Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren Sie den Zugriff auf AWS-Konten
<a name="manage-your-accounts"></a>

AWS IAM Identity Center ist in integriert AWS Organizations, sodass Sie Berechtigungen für mehrere Konten zentral verwalten können, AWS-Konten ohne jedes Ihrer Konten manuell konfigurieren zu müssen. Sie können Berechtigungen definieren und diese Berechtigungen Workforce-Benutzern zuweisen, um deren Zugriff AWS-Konten mithilfe einer [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center zu kontrollieren. [Kontoinstanzen](account-instances-identity-center.md) von IAM Identity Center unterstützen keinen Kontozugriff.

## AWS-Konto Typen
<a name="account-types"></a>

Es gibt zwei Arten von AWS-Konten Einträgen AWS Organizations:
+ **Verwaltungskonto** — Das Konto AWS-Konto , das zur Erstellung der Organisation verwendet wird.
+ **Mitgliedskonten** — Die AWS-Konten restlichen Konten gehören zu einer Organisation.

Weitere Informationen zu AWS-Konto Typen finden Sie unter [AWS Organizations Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) im *AWS Organizations Benutzerhandbuch*.

Sie können sich auch dafür entscheiden, ein Mitgliedskonto als *delegierter Administrator* für IAM Identity Center zu registrieren. Benutzer mit diesem Konto können die meisten Verwaltungsaufgaben im IAM Identity Center ausführen. Weitere Informationen finden Sie unter [Delegierte Verwaltung](delegated-admin.md).

Für jede Aufgabe und jeden Kontotyp gibt die folgende Tabelle an, ob die IAM Identity Center-Verwaltungsaufgabe von Benutzern des Kontos ausgeführt werden kann.


****  

| Verwaltungsaufgaben von IAM Identity Center | Mitgliedskonto | Delegiertes Administratorkonto | Verwaltungskonto | 
| --- | --- | --- | --- | 
| Benutzer oder Gruppen lesen (die Gruppe selbst und die Gruppenmitgliedschaft lesen) | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Benutzer oder Gruppen hinzufügen, bearbeiten oder löschen | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png)Ja\$1 | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Benutzerzugriff aktivieren oder deaktivieren | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Aktivieren, deaktivieren oder verwalten Sie eingehende Attribute | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Identitätsquellen ändern oder verwalten | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Vom Kunden verwaltete Anwendungen erstellen, bearbeiten oder löschen | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
|  AWS Verwaltete Anwendungen erstellen, bearbeiten oder löschen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| MFA konfigurieren | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Verwalten Sie Berechtigungssätze, die nicht im Verwaltungskonto bereitgestellt wurden | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Verwalten Sie die im Verwaltungskonto bereitgestellten Berechtigungssätze | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| IAM Identity Center aktivieren | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Löschen Sie die IAM Identity Center-Konfiguration | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Aktivieren oder deaktivieren Sie den Benutzerzugriff im Verwaltungskonto | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 
| Registrieren oder deregistrieren Sie ein Mitgliedskonto als delegierter Administrator | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | 

\$1Informationen zu Benutzer- und Gruppenzuweisungen zum Verwaltungskonto finden Sie in den bewährten Methoden für die delegierte Administration.

## Zugriff zuweisen AWS-Konto
<a name="assigning-account-access"></a>

Mithilfe *von Berechtigungssätzen* können Sie Benutzern und Gruppen in Ihrer Organisation einfacher Zugriff zuweisen AWS-Konten. Berechtigungssätze werden in IAM Identity Center gespeichert und definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können. AWS-Konto Sie können einen einzelnen Berechtigungssatz erstellen und ihn mehreren AWS-Konten innerhalb Ihrer Organisation zuweisen. Sie können demselben Benutzer auch mehrere Berechtigungssätze zuweisen.

Weitere Informationen zu Berechtigungssätzen finden Sie unter [Berechtigungssätze erstellen, verwalten und löschen](permissionsets.md).

**Anmerkung**  
Sie können Ihren Benutzern auch Single Sign-On-Zugriff auf Anwendungen zuweisen. Weitere Informationen finden Sie unter [Zugriff auf Anwendungen konfigurieren](manage-your-applications.md).

## Erfahrung für Endbenutzer
<a name="end-user-experience"></a>

Das *AWS Zugriffsportal* bietet Benutzern von IAM Identity Center über ein Webportal Single Sign-On-Zugriff auf alle ihnen zugewiesenen AWS-Konten Anwendungen. Das AWS Zugriffsportal unterscheidet sich von dem [AWS-Managementkonsole](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html), bei dem es sich um eine Sammlung von Servicekonsolen zur Verwaltung AWS von Ressourcen handelt.

Wenn Sie einen Berechtigungssatz erstellen, wird der Name, den Sie für den Berechtigungssatz angeben, im AWS Access-Portal als verfügbare Rolle angezeigt. Benutzer melden sich beim AWS Access-Portal an, wählen eine AWS-Konto und dann die Rolle aus. Nachdem sie die Rolle ausgewählt haben, können sie mithilfe der auf AWS Dienste zugreifen AWS-Managementkonsole oder temporäre Anmeldeinformationen abrufen, um programmgesteuert auf AWS Dienste zuzugreifen.

Um die temporären Anmeldeinformationen für den AWS programmgesteuerten Zugriff zu öffnen AWS-Managementkonsole oder abzurufen, führen Benutzer die folgenden Schritte aus:

1. Benutzer öffnen ein Browserfenster und verwenden die von Ihnen angegebene Anmelde-URL, um zum Access-Portal zu navigieren. AWS 

1. Mit ihren Verzeichnisanmeldedaten melden sie sich beim AWS Access-Portal an.

1. Nach der Authentifizierung wählen sie auf der AWS Access-Portalseite die Registerkarte **Konten** aus, um die Liste AWS-Konten anzuzeigen, auf die sie Zugriff haben.

1. Die Benutzer wählen dann AWS-Konto die aus, die sie verwenden möchten.

1. Unter dem Namen der werden alle Berechtigungssätze AWS-Konto, denen Benutzer zugewiesen sind, als verfügbare Rollen angezeigt. Wenn Sie dem `PowerUser` Berechtigungssatz beispielsweise `john_stiles` einen Benutzer zugewiesen haben, wird die Rolle im AWS Zugriffsportal als angezeigt`PowerUser/john_stiles`. Benutzer mit mehreren Berechtigungssätzen wählen aus, welche -Rolle verwendet werden soll. Benutzer können ihre Rolle für den Zugriff auf auswählen AWS-Managementkonsole.

1. Zusätzlich zur Rolle können AWS Access-Portal-Benutzer temporäre Anmeldeinformationen für den Befehlszeilen- oder programmgesteuerten Zugriff abrufen, indem sie **Zugriffstasten** wählen.

 step-by-stepAnleitungen, die Sie Ihren Mitarbeitern zur Verfügung stellen können, finden Sie unter [Einrichtung und Nutzung des AWS Zugangsportals](using-the-portal.md) und[Abrufen der IAM Identity Center-Benutzeranmeldedaten für oder AWS CLI AWS SDKs](howtogetcredentials.md).

## Erzwingung und Beschränkung des Zugriffs
<a name="enforcing-and-limiting-access"></a>

Wenn Sie IAM Identity Center aktivieren, erstellt IAM Identity Center eine dienstbezogene Rolle. Sie können auch Richtlinien zur Dienststeuerung () verwenden. SCPs

### Zugriff delegieren und erzwingen
<a name="delegating-and-enforcing-access"></a>

Eine *dienstverknüpfte Rolle* ist eine Art von IAM-Rolle, die direkt mit einem Dienst verknüpft ist. AWS Nachdem Sie IAM Identity Center aktiviert haben, kann IAM Identity Center in jeder Rolle in Ihrer Organisation eine dienstbezogene Rolle erstellen. AWS-Konto Diese Rolle bietet vordefinierte Berechtigungen, mit denen IAM Identity Center delegieren und durchsetzen kann, welche Benutzer über Single Sign-On-Zugriff auf bestimmte Bereiche in Ihrer Organisation verfügen. AWS-Konten AWS Organizations Sie müssen einem oder mehreren Benutzern Zugriff auf ein Konto zuweisen, um diese Rolle verwenden zu können. Weitere Informationen erhalten Sie unter [Grundlegendes zu serviceverknüpften Rollen in IAM Identity Center](slrconcept.md) und [Verwendung von serviceverknüpften Rollen für IAM Identity Center](using-service-linked-roles.md).

### Beschränken Sie den Zugriff auf den Identitätsspeicher von Mitgliedskonten aus
<a name="limiting-access-from-member-accounts"></a>

Für den von IAM Identity Center verwendeten Identitätsspeicherdienst können Benutzer, die Zugriff auf ein Mitgliedskonto haben, API-Aktionen verwenden, für die **Leseberechtigungen** erforderlich sind. **Mitgliedskonten haben Zugriff auf **Leseaktionen** sowohl im **sso-directory** - als auch im identitystore-Namespaces.** *Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS IAM Identity Center Verzeichnisse und Aktionen, Ressourcen und Bedingungsschlüssel für](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html) [Identity Store in der Service Authorization Reference](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html). AWS *

Um zu verhindern, dass Benutzer in Mitgliedskonten API-Operationen im Identitätsspeicher verwenden, können Sie [eine Service Control Policy (SCP) anhängen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_attach.html). Ein SCP ist eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. Das folgende Beispiel für SCP verhindert, dass Benutzer in Mitgliedskonten auf API-Operationen im Identitätsspeicher zugreifen.

```
        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": ["identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
```

**Anmerkung**  
Um sicherzustellen, dass Ihre AWS verwalteten Anwendungen gut mit Ihrem IAM Identity Center funktionieren, sollten Sie es vermeiden, dieses SCP dort anzuwenden, AWS-Konten wo Sie diese Anwendungen bereitgestellt haben. Wenn Sie die delegierte Administration verwenden, sollten Sie außerdem vermeiden, diesen SCP auf das Konto für die delegierte Administration anzuwenden. Weitere Informationen finden Sie unter [Best Practices](delegated-admin.md#delegated-admin-best-practices).

*Weitere Informationen finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) im AWS Organizations Benutzerhandbuch.*

# Delegierte Verwaltung
<a name="delegated-admin"></a>

Delegierte Administration bietet zugewiesenen Benutzern in einem registrierten Mitgliedskonto eine bequeme Möglichkeit, die meisten Verwaltungsaufgaben in IAM Identity Center auszuführen. Wenn Sie IAM Identity Center aktivieren, wird Ihre IAM Identity Center-Instanz standardmäßig im Verwaltungskonto erstellt. AWS Organizations Dies wurde ursprünglich so konzipiert, dass IAM Identity Center Rollen für alle Mitgliedskonten Ihrer Organisation bereitstellen, deren Bereitstellung aufheben und aktualisieren kann. Auch wenn sich Ihre IAM Identity Center-Instanz immer im Verwaltungskonto befinden muss, können Sie sich dafür entscheiden, die Verwaltung von IAM Identity Center an ein Mitgliedskonto in zu delegieren AWS Organizations, wodurch die Möglichkeit erweitert wird, IAM Identity Center von außerhalb des Verwaltungskontos zu verwalten.

Die Aktivierung der delegierten Administration bietet die folgenden Vorteile:
+ Minimiert die Anzahl der Personen, die Zugriff auf das Verwaltungskonto benötigen, um Sicherheitsbedenken auszuräumen
+ Ermöglicht ausgewählten Administratoren, Benutzern und Gruppen Anwendungen und Mitgliedskonten Ihrer Organisation zuzuweisen

Weitere Informationen zur Verwendung von IAM Identity Center finden Sie AWS Organizations unter[Konfigurieren Sie den Zugriff auf AWS-Konten](manage-your-accounts.md). *Weitere Informationen und ein Beispiel für ein Unternehmensszenario zur Konfiguration der delegierten Administration finden Sie unter [Erste Schritte mit der delegierten IAM Identity Center-Administration im Sicherheits-Blog](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/).AWS *

**Topics**
+ [Best Practices](#delegated-admin-best-practices)
+ [Voraussetzungen](#delegated-admin-prereqs)
+ [Registrieren Sie ein Mitgliedskonto](delegated-admin-how-to-register.md)
+ [Aufheben der Registrierung eines Mitgliedskontos](delegated-admin-how-to-deregister.md)
+ [Sehen Sie sich an, welches Mitgliedskonto als delegierter Administrator registriert wurde](delegated-admin-how-to-view-member-account.md)

## Best Practices
<a name="delegated-admin-best-practices"></a>

Im Folgenden finden Sie einige bewährte Methoden, die Sie berücksichtigen sollten, bevor Sie die delegierte Administration konfigurieren:
+ **Gewähren Sie dem Verwaltungskonto die geringsten Rechte** — In dem Wissen, dass es sich bei dem Verwaltungskonto um ein Konto mit hohen Rechten handelt und dass Sie sich an das Prinzip der geringsten Rechte halten, empfehlen wir dringend, den Zugriff auf das Verwaltungskonto auf so wenige Personen wie möglich zu beschränken. Mit der Funktion für delegierte Administratoren soll die Anzahl der Personen minimiert werden, die Zugriff auf das Verwaltungskonto benötigen. Sie können auch erwägen, [temporären erweiterten Zugriff](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html) zu verwenden, um diesen Zugriff nur bei Bedarf zu gewähren.
+ **Dedizierte Berechtigungssätze für das Verwaltungskonto** — Verwenden Sie spezielle Berechtigungssätze für das Verwaltungskonto. Aus Sicherheitsgründen kann ein für den Zugriff auf das Verwaltungskonto verwendeter Berechtigungssatz nur von einem IAM Identity Center-Administrator über das Verwaltungskonto geändert werden. Der delegierte Administrator kann die im Verwaltungskonto bereitgestellten Berechtigungssätze nicht ändern.
+ **Zuweisen von Benutzern (nicht Gruppen) zu Berechtigungssätzen im Verwaltungskonto** — Da das Verwaltungskonto über besondere Rechte verfügt, müssen Sie bei der Zuweisung von Zugriff auf dieses Konto in der Konsole oder AWS Command Line Interface (CLI) Vorsicht walten lassen. Wenn Sie Gruppen Berechtigungssätzen mit Zugriff auf das Verwaltungskonto zuweisen, kann jeder, der berechtigt ist, die Mitgliedschaften in diesen Gruppen zu ändern, add/remove to/from diese Gruppen verwenden und somit beeinflussen, wer Zugriff auf das Verwaltungskonto hat. Dies ist ein beliebiger Gruppenadministrator mit Kontrolle über Ihre Identitätsquelle, einschließlich Ihres Identitätsanbieters (IdP) -Administrators, Microsoft Active Directory Domain Service (AD DS) -Administrators oder IAM Identity Center-Administrators. Daher sollten Sie Benutzer direkt Berechtigungssätzen zuweisen, die Zugriff auf das Verwaltungskonto gewähren, und Gruppen vermeiden. Wenn Sie Gruppen verwenden, um den Zugriff auf das Verwaltungskonto zu verwalten, stellen Sie sicher, dass der IdP über angemessene Kontrollen verfügt, um einzuschränken, wer diese Gruppen ändern kann, und stellen Sie sicher, dass Änderungen an diesen Gruppen (oder Änderungen der Anmeldeinformationen für die Benutzer im Verwaltungskonto) protokolliert und gegebenenfalls überprüft werden. 
+ **Berücksichtigen Sie Ihren Active Directory-Standort** — Wenn Sie Active Directory als Ihre IAM Identity Center-Identitätsquelle verwenden möchten, suchen Sie das Verzeichnis in dem Mitgliedskonto, in dem Sie die Funktion für delegierte Administratoren von IAM Identity Center aktiviert haben. Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis im delegierten IAM Identity Center-Administratorkonto befinden. Wenn Sie möchten, dass sich Ihr Active Directory im Verwaltungskonto befindet, müssen Sie die Einrichtung im Verwaltungskonto vornehmen, da der delegierte Administrator nicht über die erforderlichen Berechtigungen verfügt, um den Vorgang abzuschließen.

### Beschränken Sie die IAM Identity Center-Identitätsspeicher-Aktionen im delegierten Administratorkonto auf externe Identitätsquellen
<a name="delegated-admin-best-practices-external"></a>

Wenn Sie eine externe Identitätsquelle wie einen IdP oder verwenden, sollten Sie Richtlinien implementieren Directory Service, die die Identitätsspeicher-Aktionen einschränken, die ein IAM Identity Center-Administrator innerhalb des delegierten Administratorkontos ausführen kann. Schreib- und Löschvorgänge sollten sorgfältig abgewogen werden. Im Allgemeinen ist die externe Identitätsquelle die Informationsquelle für Benutzer und ihre Attribute sowie für Gruppenmitgliedschaften. Wenn Sie diese mithilfe des Identitätsspeichers APIs oder der Konsole ändern, werden Ihre Änderungen während normaler Synchronisierungszyklen überschrieben. Überlassen Sie diese Vorgänge am besten der alleinigen Kontrolle Ihrer Identitätsquelle. Dies schützt auch davor, dass ein IAM Identity Center-Administrator Gruppenmitgliedschaften ändert, um Zugriff auf einen der Gruppe zugewiesenen Berechtigungssatz oder eine Anwendung zu gewähren, anstatt die Kontrolle der Gruppenmitgliedschaft Ihrem IdP-Administrator zu überlassen. Sie sollten auch darauf achten, wer SCIM-Trägertoken vom delegierten Administratorkonto aus erstellen kann, da diese es einem Administrator eines Mitgliedskontos ermöglichen könnten, Gruppen und Benutzer über einen SCIM-Client zu ändern.

Es kann vorkommen, dass Schreib- oder Löschvorgänge vom delegierten Administratorkonto aus angemessen sind. Sie können beispielsweise eine Gruppe erstellen, ohne Mitglieder hinzuzufügen, und dann Zuweisungen zu einem Berechtigungssatz vornehmen, ohne darauf warten zu müssen, dass der IdP-Administrator die Gruppe erstellt. Niemand hat Zugriff auf diese Zuweisung, bis der IdP-Administrator die Gruppe bereitstellt und der IdP-Synchronisierungsprozess die Gruppenmitglieder festlegt. Es kann auch sinnvoll sein, einen Benutzer oder eine Gruppe zu löschen, um eine Anmeldung oder Autorisierung zu verhindern, wenn Sie nicht warten können, bis der IdP-Synchronisierungsprozess den Zugriff des Benutzers oder der Gruppe aufhebt. Ein Missbrauch dieser Berechtigung kann sich jedoch negativ auf die Benutzer auswirken. Bei der Zuweisung von Identitätsspeicherberechtigungen sollten Sie das Prinzip der geringsten Rechte verwenden. Mithilfe einer Service Control Policy (SCP) können Sie steuern, welche Identitätsspeicher-Aktionen von den Administratoren Ihres delegierten Administratorkontos zugelassen werden.

Das folgende Beispiel für SCP verhindert die Zuweisung von Benutzern zu Gruppen über die Identity Store-API und die. Dies wird empfohlen AWS-Managementkonsole, wenn es sich bei Ihrer Identitätsquelle um eine externe Identitätsquelle handelt. Dies hat keinen Einfluss auf die Benutzersynchronisierung von Directory Service oder von einem externen IdP (über SCIM).

**Anmerkung**  
Es ist möglich, dass Ihre Organisation, obwohl Sie eine externe Identitätsquelle verwenden, ganz oder teilweise auf den Identitätsspeicher APIs für die Bereitstellung von Benutzern und Gruppen angewiesen ist. Bevor Sie diesen SCP aktivieren, sollten Sie daher sicherstellen, dass Ihr Benutzerbereitstellungsprozess diesen Identity Store-API-Vorgang nicht verwendet. Im nächsten Abschnitt finden Sie außerdem Informationen darüber, wie Sie die Verwaltung von Gruppenmitgliedschaften auf bestimmte Gruppen beschränken können.

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}
```

Wenn Sie verhindern möchten, dass Benutzer nur zu Gruppen hinzugefügt werden, die Zugriff auf das Verwaltungskonto gewähren, können Sie mithilfe des Gruppen-ARN im folgenden Format auf diese spezifischen Gruppen verweisen:`arn:${Partition}:identitystore:::group/${GroupId}`. Dieser und andere im Identity Store verfügbare Ressourcentypen sind unter [Ressourcentypen definiert durch AWS Identity Store](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html#awsodemtotustpre-resoruces-for-iam-policies) in der *Service Authorization Reference* dokumentiert. Sie können auch erwägen, zusätzlichen Identitätsspeicher APIs in den SCP aufzunehmen. Weitere Informationen finden Sie unter [Aktionen](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) in der Identity Store-API-Referenz.

Indem Sie Ihrem SCP die folgende Richtlinienerklärung hinzufügen, können Sie die Erstellung von SCIM-Bearer-Token durch den delegierten Administrator verhindern. Sie können dies für beide externen Identitätsquellen anwenden. 

**Anmerkung**  
Wenn Ihr delegierter Administrator die Benutzerverwaltung mit SCIM einrichten oder die regelmäßige Rotation des SCIM-Bearer-Tokens durchführen muss, müssen Sie vorübergehend den Zugriff auf diese API gewähren, damit der delegierte Administrator diese Aufgaben ausführen kann.

```
    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }
```

### Beschränken Sie die IAM Identity Center-Identitätsspeicher-Aktionen im delegierten Administratorkonto für lokal verwaltete Benutzer
<a name="delegated-admin-best-practices-locally-managed"></a>

Wenn Sie Ihre Benutzer und Gruppen direkt in IAM Identity Center erstellen, anstatt einen externen IdP oder zu verwenden Directory Service, sollten Sie Vorkehrungen dafür treffen, wer Benutzer erstellen, Passwörter zurücksetzen und die Gruppenmitgliedschaft kontrollieren kann. Diese Aktionen geben dem Administrator umfassende Möglichkeiten, festzulegen, wer sich anmelden kann und wer durch die Mitgliedschaft in Gruppen Zugriff erhält. Diese Richtlinien lassen sich am besten als Inline-Richtlinien innerhalb der Berechtigungssätze implementieren, die Sie für Ihre IAM Identity Center-Administratoren verwenden, und nicht als. SCPs Das folgende Beispiel für eine Inline-Richtlinie verfolgt zwei Ziele. Erstens verhindert sie das Hinzufügen von Benutzern zu bestimmten Gruppen. Sie können dies verwenden, um zu verhindern, dass delegierte Administratoren Benutzer zu Gruppen hinzufügen, die Zugriff auf das Verwaltungskonto gewähren. Zweitens verhindert es die Ausgabe von SCIM-Inhaber-Tokens.

```
{ 
  "Version": "2012-10-17", 		 	 	 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}
```

### Trennen Sie das IAM Identity Center-Konfigurationsmanagement vom Management PermissionSet
<a name="delegated-admin-best-practices-configuration-management"></a>

Trennen Sie die administrativen Aufgaben, einschließlich der Änderung der externen Identitätsquelle, der SCIM-Tokenverwaltung und der Konfiguration des Sitzungstimeouts, von den Aufgaben zum Erstellen, Ändern und Zuweisen von Berechtigungssätzen, indem Sie von Ihrem Verwaltungskonto aus unterschiedliche Administratorberechtigungssätze erstellen.

### Beschränken Sie die Ausgabe von SCIM-Trägertoken
<a name="delegated-admin-best-practices-limit-tokens"></a>

SCIM-Bearer-Token ermöglichen es einer externen Identitätsquelle, Benutzer, Gruppen und Gruppenmitgliedschaften über das SCIM-Protokoll bereitzustellen, wenn die Identitätsquelle Ihres IAM Identity Center ein externer IdP wie Okta oder Entra ID ist. Sie können den folgenden SCP einrichten, um die Erstellung von SCIM-Trägertoken durch delegierte Administratoren zu verhindern. Wenn Ihr delegierter Administrator die Benutzerverwaltung mit SCIM einrichten oder die regelmäßige Rotation der SCIM-Trägertoken durchführen muss, müssen Sie vorübergehend den Zugriff auf diese API zulassen, damit der delegierte Administrator diese Aufgaben ausführen kann.

```
    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}
```

### Verwenden Sie Berechtigungssatz-Tags und Kontolisten, um die Verwaltung bestimmter Konten zu delegieren
<a name="delegated-admin-best-practices-specific-accounts"></a>

Sie können Berechtigungssätze erstellen, die Sie Ihren IAM Identity Center-Administratoren zuweisen, um zu delegieren, wer Berechtigungssätze erstellen kann und wer welchen Konten welche Berechtigungssätze zuweisen kann. Dazu kennzeichnen Sie Berechtigungssätze mit Tags und verwenden Richtlinienbedingungen in den Berechtigungssätzen, die Sie Ihren Administratoren zuweisen. Sie können beispielsweise Berechtigungssätze erstellen, die es einem Benutzer ermöglichen, Berechtigungssätze zu erstellen, sofern sie auf eine bestimmte Weise gekennzeichnet sind. Sie können auch Richtlinien erstellen, die es einem Administrator ermöglichen, bestimmten Konten Berechtigungssätze zuzuweisen, die mit einem bestimmten Tag versehen sind. Auf diese Weise können Sie die Verwaltung von Konten delegieren, ohne einem Administrator die Rechte zu geben, seinen Zugriff und seine Rechte für das delegierte Administratorkonto zu ändern. Indem Sie beispielsweise Berechtigungssätze kennzeichnen, die Sie nur für das delegierte Administratorkonto verwenden, können Sie eine Richtlinie festlegen, die nur bestimmten Personen die Erlaubnis erteilt, Berechtigungssätze und Zuweisungen zu ändern, die sich auf das delegierte Administratorkonto auswirken. Sie können auch anderen Personen die Erlaubnis geben, eine Liste von Konten außerhalb des delegierten Administratorkontos zu verwalten. Weitere Informationen finden Sie im [*AWS Sicherheits-Blog* unter Delegieren der Verwaltung von Berechtigungssätzen und AWS IAM Identity Center der Kontozuweisung](https://aws.amazon.com/blogs/security/delegating-permission-set-management-and-account-assignment-in-aws-iam-identity-center/).

## Voraussetzungen
<a name="delegated-admin-prereqs"></a>

Bevor Sie ein Konto als delegierter Administrator registrieren können, müssen Sie zunächst die folgende Umgebung bereitstellen:
+ AWS Organizations muss zusätzlich zu Ihrem Standard-Verwaltungskonto mit mindestens einem Mitgliedskonto aktiviert und konfiguriert sein. 
+ Wenn Ihre Identitätsquelle auf Active Directory eingestellt ist, muss die [IAM Identity Center, konfigurierbare AD-Synchronisierung](provision-users-from-ad-configurable-ADsync.md) Funktion aktiviert sein.

# Registrieren Sie ein Mitgliedskonto
<a name="delegated-admin-how-to-register"></a>

Um die delegierte Administration zu konfigurieren, müssen Sie zunächst ein Mitgliedskonto in Ihrer Organisation als delegierter Administrator registrieren. Benutzer in diesem Mitgliedskonto, die über ausreichende Berechtigungen verfügen, haben Administratorzugriff auf IAM Identity Center. Nachdem ein Mitgliedskonto erfolgreich für die delegierte Verwaltung registriert wurde, wird es als *delegiertes* Administratorkonto bezeichnet. Weitere Informationen zu den Aufgaben, die das delegierte Administratorkonto ausführen kann, finden Sie unter. [AWS-Konto Typen](manage-your-accounts.md#account-types)

IAM Identity Center unterstützt die Registrierung jeweils nur eines Mitgliedskontos als delegierter Administrator. Sie können ein Mitgliedskonto nur registrieren, wenn Sie mit den Anmeldeinformationen des Verwaltungskontos angemeldet sind.

Gehen Sie wie folgt vor, um Administratorzugriff auf IAM Identity Center zu gewähren, indem Sie ein bestimmtes Mitgliedskonto in Ihrer AWS Organisation als delegierten Administrator registrieren.

**Wichtig**  
Durch diesen Vorgang wird der Administratorzugriff für IAM Identity Center an Administratorbenutzer in diesem Mitgliedskonto delegiert. Alle Benutzer, die über ausreichende Berechtigungen für dieses delegierte Administratorkonto verfügen, können alle IAM Identity Center-Verwaltungsaufgaben von diesem Konto aus ausführen, mit Ausnahme von:   
IAM Identity Center aktivieren
Löschen von IAM Identity Center-Konfigurationen
Verwaltung der im Verwaltungskonto bereitgestellten Berechtigungssätze
Registrierung oder Abmeldung anderer Mitgliedskonten als delegierte Administratoren
Benutzerzugriff im Verwaltungskonto aktivieren oder deaktivieren
Der delegierte Administrator kann die Gruppenmitgliedschaft bearbeiten.

**Um ein Mitgliedskonto zu registrieren**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen Ihres Verwaltungskontos unter an AWS Organizations. Für die Ausführung der [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)API sind Anmeldeinformationen für das Verwaltungskonto erforderlich.

1. Wählen Sie die Region aus, in der IAM Identity Center aktiviert ist, und öffnen Sie dann die [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** und dann die Registerkarte **Verwaltung** aus.

1. Wählen Sie im Bereich **Delegierter Administrator** die Option **Konto registrieren** aus.

1. Wählen Sie auf der Seite **Delegierten Administrator registrieren** den Administrator aus, den AWS-Konto Sie registrieren möchten, und klicken Sie dann auf **Konto registrieren**.

# Aufheben der Registrierung eines Mitgliedskontos
<a name="delegated-admin-how-to-deregister"></a>

Sie können ein Mitgliedskonto nur abmelden, wenn Sie mit den Anmeldeinformationen des Verwaltungskontos angemeldet sind.

Gehen Sie wie folgt vor, um den Administratorzugriff auf IAM Identity Center zu entfernen, indem Sie ein Mitgliedskonto in Ihrer AWS Organisation abmelden, das zuvor als delegierter Administrator benannt wurde.

**Wichtig**  
Wenn Sie ein Konto abmelden, entziehen Sie effektiv allen Administratorbenutzern die Möglichkeit, IAM Identity Center von diesem Konto aus zu verwalten. Daher können sie IAM Identity Center-Identitäten, Zugriffsmanagement, Authentifizierung oder Anwendungszugriff von diesem Konto aus nicht mehr verwalten. Dieser Vorgang wirkt sich nicht auf die in IAM Identity Center konfigurierten Berechtigungen oder Zuweisungen aus und hat daher keine Auswirkungen auf Ihre Endbenutzer, da diese weiterhin Zugriff auf ihre Apps haben, und zwar vom Zugriffsportal AWS-Konten aus. AWS 

**Um ein Mitgliedskonto abzumelden**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen Ihres Verwaltungskontos unter an. AWS Organizations Für die Ausführung der [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)API sind Anmeldeinformationen für das Verwaltungskonto erforderlich.

1. Wählen Sie die Region aus, in der IAM Identity Center aktiviert ist, und öffnen Sie dann die [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** und dann die Registerkarte **Verwaltung** aus.

1. Wählen Sie im Bereich **Delegierter Administrator** die Option Konto **abmelden aus**.

1. Überprüfen Sie im **Dialogfeld „Konto abmelden**“ die Sicherheitsauswirkungen und geben Sie dann den Namen des Mitgliedskontos ein, um zu bestätigen, dass Sie damit einverstanden sind. 

1. Wählen Sie Konto **abmelden**.

# Sehen Sie sich an, welches Mitgliedskonto als delegierter Administrator registriert wurde
<a name="delegated-admin-how-to-view-member-account"></a>

Gehen Sie wie folgt vor, um herauszufinden, welches Mitgliedskonto in Ihrem Konto als delegierter Administrator für IAM Identity Center konfiguriert AWS Organizations wurde.

**Um Ihr registriertes Mitgliedskonto einzusehen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus. 

1. Suchen Sie im Abschnitt **Details** unter **Delegierter Administrator** nach dem registrierten Kontonamen. Sie können diese Informationen auch finden, indem Sie die Registerkarte **Verwaltung** auswählen und sie im Bereich **Delegierter Administrator** anzeigen.

# Temporärer erweiterter Zugriff für AWS-Konten
<a name="temporary-elevated-access"></a>

Jeder Zugriff auf Ihren ist mit einem gewissen Maß an Rechten AWS-Konto verbunden. Vertrauliche Vorgänge, wie z. B. das Ändern der Konfiguration für eine Produktionsumgebung, erfordern aufgrund ihres Umfangs und ihrer möglichen Auswirkungen eine besondere Behandlung. Temporärer erweiterter Zugriff (auch bekannt als just-in-time Zugriff) ist eine Möglichkeit, die Verwendung einer Berechtigung zur Ausführung einer bestimmten Aufgabe während eines bestimmten Zeitraums anzufordern, zu genehmigen und nachzuverfolgen. Temporärer erweiterter Zugriff ergänzt andere Formen der Zugriffskontrolle, wie z. B. Berechtigungssätze und Multi-Faktor-Authentifizierung.

**Anmerkung**  
Um die Geschäftskontinuität zu gewährleisten, empfehlen wir Ihnen, den [Notfallzugriff auf den AWS-Managementkonsole einzurichten](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html).

Lässt sich in die Lösungen von AWS Sicherheitskompetenzpartnern AWS IAM Identity Center integrieren, um einer Reihe von Kundenanforderungen gerecht zu werden. AWS bestätigt, dass diese Lösungen eine Reihe gängiger temporärer erhöhter Zugriffsanforderungen erfüllen. Wir empfehlen Ihnen, jede Partnerlösung sorgfältig zu prüfen, damit Sie eine Lösung auswählen können, die Ihren individuellen Bedürfnissen und Vorlieben am besten entspricht, einschließlich Ihres Unternehmens, der Architektur Ihrer Cloud-Umgebung und Ihres Budgets.

Zu den validierten Lösungen gehören [Apono Access Management Platform](https://www.apono.io/), [CyberArk Secure Cloud Access](https://www.cyberark.com/products/secure-cloud-access/), [Okta Access Requests](https://help.okta.com/en-us/Content/Topics/identity-governance/access-requests/ar-overview.htm) und [Tenable](https://ermetic.com/solution/just-in-time/) (zuvor Ermetic).

Partner können mithilfe der Anwendung AWS Security Competency im Partner Center Lösungen nominieren. Weitere Informationen finden Sie unter Partner für [AWS Sicherheitskompetenz](https://aws.amazon.com/security/partner-solutions/).

**Anmerkung**  
Wenn Sie den ressourcenbasierten Amazon Elastic Kubernetes Service oder AWS Key Management Service verwenden, finden Sie weitere Informationen unter [Referenzieren von Berechtigungssätzen in Ressourcenrichtlinien, Amazon EKS-Cluster-Konfigurationszuordnungen und AWS KMS wichtigen Richtlinien,](https://docs.aws.amazon.com/singlesignon/latest/userguide/referencingpermissionsets.html) bevor Sie sich für Ihre Lösung entscheiden. just-in-time

# Single Sign-On-Zugriff auf AWS-Konten
<a name="useraccess"></a>

Sie können Benutzern in Ihrem verbundenen Verzeichnis AWS Organizations basierend auf den [allgemeinen Aufgabenfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) Berechtigungen für das Verwaltungskonto oder die Mitgliedskonten in Ihrer Organisation zuweisen. Alternativ können Sie benutzerdefinierte Berechtigungen verwenden, um Ihre spezifischen Sicherheitsanforderungen zu erfüllen. Beispielsweise können Sie Datenbankadministratoren umfassende Berechtigungen für Amazon RDS in Entwicklungskonten gewähren, ihre Berechtigungen jedoch in Produktionskonten einschränken. IAM Identity Center konfiguriert automatisch alle erforderlichen Benutzerberechtigungen in Ihrem AWS-Konten .

**Anmerkung**  
Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um im AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die [IAMFullZugriffsrichtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

**Topics**
+ [Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md)
+ [Entfernen Sie den Benutzer- und Gruppenzugriff auf ein AWS-Konto](howtoremoveaccess.md)
+ [Widerrufen Sie aktive IAM-Rollensitzungen, die mit Berechtigungssätzen erstellt wurden](revoke-user-permissions.md)
+ [Delegieren Sie, wer Benutzern und Gruppen im Verwaltungskonto Single Sign-On-Zugriff zuweisen kann](howtodelegatessoaccess.md)

# Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten
<a name="assignusers"></a>

Gehen Sie wie folgt vor, um Benutzern und Gruppen in Ihrem verbundenen Verzeichnis Single Sign-On-Zugriff zuzuweisen und mithilfe von Berechtigungssätzen deren Zugriffsebene zu bestimmen.

Informationen zum Überprüfen vorhandener Benutzer- und Gruppenzugriffe finden Sie unter[Einen Berechtigungssatz anzeigen und ändern](howtoviewandchangepermissionset.md).

**Anmerkung**  
Zur vereinfachten Administration der Zugriffsberechtigungen wird empfohlen, den Zugriff direkt den Gruppen zuzuweisen (und nicht einzelnen Benutzern). Bei Gruppen können Sie Berechtigungen für Benutzergruppen gewähren oder verweigern, anstatt dies für jede Einzelperson individuell zu tun. Wenn ein Benutzer zu einer anderen Organisation wechselt, verschieben Sie diesen Benutzer einfach in eine andere Gruppe. Er erhält dann automatisch die Berechtigungen für die neue Organisation.

**So weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**  
Stellen Sie sicher, dass die IAM Identity Center-Konsole die Region verwendet, in der sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**

1. Auf der **AWS-Konten**Seite wird eine Strukturansicht Ihrer Organisation angezeigt. Aktivieren Sie das Kontrollkästchen AWS-Konto neben dem, dem Sie Zugriff zuweisen möchten. Wenn Sie Administratorzugriff für IAM Identity Center einrichten, aktivieren Sie das Kontrollkästchen neben dem Verwaltungskonto.
**Anmerkung**  
Sie können pro Berechtigungssatz bis zu 10 AWS-Konten gleichzeitig auswählen, wenn Sie Benutzern und Gruppen Single Sign-On-Zugriff zuweisen. Um derselben Gruppe von Benutzern und Gruppen mehr als 10 AWS-Konten zuzuweisen, wiederholen Sie dieses Verfahren nach Bedarf für die zusätzlichen Konten. Wenn Sie dazu aufgefordert werden, wählen Sie dieselben Benutzer, Gruppen und denselben Berechtigungssatz aus.

1. Wählen Sie **Benutzer oder Gruppen zuweisen** aus. 

1. Gehen Sie für **Schritt 1: Benutzer und Gruppen auswählen** auf der Seite **Benutzer und Gruppen zuweisen zu *AWS-account-name* ""** wie folgt vor:

   1. Wählen Sie auf der Registerkarte **Benutzer** einen oder mehrere Benutzer aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie zunächst den Namen des gewünschten Benutzers in das Suchfeld ein.

   1. Wählen Sie auf der Registerkarte **Gruppen** eine oder mehrere Gruppen aus, denen Sie Single Sign-On-Zugriff gewähren möchten.

      Um die Ergebnisse zu filtern, geben Sie zunächst den Namen der gewünschten Gruppe in das Suchfeld ein.

   1. Um die ausgewählten Benutzer und Gruppen anzuzeigen, klicken Sie auf das seitliche Dreieck neben **Ausgewählte Benutzer und Gruppen**.

   1. Nachdem Sie bestätigt haben, dass die richtigen Benutzer und Gruppen ausgewählt sind, wählen Sie **Weiter**.

1. Gehen Sie für **Schritt 2: Berechtigungssätze auswählen** auf der Seite **Berechtigungssätze zuweisen zu *AWS-account-name* ""** wie folgt vor:

   1. Wählen Sie einen oder mehrere Berechtigungssätze aus. Bei Bedarf können Sie neue Berechtigungssätze erstellen und auswählen.
      + Um einen oder mehrere vorhandene Berechtigungssätze auszuwählen, wählen Sie unter **Berechtigungssätze** die Berechtigungssätze aus, die Sie auf die Benutzer und Gruppen anwenden möchten, die Sie im vorherigen Schritt ausgewählt haben.
      + Um einen oder mehrere neue Berechtigungssätze zu **erstellen, wählen Sie Berechtigungssatz** erstellen aus und folgen Sie den Schritten unter[Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md). Nachdem Sie die Berechtigungssätze erstellt haben, die Sie anwenden möchten, kehren Sie in der IAM Identity Center-Konsole zu den Anweisungen zurück **AWS-Konten**und folgen Sie den Anweisungen, bis Sie zu **Schritt 2: Berechtigungssätze auswählen** gelangen. Wenn Sie diesen Schritt erreicht haben, wählen Sie die neuen Berechtigungssätze aus, die Sie erstellt haben, und fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.

   1. Nachdem Sie bestätigt haben, dass die richtigen Berechtigungssätze ausgewählt wurden, wählen Sie **Weiter**.

1. Gehen **Sie für Schritt 3: Überprüfen und abschicken** auf der Seite **Aufgaben überprüfen und einreichen an *AWS-account-name* ""** wie folgt vor:

   1. Überprüfen Sie die ausgewählten Benutzer, Gruppen und Berechtigungssätze.

   1. Nachdem Sie sich vergewissert haben, dass die richtigen Benutzer, Gruppen und Berechtigungssätze ausgewählt wurden, wählen Sie **Senden** aus.

**Überlegungen**
   + Der Vorgang der Benutzer- und Gruppenzuweisung kann einige Minuten dauern. Lassen Sie diese Seite geöffnet, bis der Vorgang erfolgreich abgeschlossen ist.
   + 
**Anmerkung**  
Möglicherweise müssen Sie Benutzern oder Gruppen Berechtigungen gewähren, um mit dem AWS Organizations Verwaltungskonto arbeiten zu können. Da es sich um ein Konto mit hohen Rechten handelt, müssen Sie aufgrund zusätzlicher Sicherheitseinschränkungen über die [IAMFullZugriffsrichtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) oder entsprechende Berechtigungen verfügen, bevor Sie dieses Konto einrichten können. Diese zusätzlichen Sicherheitseinschränkungen sind für keines der Mitgliedskonten in Ihrer AWS Organisation erforderlich.

1. Wenn einer der folgenden Punkte zutrifft, gehen Sie wie unter beschrieben vor, [Benutzer zur MFA auffordern](mfa-getting-started.md) um MFA für IAM Identity Center zu aktivieren:
   + Sie verwenden das standardmäßige Identity Center-Verzeichnis als Identitätsquelle.
   + Sie verwenden ein AWS Managed Microsoft AD Verzeichnis oder ein selbstverwaltetes Verzeichnis in Active Directory als Identitätsquelle und Sie verwenden RADIUS MFA nicht mit. AWS Directory Service
**Anmerkung**  
Wenn Sie einen externen Identitätsanbieter verwenden, beachten Sie, dass der externe IdP, nicht das IAM Identity Center, die MFA-Einstellungen verwaltet. MFA in IAM Identity Center wird für die externe Verwendung nicht unterstützt. IdPs 

Wenn Sie den Kontozugriff für den Administratorbenutzer einrichten, erstellt IAM Identity Center eine entsprechende IAM-Rolle. Diese Rolle, die von IAM Identity Center gesteuert wird, wird in der entsprechenden Datei erstellt AWS-Konto, und die im Berechtigungssatz angegebenen Richtlinien werden der Rolle zugewiesen. 

Alternativ können Sie sie verwenden, [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)um Berechtigungssätze zu erstellen und zuzuweisen und diesen Berechtigungssätzen Benutzer zuzuweisen. Benutzer können [sich dann beim AWS Zugriffsportal anmelden oder die](howtosignin.md) Befehle [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html) verwenden.

# Entfernen Sie den Benutzer- und Gruppenzugriff auf ein AWS-Konto
<a name="howtoremoveaccess"></a>

Gehen Sie wie folgt vor, um den Single Sign-On-Zugriff auf einen oder mehrere Benutzer und Gruppen in Ihrem verbundenen Verzeichnis zu entfernen. AWS-Konto Sie können aber auch die [delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLI verwenden.

**Anmerkung**  
Wenn Sie die Bereitstellung von IAM Identity Center-Benutzern oder -Gruppen aufheben müssen, sollten Sie zunächst [alle Zuweisungen von Berechtigungssätzen für Ihre Benutzer und Gruppen entfernen](howtoremovepermissionset.md), bevor Sie die Benutzer und Gruppen löschen.

**Um den Benutzer- und Gruppenzugriff auf ein AWS-Konto**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie im Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option **AWS-Konten**.

1. Auf der **AWS-Konten**Seite wird eine Strukturansicht Ihrer Organisation angezeigt. Wählen Sie den Namen der Datei aus AWS-Konto , die die Benutzer und Gruppen enthält, für die Sie den Single Sign-On-Zugriff entfernen möchten.

1. Wählen Sie auf der **Übersichtsseite** für unter **Zugewiesene Benutzer und Gruppen** den Namen eines oder mehrerer Benutzer oder Gruppen aus, und wählen Sie **Zugriff entfernen** aus. AWS-Konto

1. Vergewissern Sie sich im Dialogfeld **Zugriff entfernen**, dass die Namen der Benutzer oder Gruppen korrekt sind, und wählen Sie **Zugriff entfernen** aus. 

# Widerrufen Sie aktive IAM-Rollensitzungen, die mit Berechtigungssätzen erstellt wurden
<a name="revoke-user-permissions"></a>

 Im Folgenden finden Sie ein allgemeines Verfahren zum Widerrufen einer aktiven Berechtigungssatz-Sitzung für einen IAM Identity Center-Benutzer. Das Verfahren geht davon aus, dass Sie einem Benutzer, dessen Anmeldeinformationen kompromittiert wurden, oder einem böswilligen Akteur, der sich im System befindet, jeglichen Zugriff entziehen möchten. Voraussetzung ist, dass Sie die Anweisungen in [Bereiten Sie sich darauf vor, eine aktive IAM-Rollensitzung zu widerrufen, die mit einem Berechtigungssatz erstellt wurde](prereqs-revoking-user-permissions.md#prepare-to-revoke-session) befolgt haben. Wir gehen davon aus, dass die Richtlinie „Alle verweigern“ in einer Service Control Policy (SCP) enthalten ist. 

**Anmerkung**  
AWS empfiehlt, dass Sie eine Automatisierung für alle Schritte einrichten, mit Ausnahme von Vorgängen, die nur auf der Konsole ausgeführt werden.

1. **Besorgen Sie sich die Benutzer-ID der Person, deren Zugriff Sie widerrufen müssen.** Sie können den Identitätsspeicher verwenden APIs , um den Benutzer anhand seines Benutzernamens zu finden.

1. **Aktualisieren Sie die Deny-Richtlinie, um die Benutzer-ID aus Schritt 1 zu Ihrer Service Control Policy (SCP) hinzuzufügen.** Nach Abschluss dieses Schritts verliert der Zielbenutzer den Zugriff und kann keine Aktionen mit Rollen ausführen, die von der Richtlinie betroffen sind.

1. **Entfernen Sie alle Zuweisungen von Berechtigungssätzen für den Benutzer.** Wenn der Zugriff über Gruppenmitgliedschaften zugewiesen wird, entfernen Sie den Benutzer aus allen Gruppen und allen direkten Zuweisungen von Berechtigungssätzen. Dieser Schritt verhindert, dass der Benutzer zusätzliche IAM-Rollen übernimmt. Wenn ein Benutzer über eine aktive AWS Access-Portal-Sitzung verfügt und Sie den Benutzer deaktivieren, kann er weiterhin neue Rollen annehmen, bis Sie ihm den Zugriff entziehen. 

1. **Wenn Sie einen Identitätsanbieter (IdP) oder Microsoft Active Directory als Identitätsquelle verwenden, deaktivieren Sie den Benutzer in der Identitätsquelle.** Durch die Deaktivierung des Benutzers wird die Erstellung zusätzlicher AWS Access-Portal-Sitzungen verhindert. Verwenden Sie Ihre IdP- oder Microsoft Active Directory-API-Dokumentation, um zu erfahren, wie Sie diesen Schritt automatisieren können. Wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, deaktivieren Sie den Benutzerzugriff noch nicht. In Schritt 6 deaktivieren Sie den Benutzerzugriff.

1.  **Suchen Sie in der IAM Identity Center-Konsole nach dem Benutzer und löschen Sie seine aktive Sitzung.** 

   1. Wählen Sie **Users** (Benutzer) aus.

   1. Wählen Sie den Benutzer aus, dessen aktive Sitzung Sie löschen möchten.

   1. Wählen Sie auf der Detailseite des Benutzers den Tab **Aktive Sitzungen** aus.

   1. Aktivieren Sie die Kontrollkästchen neben den Sitzungen, die Sie löschen möchten, und wählen Sie **Sitzung löschen** aus.

    Nach dem Löschen einer Benutzersitzung verliert der Benutzer sofort den Zugriff auf das AWS Zugangsportal. Erfahren Sie mehr über die [Sitzungsdauer](authconcept.md). 

1. **Deaktivieren Sie in der IAM Identity Center-Konsole den Benutzerzugriff.**

   1. Wählen Sie **Users** (Benutzer) aus.

   1. Wählen Sie den Benutzer aus, dessen Zugriff Sie deaktivieren möchten.

   1. Erweitern Sie auf der Detailseite des Benutzers den Bereich **Allgemeine Informationen** und wählen Sie die Schaltfläche **Benutzerzugriff deaktivieren**, um weitere Anmeldungen des Benutzers zu verhindern. 

1. **Lassen Sie die Ablehnungsrichtlinie mindestens 12 Stunden lang bestehen.** Andernfalls hat der Benutzer mit einer aktiven IAM-Rollensitzung Aktionen mit der IAM-Rolle wiederhergestellt. Wenn Sie 12 Stunden warten, laufen aktive Sitzungen ab und der Benutzer kann nicht mehr auf die IAM-Rolle zugreifen.

**Wichtig**  
Wenn Sie den Zugriff eines Benutzers deaktivieren, bevor Sie die Benutzersitzung beenden (Sie haben Schritt 6 abgeschlossen, ohne Schritt 5 abgeschlossen zu haben), können Sie die Benutzersitzung nicht mehr über die IAM Identity Center-Konsole beenden. Wenn Sie versehentlich den Benutzerzugriff deaktivieren, bevor Sie die Benutzersitzung beenden, können Sie den Benutzer erneut aktivieren, seine Sitzung beenden und dann seinen Zugriff wieder deaktivieren.

 [Sie können jetzt die Anmeldeinformationen des Benutzers ändern, falls sein Passwort kompromittiert wurde, und seine Zuweisungen wiederherstellen.](useraccess.md) 

# Delegieren Sie, wer Benutzern und Gruppen im Verwaltungskonto Single Sign-On-Zugriff zuweisen kann
<a name="howtodelegatessoaccess"></a>

Die Zuweisung von Single Sign-On-Zugriff auf das Verwaltungskonto mithilfe der IAM Identity Center-Konsole ist eine privilegierte Aktion. Standardmäßig kann nur ein Benutzer Root-Benutzer des AWS-Kontos oder ein Benutzer, dem die Richtlinien zugewiesen **AWSSSOMasterAccountAdministrator**und **IAMFullAccess** AWS verwaltet wurden, dem Verwaltungskonto Single Sign-On-Zugriff zuweisen. Die **IAMFullAccess**Richtlinien **AWSSSOMasterAccountAdministrator**und verwalten den Single Sign-On-Zugriff auf das Verwaltungskonto innerhalb einer AWS Organizations Organisation.

Sie können sie auch verwenden, um Richtlinien AWS CLI zu erstellen, ihnen anzuhängen und ihnen Berechtigungssätze zuzuweisen. Im Folgenden sind die Befehle für jeden Schritt aufgeführt:
+ Um einen Berechtigungssatz zu erstellen: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ Um ihn an einen Berechtigungssatz AWS Managed Policy anzuhängen: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ [So fügen Sie einem Berechtigungssatz eine vom Kunden verwaltete Richtlinie hinzu: - attach-customer-managed-policy to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ So weisen Sie einem Prinzipal einen Berechtigungssatz zu: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)

Gehen Sie wie folgt vor, um Berechtigungen zur Verwaltung des Single Sign-On-Zugriffs an Benutzer und Gruppen in Ihrem Verzeichnis zu delegieren.

**So gewähren Sie Benutzern und Gruppen in Ihrem Verzeichnis Berechtigungen zur Verwaltung des Single Sign-On-Zugriffs**

1. Melden Sie sich bei der IAM Identity Center-Konsole als Root-Benutzer des Verwaltungskontos oder mit einem anderen Benutzer an, der über Administratorrechte für das Verwaltungskonto verfügt.

1. Folgen Sie den Schritten unter[Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md), um einen Berechtigungssatz zu erstellen, und gehen Sie dann wie folgt vor:

   1. Aktivieren **Sie auf der Seite Neuen Berechtigungssatz** **erstellen das Kontrollkästchen Benutzerdefinierten Berechtigungssatz** erstellen und wählen Sie dann **Weiter: Details** aus.

   1. Geben Sie auf der **Seite Neuen Berechtigungssatz erstellen** einen Namen für den benutzerdefinierten Berechtigungssatz und optional eine Beschreibung an. Ändern Sie bei Bedarf die Sitzungsdauer und geben Sie eine Relay-Status-URL an. 
**Anmerkung**  
Für die Relay-State-URL müssen Sie eine URL angeben, die sich in der befindet AWS-Managementkonsole. Beispiel:  
 **https://console.aws.amazon.com/ec2/**  
Weitere Informationen finden Sie unter [Stellen Sie den Relay-Status für den schnellen Zugriff auf die ein AWS-Managementkonsole](howtopermrelaystate.md).

   1. Unter **Welche Richtlinien möchten Sie in Ihren Berechtigungssatz aufnehmen?** , aktivieren Sie das Kontrollkästchen ** AWS Verwaltete Richtlinien anhängen**.

   1. Wählen Sie in der Liste der IAM-Richtlinien sowohl die als auch die **AWSSSOMasterAccountAdministrator**IAMFullAccess**** AWS verwalteten Richtlinien aus. Diese Richtlinien gewähren allen Benutzern und Gruppen, denen in future Zugriff auf diesen Berechtigungssatz zugewiesen wird, Berechtigungen.

   1. Wählen Sie **Weiter: Tags** aus.

   1. Geben **Sie unter Tags hinzufügen (optional)** Werte für **Schlüssel** und **Wert (optional)** an und wählen Sie dann **Weiter: Überprüfen** aus. Weitere Informationen zu Tags erhalten Sie unter [Ressourcen taggen AWS IAM Identity Center](tagging.md).

   1. Überprüfen Sie die von Ihnen getroffenen Auswahlen und wählen Sie dann **Erstellen** aus.

1. Folgen Sie den Schritten unter[Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md), um dem soeben erstellten Berechtigungssatz die entsprechenden Benutzer und Gruppen zuzuweisen.

1. Teilen Sie den zugewiesenen Benutzern Folgendes mit: Wenn sie sich beim AWS Zugriffsportal anmelden und die Registerkarte **Konten** auswählen, müssen sie den entsprechenden Rollennamen auswählen, um mit den Berechtigungen authentifiziert zu werden, die Sie gerade delegiert haben.

# AWS-Konten Mit Berechtigungssätzen verwalten
<a name="permissionsetsconcept"></a>

Ein Berechtigungssatz ist eine von Ihnen erstellte und verwaltete Vorlage, die eine Sammlung von einer oder mehreren [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) definiert. Berechtigungssätze vereinfachen die Zuweisung von AWS-Konto Zugriffen für Benutzer und Gruppen in Ihrer Organisation. Sie können beispielsweise einen Berechtigungssatz für *Datenbankadministratoren* erstellen, der Richtlinien für die Verwaltung von AWS RDS-, DynamoDB- und Aurora-Diensten enthält, und diesen einzigen Berechtigungssatz verwenden, um Ihren Datenbankadministratoren Zugriff auf eine Liste von Zielen AWS-Konten innerhalb Ihrer [AWS Organisation](https://aws.amazon.com/organizations/) zu gewähren.

IAM Identity Center weist einem Benutzer oder einer Gruppe in einer oder mehreren Gruppen Zugriff mit Berechtigungssätzen zu. AWS-Konten Wenn Sie einen Berechtigungssatz zuweisen, erstellt IAM Identity Center in jedem Konto die entsprechenden, vom IAM Identity Center kontrollierten IAM-Rollen und ordnet diesen Rollen die im Berechtigungssatz angegebenen Richtlinien zu. IAM Identity Center verwaltet die Rolle und ermöglicht es den von Ihnen definierten autorisierten Benutzern, die Rolle mithilfe des IAM Identity Center-Benutzerportals oder AWS der CLI zu übernehmen.  Wenn Sie den Berechtigungssatz ändern, stellt IAM Identity Center sicher, dass die entsprechenden IAM-Richtlinien und -Rollen entsprechend aktualisiert werden.

Sie können Ihren [Berechtigungssätzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) [verwaltete Richtlinien, vom Kunden verwaltete](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) [Richtlinien, Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) [und AWS verwaltete Richtlinien für Jobfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) hinzufügen AWS . Sie können auch eine AWS verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie als [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) zuweisen.

Informationen zum Erstellen eines Berechtigungssatzes finden Sie unter[Berechtigungssätze erstellen, verwalten und löschen](permissionsets.md).

## Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit den geringsten Rechten anwendet
<a name="get-started-create-permission-set-to-grant-least-privilege-permissions"></a>

Um der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten zu folgen, erstellen Sie nach der Erstellung eines Administratorberechtigungssatzes einen restriktiveren Berechtigungssatz und weisen ihn einem oder mehreren Benutzern zu. Die im vorherigen Verfahren erstellten Berechtigungssätze bieten Ihnen einen Ausgangspunkt, um zu beurteilen, wie viel Zugriff Ihre Benutzer auf Ressourcen benötigen. Um zu den Berechtigungen mit den geringsten Rechten zu wechseln, können Sie IAM Access Analyzer ausführen, um Prinzipale mit AWS verwalteten Richtlinien zu überwachen. Nachdem Sie erfahren haben, welche Berechtigungen sie verwenden, können Sie eine benutzerdefinierte Richtlinie schreiben oder eine Richtlinie mit nur den erforderlichen Berechtigungen für Ihr Team erstellen. 

Mit IAM Identity Center können Sie demselben Benutzer mehrere Berechtigungssätze zuweisen. Ihrem Administratorbenutzer sollten außerdem zusätzliche, restriktivere Berechtigungssätze zugewiesen werden. Auf diese Weise können sie nur AWS-Konto mit den erforderlichen Berechtigungen auf Ihre zugreifen, anstatt immer ihre Administratorberechtigungen zu verwenden.

Wenn Sie beispielsweise Entwickler sind, können Sie nach der Erstellung Ihres Administratorbenutzers in IAM Identity Center einen neuen Berechtigungssatz erstellen, der `PowerUserAccess` Berechtigungen gewährt, und diesen Berechtigungssatz dann Ihnen selbst zuweisen. Im Gegensatz zum administrativen Berechtigungssatz, der `AdministratorAccess` Berechtigungen verwendet, ermöglicht der `PowerUserAccess ` Berechtigungssatz keine Verwaltung von IAM-Benutzern und -Gruppen. Wenn Sie sich beim AWS Zugriffsportal anmelden, um auf Ihr AWS Konto zuzugreifen, können Sie `PowerUserAccess` wählen, ob Sie Entwicklungsaufgaben nicht im Konto ausführen `AdministratorAccess` möchten.

Beachten Sie folgende Überlegungen:
+ **Verwenden Sie einen vordefinierten Berechtigungssatz anstelle eines benutzerdefinierten Berechtigungssatzes, um schnell mit der Erstellung eines restriktiveren Berechtigungssatzes zu beginnen.** 

  Bei einem vordefinierten Berechtigungssatz, der [vordefinierte Berechtigungen](permissionsetpredefined.md) verwendet, wählen Sie eine einzelne AWS verwaltete Richtlinie aus einer Liste verfügbarer Richtlinien aus. Jede Richtlinie gewährt eine bestimmte Zugriffsebene auf AWS Dienste und Ressourcen oder Berechtigungen für eine allgemeine Aufgabenfunktion. Informationen zu jeder dieser Richtlinien finden Sie unter [AWS Verwaltete Richtlinien für Berufsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). 
+ **Sie können die Sitzungsdauer für einen Berechtigungssatz konfigurieren, um zu steuern, wie lange ein Benutzer angemeldet ist AWS-Konto.** 

  Wenn Benutzer sich mit ihnen verbinden AWS-Konto und die AWS Management Console oder die AWS Befehlszeilenschnittstelle (AWS CLI) verwenden, verwendet IAM Identity Center die Einstellung für die Sitzungsdauer im Berechtigungssatz, um die Dauer der Sitzung zu steuern. Standardmäßig ist der Wert für die **Sitzungsdauer**, die bestimmt, wie lange ein Benutzer angemeldet werden kann und AWS-Konto bevor er sich von der Sitzung AWS abmeldet, auf eine Stunde festgelegt. Sie können einen Höchstwert von 12 Stunden angeben. Weitere Informationen finden Sie unter [Legen Sie die Sitzungsdauer fest für AWS-Konten](howtosessionduration.md).
+ **Sie können auch die Sitzungsdauer des AWS Access-Portals konfigurieren, um zu steuern, wie lange ein Workforce-Benutzer beim Portal angemeldet ist.** 

  Standardmäßig beträgt der Wert für **Maximale Sitzungsdauer**, der bestimmt, wie lange ein Workforce-Benutzer beim AWS Access-Portal angemeldet werden kann, bevor er sich erneut authentifizieren muss, acht Stunden. Sie können einen Höchstwert von 90 Tagen angeben. Weitere Informationen finden Sie unter [Konfigurieren Sie die Sitzungsdauer im IAM Identity Center](configure-user-session.md).
+ **Wenn Sie sich beim AWS Zugriffsportal anmelden, wählen Sie die Rolle aus, die Berechtigungen mit den geringsten Rechten gewährt.**

  Jeder Berechtigungssatz, den Sie erstellen und Ihrem Benutzer zuweisen, wird im Access-Portal als verfügbare Rolle angezeigt. AWS Wenn Sie sich als dieser Benutzer beim Portal anmelden, wählen Sie die Rolle aus, die dem restriktivsten Berechtigungssatz entspricht, den Sie für die Ausführung von Aufgaben im Konto verwenden können, und nicht`AdministratorAccess`.
+ **Sie können weitere Benutzer zu IAM Identity Center hinzufügen und diesen Benutzern bestehende oder neue Berechtigungssätze zuweisen.**

  Weitere Informationen finden Sie unter. [Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md)

**Topics**
+ [Erstellen Sie einen Berechtigungssatz, der Berechtigungen mit den geringsten Rechten anwendet](#get-started-create-permission-set-to-grant-least-privilege-permissions)
+ [Vordefinierte Berechtigungen für AWS verwaltete Richtlinien](permissionsetpredefined.md)
+ [Benutzerdefinierte Berechtigungen für AWS verwaltete und vom Kunden verwaltete Richtlinien](permissionsetcustom.md)
+ [Berechtigungssätze erstellen, verwalten und löschen](permissionsets.md)
+ [Konfigurieren Sie die Eigenschaften des Berechtigungssatzes](permproperties.md)

# Vordefinierte Berechtigungen für AWS verwaltete Richtlinien
<a name="permissionsetpredefined"></a>

Sie können einen vordefinierten Berechtigungssatz mit AWS verwalteten Richtlinien erstellen.

Wenn Sie einen Berechtigungssatz mit vordefinierten Berechtigungen erstellen, wählen Sie eine Richtlinie aus einer Liste AWS verwalteter Richtlinien aus. Innerhalb der verfügbaren Richtlinien können Sie zwischen **allgemeinen Berechtigungsrichtlinien und Richtlinien für** **Jobfunktionen** wählen.

**Allgemeine Genehmigungsrichtlinien**  
Wählen Sie aus einer Liste AWS verwalteter Richtlinien, die den Zugriff auf Ihre gesamten Ressourcen ermöglichen AWS-Konto. Sie können eine der folgenden Richtlinien hinzufügen:  
+ AdministratorAccess
+ PowerUserAccess
+ ReadOnlyAccess
+ ViewOnlyAccess

**Richtlinien für Berufsfunktionen**  
Wählen Sie aus einer Liste AWS verwalteter Richtlinien, die den Zugriff auf Ressourcen in Ihrem Unternehmen ermöglichen AWS-Konto , die für eine Stelle in Ihrem Unternehmen relevant sein könnten. Sie können eine der folgenden Richtlinien hinzufügen:  
+ Billing
+ DataScientist
+ DatabaseAdministrator
+ NetworkAdministrator
+ SecurityAudit
+ SupportUser
+ SystemAdministrator

Eine ausführliche Beschreibung der verfügbaren allgemeinen Berechtigungsrichtlinien und Richtlinien für Jobfunktionen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [AWS Verwaltete Richtlinien für Jobfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html).

Anweisungen zum Erstellen eines Berechtigungssatzes finden Sie unter[Berechtigungssätze erstellen, verwalten und löschen](permissionsets.md).

# Benutzerdefinierte Berechtigungen für AWS verwaltete und vom Kunden verwaltete Richtlinien
<a name="permissionsetcustom"></a>

Sie können einen Berechtigungssatz mit **benutzerdefinierten Berechtigungen** erstellen und dabei alle AWS verwalteten und kundenverwalteten Richtlinien, die Sie in AWS Identity and Access Management (IAM) haben, mit Inline-Richtlinien kombinieren. Sie können auch eine Berechtigungsgrenze angeben und so die maximal möglichen Berechtigungen festlegen, die andere Richtlinien Benutzern Ihres Berechtigungssatzes gewähren können.

Anweisungen zum Erstellen eines Berechtigungssatzes finden Sie unter[Berechtigungssätze erstellen, verwalten und löschen](permissionsets.md).

**Richtlinientypen, die Sie Ihrem Berechtigungssatz hinzufügen können**

**Topics**
+ [Eingebundene Richtlinien](#permissionsetsinlineconcept)
+ [AWS verwaltete Richtlinien](#permissionsetsampconcept)
+ [Kundenverwaltete Richtlinien](#permissionsetscmpconcept)
+ [Berechtigungsgrenzen](#permissionsetsboundaryconcept)

## Eingebundene Richtlinien
<a name="permissionsetsinlineconcept"></a>

Sie können eine *Inline-Richtlinie* an einen Berechtigungssatz anhängen. Eine Inline-Richtlinie ist ein Textblock, der als IAM-Richtlinie formatiert ist und den Sie direkt zu Ihrem Berechtigungssatz hinzufügen. Sie können eine Richtlinie einfügen oder mit dem Tool zur Richtlinienerstellung in der IAM Identity Center-Konsole eine neue Richtlinie generieren, wenn Sie einen neuen Berechtigungssatz erstellen. Sie können IAM-Richtlinien auch mit dem [AWS Policy](https://awspolicygen.s3.amazonaws.com/policygen.html) Generator erstellen.

Wenn Sie einen Berechtigungssatz mit einer Inline-Richtlinie bereitstellen, erstellt IAM Identity Center dort, AWS-Konten wo Sie Ihren Berechtigungssatz zuweisen, eine IAM-Richtlinie. IAM Identity Center erstellt die Richtlinie, wenn Sie dem Konto den Berechtigungssatz zuweisen. Die Richtlinie wird dann an die IAM-Rolle in Ihrem System angehängt AWS-Konto , die Ihr Benutzer annimmt.

Wenn Sie eine Inline-Richtlinie erstellen und Ihren Berechtigungssatz zuweisen, konfiguriert IAM Identity Center die Richtlinien für Sie AWS-Konten . Wenn Sie Ihren Berechtigungssatz mit erstellen[Kundenverwaltete Richtlinien](#permissionsetscmpconcept), müssen Sie die Richtlinien AWS-Konten selbst erstellen, bevor Sie den Berechtigungssatz zuweisen.

## AWS verwaltete Richtlinien
<a name="permissionsetsampconcept"></a>

Sie können *AWS verwaltete Richtlinien* an Ihren Berechtigungssatz anhängen. AWS Verwaltete Richtlinien sind IAM-Richtlinien, die AWS beibehalten werden. Im Gegensatz dazu [Kundenverwaltete Richtlinien](#permissionsetscmpconcept) sind es IAM-Richtlinien in Ihrem Konto, die Sie erstellen und verwalten. AWS verwaltete Richtlinien befassen sich mit den häufigsten Anwendungsfällen mit den geringsten Rechten in Ihrem AWS-Konto. Sie können eine AWS verwaltete Richtlinie als Berechtigungen für die Rolle, die IAM Identity Center erstellt, oder als [Rechtegrenze zuweisen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).

AWS verwaltet [AWS verwaltete Richtlinien für Jobfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html), die Ihren Ressourcen auftragsspezifische Zugriffsberechtigungen zuweisen. AWS Sie können eine Richtlinie für bestimmte Funktionen hinzufügen, wenn Sie **vordefinierte Berechtigungen mit Ihrem Berechtigungssatz** verwenden möchten. Wenn Sie **Benutzerdefinierte Berechtigungen** wählen, können Sie mehr als eine Richtlinie für berufliche Funktionen hinzufügen.

Ihre enthält AWS-Konto auch eine große Anzahl AWS verwalteter IAM-Richtlinien für bestimmte AWS-Services und Kombinationen von. AWS-Services Wenn Sie einen Berechtigungssatz mit **benutzerdefinierten Berechtigungen** erstellen, können Sie aus vielen zusätzlichen AWS verwalteten Richtlinien wählen, die Sie Ihrem Berechtigungssatz zuweisen möchten.

AWS füllt jede AWS-Konto mit AWS verwalteten Richtlinien auf. Um einen Berechtigungssatz mit AWS verwalteten Richtlinien bereitzustellen, müssen Sie nicht zuerst eine Richtlinie in Ihrem AWS-Konten erstellen. Wenn Sie Ihren Berechtigungssatz mit erstellen[Kundenverwaltete Richtlinien](#permissionsetscmpconcept), müssen Sie die Richtlinien AWS-Konten selbst erstellen, bevor Sie den Berechtigungssatz zuweisen.

Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM-Benutzerhandbuch unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).

## Kundenverwaltete Richtlinien
<a name="permissionsetscmpconcept"></a>

Sie können Ihrem Berechtigungssatz vom *Kunden verwaltete Richtlinien* hinzufügen. Kundenverwaltete Richtlinien sind IAM-Richtlinien in Ihrem Konto, die Sie erstellen und verwalten. Im Gegensatz dazu [AWS verwaltete Richtlinien](#permissionsetsampconcept) gelten für Ihr Konto die IAM-Richtlinien, die AWS beibehalten werden. Sie können eine vom Kunden verwaltete Richtlinie als Berechtigungen für die Rolle, die IAM Identity Center erstellt, oder als [Rechtegrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) zuweisen.

Wenn Sie einen Berechtigungssatz mit einer vom Kunden verwalteten Richtlinie erstellen, müssen Sie in allen Bereichen, AWS-Konto denen IAM Identity Center Ihren Berechtigungssatz zuweist, eine IAM-Richtlinie mit demselben Namen und Pfad erstellen. Wenn Sie einen benutzerdefinierten Pfad angeben, stellen Sie sicher, dass Sie in jedem Pfad denselben Pfad angeben. AWS-Konto Weitere Informationen finden Sie unter [Anzeigenamen und -pfade](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names) im *IAM-Benutzerhandbuch*. IAM Identity Center fügt die IAM-Richtlinie der IAM-Rolle hinzu, die es in Ihrem erstellt. AWS-Konto Es hat sich bewährt, in jedem Konto, dem Sie den Berechtigungssatz zuweisen, dieselben Berechtigungen auf die Richtlinie anzuwenden. Weitere Informationen finden Sie unter [Verwenden Sie IAM-Richtlinien in Berechtigungssätzen](howtocmp.md). 

**Anmerkung**  
Wenn eine vom Kunden verwaltete Richtlinie an einen Berechtigungssatz angehängt wird, wird beim Namen der Richtlinie nicht zwischen Groß- und Kleinschreibung unterschieden.

Weitere Informationen finden Sie unter [Vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) im IAM-Benutzerhandbuch.

## Berechtigungsgrenzen
<a name="permissionsetsboundaryconcept"></a>

Sie können Ihrem *Berechtigungssatz eine Berechtigungsgrenze* hinzufügen. Eine Berechtigungsgrenze ist eine AWS verwaltete oder vom Kunden verwaltete IAM-Richtlinie, die die maximalen Berechtigungen festlegt, die eine identitätsbasierte Richtlinie einem IAM-Prinzipal gewähren kann. Wenn Sie eine Berechtigungsgrenze anwenden, dürfen Ihre [Eingebundene Richtlinien](#permissionsetsinlineconcept)[Kundenverwaltete Richtlinien](#permissionsetscmpconcept), und [AWS verwaltete Richtlinien](#permissionsetsampconcept) keine Berechtigungen gewähren, die die von Ihrer Berechtigungsgrenze gewährten Berechtigungen überschreiten. Eine Berechtigungsgrenze gewährt keine Berechtigungen, sondern sorgt dafür, dass IAM alle Berechtigungen ignoriert, die über diese Grenze hinausgehen.

Wenn Sie einen Berechtigungssatz mit einer vom Kunden verwalteten Richtlinie als Berechtigungsgrenze erstellen, müssen Sie in allen Bereichen, AWS-Konto denen IAM Identity Center Ihren Berechtigungssatz zuweist, eine IAM-Richtlinie mit demselben Namen erstellen. IAM Identity Center fügt der IAM-Rolle, die es in Ihrem erstellt, die IAM-Richtlinie als Berechtigungsgrenze hinzu. AWS-Konto 

Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im IAM-Benutzerhandbuch.

# Berechtigungssätze erstellen, verwalten und löschen
<a name="permissionsets"></a>

Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können. AWS-Konto Berechtigungssätze werden im IAM Identity Center gespeichert und können für einen oder mehrere Personen bereitgestellt werden. AWS-Konten Sie können einem Benutzer mehrere Berechtigungssätze zuweisen. Weitere Informationen zu Berechtigungssätzen und deren Verwendung in IAM Identity Center finden Sie unter. [AWS-Konten Mit Berechtigungssätzen verwalten](permissionsetsconcept.md)

**Anmerkung**  
In der IAM Identity Center-Konsole können Sie nach Berechtigungssätzen suchen und sie nach Namen sortieren.

Beachten Sie bei der Erstellung von Berechtigungssätzen die folgenden Überlegungen:
+ **Instanz der Organisation**

  Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
+ **Beginnen Sie mit einem vordefinierten Berechtigungssatz** 

  Mit einem vordefinierten Berechtigungssatz, der [vordefinierte Berechtigungen](permissionsetpredefined.md) verwendet, wählen Sie eine einzelne AWS verwaltete Richtlinie aus einer Liste verfügbarer Richtlinien aus. Jede Richtlinie gewährt eine bestimmte Zugriffsebene auf AWS Dienste und Ressourcen oder Berechtigungen für eine allgemeine Aufgabenfunktion. Informationen zu jeder dieser Richtlinien finden Sie unter [AWS Verwaltete Richtlinien für Berufsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). Nachdem Sie Nutzungsdaten erfasst haben, können Sie den Berechtigungssatz so verfeinern, dass er restriktiver ist.
+ **Beschränken Sie die Dauer der Verwaltungssitzung auf angemessene Arbeitszeiträume** 

  Wenn Benutzer sich mit ihrem Netzwerk verbinden AWS-Konto und die AWS-Managementkonsole oder die AWS Befehlszeilenschnittstelle (AWS CLI) verwenden, verwendet IAM Identity Center die Einstellung für die Sitzungsdauer im Berechtigungssatz, um die Dauer der Sitzung zu steuern. Wenn die Benutzersitzung die Sitzungsdauer erreicht, werden sie von der Konsole abgemeldet und aufgefordert, sich erneut anzumelden. Als bewährte Sicherheitsmaßnahme empfehlen wir Ihnen, die Sitzungsdauer nicht länger als für die Ausführung der Rolle nötig festzulegen. Standardmäßig ist der Wert für die **Sitzungsdauer** eine Stunde. Sie können einen Höchstwert von 12 Stunden angeben. Weitere Informationen finden Sie unter [Legen Sie die Sitzungsdauer fest für AWS-Konten](howtosessionduration.md).
+ **Beschränken Sie die Sitzungsdauer des Workforce-Benutzerportals** 

  Workforce-Benutzer verwenden Portalsitzungen, um Rollen auszuwählen und auf Anwendungen zuzugreifen. Standardmäßig beträgt der Wert für **Maximale Sitzungsdauer**, der bestimmt, wie lange ein Workforce-Benutzer beim AWS Access-Portal angemeldet sein kann, bevor er sich erneut authentifizieren muss, acht Stunden. Sie können einen Höchstwert von 90 Tagen angeben. Weitere Informationen finden Sie unter [Konfigurieren Sie die Sitzungsdauer im IAM Identity Center](configure-user-session.md).
+ **Verwenden Sie die Rolle, die Berechtigungen mit den geringsten Rechten gewährt**

  Jeder Berechtigungssatz, den Sie erstellen und Ihrem Benutzer zuweisen, wird im Zugriffsportal als verfügbare Rolle angezeigt. AWS Wenn Sie sich als dieser Benutzer beim Portal anmelden, wählen Sie die Rolle aus, die dem restriktivsten Berechtigungssatz entspricht, den Sie für die Ausführung von Aufgaben im Konto verwenden können, und nicht`AdministratorAccess`. Testen Sie Ihre Berechtigungssätze, um sicherzustellen, dass sie den erforderlichen Zugriff gewähren, bevor Sie die Benutzereinladung senden.

**Anmerkung**  
Sie können sie auch verwenden [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html), um Berechtigungssätze zu erstellen und zuzuweisen und diesen Berechtigungssätzen Benutzer zuzuweisen.

**Topics**
+ [Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md)
+ [Einen Berechtigungssatz anzeigen und ändern](howtoviewandchangepermissionset.md)
+ [Delegieren Sie die Verwaltung von Berechtigungssätzen](permissionsetdelegation.md)
+ [Verwenden Sie IAM-Richtlinien in Berechtigungssätzen](howtocmp.md)
+ [Entfernen Sie die Berechtigungssätze im IAM Identity Center](howtoremovepermissionset.md)
+ [Löschen Sie die Berechtigungssätze in IAM Identity Center](howtodeletepermissionset.md)

# Erstellen Sie einen Berechtigungssatz
<a name="howtocreatepermissionset"></a>

Gehen Sie wie folgt vor, um einen vordefinierten Berechtigungssatz zu erstellen, der eine einzelne AWS verwaltete Richtlinie verwendet, oder einen benutzerdefinierten Berechtigungssatz, der bis zu 10 AWS verwaltete oder vom Kunden verwaltete Richtlinien und eine Inline-Richtlinie verwendet. Sie können in der [Service Quotas Quotas-Konsole](https://console.aws.amazon.com/servicequotas) für IAM eine Anpassung der maximalen Anzahl von 10 Richtlinien beantragen. Sie können einen Berechtigungssatz in der IAM Identity Center-Konsole erstellen.

**Anmerkung**  
Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).

**So erstellen Sie einen Berechtigungssatz**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option **Berechtigungssätze** aus.

1. Wählen Sie **Create permission set (Berechtigungssatz erstellen)** aus.

1. **Wählen Sie auf der Seite Berechtigungssatztyp** auswählen unter **Typ des Berechtigungssatzes** einen Berechtigungssatztyp aus.

1. Wählen Sie je nach Typ des Berechtigungssatzes eine oder mehrere Richtlinien aus, die Sie für den Berechtigungssatz verwenden möchten:
   + **Vordefinierter Berechtigungssatz**

     1. Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** eine der **IAM-Job-Funktionsrichtlinien** oder **Allgemeine Berechtigungsrichtlinien** in der Liste aus, und klicken Sie dann auf **Weiter**. Weitere Informationen finden Sie unter [AWS Verwaltete Richtlinien für Aufgabenfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) und [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *AWS Identity and Access Management Benutzerhandbuch*.

     1. Fahren Sie mit Schritt 6 fort, um die Seite mit den **Details zum Berechtigungssatz angeben** auszufüllen.
   + **Benutzerdefinierter Berechtigungssatz**

     1. Wählen Sie **Weiter** aus.

     1. Wählen Sie auf der Seite **Richtlinien und Berechtigungsgrenzen angeben** die Typen von IAM-Richtlinien aus, die Sie auf Ihren neuen Berechtigungssatz anwenden möchten. Standardmäßig können Sie Ihrem Berechtigungssatz eine beliebige Kombination aus bis zu 10 **AWS verwalteten Richtlinien** und vom **Kunden verwalteten Richtlinien** hinzufügen. Dieses Kontingent wird von IAM festgelegt. Um ihn zu erhöhen, fordern Sie eine Erhöhung des IAM-Kontingents an. *Verwaltete Richtlinien, die mit einer IAM-Rolle verknüpft* sind, in der Konsole Service Quotas in allen Bereichen, AWS-Konto denen Sie den Berechtigungssatz zuweisen möchten.
        + Erweitern Sie **die AWS verwalteten Richtlinien** um Richtlinien von IAM, das AWS erstellt und verwaltet wird. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien](permissionsetcustom.md#permissionsetsampconcept).

          1. Suchen Sie im Berechtigungssatz nach **AWS verwalteten Richtlinien**, die Sie auf Ihre Benutzer anwenden möchten, und wählen Sie sie aus.

          1. Wenn Sie einen anderen Richtlinientyp hinzufügen möchten, wählen Sie den entsprechenden Container aus und treffen Sie Ihre Auswahl. Wählen Sie **Weiter**, wenn Sie alle Richtlinien ausgewählt haben, die Sie anwenden möchten. Fahren Sie mit Schritt 6 fort, um die Seite „**Details zum Berechtigungssatz angeben**“ abzuschließen.
        + Erweitern Sie **Kundenverwaltete Richtlinien**, um Richtlinien aus IAM hinzuzufügen, die Sie erstellen und verwalten. Weitere Informationen finden Sie unter [Kundenverwaltete Richtlinien](permissionsetcustom.md#permissionsetscmpconcept).

          1. Wählen Sie **Richtlinien anhängen** und geben Sie den Namen einer Richtlinie ein, die Sie Ihrem Berechtigungssatz hinzufügen möchten. Erstellen Sie in jedem Konto, dem Sie den Berechtigungssatz zuweisen möchten, eine Richtlinie mit dem von Ihnen eingegebenen Namen. Es hat sich bewährt, der Richtlinie in jedem Konto dieselben Berechtigungen zuzuweisen.

          1. Wählen Sie **Weitere** hinzufügen, um eine weitere Richtlinie hinzuzufügen.

          1. Wenn Sie einen anderen Richtlinientyp hinzufügen möchten, wählen Sie den entsprechenden Container aus und treffen Sie Ihre Auswahl. Wählen Sie **Weiter**, wenn Sie alle Richtlinien ausgewählt haben, die Sie anwenden möchten. Fahren Sie mit Schritt 6 fort, um die Seite „**Details zum Berechtigungssatz angeben**“ abzuschließen.
        + Erweitern Sie **Inline-Richtlinie**, um benutzerdefinierten Richtlinientext im JSON-Format hinzuzufügen. Inline-Richtlinien entsprechen nicht vorhandenen IAM-Ressourcen. Um eine Inline-Richtlinie zu erstellen, geben Sie die benutzerdefinierte Richtliniensprache in das bereitgestellte Formular ein. IAM Identity Center fügt die Richtlinie zu den IAM-Ressourcen hinzu, die es in Ihren Mitgliedskonten erstellt. Weitere Informationen finden Sie unter [Eingebundene Richtlinien](permissionsetcustom.md#permissionsetsinlineconcept).

          1. Fügen Sie Ihre gewünschten Aktionen und Ressourcen im interaktiven Editor zu Ihrer Inline-Richtlinie hinzu. Zusätzliche Kontoauszüge können mit **Neue Aussage hinzufügen** hinzugefügt werden.

          1. Wenn Sie einen anderen Richtlinientyp hinzufügen möchten, wählen Sie dessen Container aus und treffen Sie Ihre Auswahl. Wählen Sie **Weiter**, wenn Sie alle Richtlinien ausgewählt haben, die Sie anwenden möchten. Fahren Sie mit Schritt 6 fort, um die Seite „**Details zum Berechtigungssatz angeben**“ abzuschließen.
        + Erweitern Sie die **Berechtigungsgrenze**, um eine AWS verwaltete oder vom Kunden verwaltete IAM-Richtlinie als maximale Anzahl von Berechtigungen hinzuzufügen, die Ihre anderen Richtlinien im Berechtigungssatz zuweisen können. Weitere Informationen finden Sie unter [Berechtigungsgrenzen](permissionsetcustom.md#permissionsetsboundaryconcept).

          1. Wählen Sie „**Berechtigungsgrenze verwenden“, um die maximalen Berechtigungen festzulegen**.

          1. Wählen Sie „**AWS Verwaltete Richtlinie**“, um eine Richtlinie von IAM festzulegen, die als Ihre Berechtigungsgrenze *AWS*erstellt und verwaltet wird. Wählen Sie vom **Kunden verwaltete Richtlinien** aus, um eine Richtlinie von IAM festzulegen, die *Sie* als Ihre Rechtegrenze erstellen und verwalten.

          1. Wenn Sie einen anderen Richtlinientyp hinzufügen möchten, wählen Sie den entsprechenden Container aus und treffen Sie Ihre Auswahl. Wählen Sie **Weiter**, wenn Sie alle Richtlinien ausgewählt haben, die Sie anwenden möchten. Fahren Sie mit Schritt 6 fort, um die Seite „**Details zum Berechtigungssatz angeben**“ abzuschließen.

1. Gehen Sie auf der Seite **„Details zum Berechtigungssatz angeben**“ wie folgt vor:

   1. Geben Sie unter **Name des Berechtigungssatzes** einen Namen ein, um diesen Berechtigungssatz in IAM Identity Center zu identifizieren. Der Name, den Sie für diesen Berechtigungssatz angeben, wird im AWS Zugriffsportal als verfügbare Rolle angezeigt. Benutzer melden sich beim AWS Access-Portal an, wählen eine AWS-Konto und dann die Rolle aus.
**Anmerkung**  
Die Namen der Berechtigungssätze müssen innerhalb Ihrer IAM Identity Center-Instanz eindeutig sein.

   1. (Optional) Sie können auch eine Beschreibung eingeben. Die Beschreibung wird nur in der IAM Identity Center-Konsole angezeigt, nicht im AWS Zugriffsportal.

   1. (Optional) Geben Sie den Wert für die **Sitzungsdauer** an. Dieser Wert bestimmt, wie lange ein Benutzer angemeldet sein kann, bevor die Konsole ihn von seiner Sitzung abmeldet. Weitere Informationen finden Sie unter [Legen Sie die Sitzungsdauer fest für AWS-Konten](howtosessionduration.md).

   1. (Optional) Geben Sie den Wert für den **Relay-Status** an. Dieser Wert wird im Verbundprozess verwendet, um Benutzer innerhalb des Kontos umzuleiten. Weitere Informationen finden Sie unter [Stellen Sie den Relay-Status für den schnellen Zugriff auf die ein AWS-Managementkonsole](howtopermrelaystate.md).
**Anmerkung**  
Die Relay-State-URL muss sich innerhalb von befinden AWS-Managementkonsole. Beispiel:  
**https://console.aws.amazon.com/ec2/**

   1. Erweitern Sie **Tags (optional)**, wählen Sie **Tag hinzufügen** aus, und geben Sie dann Werte für **Schlüssel** und **Wert an (optional)**. 

      Informationen zu Tags siehe [Ressourcen taggen AWS IAM Identity Center](tagging.md).

   1. Wählen Sie **Weiter** aus.

1. **Überprüfen Sie auf der Seite Überprüfen und erstellen** die von Ihnen getroffenen Auswahlen und wählen Sie dann **Erstellen** aus.

1. Wenn Sie einen Berechtigungssatz erstellen, wird der Berechtigungssatz standardmäßig nicht bereitgestellt (in keinem AWS-Konten verwendet). Um einen Berechtigungssatz in einem bereitzustellen AWS-Konto, müssen Sie Benutzern und Gruppen im Konto IAM Identity Center-Zugriff zuweisen und dann den Berechtigungssatz auf diese Benutzer und Gruppen anwenden. Weitere Informationen finden Sie unter [Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md).

# Einen Berechtigungssatz anzeigen und ändern
<a name="howtoviewandchangepermissionset"></a>

Sie können Berechtigungssätze verwenden, um Benutzern Zugriff auf zu AWS-Konten gewähren. Sie können einen Berechtigungssatz mit der AWS IAM Identity Center Konsole anzeigen und ändern. In der IAM Identity Center-Konsole können Sie Berechtigungssätze nach Namen suchen und sortieren. Weitere Informationen zu Berechtigungssätzen und deren Verwendung in IAM Identity Center finden Sie unter. [AWS-Konten Mit Berechtigungssätzen verwalten](permissionsetsconcept.md)

Für die Verwaltung des Benutzerzugriffs auf Anwendungen sind keine Berechtigungssätze erforderlich.

**Anmerkung**  
Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).

## Zuweisungen von Berechtigungssätzen anzeigen
<a name="howtoviewpermissionset"></a>

Gehen Sie wie folgt vor, um den angewendeten Berechtigungssatz in der AWS IAM Identity Center Konsole anzuzeigen.

------
#### [ All AWS-Konten where a permission set is provisioned ]

Gehen Sie wie folgt vor, um alle Zuweisungen für einen Berechtigungssatz anzuzeigen:

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option **Berechtigungssätze** aus.

1. Wählen Sie auf der Seite **Berechtigungssätze** den Berechtigungssatz aus, den Sie anzeigen möchten.

1. Sobald Sie sich auf der Seite mit den ausgewählten Berechtigungssätzen befinden, können Sie auf der Registerkarte **Konten** die Konten sehen, für die der Berechtigungssatz verwendet wird. Sie können das Konto auswählen, um zu sehen, wie der Berechtigungssatz innerhalb des Kontos bereitgestellt wird. Sie können Richtlinien [löschen](howtoremovepermissionset.md), bearbeiten und an den Berechtigungssatz anhängen.

------
#### [ All permission sets for an AWS-Konto ]

Gehen Sie wie folgt vor, um alle Zuweisungen für einen Berechtigungssatz anzuzeigen:

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option **AWS-Konten**. Wählen Sie das Konto aus, für das Sie die bereitgestellten Berechtigungssätze anzeigen möchten.

1. Sobald Sie sich auf der ausgewählten AWS-Konto Seite befinden, können Sie auf der Registerkarte **Berechtigungssätze** die verschiedenen Berechtigungssätze einsehen, die den ausgewählten AWS-Konto Benutzern zugewiesen sind. Sie können den Hyperlink zum Berechtigungssatz auswählen, um mehr über den Berechtigungssatz zu erfahren. 

------
#### [ All applied permission sets to users and groups ]

Gehen Sie wie folgt vor, um alle Berechtigungssätze anzuzeigen, die Benutzern oder Gruppen zugewiesen sind: 

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **Dashboard** entweder Benutzer oder Gruppen aus, um die Benutzer oder Gruppen von IAM Identity Center anzuzeigen.

   1. Wählen Sie auf der Seite **Benutzer den Benutzer** aus, für den Sie die angewendeten Berechtigungssätze sehen möchten. Wählen Sie als Nächstes die **AWS-Konten**Registerkarte und anschließend den AWS-Konto Abschnitt **AWS Kontozugriff** aus. Sie können die angewendeten Berechtigungssätze und die AWS-Konto für den ausgewählten Benutzer verwendeten Berechtigungssätze sehen. 

   1. Wählen Sie auf der **Gruppenseite** die Gruppe aus, für die Sie die angewendeten Berechtigungssätze anzeigen möchten. Wählen Sie als Nächstes die **AWS-Konten**Registerkarte und anschließend den AWS-Konto Abschnitt **AWS-Konto Zugriff** aus. Sie können die angewendeten Berechtigungssätze und AWS-Konto für die ausgewählte Gruppe sehen. 

------

## Ändern Sie einen Berechtigungssatz
<a name="howtochangepermissionset"></a>

Gehen Sie wie folgt vor, um einen [Berechtigungssatz](permissionsetsconcept.md) mit der IAM Identity Center-Konsole zu ändern. Sie können Berechtigungssätze für Benutzer oder Gruppen hinzufügen oder daraus entfernen.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option ** AWS-Konten**.

1. Auf der **AWS-Konto**Seite wird eine Strukturansicht Ihrer Organisation angezeigt. Wählen Sie den Namen des Berechtigungssatzes AWS-Konto aus, für den Sie den Berechtigungssatz ändern möchten.

1. Wählen Sie auf der **Übersichtsseite** von unter **Zugewiesene Benutzer und Gruppen** den Benutzernamen oder Gruppennamen des Berechtigungssatzes aus, den Sie ändern möchten. AWS-Konto Wählen Sie dann **Berechtigungssätze ändern** aus.

1. Nehmen Sie die gewünschten Änderungen am Berechtigungssatz vor und wählen Sie dann **Änderungen speichern**.

1. Navigieren Sie zur Registerkarte **Berechtigungssätze**, wählen Sie den kürzlich geänderten Berechtigungssatz aus und wählen Sie **Aktualisieren** aus.

1. Wählen Sie auf der Seite **Berechtigungen aktualisieren** die Option **Aktualisieren** aus.

# Delegieren Sie die Verwaltung von Berechtigungssätzen
<a name="permissionsetdelegation"></a>

Mit IAM Identity Center können Sie die Verwaltung von Berechtigungssätzen und Zuweisungen in Konten delegieren, indem Sie [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) erstellen, die auf die [Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) der IAM Identity Center-Ressourcen verweisen. Sie können beispielsweise Richtlinien erstellen, die es verschiedenen Administratoren ermöglichen, Zuweisungen in bestimmten Konten für Berechtigungssätze mit bestimmten Tags zu verwalten.

**Anmerkung**  
Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).

Sie können eine der folgenden Methoden verwenden, um diese Arten von Richtlinien zu erstellen.
+ (Empfohlen) Erstellen Sie in IAM Identity Center [Berechtigungssätze](permissionsets.md) mit jeweils unterschiedlichen Richtlinien und weisen Sie die Berechtigungssätze verschiedenen Benutzern oder Gruppen zu. Auf diese Weise können Sie Administratorberechtigungen für Benutzer verwalten, die sich mit der von Ihnen ausgewählten [IAM Identity Center-Identitätsquelle](manage-your-identity-source.md) anmelden. 
+ Erstellen Sie benutzerdefinierte Richtlinien in IAM und fügen Sie sie dann den IAM-Rollen hinzu, die Ihre Administratoren übernehmen. Informationen zu Rollen finden Sie unter [IAM-Rollen, um die ihnen zugewiesenen IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) Identity Center-Administratorberechtigungen zu erhalten.

**Wichtig**  
Bei den IAM Identity Center-Ressourcen wird zwischen Groß- und Kleinschreibung ARNs unterschieden. 

Im Folgenden wird die korrekte Schreibweise für den Verweis auf den IAM Identity Center-Berechtigungssatz und die Kontoressourcentypen dargestellt.


| Ressourcentypen | ARN | Kontextschlüssel | 
| --- | --- | --- | 
| PermissionSet | arn:\$1\$1Partition\$1:sso:::permissionSet/\$1\$1InstanceId\$1/\$1\$1PermissionSetId\$1 | aws:ResourceTag/\$1\$1TagKey\$1 | 
| Account | arn:\$1\$1Partition\$1:sso:::account/\$1\$1AccountId\$1 | Nicht zutreffend | 

# Verwenden Sie IAM-Richtlinien in Berechtigungssätzen
<a name="howtocmp"></a>

In haben Sie gelernt[Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md), wie Sie einem Berechtigungssatz Richtlinien hinzufügen, einschließlich kundenverwalteter Richtlinien und Berechtigungsgrenzen. Wenn Sie einem Berechtigungssatz vom Kunden verwaltete Richtlinien und Berechtigungen hinzufügen, erstellt IAM Identity Center in keinem Fall AWS-Konten eine Richtlinie. Stattdessen müssen Sie diese Richtlinien im Voraus in jedem Konto erstellen, dem Sie Ihren Berechtigungssatz zuweisen möchten, und sie mit den Namens- und Pfadangaben Ihres Berechtigungssatzes abgleichen. Wenn Sie einem AWS-Konto in Ihrer Organisation einen Berechtigungssatz zuweisen, erstellt IAM Identity Center eine [AWS Identity and Access Management (IAM-) Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) und ordnet Ihre [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dieser Rolle zu. 

**Überlegungen**
+ Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
+ Bevor Sie Ihrem Berechtigungssatz IAM-Richtlinien zuweisen, müssen Sie Ihr Mitgliedskonto vorbereiten. Der Name einer IAM-Richtlinie in Ihrem Mitgliedskonto muss mit dem Namen der Richtlinie in Ihrem Verwaltungskonto übereinstimmen. IAM Identity Center kann den Berechtigungssatz nicht zuweisen, wenn die Richtlinie in Ihrem Mitgliedskonto nicht vorhanden ist.
**Anmerkung**  
Wenn eine vom Kunden verwaltete Richtlinie an einen Berechtigungssatz angehängt wird, wird beim Namen der Richtlinie nicht zwischen Groß- und Kleinschreibung unterschieden.
+ Die Berechtigungen, die die Richtlinie gewährt, müssen den Konten nicht exakt entsprechen.

# Weisen Sie einem Berechtigungssatz eine IAM-Richtlinie zu


1. Erstellen Sie in jedem Bereich, in AWS-Konten dem Sie den Berechtigungssatz zuweisen möchten, eine IAM-Richtlinie.

1. Weisen Sie der IAM-Richtlinie Berechtigungen zu. Sie können verschiedenen Konten unterschiedliche Berechtigungen zuweisen. Für ein einheitliches Nutzererlebnis sollten Sie in jeder Richtlinie identische Berechtigungen konfigurieren und verwalten. Sie können Automatisierungsressourcen verwenden AWS CloudFormation StackSets , um beispielsweise Kopien einer IAM-Richtlinie mit demselben Namen und denselben Berechtigungen in jedem Mitgliedskonto zu erstellen. Weitere Informationen zu CloudFormation StackSets finden Sie unter [Arbeiten mit AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) im *AWS CloudFormation Benutzerhandbuch*.

1. Erstellen Sie einen Berechtigungssatz in Ihrem Verwaltungskonto und fügen Sie Ihre IAM-Richtlinie unter Vom **Kunden verwaltete Richtlinien** oder **Rechtegrenze** hinzu. Weitere Informationen zum Erstellen eines Berechtigungssatzes finden Sie unter[Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md).

1. Fügen Sie alle Inline-Richtlinien, AWS verwalteten Richtlinien oder zusätzlichen IAM-Richtlinien hinzu, die Sie vorbereitet haben. 

1. Erstellen Sie Ihren Berechtigungssatz und weisen Sie ihn zu.

# Entfernen Sie die Berechtigungssätze im IAM Identity Center
<a name="howtoremovepermissionset"></a>

In der IAM Identity Center-Konsole können Sie einen Berechtigungssatz für Benutzer und Gruppen von IAM Identity Center entfernen. Sie können einen Berechtigungssatz auch aus einem entfernen. AWS-Konto Weitere Informationen zu Berechtigungssätzen und deren Verwendung in IAM Identity Center finden Sie unter[AWS-Konten Mit Berechtigungssätzen verwalten](permissionsetsconcept.md).

**Anmerkung**  
Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).

------
#### [ Remove permission set from a user ]

**Entfernen Sie den Berechtigungssatz von einem Benutzer**

Gehen Sie wie folgt vor, um mit der IAM Identity Center-Konsole einen Berechtigungssatz von einem Benutzer zu entfernen.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **IAM Identity Center** die Option **Benutzer** aus.

1. Wählen Sie den Benutzernamen des Benutzers aus, für den Sie einen Berechtigungssatz entfernen möchten.

1. Wählen Sie auf der Seite mit den Benutzerdetails die **AWS-Konten**Registerkarte aus. Wählen Sie unter **AWS-Konto Zugriff** Ihre aus AWS-Konto.

1. Im rechten Bereich werden die angewendeten Berechtigungen für den ausgewählten Benutzer angezeigt. Wählen Sie den Berechtigungssatz aus, den Sie entfernen möchten. Wählen Sie unter **Kontozugriffsdetails** die Option **Entfernen** aus.

1. In einem Dialogfeld werden Sie gefragt, ob Sie diesen Berechtigungssatz entfernen möchten. Wählen Sie **Entfernen** aus.  
![\[AWS-Konten Registerkarte für einen IAM Identity Center-Benutzer in der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/remove-permission-set-tutorial.png)

------
#### [ Remove permission set from a group ]

**Berechtigungssatz aus einer Gruppe entfernen**

Gehen Sie wie folgt vor, um mit der IAM Identity Center-Konsole einen Berechtigungssatz aus einer Gruppe zu entfernen.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option aus **AWS-Konten**. Wählen Sie den Link zu Ihrem Verwaltungskonto aus.  
![\[AWS-Konten Registerkarte in der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sso-aws-accounts-tab.png)

1. Wählen Sie auf der Registerkarte **Zugewiesene Benutzer und Gruppen** die Gruppe aus, aus der Sie den Berechtigungssatz entfernen möchten, und wählen Sie dann **Berechtigungssatz ändern** aus.

1. Löschen Sie auf der Seite **Berechtigungssätze ändern** den Berechtigungssatz, den Sie entfernen möchten, und wählen Sie dann **Änderungen speichern** aus.

------
#### [ Remove permission set from an AWS-Konto ]

Gehen Sie wie folgt vor, um AWS-Konto mit der IAM Identity Center-Konsole einen Berechtigungssatz aus der zu entfernen.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option aus **AWS-Konten**. Wählen Sie den Namen des Berechtigungssatzes AWS-Konto aus, für den Sie den Berechtigungssatz entfernen möchten.

1. Wählen Sie auf der **Übersichtsseite** von die AWS-Konto Registerkarte **Berechtigungssätze** aus. Wählen Sie den Berechtigungssatz aus, den Sie entfernen möchten. Wählen Sie dann **Entfernen** aus.

1. Vergewissern Sie sich im Dialogfeld **Berechtigungssatz entfernen**, dass der richtige Berechtigungssatz ausgewählt ist, geben Sie einen Text ein, **Delete** um das Entfernen zu bestätigen, und wählen Sie dann **Zugriff entfernen** aus.

------

# Löschen Sie die Berechtigungssätze in IAM Identity Center
<a name="howtodeletepermissionset"></a>

Bevor Sie einen Berechtigungssatz aus IAM Identity Center löschen können, sollten Sie ihn aus allen [entfernen](howtoremovepermissionset.md), AWS-Konten die den Berechtigungssatz verwenden. Informationen zum Überprüfen vorhandener Benutzer- und Gruppenzugriffe finden Sie unter[Einen Berechtigungssatz anzeigen und ändern](howtoviewandchangepermissionset.md).

**Überlegungen**
+ Um Berechtigungssätze verwenden zu können, müssen Sie eine Organisationsinstanz von IAM Identity Center verwenden. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
+ Informationen zum Widerrufen einer aktiven Berechtigungssatz-Sitzung finden Sie unter[Aktive Sitzungen für Ihre Workforce-Benutzer anzeigen und beenden](end-active-sessions.md).
+ Sie sollten die Berechtigungssätze und Anwendungszuweisungen von Benutzern oder Gruppen entfernen, die Sie löschen möchten, bevor Sie sie löschen. Andernfalls verfügen Sie in IAM Identity Center über nicht zugewiesene und ungenutzte Berechtigungssätze und Anwendungen.

Gehen Sie wie folgt vor, um einen oder mehrere Berechtigungssätze zu löschen, sodass sie von niemandem AWS-Konto in der Organisation mehr verwendet werden können.

**Wichtig**  
Alle Benutzer und Gruppen, denen dieser Berechtigungssatz zugewiesen wurde, können AWS-Konto sich nicht mehr anmelden, unabhängig davon, wer ihn verwendet. Informationen zum Überprüfen vorhandener Benutzer- und Gruppenzugriffe finden Sie unter[Einen Berechtigungssatz anzeigen und ändern](howtoviewandchangepermissionset.md).

**So löschen Sie einen Berechtigungssatz aus einem AWS-Konto**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option **Berechtigungssätze** aus.

1. Wählen Sie den Berechtigungssatz aus, den Sie löschen möchten, und wählen Sie dann **Löschen** aus.

1. Geben **Sie im Dialogfeld Berechtigungssatz löschen** den Namen des Berechtigungssatzes ein, um das Löschen zu bestätigen, und wählen Sie dann **Löschen** aus. Der Name berücksichtigt Groß- und Kleinschreibung.

# Konfigurieren Sie die Eigenschaften des Berechtigungssatzes
<a name="permproperties"></a>

In IAM Identity Center können Administratoren die folgenden Konfigurations- und Verwaltungsaufgaben ausführen, um den Benutzerzugriff und die Sitzungsdauer zu steuern.


| Aufgabe | Weitere Informationen | 
| --- | --- | 
|  Administratoren können die maximale Dauer für Benutzersitzungen festlegen, wenn sie über IAM Identity Center auf AWS Ressourcen zugreifen. | [Legen Sie die Sitzungsdauer fest für AWS-Konten](howtosessionduration.md) | 
| Administratoren können die Landingpage anpassen, die Benutzern nach erfolgreicher Authentifizierung über IAM Identity Center angezeigt wird. | [Stellen Sie den Relay-Status für den schnellen Zugriff auf die ein AWS-Managementkonsole](howtopermrelaystate.md) | 
| Stellen Sie sicher, dass Benutzer keinen Zugriff mehr auf AWS Ressourcen haben, wenn ihre Berechtigungen widerrufen werden. | [Verwenden Sie eine Ablehnungsrichtlinie, um aktiven Benutzerberechtigungen zu entziehen](prereqs-revoking-user-permissions.md) | 

# Legen Sie die Sitzungsdauer fest für AWS-Konten
<a name="howtosessionduration"></a>

Für jeden [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) können Sie eine Sitzungsdauer angeben, um zu steuern, wie lange ein Benutzer angemeldet sein kann AWS-Konto. Wenn die angegebene Dauer abgelaufen ist, wird der AWS Benutzer von der Sitzung abgemeldet. 

Wenn Sie einen neuen Berechtigungssatz erstellen, ist die Sitzungsdauer standardmäßig auf 1 Stunde (in Sekunden) festgelegt. Die Mindestsitzungsdauer beträgt 1 Stunde und kann auf maximal 12 Stunden festgelegt werden. IAM Identity Center erstellt automatisch IAM-Rollen in jedem zugewiesenen Konto für jeden Berechtigungssatz und konfiguriert diese Rollen mit einer maximalen Sitzungsdauer von 12 Stunden.

Wenn Benutzer sich mit ihrer AWS-Konto Konsole verbinden oder wenn AWS Command Line Interface (AWS CLI) verwendet wird, verwendet IAM Identity Center die Einstellung für die Sitzungsdauer im Berechtigungssatz, um die Dauer der Sitzung zu steuern. Standardmäßig können von IAM Identity Center für Berechtigungssätze generierte IAM-Rollen nur von IAM Identity Center-Benutzern übernommen werden. Dadurch wird sichergestellt, dass die im IAM Identity Center-Berechtigungssatz angegebene Sitzungsdauer durchgesetzt wird.

**Wichtig**  
Als bewährte Sicherheitsmaßnahme empfehlen wir Ihnen, die Sitzungsdauer nicht länger als für die Ausführung der Rolle nötig festzulegen.

Nachdem Sie einen Berechtigungssatz erstellt haben, können Sie ihn aktualisieren, um eine neue Sitzungsdauer anzuwenden. Gehen Sie wie folgt vor, um die Sitzungsdauer für einen Berechtigungssatz zu ändern.

**So legen Sie die Sitzungsdauer fest**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option **Berechtigungssätze** aus.

1. Wählen Sie den Namen des Berechtigungssatzes aus, für den Sie die Sitzungsdauer ändern möchten.

1. Wählen Sie auf der Detailseite für den Berechtigungssatz rechts neben der Überschrift **Allgemeine Einstellungen die** Option **Bearbeiten** aus.

1. Wählen Sie auf der Seite **Allgemeine Einstellungen für den Berechtigungssatz bearbeiten** einen neuen Wert für die **Sitzungsdauer** aus.

1. Wenn der Berechtigungssatz in einem beliebigen Verzeichnis bereitgestellt wurde AWS-Konten, werden die Namen der Konten unter Automatische **AWS-Konten erneute Bereitstellung** angezeigt. Nachdem der Wert für die Sitzungsdauer für den Berechtigungssatz aktualisiert wurde, werden alle, AWS-Konten die den Berechtigungssatz verwenden, erneut bereitgestellt. Das bedeutet, dass der neue Wert für diese Einstellung auf alle angewendet wird AWS-Konten , die den Berechtigungssatz verwenden.

1. Wählen Sie **Änderungen speichern ** aus.

1. Oben auf der **AWS-Konten**Seite wird eine Benachrichtigung angezeigt.
   + Wenn der Berechtigungssatz in einem oder mehreren Fällen bereitgestellt wurde AWS-Konten, bestätigt die Benachrichtigung, dass die erneute Bereitstellung erfolgreich AWS-Konten war und dass der aktualisierte Berechtigungssatz auf die Konten angewendet wurde.
   + Wenn der Berechtigungssatz nicht in einem bereitgestellt wurde, bestätigt die Benachrichtigung AWS-Konto, dass die Einstellungen für den Berechtigungssatz aktualisiert wurden.

# Stellen Sie den Relay-Status für den schnellen Zugriff auf die ein AWS-Managementkonsole
<a name="howtopermrelaystate"></a>

Wenn sich ein Benutzer beim AWS Zugriffsportal anmeldet, ein Konto auswählt und dann die Rolle auswählt, die aus dem zugewiesenen Berechtigungssatz AWS erstellt wird, leitet IAM Identity Center den Browser des Benutzers standardmäßig an den weiter. AWS-Managementkonsole Sie können dieses Verhalten ändern, indem Sie den Relay-Status auf eine andere Konsolen-URL setzen. 

Wenn Sie den Relay-Status festlegen, können Sie dem Benutzer schnellen Zugriff auf die Konsole gewähren, die für seine Rolle am besten geeignet ist. Sie können den Relay-Status beispielsweise auf die Amazon EC2 EC2-Konsolen-URL (**https://console.aws.amazon.com/ec2/**) setzen, um den Benutzer zu dieser Konsole umzuleiten, wenn er die Amazon EC2 EC2-Administratorrolle auswählt. Während der Umleitung zur Standard-URL oder Relay-State-URL leitet IAM Identity Center den Browser des Benutzers an den Konsolenendpunkt weiter, den der Benutzer zuletzt AWS-Region verwendet hat. Wenn ein Benutzer beispielsweise seine letzte Konsolensitzung in der Region Europa (Stockholm) (eu-north-1) beendet hat, wird der Benutzer zur Amazon EC2 EC2-Konsole in dieser Region umgeleitet.

![\[Workflow-Diagramm zum Einstellen des Relay-Status in. AWS-Managementkonsole\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/permission_sets_relay_state_newest.png)


Um IAM Identity Center so zu konfigurieren, dass der Benutzer zu einer Konsole in einem bestimmten Bereich weitergeleitet wird AWS-Region, fügen Sie die Regionsspezifikation als Teil der URL hinzu. Um den Benutzer beispielsweise zur Amazon EC2 EC2-Konsole in der Region USA Ost (Ohio) (us-east-2) umzuleiten, geben Sie die URL für die Amazon EC2 EC2-Konsole in dieser Region an (). **https://us-east-2.console.aws.amazon.com/ec2/** Wenn Sie IAM Identity Center in der Region USA West (Oregon) (us-west-2) aktiviert haben und Sie den Benutzer zu dieser Region weiterleiten möchten, geben Sie Folgendes an. **https://us-west-2.console.aws.amazon.com** 

## Konfigurieren Sie den Relay-Status
<a name="configure-relay-state"></a>

Gehen Sie wie folgt vor, um die Relay-Status-URL für einen Berechtigungssatz zu konfigurieren.

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option **Berechtigungssätze** aus.

1. Wählen Sie den Namen des Berechtigungssatzes aus, für den Sie die neue Relay-Status-URL festlegen möchten.

1. Wählen Sie auf der Detailseite für den Berechtigungssatz rechts neben der Überschrift **Allgemeine Einstellungen die** Option **Bearbeiten** aus.

1. Geben Sie auf der Seite **Allgemeine Berechtigungssatz-Einstellungen bearbeiten** unter **Relay-Status** eine Konsolen-URL für einen der AWS Dienste ein. Beispiel:

    **https://console.aws.amazon.com/ec2/**
**Anmerkung**  
Die Relay-Status-URL muss sich innerhalb von befinden AWS-Managementkonsole. 

1. Wenn der Berechtigungssatz in einem beliebigen Verzeichnis bereitgestellt wurde AWS-Konten, werden die Namen der Konten unter AWS-Konten „Automatische **Neubereitstellung**“ angezeigt. Nachdem die Relay-Status-URL für den Berechtigungssatz aktualisiert wurde, werden alle, AWS-Konten die den Berechtigungssatz verwenden, erneut bereitgestellt. Das bedeutet, dass der neue Wert für diese Einstellung auf alle angewendet wird AWS-Konten , die den Berechtigungssatz verwenden.

1. Wählen Sie **Änderungen speichern ** aus.

1. Oben auf der **AWS Organisationsseite** wird eine Benachrichtigung angezeigt.
   + Wenn der Berechtigungssatz in einem oder mehreren Fällen bereitgestellt wurde AWS-Konten, bestätigt die Benachrichtigung, dass die erneute Bereitstellung erfolgreich AWS-Konten war und dass der aktualisierte Berechtigungssatz auf die Konten angewendet wurde.
   + Wenn der Berechtigungssatz nicht in einem bereitgestellt wurde, bestätigt die Benachrichtigung AWS-Konto, dass die Einstellungen für den Berechtigungssatz aktualisiert wurden.

**Anmerkung**  
Sie können diesen Prozess automatisieren, indem Sie die AWS API, ein AWS SDK oder die AWS Command Line Interface(AWS CLI) verwenden. Weitere Informationen finden Sie unter:   
Die `UpdatePermissionSet` Aktionen `CreatePermissionSet` oder in der [IAM Identity Center API-Referenz](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) 
Die `update-permission-set` Befehle `create-permission-set` oder im [https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin](https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin)Abschnitt der *AWS CLI Befehlsreferenz.*

# Verwenden Sie eine Ablehnungsrichtlinie, um aktiven Benutzerberechtigungen zu entziehen
<a name="prereqs-revoking-user-permissions"></a>

Möglicherweise müssen Sie einem IAM Identity Center-Benutzer den Zugriff entziehen, AWS-Konten solange der Benutzer aktiv einen Berechtigungssatz verwendet. Sie können ihnen die Nutzung ihrer aktiven IAM-Rollensitzungen entziehen, indem Sie im Voraus eine Ablehnungsrichtlinie für einen nicht spezifizierten Benutzer implementieren. Anschließend können Sie die Verweigerungsrichtlinie bei Bedarf aktualisieren, um den Benutzer anzugeben, dessen Zugriff Sie blockieren möchten. In diesem Thema wird erklärt, wie eine Ablehnungsrichtlinie erstellt wird, und es werden Überlegungen zur Implementierung der Richtlinie angestellt. 

## Bereiten Sie sich darauf vor, eine aktive IAM-Rollensitzung zu widerrufen, die mit einem Berechtigungssatz erstellt wurde
<a name="prepare-to-revoke-session"></a>

Sie können verhindern, dass der Benutzer mit einer IAM-Rolle, die er aktiv verwendet, Aktionen ausführt, indem Sie mithilfe einer Service Control-Richtlinie eine „Alle verweigern“ -Richtlinie für einen bestimmten Benutzer anwenden. Sie können auch verhindern, dass ein Benutzer einen beliebigen Berechtigungssatz verwendet, bis Sie sein Passwort ändern, wodurch ein böswilliger Akteur, der gestohlene Anmeldeinformationen aktiv missbraucht, entfernt wird. Wenn Sie den Zugriff generell verweigern und verhindern möchten, dass ein Benutzer erneut einen Berechtigungssatz eingibt oder auf andere Berechtigungssätze zugreift, können Sie auch den gesamten Benutzerzugriff entfernen, die aktive AWS Access-Portalsitzung beenden und die Benutzeranmeldung deaktivieren. Weitere Informationen [Aktive Sitzungen für Ihre Workforce-Benutzer anzeigen und beenden](end-active-sessions.md) zur Verwendung der Richtlinie „Verweigern“ in Verbindung mit zusätzlichen Aktionen für eine umfassendere Sperrung des Zugriffs finden Sie unter.

### Richtlinie verweigern
<a name="deny-policy"></a>

Sie können eine Ablehnungsrichtlinie mit einer Bedingung verwenden, die mit der Bedingung des Benutzers `UserID` aus dem IAM Identity Center-Identitätsspeicher übereinstimmt, um weitere Aktionen einer IAM-Rolle zu verhindern, die der Benutzer aktiv verwendet. Durch die Verwendung dieser Richtlinie werden Auswirkungen auf andere Benutzer vermieden, die bei der Bereitstellung der Ablehnungsrichtlinie möglicherweise denselben Berechtigungssatz verwenden. Diese Richtlinie verwendet die Platzhalter-Benutzer-ID*`Add user ID here`*,, für `"identitystore:userId"` die Sie die Benutzer-ID aktualisieren, für die Sie den Zugriff widerrufen möchten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}
```

------

Sie könnten zwar einen anderen Bedingungsschlüssel wie`“aws:userId”`, verwenden, `“identitystore:userId”` ist aber sicher, weil es sich um einen global eindeutigen Wert handelt, der einer Person zugeordnet ist. Die Verwendung `“aws:userId”` in der Bedingung kann davon abhängen, wie Benutzerattribute anhand Ihrer Identitätsquelle synchronisiert werden, und kann sich ändern, wenn sich der Benutzername oder die E-Mail-Adresse des Benutzers ändert.

In der IAM Identity Center-Konsole können Sie nach Benutzern suchen, `identitystore:userId` indem Sie zu **Benutzer navigieren, anhand** des Namens nach dem Benutzer suchen, den Abschnitt **Allgemeine Informationen** erweitern und die Benutzer-ID kopieren. Es ist auch praktisch, die AWS Access-Portal-Sitzung eines Benutzers zu beenden und seinen Anmeldezugriff im selben Abschnitt zu deaktivieren, während Sie nach der Benutzer-ID suchen. Sie können den Prozess zur Erstellung einer Ablehnungsrichtlinie automatisieren, indem Sie die Benutzer-ID des Benutzers durch Abfragen des Identitätsspeichers abrufen. APIs

### Bereitstellen der Ablehnungsrichtlinie
<a name="deploy-deny-policy"></a>

 Sie können eine ungültige Platzhalter-Benutzer-ID verwenden, z. B. `Add user ID here` um die Ablehnungsrichtlinie im Voraus mithilfe einer Service Control Policy (SCP) bereitzustellen, die Sie an die AWS-Konten Benutzer anhängen, auf die sie möglicherweise Zugriff haben. Dieser Ansatz wird aufgrund seiner einfachen und schnellen Wirkung empfohlen. Wenn Sie einem Benutzer den Zugriff mit der Richtlinie „Verweigern“ entziehen, bearbeiten Sie die Richtlinie so, dass die Platzhalter-Benutzer-ID durch die Benutzer-ID der Person ersetzt wird, deren Zugriff Sie widerrufen möchten. Dadurch wird verhindert, dass der Benutzer mit beliebigen Berechtigungen in jedem Konto, das Sie dem SCP zuordnen, Aktionen ausführt. Es blockiert die Aktionen des Benutzers, auch wenn er seine Active AWS Access-Portal-Sitzung verwendet, um zu verschiedenen Konten zu navigieren und verschiedene Rollen anzunehmen. Wenn der Zugriff des Benutzers durch den SCP vollständig gesperrt ist, können Sie ihm dann die Möglichkeit nehmen, sich anzumelden, seine Zuweisungen zu widerrufen und seine AWS Access-Portal-Sitzung bei Bedarf zu beenden. 

Als Alternative zur Verwendung SCPs können Sie die Richtlinie „Verweigern“ auch in die Inline-Richtlinie für Berechtigungssätze und in vom Kunden verwaltete Richtlinien aufnehmen, die von den Berechtigungssätzen verwendet werden, auf die der Benutzer zugreifen kann. 

Wenn Sie den Zugriff für mehr als eine Person widerrufen müssen, können Sie im Bedingungsblock eine Liste mit Werten verwenden, z. B.:

```
            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
```

**Wichtig**  
Unabhängig von der Methode (n), die Sie verwenden, müssen Sie alle anderen Abhilfemaßnahmen ergreifen und die Benutzer-ID des Benutzers mindestens 12 Stunden lang in der Richtlinie behalten. Danach laufen alle Rollen ab, die der Benutzer angenommen hat, und Sie können seine Benutzer-ID dann aus der Ablehnungsrichtlinie entfernen.

# Referenzieren von Berechtigungssätzen in Ressourcenrichtlinien, Amazon EKS-Cluster-Konfigurationszuordnungen und AWS KMS wichtigen Richtlinien
<a name="referencingpermissionsets"></a>

Wenn Sie einem AWS Konto einen Berechtigungssatz zuweisen, erstellt IAM Identity Center eine Rolle mit einem Namen, der mit beginnt. `AWSReservedSSO_` 

 Der vollständige Name und der Amazon-Ressourcenname (ARN) für die Rolle verwenden das folgende Format: 


| Name | ARN | 
| --- | --- | 
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO\$1permission-set-name\$1unique-suffix | 

Wenn Ihre Identitätsquelle in IAM Identity Center in us-east-1 gehostet wird, gibt es keine *aws-region* im ARN. Der vollständige Name und der ARN für die Rolle verwenden das folgende Format:


| Name | ARN | 
| --- | --- | 
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO\$1permission-set-name\$1unique-suffix | 

Wenn Sie beispielsweise einen Berechtigungssatz erstellen, der Datenbankadministratoren AWS Kontozugriff gewährt, wird eine entsprechende Rolle mit dem folgenden Namen und ARN erstellt:


| Name | ARN | 
| --- | --- | 
| AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef  | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef | 

Wenn Sie alle Zuweisungen zu diesem Berechtigungssatz im AWS Konto löschen, wird die entsprechende Rolle, die IAM Identity Center erstellt hat, ebenfalls gelöscht. Wenn Sie demselben Berechtigungssatz später eine neue Zuweisung zuweisen, erstellt IAM Identity Center eine neue Rolle für den Berechtigungssatz. Der Name und der ARN der neuen Rolle enthalten ein anderes, eindeutiges Suffix. **In diesem Beispiel lautet das eindeutige Suffix abcdef0123456789.**


| Name | ARN | 
| --- | --- | 
| AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | 

Die Änderung des Suffixes im neuen Namen und ARN für die Rolle hat zur Folge, dass alle Richtlinien, die auf den ursprünglichen Namen und den ARN verweisen, unverändert bleiben out-of-date, wodurch der Zugriff für Personen, die den entsprechenden Berechtigungssatz verwenden, unterbrochen wird. Beispielsweise wird durch eine Änderung des ARN für die Rolle der Zugriff für Benutzer des Berechtigungssatzes unterbrochen, wenn in den folgenden Konfigurationen auf den ursprünglichen ARN verwiesen wird:
+ In der `aws-auth ConfigMap` Datei für Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster, wenn Sie den `aws-auth ConfigMap` für den Clusterzugriff verwenden.
+ In einer ressourcenbasierten Richtlinie für einen AWS Key Management Service () -Schlüssel.AWS KMS Diese Richtlinie wird auch als Schlüsselrichtlinie bezeichnet.

**Anmerkung**  
Wir empfehlen Ihnen, [Amazon EKS-Zugriffseinträge](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html) zu verwenden, um den Zugriff auf Ihre Amazon EKS-Cluster zu verwalten. Auf diese Weise können Sie IAM-Berechtigungen verwenden, um die Principals zu verwalten, die Zugriff auf einen Amazon EKS-Cluster haben. Durch die Verwendung von Amazon EKS-Zugriffseinträgen können Sie einen IAM-Prinzipal mit Amazon EKS-Berechtigungen verwenden, um den Zugriff auf einen Cluster wiederherzustellen, ohne Kontakt aufzunehmen Support.

Sie können zwar ressourcenbasierte Richtlinien für die meisten AWS Services aktualisieren, um auf einen neuen ARN für eine Rolle zu verweisen, die einem Berechtigungssatz entspricht, aber Sie müssen über eine Backup-Rolle verfügen, die Sie in IAM für Amazon EKS erstellen und AWS KMS falls sich der ARN ändert. Für Amazon EKS muss die Backup-IAM-Rolle in der `aws-auth ConfigMap` vorhanden sein. Denn AWS KMS sie muss in Ihren wichtigsten Richtlinien enthalten sein. Wenn Sie nicht über eine Backup-IAM-Rolle mit Berechtigungen zum Aktualisieren der `aws-auth ConfigMap` oder der AWS KMS Schlüsselrichtlinie verfügen, wenden Sie sich an uns, Support um wieder Zugriff auf diese Ressourcen zu erhalten.

## Empfehlungen zur Vermeidung von Zugriffsunterbrechungen
<a name="avoid-access-disruptions"></a>

Um Zugriffsunterbrechungen aufgrund von Änderungen im ARN für eine Rolle zu vermeiden, die einem Berechtigungssatz entspricht, empfehlen wir Ihnen, wie folgt vorzugehen. 
+ **Behalten Sie mindestens eine Berechtigungssatzzuweisung bei.** 

  Behalten Sie diese Zuweisung in den AWS Konten bei, die die Rollen enthalten, auf die Sie in den `aws-auth ConfigMap` für Amazon EKS, in den wichtigsten Richtlinien in AWS KMS oder in den ressourcenbasierten Richtlinien für andere verweisen. AWS-Services

  Wenn Sie beispielsweise einen `EKSAccess` Berechtigungssatz erstellen und auf den entsprechenden Rollen-ARN aus dem AWS Konto verweisen`111122223333`, weisen Sie dem Berechtigungssatz in diesem Konto dauerhaft eine administrative Gruppe zu. Da die Zuweisung dauerhaft ist, löscht IAM Identity Center die entsprechende Rolle nicht, wodurch das Risiko einer Umbenennung entfällt. Die administrative Gruppe hat immer Zugriff, ohne dass das Risiko einer Rechteerweiterung besteht.
+ **Für Amazon EKS-Cluster, die verwenden `aws-auth ConfigMap` und AWS KMS: Fügen Sie eine in IAM erstellte Rolle hinzu.**

  Wenn Sie bei ARNs Berechtigungssätzen in einem `aws-auth ConfigMap` Amazon EKS-Cluster oder in Schlüsselrichtlinien für AWS KMS Schlüssel auf Rollen verweisen, empfehlen wir, dass Sie auch mindestens eine Rolle angeben, die Sie in IAM erstellen. Die Rolle muss Ihnen den Zugriff auf den Amazon EKS-Cluster oder die Verwaltung der AWS KMS Schlüsselrichtlinie ermöglichen. Der Berechtigungssatz muss in der Lage sein, diese Rolle anzunehmen. Auf diese Weise können Sie den Verweis auf den ARN in der AWS KMS Schlüsselrichtlinie `aws-auth ConfigMap` oder aktualisieren, wenn sich der Rollen-ARN für einen Berechtigungssatz ändert. Der nächste Abschnitt enthält ein Beispiel dafür, wie Sie eine Vertrauensrichtlinie für eine Rolle erstellen können, die in IAM erstellt wurde. Die Rolle kann nur durch einen `AdministratorAccess` Berechtigungssatz übernommen werden. 

## Beispiel für eine benutzerdefinierte Vertrauensrichtlinie
<a name="custom-trust-policy-example"></a>

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Vertrauensrichtlinie, die einem `AdministratorAccess` Berechtigungssatz Zugriff auf eine in IAM erstellte Rolle gewährt. Zu den wichtigsten Elementen dieser Richtlinie gehören:
+ Das Hauptelement dieser Vertrauensrichtlinie legt einen AWS Kontohauptmann fest. In dieser Richtlinie können Prinzipale im AWS Konto `111122223333` mit `sts:AssumeRole` Berechtigungen die Rolle übernehmen, die in IAM erstellt wurde. 
+ Diese Vertrauensrichtlinie legt zusätzliche Anforderungen für Prinzipale fest, die die in IAM erstellte Rolle übernehmen können. `Condition element` In dieser Richtlinie kann der Berechtigungssatz mit der folgenden Rolle ARN die Rolle übernehmen.

  ```
  arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
  ```
**Anmerkung**  
Das `Condition` Element enthält den `ArnLike` Bedingungsoperator und verwendet einen Platzhalter am Ende des ARN der Berechtigungssatzrolle anstelle eines eindeutigen Suffixes. Das bedeutet, dass die Richtlinie es dem Berechtigungssatz ermöglicht, die in IAM erstellte Rolle anzunehmen, auch wenn sich der Rollen-ARN für den Berechtigungssatz ändert. 

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "ArnLike": {
            "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
          }
        }
      }
    ]
  }
  ```

------

  Wenn Sie eine Rolle, die Sie in IAM erstellen, in eine solche Richtlinie aufnehmen, erhalten Sie Notfallzugriff auf Ihre Amazon EKS-Cluster oder andere AWS Ressourcen AWS KMS keys, falls ein Berechtigungssatz oder alle Zuweisungen zum Berechtigungssatz versehentlich gelöscht und neu erstellt werden.

# Attributbasierte Zugriffskontrolle
<a name="abac"></a>

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. Sie können IAM Identity Center verwenden, um den Zugriff auf Ihre AWS Ressourcen über mehrere Benutzer hinweg zu verwalten, indem Sie Benutzerattribute AWS-Konten verwenden, die aus einer beliebigen IAM Identity Center-Identitätsquelle stammen. In AWS werden diese Attribute als Tags bezeichnet. Durch die Verwendung von Benutzerattributen als Stichwörter können Sie den Prozess der Erstellung detaillierter Berechtigungen vereinfachen AWS und sicherstellen, dass Ihre Mitarbeiter nur auf die AWS Ressourcen zugreifen können, die über die entsprechenden Tags verfügen. AWS 

Sie können beispielsweise den Entwicklern Bob und Sally, die aus zwei verschiedenen Teams stammen, demselben Berechtigungssatz in IAM Identity Center zuweisen und dann das Teamnamenattribut für die Zugriffskontrolle auswählen. Wenn Bob und Sally sich bei ihrem anmelden AWS-Konten, sendet IAM Identity Center ihr Teamnamenattribut in der AWS Sitzung, sodass Bob und Sally nur dann auf AWS Projektressourcen zugreifen können, wenn ihr Teamnamenattribut mit dem Teamnamen-Tag auf der Projektressource übereinstimmt. Wenn Bob in future zu Sallys Team wechselt, können Sie seinen Zugriff ändern, indem Sie einfach sein Teamnamenattribut im Unternehmensverzeichnis aktualisieren. Wenn Bob sich das nächste Mal anmeldet, erhält er automatisch Zugriff auf die Projektressourcen seines neuen Teams, ohne dass die Berechtigungen aktualisiert werden müssen. AWS

Dieser Ansatz trägt auch dazu bei, die Anzahl der unterschiedlichen Berechtigungen zu reduzieren, die Sie in IAM Identity Center erstellen und verwalten müssen, da Benutzer, denen dieselben Berechtigungssätze zugeordnet sind, nun anhand ihrer Attribute über eindeutige Berechtigungen verfügen können. Sie können diese Benutzerattribute in IAM Identity Center-Berechtigungssätzen und ressourcenbasierten Richtlinien verwenden, um ABAC für AWS Ressourcen zu implementieren und die Berechtigungsverwaltung in großem Umfang zu vereinfachen.

## Vorteile
<a name="abac-benefits"></a>

Im Folgenden sind weitere Vorteile der Verwendung von ABAC in IAM Identity Center aufgeführt.
+ **ABAC benötigt weniger Berechtigungssätze** — Da Sie nicht unterschiedliche Richtlinien für verschiedene Aufgabenfunktionen erstellen müssen, erstellen Sie weniger Berechtigungssätze. Dies reduziert die Komplexität Ihrer Berechtigungsverwaltung.
+ **Mit ABAC können sich Teams schnell ändern und wachsen** — Berechtigungen für neue Ressourcen werden automatisch auf der Grundlage von Attributen erteilt, wenn Ressourcen bei der Erstellung entsprechend gekennzeichnet werden. 
+ **Verwenden Sie Mitarbeiterattribute aus Ihrem Unternehmensverzeichnis mit ABAC** — Sie können vorhandene Mitarbeiterattribute aus jeder in IAM Identity Center konfigurierten Identitätsquelle verwenden, um Entscheidungen zur Zugriffskontrolle in zu treffen. AWS
+ **Nachverfolgen, wer auf Ressourcen zugreift** — Sicherheitsadministratoren können die Identität einer Sitzung auf einfache Weise ermitteln, indem sie die Benutzerattribute überprüfen, um die Benutzeraktivitäten in AWS CloudTrail zu verfolgen. AWS

Informationen zur Konfiguration von ABAC mithilfe der IAM Identity Center-Konsole finden Sie unter. [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Informationen zur Aktivierung und Konfiguration von ABAC mithilfe des IAM Identity Center finden Sie [CreateInstanceAccessControlAttributeConfiguration](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)im IAM Identity Center APIs *API-Referenzhandbuch*.

**Topics**
+ [Vorteile](#abac-benefits)
+ [Checkliste: Konfiguration von ABAC mithilfe von IAM Identity Center AWS](abac-checklist.md)
+ [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md)

# Checkliste: Konfiguration von ABAC mithilfe von IAM Identity Center AWS
<a name="abac-checklist"></a>

Diese Checkliste enthält die Konfigurationsaufgaben, die zur Vorbereitung Ihrer AWS Ressourcen und zur Einrichtung von IAM Identity Center für den ABAC-Zugriff erforderlich sind. Führen Sie die Aufgaben in dieser Checkliste der Reihe nach aus. Wenn Sie über einen Referenzlink zu einem Thema gelangen, kehren Sie zu diesem Thema zurück, damit Sie mit den verbleibenden Aufgaben in dieser Checkliste fortfahren können.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/abac-checklist.html)

Nachdem Sie diese Schritte abgeschlossen haben, erhalten Benutzer, die Single Sign-On AWS-Konto verwenden, Zugriff auf ihre AWS Ressourcen, basierend auf den entsprechenden Attributen. 

# Attribute für Zugriffskontrolle
<a name="attributesforaccesscontrol"></a>

**Attribute für die Zugriffskontrolle** ist der Name der Seite in der IAM Identity Center-Konsole, auf der Sie Benutzerattribute auswählen, die Sie in Richtlinien zur Steuerung des Zugriffs auf Ressourcen verwenden möchten. Sie können Benutzer Workloads auf der AWS Grundlage vorhandener Attribute in der Identitätsquelle der Benutzer zuweisen.

Nehmen wir beispielsweise an, Sie möchten den Zugriff auf S3-Buckets anhand von Abteilungsnamen zuweisen. Auf der Seite „**Attribute für die Zugriffskontrolle**“ wählen Sie das Benutzerattribut „**Abteilung**“ für die Verwendung mit der attributebasierten Zugriffskontrolle (ABAC) aus. Im IAM Identity Center-Berechtigungssatz schreiben Sie dann eine Richtlinie, die Benutzern nur dann Zugriff gewährt, wenn das **Abteilungsattribut mit dem Abteilungs-Tag** übereinstimmt, das Sie Ihren S3-Buckets zugewiesen haben. IAM Identity Center übergibt das Abteilungsattribut des Benutzers an das Konto, auf das zugegriffen wird. Das Attribut wird dann verwendet, um den Zugriff auf der Grundlage der Richtlinie zu bestimmen. Weitere Informationen zu ABAC finden Sie unter[Attributbasierte Zugriffskontrolle](abac.md). 

## Erste Schritte
<a name="abac-getting-started"></a>

Wie Sie mit der Konfiguration von Attributen für die Zugriffskontrolle beginnen, hängt davon ab, welche Identitätsquelle Sie verwenden. Unabhängig von der ausgewählten Identitätsquelle müssen Sie, nachdem Sie Ihre Attribute ausgewählt haben, Richtlinien für Berechtigungssätze erstellen oder bearbeiten. Diese Richtlinien müssen Benutzeridentitäten Zugriff auf AWS Ressourcen gewähren. 

### Auswahl von Attributen, wenn Sie IAM Identity Center als Identitätsquelle verwenden
<a name="abac-getting-started-sso"></a>

Wenn Sie IAM Identity Center als Identitätsquelle konfigurieren, fügen Sie zunächst Benutzer hinzu und konfigurieren deren Attribute. Navigieren Sie anschließend zur Seite „**Attribute für die Zugriffskontrolle**“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten. Navigieren Sie abschließend zu der **AWS-Konten**Seite, auf der Sie Berechtigungssätze für die Verwendung der Attribute für ABAC erstellen oder bearbeiten können.

### Auswahl von Attributen bei Verwendung AWS Managed Microsoft AD als Identitätsquelle
<a name="abac-getting-started-ms-ad"></a>

Wenn Sie IAM Identity Center AWS Managed Microsoft AD als Identitätsquelle konfigurieren, ordnen Sie zunächst eine Reihe von Attributen aus Active Directory den Benutzerattributen in IAM Identity Center zu. Navigieren Sie als Nächstes zur Seite „**Attribute für die Zugriffskontrolle**“. Wählen Sie dann auf der Grundlage des vorhandenen Satzes von SSO-Attributen, die aus Active Directory zugeordnet wurden, aus, welche Attribute in Ihrer ABAC-Konfiguration verwendet werden sollen. Verfassen Sie abschließend ABAC-Regeln mithilfe der Zugriffskontrollattribute in Berechtigungssätzen, um Benutzeridentitäten Zugriff auf Ressourcen zu gewähren. AWS Eine Liste der Standardzuordnungen von Benutzerattributen in IAM Identity Center zu den Benutzerattributen in Ihrem Verzeichnis finden Sie unter. AWS Managed Microsoft AD [Standardzuordnungen zwischen IAM Identity Center und Microsoft AD](attributemappingsconcept.md#defaultattributemappings)

### Auswahl von Attributen, wenn Sie einen externen Identitätsanbieter als Identitätsquelle verwenden
<a name="abac-getting-started-idp"></a>

Wenn Sie IAM Identity Center mit einem externen Identitätsanbieter (IdP) als Identitätsquelle konfigurieren, gibt es zwei Möglichkeiten, Attribute für ABAC zu verwenden.
+ Sie können Ihren IdP so konfigurieren, dass er die Attribute über SAML-Assertionen sendet. In diesem Fall leitet IAM Identity Center den Attributnamen und den Wert vom IdP zur Richtlinienbewertung weiter.
**Anmerkung**  
Attribute in SAML-Assertionen sind für Sie auf der Seite „**Attribute für** die Zugriffskontrolle“ nicht sichtbar. Sie müssen diese Attribute im Voraus kennen und sie zu den Zugriffskontrollregeln hinzufügen, wenn Sie Richtlinien erstellen. Wenn Sie sich dafür entscheiden, Ihren externen IdPs Attributen zu vertrauen, werden diese Attribute immer weitergegeben, wenn sich Benutzer AWS-Konten zusammenschließen. In Szenarien, in denen dieselben Attribute über SAML und SCIM in das IAM Identity Center übertragen werden, hat der Wert der SCIM-Attribute bei Entscheidungen zur Zugriffskontrolle Vorrang.
+ Sie können auf der Seite Attribute **für die Zugriffskontrolle in der IAM Identity Center-Konsole konfigurieren, welche Attribute** Sie verwenden. Die Attributwerte, die Sie hier auswählen, ersetzen die Werte für alle passenden Attribute, die über eine Assertion von einem IdP stammen. Je nachdem, ob Sie SCIM verwenden, sollten Sie Folgendes beachten:
  + Bei Verwendung von SCIM synchronisiert der IdP die Attributwerte automatisch mit dem IAM Identity Center. Zusätzliche Attribute, die für die Zugriffskontrolle erforderlich sind, sind möglicherweise nicht in der Liste der SCIM-Attribute enthalten. In diesem Fall sollten Sie in Erwägung ziehen, mit dem IT-Administrator in Ihrem IdP zusammenzuarbeiten, um solche Attribute über SAML-Assertionen mit dem erforderlichen Präfix an das IAM Identity Center zu senden. `https://aws.amazon.com/SAML/Attributes/AccessControl:` Informationen zur Konfiguration von Benutzerattributen für die Zugriffskontrolle in Ihrem IdP zum Senden über SAML-Assertionen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) Für Ihren IdP.
  + Wenn Sie SCIM nicht verwenden, müssen Sie die Benutzer manuell hinzufügen und ihre Attribute so festlegen, als ob Sie IAM Identity Center als Identitätsquelle verwenden würden. Navigieren Sie als Nächstes zur Seite „**Attribute für die Zugriffskontrolle**“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten. 

Eine vollständige Liste der unterstützten Attribute für Benutzerattribute in IAM Identity Center für die Benutzerattribute in Ihrem externen IdPs System finden Sie unter[Unterstützte externe Identitätsanbieter-Attribute](attributemappingsconcept.md#supportedidpattributes).

Informationen zu den ersten Schritten mit ABAC in IAM Identity Center finden Sie in den folgenden Themen.

**Topics**
+ [Erste Schritte](#abac-getting-started)
+ [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md)
+ [Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC](configure-abac-policies.md)

# Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle
<a name="configure-abac"></a>

[Um die attributebasierte Zugriffskontrolle (ABAC) verwenden zu können, müssen Sie sie zunächst entweder auf der **Einstellungsseite** der IAM Identity Center-Konsole oder in der IAM Identity Center-API aktivieren.](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) Unabhängig von der Identitätsquelle können Sie jederzeit Benutzerattribute aus dem Identity Store für die Verwendung in ABAC konfigurieren. In der Konsole können Sie dies tun, indem Sie auf der Seite **Einstellungen** zur Registerkarte **Attribute für die Zugriffskontrolle** navigieren. Wenn Sie einen externen Identitätsanbieter (IdP) als Identitätsquelle verwenden, haben Sie auch die Möglichkeit, Attribute vom externen IdP in SAML-Assertionen zu empfangen. In diesem Fall müssen Sie den externen IdP so konfigurieren, dass er die gewünschten Attribute sendet. Wenn ein Attribut aus einer SAML-Assertion auch als ABAC-Attribut in IAM Identity Center definiert ist, sendet IAM Identity Center den Wert aus seinem Identity Store als [Sitzungs-Tag](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) bei der Anmeldung an einen. AWS-Konto

**Anmerkung**  
Sie können die von einem externen IdP konfigurierten und gesendeten Attribute nicht auf der Seite **Attribute für die Zugriffskontrolle** in der IAM Identity Center-Konsole anzeigen. Wenn Sie Zugriffskontrollattribute in den SAML-Assertionen von Ihrem externen IdP übergeben, werden diese Attribute direkt an den gesendet, AWS-Konto wenn sich Benutzer zusammenschließen. Die Attribute werden in IAM Identity Center nicht für die Zuordnung verfügbar sein.

**Topics**
+ [Aktivieren Sie Attribute für die Zugriffskontrolle](enable-abac.md)
+ [Wählen Sie Ihre Attribute für die Zugriffskontrolle](configure-abac-attributes.md)
+ [Attribute für die Zugriffskontrolle deaktivieren](disable-abac.md)

# Aktivieren Sie Attribute für die Zugriffskontrolle
<a name="enable-abac"></a>

Gehen Sie wie folgt vor, um die Funktion zur Steuerung der Attribute für den Zugriff (ABAC) mithilfe der IAM Identity Center-Konsole zu aktivieren.

**Anmerkung**  
Wenn Sie bereits über Berechtigungssätze verfügen und ABAC in Ihrer IAM Identity Center-Instance aktivieren möchten, müssen Sie für zusätzliche Sicherheitseinschränkungen zunächst über die Richtlinie verfügen. `iam:UpdateAssumeRolePolicy` Diese zusätzlichen Sicherheitseinschränkungen sind nicht erforderlich, wenn Sie in Ihrem Konto keine Berechtigungssätze erstellt haben.  
Wenn Ihre IAM Identity Center-Instanz vor Dezember 2020 erstellt wurde und Sie planen, ABAC darin zu aktivieren, müssen Sie die `iam:UpdateAssumeRolePolicy` Richtlinie mit der IAM Identity Center-Administratorrolle verknüpft haben, unabhängig davon, ob Sie in Ihrem Konto Berechtigungssätze erstellt haben.

**Um Attribute für die Zugriffskontrolle zu aktivieren**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen**

1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Attribute für die Zugriffskontrolle** und wählen Sie dann **Aktivieren** aus. Fahren Sie mit dem nächsten Verfahren zur Konfiguration fort.

# Wählen Sie Ihre Attribute für die Zugriffskontrolle
<a name="configure-abac-attributes"></a>

Gehen Sie wie folgt vor, um Attribute für Ihre ABAC-Konfiguration einzurichten. 

**Um Ihre Attribute mit der IAM Identity Center-Konsole auszuwählen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. **Wählen Sie Einstellungen**

1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Attribute für die Zugriffskontrolle** und dann **Attribute verwalten** aus.

1. Wählen Sie auf der Seite **„Attribute für die Zugriffskontrolle**“ die Option „**Attribut hinzufügen“** und geben Sie die **Schlüssel** - und **Wertdetails** ein. Hier ordnen Sie das aus Ihrer Identitätsquelle stammende Attribut einem Attribut zu, das IAM Identity Center als Sitzungs-Tag weitergibt.  
![\[Details zu den wichtigsten Werten in der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/abac_key_value.png)

   **Key** steht für den Namen, den Sie dem Attribut zur Verwendung in Richtlinien geben. Dies kann ein beliebiger Name sein, aber Sie müssen diesen genauen Namen in den Richtlinien angeben, die Sie für die Zugriffskontrolle erstellen. Nehmen wir zum Beispiel an, dass Sie Okta (einen externen IdP) als Identitätsquelle verwenden und die Kostenstellendaten Ihrer Organisation als Sitzungs-Tags weitergeben müssen. Im Feld **Schlüssel** würden Sie einen ähnlich passenden Namen **CostCenter**wie Ihren Schlüsselnamen eingeben. Es ist wichtig zu beachten, dass unabhängig davon, welchen Namen Sie hier wählen, er auch in Ihrem Namen `aws:PrincipalTag-Bedingungsschlüssel` (das heißt,`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`) exakt den gleichen Namen haben muss.
**Anmerkung**  
Verwenden Sie ein Attribut mit einem einzigen Wert für Ihren Schlüssel, z. B. **Manager** IAM Identity Center unterstützt keine mehrwertigen Attribute für ABAC, zum Beispiel. **Manager, IT Systems**

   Der **Wert** steht für den Inhalt des Attributs, das aus Ihrer konfigurierten Identitätsquelle stammt. Hier können Sie einen beliebigen Wert aus der entsprechenden Identitätsquellentabelle eingeben, die unter aufgeführt ist[Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md). Wenn Sie beispielsweise den Kontext aus dem oben genannten Beispiel verwenden, überprüfen Sie die Liste der unterstützten IdP-Attribute und stellen fest, dass ein unterstütztes Attribut am ehesten übereinstimmt, **`${path:enterprise.costCenter}`**und geben Sie es dann in das Feld **Wert** ein. Sehen Sie sich den obigen Screenshot als Referenz an. Beachten Sie, dass Sie externe IdP-Attributwerte außerhalb dieser Liste für ABAC nicht verwenden können, es sei denn, Sie verwenden die Option, Attribute über die SAML-Assertion zu übergeben.

1. Wählen Sie **Änderungen speichern ** aus.

Nachdem Sie die Zuordnung Ihrer Zugriffskontrollattribute konfiguriert haben, müssen Sie den ABAC-Konfigurationsprozess abschließen. Erstellen Sie dazu Ihre ABAC-Regeln und fügen Sie sie Ihren and/or ressourcenbasierten Richtlinien für Berechtigungssätze hinzu. Dies ist erforderlich, damit Sie Benutzeridentitäten Zugriff auf Ressourcen gewähren können. AWS Weitere Informationen finden Sie unter [Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC](configure-abac-policies.md).

# Attribute für die Zugriffskontrolle deaktivieren
<a name="disable-abac"></a>

Gehen Sie wie folgt vor, um die ABAC-Funktion zu deaktivieren und alle konfigurierten Attributzuordnungen zu löschen. 

**Um Attribute für die Zugriffskontrolle zu deaktivieren**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Attribute für die Zugriffskontrolle** und dann **Attribute verwalten** aus.

1. Wählen Sie auf der Seite **„Attribute für die Zugriffskontrolle verwalten**“ die Option **Deaktivieren** aus.

1. Überprüfen **Sie im Dialogfeld „Attribute für die Zugriffskontrolle deaktivieren**“ die Informationen, geben Sie sie ein**DISABLE**, und wählen Sie dann **Bestätigen**.
**Wichtig**  
Dieser Schritt löscht alle Attribute und beendet die Verwendung von Attributen für die Zugriffskontrolle beim Zusammenschluss, AWS-Konten unabhängig davon, ob Attribute in SAML-Assertionen eines externen Identitätsquellenanbieters vorhanden sind.

# Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC
<a name="configure-abac-policies"></a>

Sie können Berechtigungsrichtlinien erstellen, die anhand des konfigurierten Attributwerts festlegen, wer auf Ihre AWS Ressourcen zugreifen kann. Wenn Sie ABAC aktivieren und Attribute angeben, leitet IAM Identity Center den Attributwert des authentifizierten Benutzers zur Verwendung bei der Richtlinienbewertung an IAM weiter.

## aws:PrincipalTag-Bedingungsschlüssel
<a name="abac-principaltag"></a>

Mithilfe des Bedingungsschlüssels können Sie Zugriffskontrollattribute in Ihren Berechtigungssätzen verwenden, um `aws:PrincipalTag` Zugriffskontrollregeln zu erstellen. In der folgenden Richtlinie können Sie beispielsweise alle Ressourcen in Ihrer Organisation mit ihren jeweiligen Kostenstellen kennzeichnen. Sie können auch einen einzigen Berechtigungssatz verwenden, der Entwicklern Zugriff auf ihre Kostenstellenressourcen gewährt. Wenn Entwickler sich nun mithilfe von Single Sign-On und ihrem Kostenstellenattribut mit dem Konto verbinden, erhalten sie nur Zugriff auf die Ressourcen in ihren jeweiligen Kostenstellen. Wenn das Team mehr Entwickler und Ressourcen zu seinem Projekt hinzufügt, müssen Sie nur Ressourcen mit der richtigen Kostenstelle taggen. Anschließend geben Sie Informationen zur Kostenstelle in der AWS Sitzung weiter, in der sich die Entwickler AWS-Konten zusammenschließen. Wenn das Unternehmen der Kostenstelle neue Ressourcen und Entwickler hinzufügt, können Entwickler Ressourcen entsprechend ihren Kostenstellen verwalten, ohne dass Genehmigungen aktualisiert werden müssen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag)und [EC2: Starten oder Stoppen von Instances auf der Grundlage übereinstimmender Principal- und Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) im *IAM-Benutzerhandbuch*.

Wenn Richtlinien ungültige Attribute in ihren Bedingungen enthalten, schlägt die Richtlinienbedingung fehl und der Zugriff wird verweigert. Weitere Informationen finden Sie unter [Fehler „Ein unerwarteter Fehler ist aufgetreten“, wenn ein Benutzer versucht, sich mit einem externen Identitätsanbieter anzumelden](troubleshooting.md#issue8).

# Grundlegendes zu serviceverknüpften Rollen in IAM Identity Center
<a name="slrconcept"></a>

[Bei dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role) handelt es sich um vordefinierte IAM-Berechtigungen, mit denen IAM Identity Center delegieren und durchsetzen kann, auf welche Benutzer in Ihrem Unternehmen Single Sign-On-Zugriff haben. AWS-Konten AWS Organizations Der Service ermöglicht diese Funktionalität, indem er in jeder Rolle innerhalb der Organisation eine dienstbezogene Rolle bereitstellt. AWS-Konto Der Dienst ermöglicht es dann anderen AWS Diensten wie IAM Identity Center, diese Rollen zur Ausführung dienstbezogener Aufgaben zu nutzen. Weitere Informationen finden Sie unter Rollen im Zusammenhang mit [AWS Organizations Diensten.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs)

Wenn Sie IAM Identity Center aktivieren, erstellt IAM Identity Center eine dienstverknüpfte Rolle für alle Konten innerhalb der Organisation in. AWS Organizations IAM Identity Center erstellt außerdem dieselbe serviceverknüpfte Rolle in jedem Konto, das anschließend zu Ihrer Organisation hinzugefügt wird. Diese Rolle ermöglicht es IAM Identity Center, in Ihrem Namen auf die Ressourcen der einzelnen Konten zuzugreifen. Weitere Informationen finden Sie unter [Konfigurieren Sie den Zugriff auf AWS-Konten](manage-your-accounts.md). 

Mit Diensten verknüpfte Rollen, die in den einzelnen Rollen erstellt werden, AWS-Konto sind benannt. `AWSServiceRoleForSSO` Weitere Informationen finden Sie unter [Verwendung von serviceverknüpften Rollen für IAM Identity Center](using-service-linked-roles.md).

**Hinweise**  
Wenn Sie mit dem AWS Organizations Verwaltungskonto angemeldet sind, verwendet es Ihre aktuell angemeldete Rolle und nicht die dienstverknüpfte Rolle. Dadurch wird die Eskalation von Rechten verhindert.
Wenn IAM Identity Center IAM-Operationen im AWS Organizations Verwaltungskonto ausführt, werden alle Vorgänge mit den Anmeldeinformationen des IAM-Prinzipals ausgeführt. Auf diese Weise können die Anmeldungen CloudTrail nachvollziehen, wer alle Berechtigungsänderungen im Verwaltungskonto vorgenommen hat.