在 Amazon Organizations 成员账户上执行特权任务
IAM 的 Amazon Organizations 管理账户或委派管理员账户可以使用短期根访问权限对成员账户执行一些根用户任务。这些任务只能在您以账户的根用户身份登录时执行。短期特权会话为您提供临时凭证,您可以限定这些凭证的范围,以对组织中的成员账户执行特权操作。
启动特权会话后,您可以删除配置错误的 Amazon S3 存储桶策略、删除配置错误的 Amazon SQS 队列策略、删除成员账户的根用户凭证,以及重新启用成员账户的根用户凭证。
注意
您必须登录到 Amazon Organizations 管理账户或 IAM 委派管理员账户,才能启用集中根访问权限。不能使用 Amazon Web Services 账户 根用户。
先决条件
在启动特权会话之前,您必须具备以下设置:
-
您已在组织中启用集中根访问。有关启用此功能的步骤,请参阅集中成员账户的根访问。
-
您的管理账户或委派管理员账户具有以下权限:
sts:AssumeRoot
对成员账户执行特权操作(控制台)
要在 Amazon Web Services Management Console中为成员账户的特权操作启动会话
登录 Amazon Web Services Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在控制台的导航窗格中,选择根访问管理。
-
从成员账户列表中选择一个名称,然后选择采取特权操作。
-
选择您想要在成员账户中执行的特权操作。
-
选择删除 Amazon S3 存储桶策略,以删除一项配置错误的存储桶策略,此策略将会拒绝所有主体访问 Amazon S3 存储桶策略。
-
选择浏览 S3,从成员账户拥有的存储桶中选择一个名称,然后选择选择。
-
选择删除存储桶策略。
-
在删除配置错误的策略后,使用 Amazon S3 控制台来纠正存储桶策略。有关更多信息,请参阅《Amazon S3 用户指南》中的使用 Amazon S3 控制台添加存储桶策略。
-
-
选择删除 Amazon SQS 策略,以删除 Amazon Simple Queue Service 基于资源的策略,此策略将会拒绝所有主体访问 Amazon SQS 队列。
-
在 SQS 队列名称中输入队列名称,然后选择删除 SQS 策略。
-
在删除配置错误的策略后,使用 Amazon SQS 控制台来纠正队列策略。有关更多信息,请参阅《Amazon SQS 开发人员指南》中的 Configuring an access policy in Amazon SQS。
-
-
选择删除根凭证,以删除成员账户的根访问权限。删除根用户凭证将会移除根用户密码、访问密钥、签名证书并停用成员账户的多重身份验证(MFA)。
-
选择删除根凭证。
-
-
选择允许密码恢复,以恢复成员账户的根用户凭证。
仅当成员账户没有根用户凭证时,此选项才可用。
-
选择允许恢复密码。
-
执行此特权操作后,有权访问该成员账户的根用户电子邮件收件箱的人可以重置根用户密码并登录到成员账户根用户。
-
-
对成员账户执行特权操作(Amazon CLI)
要从 Amazon Command Line Interface 中为成员账户的特权操作启动会话
-
使用以下命令假设根用户会话:aws sts assume-root
。 注意
全局端点不支持
sts:AssumeRoot
。您必须将此请求发送到区域的 Amazon STS 端点。有关更多信息,请参阅 管理 Amazon Web Services 区域中的 Amazon STS。在为成员账户启动特权根用户会话时,必须定义
task-policy-arn
,以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 Amazon 托管策略之一来限定特权会话操作的范围。要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作,您可以使用 Amazon STS 条件键 sts:TaskPolicyArn。
在以下示例中,委派管理员担任根用户来删除成员账户 ID
111122223333
的根用户凭证。aws sts assume-root \ --target-principal
111122223333
\ --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials
\ --duration-seconds900
-
使用响应中的
AccessKeyId
和SecretAccessKey
在成员账户中执行特权操作。您可以省略请求中的用户名和密码,以默认设置为成员账户。-
检查根用户凭证的状态。使用以下命令检查成员账户的根用户凭证状态。
-
删除根用户凭证。使用以下命令删除根访问。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA),以移除对根用户的所有访问及根用户的恢复。
-
删除 Amazon S3 存储桶策略。使用以下命令读取、编辑和删除配置错误的存储桶策略,该策略拒绝所有主体访问 Amazon S3 存储桶。
-
删除 Amazon SQS 策略。使用以下命令查看并删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
-
允许密码恢复。使用以下命令查看用户名并恢复成员账户的根用户凭证。
-
对成员账户执行特权操作(Amazon API)
要从 Amazon API 中为成员账户的特权操作启动会话
-
使用以下命令假设根用户会话:AssumeRoot。
注意
全局端点不支持 AssumeRoot。您必须将此请求发送到区域的 Amazon STS 端点。有关更多信息,请参阅 管理 Amazon Web Services 区域中的 Amazon STS。
在为成员账户启动特权根用户会话时,必须定义
TaskPolicyArn
,以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 Amazon 托管策略之一来限定特权会话操作的范围。要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作,您可以使用 Amazon STS 条件键 sts:TaskPolicyArn。
在以下示例中,委派管理员担任根用户来读取、编辑和删除成员账户 ID
111122223333
的 Amazon S3 存储桶中配置错误的基于资源的策略。https://sts.us-east-2.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRoot &TargetPrincipal=
111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds900
-
使用响应中的
AccessKeyId
和SecretAccessKey
在成员账户中执行特权操作。您可以省略请求中的用户名和密码,以默认设置为成员账户。-
检查根用户凭证的状态。使用以下命令检查成员账户的根用户凭证状态。
-
删除根用户凭证。使用以下命令删除根访问。您可以移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA),以移除对根用户的所有访问及根用户的恢复。
-
删除 Amazon S3 存储桶策略。使用以下命令读取、编辑和删除配置错误的存储桶策略,该策略拒绝所有主体访问 Amazon S3 存储桶。
-
删除 Amazon SQS 策略。使用以下命令查看并删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
-
允许密码恢复。使用以下命令查看用户名并恢复成员账户的根用户凭证。
-