在 Amazon Organizations 成员账户上执行特权任务 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Amazon Organizations 成员账户上执行特权任务

IAM 的 Amazon Organizations 管理账户或委派管理员账户可以使用短期根访问权限对成员账户执行一些根用户任务。这些任务只能在您以账户的根用户身份登录时执行。短期特权会话为您提供临时凭证,您可以限定这些凭证的范围,以对组织中的成员账户执行特权操作。

启动特权会话后,您可以删除配置错误的 Amazon S3 存储桶策略、删除配置错误的 Amazon SQS 队列策略、删除成员账户的根用户凭证,以及重新启用成员账户的根用户凭证。

注意

您必须登录到 Amazon Organizations 管理账户或 IAM 委派管理员账户,才能启用集中根访问权限。不能使用 Amazon Web Services 账户 根用户。

先决条件

在启动特权会话之前,您必须具备以下设置:

  • 您已在组织中启用集中根访问。有关启用此功能的步骤,请参阅集中成员账户的根访问

  • 您的管理账户或委派管理员账户具有以下权限:sts:AssumeRoot

对成员账户执行特权操作(控制台)

要在 Amazon Web Services Management Console中为成员账户的特权操作启动会话
  1. 登录 Amazon Web Services Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择根访问管理

  3. 从成员账户列表中选择一个名称,然后选择采取特权操作

  4. 选择您想要在成员账户中执行的特权操作。

    • 选择删除 Amazon S3 存储桶策略,以删除一项配置错误的存储桶策略,此策略将会拒绝所有主体访问 Amazon S3 存储桶策略。

      1. 选择浏览 S3,从成员账户拥有的存储桶中选择一个名称,然后选择选择

      2. 选择删除存储桶策略

      3. 在删除配置错误的策略后,使用 Amazon S3 控制台来纠正存储桶策略。有关更多信息,请参阅《Amazon S3 用户指南》中的使用 Amazon S3 控制台添加存储桶策略

    • 选择删除 Amazon SQS 策略,以删除 Amazon Simple Queue Service 基于资源的策略,此策略将会拒绝所有主体访问 Amazon SQS 队列。

      1. SQS 队列名称中输入队列名称,然后选择删除 SQS 策略

      2. 在删除配置错误的策略后,使用 Amazon SQS 控制台来纠正队列策略。有关更多信息,请参阅《Amazon SQS 开发人员指南》中的 Configuring an access policy in Amazon SQS

    • 选择删除根凭证,以删除成员账户的根访问权限。删除根用户凭证将会移除根用户密码、访问密钥、签名证书并停用成员账户的多重身份验证(MFA)。

      1. 选择删除根凭证

    • 选择允许密码恢复,以恢复成员账户的根用户凭证。

      仅当成员账户没有根用户凭证时,此选项才可用。

      1. 选择允许恢复密码

      2. 执行此特权操作后,有权访问该成员账户的根用户电子邮件收件箱的人可以重置根用户密码并登录到成员账户根用户。

对成员账户执行特权操作(Amazon CLI)

要从 Amazon Command Line Interface 中为成员账户的特权操作启动会话
  1. 使用以下命令假设根用户会话:aws sts assume-root

    注意

    全局端点不支持 sts:AssumeRoot。您必须将此请求发送到区域的 Amazon STS 端点。有关更多信息,请参阅 管理 Amazon Web Services 区域中的 Amazon STS

    在为成员账户启动特权根用户会话时,必须定义 task-policy-arn,以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 Amazon 托管策略之一来限定特权会话操作的范围。

    要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作,您可以使用 Amazon STS 条件键 sts:TaskPolicyArn

    在以下示例中,委派管理员担任根用户来删除成员账户 ID 111122223333 的根用户凭证。

    aws sts assume-root \ --target-principal 111122223333 \ --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \ --duration-seconds 900
  2. 使用响应中的 AccessKeyIdSecretAccessKey 在成员账户中执行特权操作。您可以省略请求中的用户名和密码,以默认设置为成员账户。

对成员账户执行特权操作(Amazon API)

要从 Amazon API 中为成员账户的特权操作启动会话
  1. 使用以下命令假设根用户会话:AssumeRoot

    注意

    全局端点不支持 AssumeRoot。您必须将此请求发送到区域的 Amazon STS 端点。有关更多信息,请参阅 管理 Amazon Web Services 区域中的 Amazon STS

    在为成员账户启动特权根用户会话时,必须定义 TaskPolicyArn,以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 Amazon 托管策略之一来限定特权会话操作的范围。

    要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作,您可以使用 Amazon STS 条件键 sts:TaskPolicyArn

    在以下示例中,委派管理员担任根用户来读取、编辑和删除成员账户 ID 111122223333 的 Amazon S3 存储桶中配置错误的基于资源的策略。

    https://sts.us-east-2.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRoot &TargetPrincipal=111122223333 &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy &DurationSeconds 900
  2. 使用响应中的 AccessKeyIdSecretAccessKey 在成员账户中执行特权操作。您可以省略请求中的用户名和密码,以默认设置为成员账户。