Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verbinden Sie Ihr Active Directory mit den AMS-Rollen AWS Identity and Access Management
<a name="federate-dir-with-sent-iam-roles"></a>

Der Zweck der Verbindung Ihres Verzeichnisses mit den AMS-IAM-Rollen besteht darin, Unternehmensbenutzern die Möglichkeit zu geben, ihre Unternehmensanmeldedaten für die Interaktion mit der AWS-Managementkonsole und der und und somit der AWS APIs AMS-Konsole und zu verwenden. APIs

# Beispiel für einen Föderationsprozess
<a name="fed-process-ex"></a>

In diesem Beispiel werden Active Directory Federation Services (AD FS) verwendet. Es wird jedoch jede Technologie unterstützt, die AWS Identity and Access Management Federation unterstützt. Weitere Informationen zum AWS unterstützten IAM-Verbund finden Sie unter [IAM-Partner](https://aws.amazon.com/iam/partners/) und [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Ihr CSDM hilft Ihnen bei diesem Prozess, der eine gemeinsame Anstrengung mit Ihrem AD-Team und AMS erfordert.

Ausführliche Informationen zur Integration von SAML für den API-Zugriff finden Sie in diesem AWS Blog [How to Implementation Federated API and CLI Access Using SAML 2.0 and](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) AD FS.

**Anmerkung**  
Ein Beispiel für die Installation von AMS CLI und SAML finden Sie unter[Anhang: ActiveDirectory Federation Services (ADFS) -Anspruchsregel und SAML-Einstellungen](apx-adfs-claim-rule-saml.md).

# Konfiguration des Verbunds zur AMS-Konsole (SALZ)
<a name="fed-with-console"></a>

Die in der folgenden Tabelle aufgeführten IAM-Rollen und der SAML-Identitätsanbieter (Trusted Entity) wurden im Rahmen der Kontoeinführung bereitgestellt. Mit diesen Rollen können Sie Serviceanfragen und Vorfallberichte einreichen und überwachen RFCs sowie Informationen zu Ihren und Ihren Stacks abrufen. VPCs 


****  

| Rolle | Identitätsanbieter | Berechtigungen | 
| --- | --- | --- | 
| Kunde\$1 \$1Rolle ReadOnly | SAML | Für Standard-AMS-Konten. Ermöglicht das Einreichen von Änderungen RFCs an der von AMS verwalteten Infrastruktur sowie das Erstellen von Serviceanfragen und Vorfällen.  | 
| customer\$1managed\$1ad\$1user\$1role | SAML | Für von AMS verwaltete Active Directory-Konten. Ermöglicht Ihnen, sich bei der AMS-Konsole anzumelden, um Serviceanfragen und Vorfälle zu erstellen (nein RFCs). | 

Eine vollständige Liste der Rollen, die unter verschiedenen Konten verfügbar sind, finden Sie unter[IAM-Benutzerrolle in AMS](defaults-user-role.md).

Ein Mitglied des Onboarding-Teams lädt die Metadatendatei von Ihrer Verbundlösung auf den vorkonfigurierten Identitätsanbieter hoch. Sie verwenden einen SAML-Identitätsanbieter, wenn Sie eine Vertrauensstellung zwischen einem SAML-kompatiblen IdP (Identitätsanbieter) wie Shibboleth oder Active Directory Federation Services herstellen möchten, sodass Benutzer in Ihrer Organisation auf AWS-Ressourcen zugreifen können. SAML-Identitätsanbieter in IAM werden als Principals in einer IAM-Vertrauensrichtlinie mit den oben genannten Rollen verwendet.

Während andere Verbundlösungen Integrationsanweisungen für AWS bereitstellen, verfügt AMS über separate Anweisungen. Mithilfe des folgenden Blogbeitrags [Enabling Federation to AWS Using Windows Active Directory, AD FS, and SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) sowie der unten aufgeführten Änderungen können Ihre Unternehmensbenutzer von einem einzigen Browser aus auf mehrere AWS-Konten zugreifen.

Nachdem Sie das Vertrauen der vertrauenden Partei gemäß dem Blogbeitrag eingerichtet haben, konfigurieren Sie die Anspruchsregeln wie folgt:
+ **NameId**: Folgen Sie dem Blogbeitrag.
+ **RoleSessionName**: Verwenden Sie die folgenden Werte:
  + **Name der Anspruchsregel**: RoleSessionName
  + **Attributspeicher**: Active Directory
  + **LDAP-Attribut**: SAM-Account-Name
  + **Art des ausgehenden Anspruchs: Attribute/** https://aws.amazon.com/SAML/ RoleSessionName
+ AD-Gruppen abrufen: Folgen Sie dem Blogbeitrag.
+ Rollenanspruch: Folgen Sie dem Blogbeitrag, aber verwenden Sie für die benutzerdefinierte Regel Folgendes:

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

Wenn Sie AD FS verwenden, müssen Sie Active Directory-Sicherheitsgruppen für jede Rolle in dem in der folgenden Tabelle angegebenen Format erstellen (customer\$1managed\$1ad\$1user\$1role gilt nur für AMS Managed AD-Konten):


****  

| Gruppe | Rolle | 
| --- | --- | 
| AWS- [AccountNo] -Kunden\$1 \$1Rolle ReadOnly | ReadOnlyKunde\$1 \$1Rolle | 
| AWS- [AccountNo] -customer\$1managed\$1ad\$1user\$1role | vom Kunden verwaltete\$1ad\$1user\$1role | 

[Weitere Informationen finden Sie unter Konfiguration von SAML-Assertionen für die Authentifizierungsantwort.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)

**Tipp**  
Laden Sie das SAML-Tracer-Plugin für Ihren Browser herunter, um Hilfe bei der Fehlerbehebung zu erhalten.

# Einreichung der Föderationsanfrage an AMS
<a name="fed-with-console-submit"></a>

Wenn dies Ihr erstes Konto ist, arbeiten Sie mit Ihren CSDM (s) and/or Cloud Architect (s) zusammen, um die Metadaten-XML-Datei für Ihren Identitätsanbieter bereitzustellen.

Wenn Sie ein zusätzliches Konto oder einen Identitätsanbieter einrichten und Zugriff entweder auf das Verwaltungskonto oder das gewünschte Anwendungskonto haben, gehen Sie wie folgt vor.

1. Erstellen Sie eine Serviceanfrage von der AMS-Konsole aus und geben Sie die Details an, die zum Hinzufügen des Identitätsanbieters erforderlich sind:
   + AccountId des Kontos, in dem der neue Identitätsanbieter erstellt wird.
   + Der Name des gewünschten Identitätsanbieters, falls nicht angegeben, ist der Standard **customer-saml**. In der Regel muss dieser mit den Einstellungen übereinstimmen, die in Ihrem Federation Provider konfiguriert sind.
   + Geben Sie bei vorhandenen Konten an, ob der neue Identitätsanbieter an alle vorhandenen Konsolenrollen weitergegeben werden soll, oder geben Sie eine Liste der Rollen an, die dem neuen Identitätsanbieter vertrauen sollten.
   + Hängen Sie die von Ihrem Federation Agent exportierte Metadaten-XML-Datei als Dateianhang an die Serviceanfrage an.

1. Erstellen Sie mit demselben Konto, in dem Sie die Serviceanfrage erstellt haben, einen neuen RFC mit der CT-ID ct-1e1xtak34nx76 (Management \$1 Other \$1 Other \$1 Create) mit den folgenden Informationen.
   + <Name>Titel: „Integrierter SAML-IDP für Konto < >“. AccountId
   + AccountId des Kontos, in dem der Identitätsanbieter erstellt wird.
   + Name des Identitätsanbieters.
   + Für bestehende Konten: Ob der Identitätsanbieter auf alle vorhandenen Konsolenrollen übertragen werden soll, oder die Liste der Rollen, die dem neuen Identitätsanbieter vertrauen sollen.
   + Fall-ID der in Schritt 1 erstellten Serviceanfrage, an die die XML-Metadatendatei angehängt ist.

# Überprüfen Sie den Konsolenzugriff
<a name="verify-console-access"></a>

Gehen Sie wie folgt vor, sobald Sie mit ADFS eingerichtet sind und über die AMS-URL verfügen, die Sie für die Authentifizierung verwenden möchten.

Mit einer Active Directory Federated Service (ADFS) -Konfiguration können Sie die folgenden Schritte ausführen:

1. Öffnen Sie ein Browserfenster und rufen Sie die Anmeldeseite auf, die Ihnen für Ihr Konto zur Verfügung gestellt wurde. Die **IdpInitiatedSignOn**ADFS-Seite für Ihr Konto wird geöffnet. 

1. Wählen Sie das Optionsfeld **neben Auf einer der folgenden Websites anmelden** aus. Die Auswahlliste **für die Anmeldeseite** wird aktiv. 

1. **Wählen Sie die Website **signin.aws.amazon.com** aus und klicken Sie auf Anmelden.** Optionen für die Eingabe Ihrer Anmeldeinformationen werden geöffnet.

1. Geben Sie Ihre CORP-Anmeldeinformationen ein und klicken Sie auf **Anmelden**. Das AWS-Managementkonsole wird geöffnet.

1. Fügen Sie die URL der AMS-Konsole in die Adressleiste ein und drücken **Sie die Eingabetaste**. Die AMS-Konsole wird geöffnet.

# API-Zugriff verifizieren
<a name="verify-api-access"></a>

AMS verwendet die AWS-API mit einigen AMS-spezifischen Vorgängen, über die Sie in der [AMS-API-Referenz](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html) nachlesen können.

AWS bietet mehrere SDKs , auf die Sie unter [Tools für Amazon Web Services](https://aws.amazon.com/tools/) zugreifen können. Wenn Sie kein SDK verwenden möchten, können Sie direkte API-Aufrufe tätigen. Informationen zur Authentifizierung finden Sie unter [Signieren von AWS-API-Anfragen](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Wenn Sie kein SDK verwenden oder direkte HTTP-API-Anfragen stellen, können Sie AMS CLIs for Change Management (CM) und SKMS verwenden. 

# Installieren Sie das AMS CLIs
<a name="install-cli"></a>

Ein Beispiel für die Installation der AWS Managed Services (AMS) CLI zur Verwendung mit SAML finden Sie unter[Anhang: ActiveDirectory Federation Services (ADFS) -Anspruchsregel und SAML-Einstellungen](apx-adfs-claim-rule-saml.md).

Wenn Sie temporären Zugriff benötigen, um die AWS Managed Services (AMS) zu erhalten und zu installieren SDKs, finden Sie weitere Informationen unter [Temporärer Zugriff auf die AMS-Konsole](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html). 
**Anmerkung**  
Für dieses Verfahren benötigen Sie Administratoranmeldedaten.

Die AWS-CLI ist eine Voraussetzung für die Nutzung der AWS Managed Services (AMS) CLIs (Change Management und SKMS).

1. Informationen zur Installation der AWS-CLI finden Sie unter [Installation der AWS-Befehlszeilenschnittstelle](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) und folgen Sie den entsprechenden Anweisungen. Beachten Sie, dass sich unten auf dieser Seite Anweisungen zur Verwendung verschiedener Installationsprogramme befinden: [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), [Virtual Environment](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html), [Bundled Installer (Linux, macOS oder Unix](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html)).

   Führen Sie nach der Installation den Befehl aus, `aws help` um die Installation zu überprüfen.

1. Sobald die AWS-CLI installiert ist, laden Sie zur Installation oder zum Upgrade der AMS CLI entweder die AMS **CLI- oder die AMS** **SDK-Distributionsdatei** herunter und entpacken Sie sie. Sie können über den Link [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) im linken Navigationsbereich der AMS-Konsole auf die AMS-CLI-Distributionsdateien zugreifen.

1. Die README-Datei enthält Anweisungen für jede Installation.

   Öffnen Sie entweder:
   + CLI zip: Stellt nur die AMS-CLI bereit.
   + SDK-Zip: Stellt das gesamte AMS APIs und die AMS-CLI bereit.

   Führen Sie für **Windows** das entsprechende Installationsprogramm aus (nur 32- oder 64-Bit-Systeme):
   + 32 Bit: **ManagedCloudAPI\$1x86.msi**
   + 64 Bit: **ManagedCloudAPI\$1x64.msi**

   Führen Sie für **Mac/Linux** die Datei mit dem Namen: **AWSManagedServices\$1InstallCLI.sh aus, indem Sie** diesen Befehl ausführen:. `sh AWSManagedServices_InstallCLI.sh` **Beachten Sie, dass sich die Verzeichnisse **amscm** und **amsskms** und ihr Inhalt im selben Verzeichnis wie die .sh-Datei befinden müssen. AWSManagedServices\$1InstallCLI**

1. Wenn Ihre Unternehmensanmeldedaten über den Verbund mit AWS (die AMS-Standardkonfiguration) verwendet werden, müssen Sie ein Tool zur Verwaltung von Anmeldeinformationen installieren, das auf Ihren Verbundservice zugreifen kann. Sie können beispielsweise diesen AWS-Sicherheitsblog [How to Implementation Federated API and CLI Access Using SAML 2.0 and AD FS verwenden](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS), um Hilfe bei der Konfiguration Ihrer Tools zur Verwaltung Ihrer Anmeldeinformationen zu erhalten.

1. Führen Sie nach der Installation die Befehle und Optionen aus `aws amscm help` und sehen Sie `aws amsskms help` sich diese an.
**Anmerkung**  
Die AMS-CLI muss installiert sein, damit diese Befehle funktionieren. Um die AMS-API oder CLI zu installieren, rufen Sie die Seite **Entwicklerressourcen** der AMS-Konsole auf. Referenzmaterial zur AMS CM API oder AMS SKMS API finden Sie im Abschnitt AMS-Informationsressourcen im Benutzerhandbuch. Möglicherweise müssen Sie eine `--profile` Option für die Authentifizierung hinzufügen, `aws amsskms ams-cli-command --profile SAML` z. B. Möglicherweise müssen Sie die `--region` Option auch hinzufügen, da allen AMS-Befehlen beispielsweise us-east-1 ausgeht. `aws amscm ams-cli-command --region=us-east-1`

# Planung von AMS-Backups auf VPC-Ebene
<a name="schedule-backups"></a>

Die Backup-Planung von AWS Managed Services (AMS) in der VPC, der die Ziel-Instances zugewiesen sind, wird während der Kontoerstellung mit einem Standard-Tag im VPC-Erstellungsschema erstellt. Das Backup-System plant die Ausführung der Snapshots in Abhängigkeit von diesem VPC-Tag. Der Zeitplan kann geändert werden, indem eine Serviceanfrage erstellt wird. Weitere Informationen finden Sie unter [VPC-Tag und Standardeinstellungen](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html).

[Informationen zu den Standardeinstellungen für Backups finden Sie unter Grundlegendes zu AMS-Standardwerten](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)