Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations
Wenn Sie ein Konto in Ihrer Organisation erstellen, erstellt zusätzlich zum StammbenutzerAWS Organizations automatisch eine IAM-Rolle, die standardmäßig `OrganizationAccountAccessRole` benannt ist. Sie können bei der Erstellung einen anderen Namen angeben. Wir empfehlen jedoch, ihn für alle Ihre Konten einheitlich zu benennen. AWS Organizations erstellt keine anderen Benutzer oder Rollen.
Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines der folgenden Verfahren durchführen:
**Mindestberechtigungen**
Um AWS-Konto von einem anderen Konto in Ihrer Organisation aus auf ein Konto zugreifen zu können, benötigen Sie die folgenden Berechtigungen:
`sts:AssumeRole` – Das `Resource`-Element muss entweder auf ein Sternchen (\$1) oder auf die Konto-ID-Nummer des Kontos des Benutzers festgelegt sein, der auf das neue Mitgliedskonto zugreifen muss
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Wenn Sie in Ihrer Organisation ein neues Mitgliedskonto erstellen, hat das Konto standardmäßig keine Root-Benutzeranmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen, es sei denn, die Kontowiederherstellung ist aktiviert.
Sie können den [Root-Zugriff für Mitgliedskonten zentralisieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html), um Root-Benutzeranmeldedaten für bestehende Mitgliedskonten in Ihrer Organisation zu entfernen. Durch das Löschen von Root-Benutzeranmeldedaten werden das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung (MFA) deaktiviert. Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Neue Konten, die Sie in Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen.
Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Root-Benutzeranmeldeinformationen für ein Mitgliedskonto erforderlich sind, für das keine Root-Benutzeranmeldedaten vorhanden sind.
Um als Root-Benutzer auf Ihr Mitgliedskonto zuzugreifen, müssen Sie den Vorgang zur Kennwortwiederherstellung durchführen. Weitere Informationen finden Sie unter [Ich habe mein Root-Benutzerpasswort für mich vergessen AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) im *AWS Anmelde-Benutzerhandbuch*.
Wenn Sie mit dem Root-Benutzer auf ein Mitgliedskonto zugreifen müssen, befolgen Sie diese bewährten Methoden:
+ Verwenden Sie den Root-Benutzer nicht, um auf Ihr Konto zuzugreifen, es sei denn, um andere Benutzer und Rollen mit eingeschränkteren Berechtigungen zu erstellen. Melden Sie sich dann als einer dieser neuen Benutzer oder Rollen an.
+ [Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Setzen Sie das Passwort zurück und [ordnen Sie dem Stammbenutzer ein MFA-Gerät zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *-IAM-Benutzerhandbuch*. Weitere Sicherheitsempfehlungen für Root-Benutzer finden Sie unter [Bewährte Methoden für Root-Benutzer AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) im *IAM-Benutzerhandbuch*.
------
#### [ Using trusted access for IAM Identity Center ]
Verwenden [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)und aktivieren Sie den vertrauenswürdigen Zugriff für IAM Identity Center mit. AWS Organizations Auf diese Weise können sich Benutzer mit ihren Unternehmensanmeldedaten beim AWS Zugriffsportal anmelden und auf Ressourcen in ihrem zugewiesenen Verwaltungskonto oder ihren Mitgliedskonten zugreifen.
Weitere Informationen finden Sie unter [Berechtigungen für mehrere Konten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) im *Benutzerhandbuch von AWS IAM Identity Center *. Weitere Informationen zum Einrichten des vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unter [AWS IAM Identity Center und AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Wenn Sie ein Konto mithilfe der im Rahmen von bereitgestellten Tools erstellen, können Sie auf das Konto zugreifen AWS Organizations, indem Sie den vorkonfigurierten Rollennamen verwenden`OrganizationAccountAccessRole`, der in allen neuen Konten vorhanden ist, die Sie auf diese Weise erstellen. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Wenn Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation einladen und das Konto diese Einladung annimmt, haben Sie die Möglichkeit, eine IAM-Rolle zu erstellen, die dem Verwaltungskonto den Zugriff auf das eingeladene Mitgliedskonto gewährt. Diese Rolle soll mit der Rolle identisch sein, die automatisch einem Konto hinzugefügt wird, das mit AWS Organizations erstellt wird.
Informationen zum Erstellen dieser Rolle finden Sie unter [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Nach dem Erstellen der Rolle können Sie mit den Schritten in [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md) zugreifen.
------
**Topics**
+ [Eine IAM-Zugriffsrolle erstellen](orgs_manage_accounts_create-cross-account-role.md)
+ [Verwenden der IAM-Zugriffsrolle](orgs_manage_accounts_access-cross-account-role.md)
# Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations
Wenn Sie ein Mitgliedskonto als Teil Ihrer Organisation erstellen, erstellt AWS standardmäßig automatisch eine Rolle im Konto, die IAM-Benutzern im Verwaltungskonto, die die Rolle übernehmen können, Administratorberechtigungen erteilt. Standardmäßig hat diese Rolle den Namen `OrganizationAccountAccessRole`. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Für Mitgliedskonten allerdings, die Sie zum Beitritt zur Organisation *einladen*, ***wird nicht*** automatisch eine Admin-Rolle erstellt. Sie müssen dies, wie in der folgenden Prozedur gezeigt, manuell erledigen. Die Prozedur dupliziert die automatisch für erstellte Konten eingerichtete Rolle. Wir empfehlen, dass Sie aus Konsistenzgründen und zur leichteren Erkennbarkeit denselben Namen (`OrganizationAccountAccessRole`) für Ihre manuell erstellten Rollen nutzen.
------
#### [ AWS-Managementkonsole ]
**Um eine AWS Organizations Administratorrolle in einem Mitgliedskonto zu erstellen**
1. Melden Sie sich bei der IAM-Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Sie müssen sich im Mitgliedskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Stammbenutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). Der Benutzer oder die Rolle muss über die Berechtigung zum Erstellen von IAM-Rollen und Richtlinien verfügen.
1. Navigieren Sie in der IAM-Konsole zu **Rollen** und wählen Sie dann Rolle **erstellen** aus.
1. Wählen Sie **AWS-Konto**und wählen Sie dann **Andere AWS-Konto** aus.
1. Geben Sie die 12-stellige Konto-ID-Nummer des Verwaltungskontos ein, für das Sie Administratorzugriff gewähren möchten. Beachten Sie unter **Optionen** bitte Folgendes:
+ Da die Konten in Ihrem Unternehmen intern sind, sollten Sie für diese Rolle **nicht** die Option **Externe ID erforderlich** auswählen. Weitere Informationen zur Option „Externe ID“ finden Sie unter [Wann sollte ich eine externe ID verwenden?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) im *IAM-Benutzerhandbuch*.
+ Wenn Sie MFA aktiviert und konfiguriert haben, können Sie optional eine Authentifizierung mithilfe eines Multi-Factor Authentication (MFA)-Geräts festlegen. Weitere Informationen zu MFA finden Sie unter [Using Multi-Factor Authentication (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) *IAM-Benutzerhandbuch*.
1. Wählen Sie **Weiter** aus.
1. **Wählen Sie auf der Seite „**Berechtigungen hinzufügen**“ die AWS verwaltete Richtlinie mit dem Namen aus `AdministratorAccess` und klicken Sie dann auf Weiter.**
1. Geben Sie auf der Seite **Name, Überprüfung und Erstellung** einen Rollennamen und eine optionale Beschreibung an. Wir empfehlen, dass Sie zur Übereinstimmung mit dem Standardnamen für die Rolle in neuen Konten den Namen „`OrganizationAccountAccessRole`“ verwenden. Wählen Sie **Create Role** (Rolle erstellen) aus, um Ihre Änderungen zu übernehmen.
1. Die neue Rolle erscheint in der Liste der verfügbaren Rollen. Wählen Sie den Namen der neuen Rolle aus, um die Details anzuzeigen. Beachten Sie dabei besonders die angegebene Link-URL. Geben Sie diese URL an die Benutzer im Mitgliedskonto weiter, die Zugriff auf die Rolle benötigen. Notieren Sie sich außerdem den **Role ARN (Rollen-ARN)**. Sie benötigen ihn in Schritt 15.
1. Melden Sie sich bei der IAM-Konsole an unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Melden Sie sich jetzt als derjenige Benutzer im Verwaltungskonto an, der die Berechtigungen zur Erstellung von Richtlinien hat, und weisen Sie die Richtlinien für die Benutzer oder Gruppen zu.
1. Navigieren Sie zu **Richtlinien** und wählen Sie dann **Richtlinie erstellen** aus.
1. Wählen Sie unter **Service** die Option **STS** aus.
1. Für **Actions** geben Sie **AssumeRole** in das Feld **Filter** ein und aktivieren Sie dann das Kontrollkästchen daneben, wenn es angezeigt wird.
1. Stellen Sie sicher, dass unter **Ressourcen** die Option **Spezifisch** ausgewählt ist, und wählen Sie dann **Hinzufügen** aus ARNs.
1. Geben Sie die AWS Mitgliedskonto-ID-Nummer und dann den Namen der Rolle ein, die Sie zuvor in den Schritten 1—8 erstellt haben. Wählen Sie **Hinzufügen ARNs** aus.
1. Wenn Sie die Berechtigung zur Übernahme der Rolle in mehreren Mitgliedskonten erteilen, wiederholen Sie die Schritte 14 und 15 für jedes Konto.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus, um Ihre Änderungen zu speichern.
1. Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, mit der Sie die Verwaltung des Mitgliedskontos delegieren möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie **Berechtigungen hinzufügen**, dann **Richtlinien anhängen** und wählen Sie dann die Richtlinie aus, die Sie in den Schritten 11—18 erstellt haben.
------
Die Benutzer, die Mitglieder der ausgewählten Gruppe sind, können nun die Daten URLs , die Sie in Schritt 9 erfasst haben, verwenden, um auf die Rollen der einzelnen Mitgliedskonten zuzugreifen. Sie können auf diese Mitgliedskonten so zugreifen wie beim Zugriff auf ein in der Organisation erstelltes Konto. Weitere Informationen über die Verwendung der Rolle zur Administration eines Mitgliedskontos finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations
Wenn Sie über die AWS Organizations Konsole ein Mitgliedskonto erstellen, AWS Organizations *wird automatisch* eine IAM-Rolle mit dem Namen `OrganizationAccountAccessRole` des Kontos erstellt. Diese Rolle hat volle administrative Berechtigungen im Mitgliedskonto. Der Zugriffsumfang für diese Rolle umfasst alle Hauptbenutzer im Verwaltungskonto, sodass die Rolle so konfiguriert ist, dass sie diesen Zugriff auf das Verwaltungskonto der Organisation gewährt.
Sie können eine identische Rolle für ein eingeladenes Mitgliedskonto erstellen, indem Sie entsprechend der Schritte in [Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations](orgs_manage_accounts_create-cross-account-role.md) vorgehen.
Um diese Rolle für den Zugriff auf das Mitgliedskonto zu verwenden, müssen Sie sich als Benutzer des Verwaltungskonto anmelden, das Berechtigungen zur Annahme der Rolle hat. Führen Sie das folgende Verfahren aus, um diese Berechtigungen zu konfigurieren. Wir empfehlen, dass Sie Berechtigungen zu Gruppen statt zu Benutzern zuweisen. Dies vereinfacht die Wartung.
------
#### [ AWS-Managementkonsole ]
**Erteilen von Berechtigungen zum Zugriff auf die Rolle für Mitglieder einer IAM-Gruppe im Verwaltungskonto**
1. Melden Sie sich bei der IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)als Benutzer mit Administratorrechten im Verwaltungskonto an. Dies ist erforderlich, um Berechtigungen zu der IAM-Gruppe zuzuweisen, deren Benutzer auf die Rolle im Mitgliedskonto zugreifen.
1. Erstellen Sie zunächst die verwaltete Richtlinie, die Sie später in [Step 14](#step-choose-group) benötigen.
Wählen Sie im Navigationsbereich **Policies (Richtlinien)** und dann **Create policy (Richtlinie erstellen)** aus.
1. Wählen Sie auf der Registerkarte Visual Editor die Option **Dienst auswählen aus, geben Sie **STS** in das Suchfeld ein**, um die Liste zu filtern, und wählen Sie dann die Option **STS** aus.
1. Geben Sie im Abschnitt **Aktionen** **assume** in das Suchfeld ein, um die Liste zu filtern, und wählen Sie dann die **AssumeRole**Option aus.
1. Wählen Sie im Abschnitt **Ressourcen** die Option **Spezifisch** und anschließend **Hinzufügen ARNs**
1. Wählen **Sie im Abschnitt ARN (s) angeben** die Option **Anderes Konto** für Ressource in aus.
1. Geben Sie die ID des Mitgliedskontos ein, das Sie gerade erstellt haben
1. Geben Sie unter **Name der Ressourcenrolle mit Pfad** den Namen der Rolle ein, die Sie im vorherigen Abschnitt erstellt haben (wir empfehlen, sie zu benennen`OrganizationAccountAccessRole`).
1. Wählen **Sie Hinzufügen ARNs**, wenn das Dialogfeld den richtigen ARN anzeigt.
1. (Optional) Wenn Sie eine Multi-Factor Authentication (MFA) anfordern oder den Zugriff auf die Rolle aus einem angegebenen IP-Adressbereich einschränken möchten, erweitern Sie den Abschnitt „Request conditions (Anforderungsbedingungen)“ und wählen die Optionen aus, die Sie durchsetzen möchten.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein. Beispiel: **GrantAccessToOrganizationAccountAccessRole**. Optional können Sie auch eine Beschreibung eingeben.
1. Wählen Sie **Create policy (Richtlinie erstellen)** aus, um die neue verwaltete Richtlinie zu speichern.
1. Da die Richtlinie jetzt verfügbar ist, können Sie diese einer Gruppe anfügen.
Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, deren Mitglieder Sie die Rolle im Mitgliedskonto übernehmen möchten. Falls erforderlich, können Sie eine neue Gruppe erstellen.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)**, wählen Sie **Add permissions (Berechtigungen hinzufügen)** und wählen Sie dann **Attach policies (Richtlinien anhängen)**.
1. (Optional) Sie können im Feld **Search (Suchen)** mit der Eingabe des Namens Ihrer Richtlinie beginnen, um die Liste zu filtern, bis Ihnen der Name der Richtlinie angezeigt wird, die Sie gerade in [Step 2](#step-create-policy) über [Step 13](#step-end-policy) erstellt haben. Sie können auch alle AWS verwalteten Richtlinien herausfiltern, indem Sie **Alle Typen** und dann vom **Kunden verwaltet** auswählen.
1. Markieren Sie das Kästchen neben Ihrer Richtlinie und wählen Sie dann **Richtlinien anhängen** aus.
------
IAM-Benutzer, die Mitglieder der Gruppe sind, sind jetzt berechtigt, mithilfe des folgenden Verfahrens zur neuen Rolle in der AWS Organizations Konsole zu wechseln.
------
#### [ AWS-Managementkonsole ]
**So wechseln Sie zur Rolle für das Mitgliedskonto**
Wenn er die Rolle verwendet, hat der Benutzer Administratorberechtigungen im neuen Mitgliedskonto. Weisen Sie Ihre IAM-Benutzer an, die Mitglieder der Gruppe sind, die folgenden Schritte auszuführen, um zur neuen Rolle zu wechseln.
1. **Wählen Sie in der oberen rechten Ecke der AWS Organizations Konsole den Link aus, der Ihren aktuellen Anmeldenamen enthält, und klicken Sie dann auf Rolle wechseln.**
1. Geben Sie die von Ihrem Administrator erhaltene Konto-ID und den Rollennamen ein.
1. Geben Sie unter **Display Name (Anzeigename)** den Text ein, der während der Verwendung der Rolle in der Navigationsleiste in der oberen rechten Ecke statt Ihres Benutzernamens angezeigt werden soll. Optional können Sie eine Farbe auswählen.
1. Wählen Sie **Switch Role**. Nun werden alle von Ihnen ausgeführten Aktionen mit den für die gewählte Rolle gewährten Berechtigungen ausgeführt. Solange Sie nicht zurück wechseln, müssen die Berechtigungen nicht Ihrem ursprünglichen IAM-Benutzer zugewiesen werden.
1. Nach der Ausführung von Aktionen, für die Sie die Berechtigungen der Rolle benötigen, können Sie zum normalen IAM-Benutzer zurückwechseln. **Wählen Sie den Rollennamen in der oberen rechten Ecke aus (den Namen, den Sie als **Anzeigenamen** angegeben haben) und wählen Sie dann Zurück zu. *UserName***
------