集中成员账户的根访问 - Amazon Identity and Access Management
先决条件启用集中的根访问(控制台)启用集中的根访问(Amazon CLI)启用集中的根访问(Amazon API)后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

集中成员账户的根访问

根用户凭证是分配给具有对账户中所有 Amazon 服务和资源的完全访问权限的每个 Amazon Web Services 账户的初始凭证。启用 Amazon Organizations 后,您可以将所有 Amazon 账户合并到一个组织中进行集中管理。每个成员账户都有自己的根用户,该用户拥有在成员账户中执行任何操作的默认权限。建议您集中保护使用 Amazon Organizations 管理的 Amazon Web Services 账户的根用户凭证,以防止大规模的根用户凭证恢复和访问。

集中根访问后,您可以选择从组织的成员账户中删除根用户凭证。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA)。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。成员账户不能登录到他们的根用户或为其根用户执行密码恢复。

如果您需要恢复成员账户的根用户凭证,则可以为该账户启用密码恢复。有些任务只能在您以账户的根用户身份登录时执行。其中一些 需要根用户凭证的任务 可以由管理账户或 IAM 的委派管理员执行。建议您在完成需要访问根用户的任务后删除根用户凭证。要详细了解您可以执行的特权任务,请参阅执行特权任务

先决条件

在集中根访问之前,必须为账户配置以下设置:

  • 必须在 Amazon Organizations 中管理您的 Amazon Web Services 账户。

  • 您必须具有以下权限才能在组织中启用此功能:

    • iam:EnableOrganizationsRootCredentialsManagement

    • iam:EnableOrganizationsRootSessions

    • organizations:RegisterDelegatedAdministrator

    • organizations:EnableAwsServiceAccess

启用集中的根访问(控制台)

要在 Amazon Web Services Management Console中为成员账户启用此功能

  1. 登录 Amazon Web Services Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择根访问权限管理,然后选择启用

    注意

    如果您看到已禁用根访问权限管理,请在 Amazon Identity and Access Management 中启用 Amazon Organizations 的可信访问。有关详细信息,请参阅《Amazon Organizations 用户指南》中的 Amazon IAM 和 Amazon Organizations

  3. 在“要启用的功能”部分,选择要启用的功能。

    • 选择根凭证管理,以允许管理账户和 IAM 的委派管理员删除成员账户的根用户凭证。您必须在成员账户中启用特权根操作,以允许成员账户在删除其根用户凭证后恢复这些凭证。

    • 选择成员账户中的特权根操作,以允许管理账户和 IAM 的委派管理员执行某些需要根用户凭证的任务。

  4. (可选)输入获得授权管理根用户访问并对成员账户采取特权措施的委派管理员的账户 ID。建议使用用于安全或管理目的的账户。

  5. 请选择启用

启用集中的根访问(Amazon CLI)

要从 Amazon Command Line Interface(Amazon CLI)启用集中式根用户访问权限

  1. 如果您尚未在 Amazon Organizations 中启用 Amazon Identity and Access Management 的可信访问权限,则请使用以下命令:aws organizations enable-aws-service-access

  2. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证:aws iam enable-organizations-root-credentials-management

  3. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务:aws iam enable-organizations-root-sessions

  4. (可选)使用以下命令注册委派管理员:aws organizations register-delegated-administrator

    以下示例将账户 111111111111 分配为 IAM 服务的委派管理员。

    aws organizations register-delegated-administrator 
--service-principal iam.amazonaws.com
--account-id 111111111111

启用集中的根访问(Amazon API)

要从 Amazon API 启用集中式根用户访问权限

  1. 如果您尚未在 Amazon Organizations 中启用 Amazon Identity and Access Management 的可信访问权限,则请使用以下命令:EnableAWSServiceAccess

  2. 使用以下命令允许管理账户和委派管理员删除成员账户的根用户凭证:EnableOrganizationsRootCredentialsManagement

  3. 使用以下命令允许管理账户和委派管理员执行需要根用户凭证的特定任务:EnableOrganizationsRootSessions

  4. (可选)使用以下命令注册委派管理员:RegisterDelegatedAdministrator

后续步骤

集中保护组织中成员账户的特权凭证后,请参阅执行特权任务以对成员账户采取特权操作。