Führen Sie eine privilegierte Aufgabe auf einem AWS Organizations Mitgliedskonto aus - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenPrivilegierte Aktion in einem Mitgliedskonto ausführen (Konsole)Durchführung einer privilegierten Aktion in einem Mitgliedskonto (AWS CLI)Ergreifen einer privilegierten Aktion auf einem Mitgliedskonto (AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Führen Sie eine privilegierte Aufgabe auf einem AWS Organizations Mitgliedskonto aus

Das AWS Organizations Verwaltungskonto oder ein delegiertes Administratorkonto für IAM kann einige privilegierte Aufgaben für Mitgliedskonten ausführen, für die andernfalls Root-Benutzeranmeldedaten erforderlich wären. Bei zentralisiertem Root-Zugriff werden diese Aufgaben in kurzzeitigen privilegierten Sitzungen ausgeführt. Diese Sitzungen stellen temporäre Anmeldeinformationen bereit, die auf bestimmte privilegierte Aktionen beschränkt sind, ohne dass eine Anmeldung des Root-Benutzers für das Mitgliedskonto erforderlich ist.

Sobald Sie eine privilegierte Sitzung gestartet haben, können Sie eine falsch konfigurierte Amazon-S3-Bucket-Richtlinie löschen, eine falsch konfigurierte Amazon-SQS-Warteschlangenrichtlinie löschen, die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto löschen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto erneut aktivieren.

Anmerkung

Um den zentralen Root-Zugriff nutzen zu können, müssen Sie sich über ein Verwaltungskonto oder ein delegiertes Administratorkonto als IAM-Benutzer oder eine IAM-Rolle mit der ausdrücklich erteilten Berechtigung anmelden. sts:AssumeRoot Sie können keine Root-Benutzeranmeldedaten für Anrufe verwenden. sts:AssumeRoot

Voraussetzungen

Bevor Sie eine privilegierte Sitzung starten können, müssen Sie über die folgenden Einstellungen verfügen:

  • Sie haben den zentralisierten Root-Zugriff in Ihrer Organisation aktiviert. Informationen zum Aktivieren dieses Features finden Sie unter Root-Zugriff für Mitgliedskonten zentralisieren.

  • Ihr Verwaltungskonto oder delegiertes Administratorkonto verfügt über die folgenden Berechtigungen: sts:AssumeRoot

Privilegierte Aktion in einem Mitgliedskonto ausführen (Konsole)

Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto zu starten AWS-Managementkonsole

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Root-Zugriffsverwaltung aus.

  3. Wählen Sie einen Namen aus der Liste der Mitgliedskonten aus und wählen Sie Privilegierte Aktion ausführen aus.

  4. Wählen Sie die privilegierte Aktion aus, die Sie im Mitgliedskonto ausführen möchten.

    • Wählen Sie Amazon-S3-Bucket-Richtlinie löschen aus, um eine falsch konfigurierte Bucket-Richtlinie zu entfernen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.

      1. Wählen Sie S3 durchsuchen, um einen Namen aus den Buckets auszuwählen, die dem Mitgliedskonto gehören, und wählen Sie Auswählen.

      2. Wählen Sie Bucket-Richtlinie löschen aus.

      3. Verwenden Sie die Amazon-S3-Konsole, um die Bucket-Richtlinie zu korrigieren, nachdem Sie die falsch konfigurierte Richtlinie gelöscht haben. Weitere Informationen finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon-S3-Konsole im Amazon-S3-Benutzerhandbuch.

    • Wählen Sie Amazon-SQS-Richtlinie löschen, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.

      1. Geben Sie den Warteschlangennamen in das Feld SQS-Warteschlangenname ein und wählen Sie SQS-Richtlinie löschen aus.

      2. Verwenden Sie die Amazon-SQS-Konsole, um die Warteschlangenrichtlinie nach dem Löschen der falsch konfigurierten Richtlinie zu korrigieren. Weitere Informationen finden Sie unter Konfigurieren einer Zugriffsrichtlinie in Amazon SQS im Amazon-SQS-Entwicklerhandbuch.

    • Wählen Sie Root-Anmeldeinformationen löschen, um den Root-Zugriff von einem Mitgliedskonto zu entfernen. Durch das Löschen der Root-Benutzer-Anmeldeinformationen werden das Root-Benutzerpasswort, die Zugriffsschlüssel sowie die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) für das Mitgliedskonto wird deaktiviert.

      1. Wählen Sie Root-Anmeldeinformationen löschen aus.

    • Wählen Sie Passwortwiederherstellung zulassen, um die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.

      Diese Option ist nur verfügbar, wenn das Mitgliedskonto über keine Root-Benutzer-Anmeldeinformationen verfügt.

      1. Wählen Sie Passwortwiederherstellung zulassen aus.

      2. Nach dem Ausführen dieser privilegierten Aktion kann die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers für das Mitgliedskonto das Root-Benutzer-Passwort zurücksetzen und sich beim Root-Benutzer des Mitgliedskontos anmelden.

Durchführung einer privilegierten Aktion in einem Mitgliedskonto (AWS CLI)

Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto zu starten AWS Command Line Interface

  1. Verwenden Sie den folgenden Befehl, um eine Root-Benutzer-Sitzung anzunehmen: aws sts assume-root.

    Anmerkung

    Der globale Endpunkt wird für sts:AssumeRoot nicht unterstützt. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter Verwalte AWS STS in einem AWS-Region.

    Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie task-policy-arn definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden von AWS verwalteten Richtlinien verwenden, um privilegierte Sitzungsaktionen einzuschränken.

    Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel sts: TaskPolicyArn verwenden.

    Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root die Root-Benutzeranmeldeinformationen für die Mitgliedskonto-ID löscht. 111122223333 

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. Verwenden Sie AccessKeyId, SessionToken und SecretAccessKey aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.

Ergreifen einer privilegierten Aktion auf einem Mitgliedskonto (AWS API)

Um eine Sitzung für privilegierte Aktionen in einem Mitgliedskonto über die AWS API zu starten

  1. Verwenden Sie den folgenden Befehl, um von einer Root-Benutzersitzung auszugehen: AssumeRoot.

    Anmerkung

    Der globale Endpunkt wird nicht unterstützt für AssumeRoot. Sie müssen diese Anfrage an einen regionalen AWS STS Endpunkt senden. Weitere Informationen finden Sie unter Verwalte AWS STS in einem AWS-Region.

    Wenn Sie eine Sitzung für einen privilegierten Root-Benutzer für ein Mitgliedskonto starten, müssen Sie TaskPolicyArn definieren, um den Umfang der Sitzung auf die privilegierte Aktion festzulegen, die während der Sitzung ausgeführt werden soll. Sie können eine der folgenden AWS verwalteten Richtlinien verwenden, um den Umfang von Aktionen für privilegierte Sitzungen festzulegen.

    Um die Aktionen einzuschränken, die ein Verwaltungskonto oder ein delegierter Administrator während einer privilegierten Root-Benutzersitzung ausführen kann, können Sie den AWS STS Bedingungsschlüssel sts: TaskPolicyArn verwenden.

    Im folgenden Beispiel geht der delegierte Administrator davon aus, dass root eine falsch konfigurierte ressourcenbasierte Richtlinie für einen Amazon S3 S3-Bucket für die Mitgliedskonto-ID liest, bearbeitet und löscht. 111122223333

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. Verwenden Sie AccessKeyId, SessionToken und SecretAccessKey aus der Antwort, um privilegierte Aktionen im Mitgliedskonto auszuführen. Sie können den Benutzernamen und das Passwort in der Anfrage weglassen, um standardmäßig das Mitgliedskonto zu verwenden.

    • Überprüfen Sie den Status der Root-Benutzer-Anmeldeinformationen.. Verwenden Sie die folgenden Befehle, um den Status der Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto zu überprüfen.

    • Löschen Sie die Anmeldeinformationen des Root-Benutzers. Verwenden Sie die folgenden Befehle, um den Root-Zugriff zu löschen. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen und die Multi-Faktor-Authentifizierung (MFA) deaktivieren, um jeglichen Zugriff auf und die Wiederherstellung des Root-Benutzers zu entfernen.

    • Löschen Sie die Amazon-S3-Bucket-Richtlinie. Verwenden Sie die folgenden Befehle, um eine falsch konfigurierte Bucket-Richtlinie zu lesen, zu bearbeiten und zu löschen, die allen Prinzipalen den Zugriff auf den Amazon-S3-Bucket verweigert.

    • Löschen Sie die Amazon-SQS-Richtlinie. Verwenden Sie die folgenden Befehle, um eine ressourcenbasierte Richtlinie für Amazon Simple Queue Service anzuzeigen und zu löschen, die allen Prinzipalen den Zugriff auf eine Amazon-SQS-Warteschlange verweigert.

    • Lassen Sie die Passwortwiederherstellung zu. Verwenden Sie die folgenden Befehle, um den Benutzernamen anzuzeigen und die Root-Benutzer-Anmeldeinformationen für ein Mitgliedskonto wiederherzustellen.