Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Einmalige Einrichtung einer direkten IAM-Verbundanwendung in Okta 1. Melden Sie sich als Benutzer mit Administratorrechten bei Ihrem Okta Konto an. 1. Wählen Sie in der Okta Admin-Konsole unter **Anwendungen** die Option **Anwendungen aus.** 1. Wählen Sie „**App-Katalog durchsuchen“**. Suchen Sie nach **AWS Account Federation** und wählen Sie es aus. Wählen Sie dann **Integration hinzufügen**. 1. Richten Sie einen direkten IAM-Verbund ein, AWS indem Sie die Schritte unter [So konfigurieren Sie SAML 2.0 für den AWS Kontoverbund](https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-Web-Service.html) befolgen. Um regionale Ausfallszenarien zu bewältigen, empfehlen wir, bei der Konfiguration des Anmeldeendpunkts sowohl den nicht-regionalen Endpunkt als auch mehrere regionale Endpunkte für alle Regionen, in denen Sie tätig sind, zu aktivieren, um die Ausfallsicherheit des Verbunds zu verbessern. Bei der Konfiguration der ACS-URL für diesen Notfallzugriff empfehlen wir, dass Sie den regionalen Endpunkt einer anderen Region als der Region verwenden, in der Ihr IAM Identity Center bereitgestellt wird. Eine Liste der regionalen [Endpunkte finden Sie unter Anmeldeendpunkte](https://docs.aws.amazon.com/general/latest/gr/signin-service.html) in der *AWS Allgemeinen Referenz*. 1. **Wählen Sie auf der Registerkarte **Anmeldeoptionen** die Option SAML 2.0 aus und geben Sie die Einstellungen für **Gruppenfilter** und Rollenwertmuster ein.** Der Name der Gruppe für das Benutzerverzeichnis hängt vom Filter ab, den Sie konfigurieren. ![\[Zwei Optionen: Accountid und Rolle im Gruppenfilter oder Rollenwertmuster.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emergency-access-group-filter-role-value-pattern.png) In der Abbildung oben bezieht sich die `role` Variable auf die Rolle „Notfallbetrieb“ in Ihrem Notfallzugriffskonto. Wenn Sie beispielsweise die `EmergencyAccess_Role1_RO` Rolle (wie in der Zuordnungstabelle beschrieben) in erstellen und Ihre Gruppenfiltereinstellung so konfiguriert ist AWS-Konto `123456789012`, wie in der Abbildung oben gezeigt, sollte Ihr Gruppenname lauten`aws#EmergencyAccess_Role1_RO#123456789012`. 1. Erstellen Sie in Ihrem Verzeichnis (z. B. Ihrem Verzeichnis in Active Directory) die Notfallzugriffsgruppe und geben Sie einen Namen für das Verzeichnis an (z. B.`aws#EmergencyAccess_Role1_RO#123456789012`). Weisen Sie Ihre Benutzer dieser Gruppe zu, indem Sie Ihren vorhandenen Bereitstellungsmechanismus verwenden. 1. [Konfigurieren Sie im Notfallzugriffskonto eine benutzerdefinierte Vertrauensrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html), die die erforderlichen Berechtigungen bereitstellt, damit die Notfallzugriffsrolle während einer Störung übernommen werden kann. Im Folgenden finden Sie eine Beispielanweisung für eine benutzerdefinierte **Vertrauensrichtlinie**, die der `EmergencyAccess_Role1_RO` Rolle zugeordnet ist. Eine Veranschaulichung finden Sie in der Abbildung unten unter dem Notfallkonto[Wie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle](emergency-access-mapping-design.md). Ersetzen Sie den Muster-ARN für den SAML-Anbieter durch den richtigen, den Sie im Notfallzugriffskonto erstellt haben. Ersetzen Sie die regionalen Endpunkte im Beispiel durch die Regionen Ihrer Wahl. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/[SAML PROVIDER NAME]" }, "Action":[ "sts:AssumeRoleWithSAML", "sts:TagSession" ], "Condition":{ "StringEquals":{ "SAML:aud": [ "https://signin.aws.amazon.com/saml", "https://us-west-2.signin.aws.amazon.com/saml", "https://us-west-1.signin.aws.amazon.com/saml", "https://us-east-2.signin.aws.amazon.com/saml" ] } } }, { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/Okta" }, "Action":"sts:SetSourceIdentity" } ] } ``` ------ 1. Im Folgenden finden Sie eine Beispielanweisung für eine **Berechtigungsrichtlinie**, die der `EmergencyAccess_Role1_RO` Rolle zugeordnet ist. Eine Veranschaulichung finden Sie in der Abbildung unten unter dem Notfallkonto[Wie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle](emergency-access-mapping-design.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/EmergencyAccess_RO", "arn:aws:iam::444455556666:role/EmergencyAccess_RO" ] } ] } ``` ------ 1. Konfigurieren Sie für die Workload-Konten eine benutzerdefinierte Vertrauensrichtlinie. Im Folgenden finden Sie ein Beispiel für eine **Vertrauensrichtlinie**, die der `EmergencyAccess_RO` Rolle zugeordnet ist. In diesem Beispiel `123456789012` ist Konto das Notfallzugriffskonto. Eine Veranschaulichung finden Sie in der Abbildung unten unter Workload-Konto[Wie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle](emergency-access-mapping-design.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:root" }, "Action":"sts:AssumeRole" } ] } ``` ------ **Anmerkung** In den IdPs meisten Fällen können Sie eine Anwendungsintegration so lange deaktivieren, bis sie benötigt wird. Wir empfehlen Ihnen, die direkte IAM-Verbundanwendung in Ihrem IdP so lange deaktiviert zu lassen, bis sie für den Notfallzugriff benötigt wird.