Entity angewendet werden, zugelassen sind. Für jeden Service enthält der Bericht die aktuellen Aktivitäten für Konten in der angegebenen AWS Organizations-Entity oder der Unterstruktur der Entität.

Wenn Sie einen programmgesteuerten Datenbericht für eine Richtlinie generieren, müssen Sie eine AWS Organizations-Entität angeben. Dieser Bericht enthält eine Liste der Services, die im Rahmen der angegebenen SCP zugelassen sind. Für die einzelnen Services sind die neuesten Kontoaktivitäten der Entity oder der untergeordneten Elemente der Entity enthalten, denen aufgrund der Richtlinie eine Berechtigung erteilt wird. Weitere Informationen finden Sie unter aws iam generate-organizations-access-report oder GenerateOrganizationsAccessReport.

Bevor Sie sich den Bericht anzeigen lassen, stellen Sie sicher, dass Sie die Anforderungen an das Hauptkonto und die Daten, den Berichtszeitraum, die Entitäten, über die berichtet wird, als auch die ausgewerteten Richtlinientypen verstehen. Weitere Details finden Sie unter . Wissenswertes über die Informationen zum letzten Zugriff.

Der AWS Organizations-Entitätspfad

Wenn Sie die AWS CLI oder AWS-API verwenden, um einen AWS Organizations-Zugriffsbericht zu generieren, müssen Sie einen Entitätspfad angeben. Ein Pfad ist eine Textdarstellung der Struktur einer AWS Organizations-Entität.

Sie können einen Entitätspfad mithilfe der bekannten Struktur Ihrer Organisation erstellen. Angenommen, Sie haben die folgende Organisationsstruktur in AWS Organizations.

Organisationspfadstruktur

Der Pfad für die Organisationseinheit des Dev Managers (Entwicklungsmanagers) wird mithilfe der IDs der Organisation, des Stammes und aller Organisationseinheiten im Pfad bis einschließlich der Organisationseinheit erstellt. 

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

Der Pfad für das Konto in der Organisationseinheit Production (Produktion) wird mithilfe der IDs der Organisation, des Stammes, der Organisationseinheit und der Kontonummer erstellt. 

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
Anmerkung

Organisations-IDs sind global eindeutig, Organisationeinheiten-IDs und Stamm-IDs sind jedoch nur innerhalb einer Organisation eindeutig. Dies bedeutet, dass keine zwei Organisationen dieselbe Organisations-ID verwenden. Eine andere Organisation verfügt jedoch möglicherweise über eine Organisationseinheit oder ein Stammverzeichnis mit derselben ID wie Ihre. Es wird empfohlen, immer die Organisations-ID anzugeben, wenn Sie eine Organisationseinheit oder ein Stammverzeichnis angeben.

Anzeigen von Informationen für AWS Organizations (Konsole)

Sie können die IAM-Konsole verwenden, um Informationen zum letzten Servicezugriff für den Stamm, die Organisationseinheit, das Konto oder die Richtlinie anzeigen zu lassen.

So zeigen Sie Informationen für das Stammverzeichnis (Konsole) an:

  1. Melden Sie sich mit den Anmeldeinformationen des AWS Organizations-Verwaltungskontos bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Organization activity (Organisationsaktivität).

  3. Wählen Sie auf der Seite Organization activity (Organisationsaktivität) die Option Root (Stamm).

  4. Überprüfen Sie auf der Registerkarte Details and activity (Details und Aktivitäten) den Bereich Service access report (Service-Zugriffsbericht). Die Informationen enthalten eine Liste der Services, die aufgrund der Richtlinien, die dem Stamm direkt angefügt wurden, zulässig sind. Die Informationen zeigen Ihnen, von welchem Konto aus und wann zuletzt auf den Service zugegriffen wurde. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und zeigen Sie die Informationen zum letzten IAM-Servicezugriff an.

  5. Wählen Sie die Registerkarte Attached SCPs (Angehängte SCPs), um die Liste der Dienstkontrollrichtlinien (SCPs) anzuzeigen, die an den Stamm angehängt sind. IAM zeigt Ihnen die Anzahl der Zielentitäten an, denen die einzelnen Richtlinien zugeordnet sind. Sie können diese Informationen verwenden, um zu entscheiden, welche SCP Sie überprüfen möchten.

  6. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

  7. Klicken Sie auf Bearbeiten in AWS Organizations, um weitere Details anzuzeigen und die SCP in der AWS Organizations-Konsole zu bearbeiten. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations-Leitfaden.

So zeigen Sie Informationen zu einer Organisationseinheit oder einem Konto an (Konsole):

  1. Melden Sie sich mit den Anmeldeinformationen des AWS Organizations-Verwaltungskontos bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Organization activity (Organisationsaktivität).

  3. Erweitern Sie auf der Seite Organization activity (Organizationsaktivität) die Struktur Ihrer Organisation. Wählen Sie anschließend den Namen der Organisationseinheit oder jedes beliebigen Kontos aus, welches Sie anzeigen möchten, mit Ausnahme des Hauptkontos.

  4. Überprüfen Sie auf der Registerkarte Details and activity (Details und Aktivitäten) den Bereich Service access report (Service-Zugriffsbericht). Die Informationen enthalten eine Liste der Services, die im Rahmen der SCPs, die der Organisationseinheit oder dem Konto und allen übergeordneten Elementen angefügt wurden, zulässig sind. Die Informationen zeigen Ihnen, von welchem Konto aus und wann zuletzt auf den Service zugegriffen wurde. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und zeigen Sie die Informationen zum letzten IAM-Servicezugriff an.

  5. Wählen Sie die Registerkarte Angehängte SCPs, um die Liste der Dienstkontrollrichtlinien (SCPs) anzuzeigen, die direkt mit der Organisationseinheit oder dem Konto verbunden sind. IAM zeigt Ihnen die Anzahl der Zielentitäten an, denen die einzelnen Richtlinien zugeordnet sind. Sie können diese Informationen verwenden, um zu entscheiden, welche SCP Sie überprüfen möchten.

  6. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

  7. Klicken Sie auf Bearbeiten in AWS Organizations, um weitere Details anzuzeigen und die SCP in der AWS Organizations-Konsole zu bearbeiten. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations-Leitfaden.

So zeigen Sie Informationen zum Hauptkonto an (Konsole):

  1. Melden Sie sich mit den Anmeldeinformationen des AWS Organizations-Verwaltungskontos bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Organization activity (Organisationsaktivität).

  3. Erweitern Sie auf der Seite Organization activity (Organisationsaktivität) die Struktur Ihrer Organisation und wählen Sie den Namen Ihres Hauptkontos.

  4. Überprüfen Sie auf der Registerkarte Details and activity (Details und Aktivitäten) den Bereich Service access report (Service-Zugriffsbericht). Die Informationen enthalten eine Liste aller AWS-Services. Das Hauptkonto ist nicht durch SCPs eingeschränkt. Die Informationen geben darüber Auskunft, ob und wann das Konto zuletzt auf den Service zugegriffen hat. Um weitere Informationen darüber zu erhalten, welcher Auftraggeber auf den Service zugegriffen hat, melden Sie sich als Administrator bei diesem Konto an, und zeigen Sie die Informationen zum letzten IAM-Servicezugriff an.

  5. Wählen Sie die Registerkarte Attached SCPs (Angefügte SCPs) aus, um zu bestätigen, dass keine angefügten SCPs vorhanden sind, da es sich bei dem Konto um das Hauptkonto handelt.

So zeigen Sie Informationen zu einer Richtlinie an (Konsole):

  1. Melden Sie sich mit den Anmeldeinformationen des AWS Organizations-Verwaltungskontos bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter dem Abschnitt Access reports (Zugriffsberichte) die Option Service control policies (SCPs) (Service-Kontrollrichtlinien (SCPs)).

  3. Auf der Seite Service Control Policies (SCPs) (Service-Kontrollrichtlinien) finden Sie eine Liste der Richtlinien Ihrer Organisation. Sie können die Anzahl der Ziel-Entitäten anzeigen lassen, an die die einzelnen Richtlinien angefügt sind.

  4. Wählen Sie den Namen einer SCP auf, um sich alle Services anzeigen zu lassen, die von der Richtlinie zugelassen sind. Lassen Sie sich für jeden Service anzeigen, von welchem Konto und wann auf den Service zuletzt zugegriffen wurde.

  5. Klicken Sie auf Bearbeiten in AWS Organizations, um weitere Details anzuzeigen und die SCP in der AWS Organizations-Konsole zu bearbeiten. Weitere Informationen finden Sie unter -Over-the-Air-Updates im AWS Organizations-Leitfaden.

Anzeigen von Informationen für AWS Organizations (AWS CLI)

Sie können mithilfe der AWS CLI das letzte Servicezugriffsdatum für den AWS Organizations-Stamm, die Organisationseinheit, das Konto oder die Richtlinie anzeigen lassen.

So zeigen Sie Informationen zum letzten AWS Organizations-Servicezugriff an (AWS CLI):

  1. Verwenden Sie die Anmeldeinformationen für das AWS Organizations-Verwaltungskonto mit den erforderlichen IAM- und AWS Organizations-Berechtigungen und vergewissern Sie sich, dass für Ihren Stamm SCPs aktiviert sind. Weitere Informationen finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

  2. Erstellen Sie einen Bericht. Die Anforderung muss den Pfad der AWS Organizations-Entity umfassen (Stamm, Organisationseinheit oder Konto), für die Sie einen Bericht erstellen möchten. Sie können optional einen organization-policy-id-Parameter einschließen, um sich einen Bericht für eine bestimmte Richtlinie anzeigen zu lassen. Der Befehl gibt eine job-id zurück, die Sie im Anschluss daran mit dem get-organizations-access-report-Befehl verwenden können, um den job-status zu überwachen, bis der Auftrag abgeschlossen ist.

  3. Rufen Sie Details zum Bericht mithilfe des Parameters job-id aus dem vorherigen Schritt ab.

    Dieser Befehl gibt eine Liste der Dienste zurück, auf die Entity-Mitglieder zugreifen können. Für jeden Service gibt der Befehl das Datum und die Uhrzeit des letzten Versuchs eines Kontomitglieds sowie den Entity-Pfad des Kontos zurück. Außerdem wird die Gesamtanzahl der Dienste angezeigt, auf die zugegriffen werden kann, als auch die Anzahl der Services, auf die nicht zugegriffen wurde. Wenn Sie den optionalen organizations-policy-id-Parameter angegeben haben, handelt es sich bei den Diensten, die für den Zugriff verfügbar sind, um die Dienste, die von der angegebenen Richtlinie zugelassen sind.

Anzeigen von Informationen für AWS Organizations (AWS-API)

Sie können mithilfe der AWS-API das letzte Servicezugriffsdatum für den AWS Organizations-Stamm, die Organisationseinheit, das Konto oder die Richtlinie anzeigen lassen.

So zeigen Sie AWS Organizations die Informationen zum letzten Servicezugriff an (AWS-API):

  1. Verwenden Sie die Anmeldeinformationen für das AWS Organizations-Verwaltungskonto mit den erforderlichen IAM- und AWS Organizations-Berechtigungen und vergewissern Sie sich, dass für Ihren Stamm SCPs aktiviert sind. Weitere Informationen finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

  2. Erstellen Sie einen Bericht. Die Anforderung muss den Pfad der AWS Organizations-Entity umfassen (Stamm, Organisationseinheit oder Konto), für die Sie einen Bericht erstellen möchten. Sie können optional einen OrganizationsPolicyId-Parameter einschließen, um sich einen Bericht für eine bestimmte Richtlinie anzeigen zu lassen. Durch die Operation wird eine JobId zurückgegeben, die Sie in der Operation GetOrganizationsAccessReport verwenden können, um den JobStatus zu überwachen, bis der Auftrag abgeschlossen ist.

  3. Rufen Sie Details zum Bericht mithilfe des Parameters JobId aus dem vorherigen Schritt ab.

    Diese Operation gibt eine Liste der Dienste zurück, auf die von den Entity-Mitgliedern zugegriffen werden kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Versuchs eines Kontomitglieds sowie den Entity-Pfad des Kontos zurück. Außerdem wird die Gesamtanzahl der Dienste angezeigt, auf die zugegriffen werden kann, als auch die Anzahl der Services, auf die nicht zugegriffen wurde. Wenn Sie den optionalen OrganizationsPolicyId-Parameter angegeben haben, handelt es sich bei den Diensten, die für den Zugriff verfügbar sind, um die Dienste, die von der angegebenen Richtlinie zugelassen sind.