添加或更新主要和备用联系人信息 - Amazon账户管理
主账户联系人替代账户联系人
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

添加或更新主要和备用联系人信息

您可以存储有关主账户联系人为您的 Amazon Web Services 账户 .

您还可以为以下内容添加联系信息替代账户联系人

  • 计费

  • 操作

  • 安全性

访问或更新主账户联系人

编辑您的 Amazon Web Services 账户 的主要联系人详细信息,请执行以下程序中的步骤。

Amazon Web Services Management Console

编辑您的 Amazon Web Services 账户 的主要联系方式

最小权限

要执行以下步骤,您至少必须具有以下 IAM 权限:

  • aws-portal:ViewAccount(要查看账户详情页面)

  • aws-portal:ModifyAccount

  1. 登录到Amazon Web Services Management Console作为具有最低权限的 IAM 用户或角色。

  2. 选择窗口右上角的账户名称,然后选择我的账户.

  3. 向下滚动到部分联系信息,然后在旁边选择编辑.

    注意

    系统可能会提示您批准访问此信息。Amazon向与帐户关联的电子邮件地址和主要联系人电话号码发送请求。选择请求中的链接以在浏览器中打开它,然后批准访问权限。

  4. 更改任何可用字段中的值。

    重要

    对于专业 Amazon Web Services 账户 ,最佳做法是输入公司电话号码和电子邮件地址,而不是属于个人的电话号码和电子邮件地址。配置账户的使用 Amazon Web Services 账户 根用户使用个人的电子邮件地址或电话号码可能会使该个人离开公司时你的帐户难以恢复。

  5. 完成您的所有更改后,选择更新.

Amazon CLI & SDKs

你目前无法修改Primary使用联系信息Amazon CLI或者来自其中一个的 API 操作Amazon开发工具包。您只能通过使用Amazon Web Services Management Console.

访问或更新备用联系人

您可以添加和删除备用联系人 Amazon Web Services 账户 更新联系人的详细信息。

操作模式

使用的 API 操作 Amazon Web Services 账户 的备用联系人始终以两种操作模式之一工作:

  • 独立上下文— 当帐户中的用户或角色访问或更改其他联系人时,使用此模式同一账户. 当您时会自动使用独立上下文模式不要包含AccountId当你调用账户管理之一时的参数Amazon CLI或者AmazonSDK 操作。

  • Organizations 上下文— 当组织中一个帐户中的用户或角色访问或更改同一组织中不同成员帐户中的备用联系人时,使用此模式。当您时会自动使用组织上下文模式Do包含AccountId当你调用账户管理之一时的参数Amazon CLI或者AmazonSDK 操作。在此模式下,您只能从组织的管理帐户或账户管理的委派管理员帐户调用操作。

这些区域有:Amazon Web Services Management Console下面的过程总是有效仅限在独立上下文中。您可以使用Amazon Web Services Management Console要仅访问或更改您使用的帐户中的备用联系人,请调用该操作。

这些区域有:Amazon CLI和AmazonSDK 操作可以在任何一种情况下工作。

  • 如果您不要包含AccountId参数,然后操作在独立上下文中运行,并自动将请求应用于您用于发出请求的帐户。无论账户是否为组织成员,都是如此。

  • 如果你确实包含AccountId参数,然后该操作在 Organizations 上下文中运行,该操作在指定的组织帐户上运行。

    • 如果调用该操作的帐户是账户管理服务的管理帐户或委派管理员帐户,则可以在AccountId参数以更新指定的账户。

    • 组织中唯一可以调用其他联系人操作之一并在AccountId参数是指定为委托管理员账户用于账户管理服务。包括管理账户在内的任何其他账户都会收到AccessDenied例外。

  • 如果您在独立模式下运行操作,则必须允许您使用 IAM 策略运行该操作,该策略包括Resource任何一个元素"*"允许所有资源,或者使用独立账户语法的 ARN.

  • 如果您在组织模式下运行操作,则必须允许您使用 IAM 策略运行该操作,该策略包括Resource任何一个元素"*"允许所有资源,或者使用组织中成员账户语法的 ARN.

授予权限以更新替代联系人员

和大多数人一样Amazon操作,您可以授予添加、更新或删除备用联系人的权限 Amazon Web Services 账户 使用IAM 权限策略. 当您将 IAM 权限策略附加到 IAM 委托人(用户或角色)时,您可以指定委托人可在哪些条件下对哪些资源执行哪些操作。

以下是创建权限策略的一些账户管理特定注意事项。

的 Amazon 资源名称格式 Amazon Web Services 账户

  • 这些区域有:Amazon 资源名称 (ARN)为了 Amazon Web Services 账户 你可以包含在resource根据您要引用的账户是独立账户还是组织中的账户,策略声明的元素的构造方式有所不同。请参阅上一部分操作模式.

    • 独立账户的账户 ARN:

      arn:aws:account::{AccountId}:account

      在独立模式下运行备用联系人操作时,必须使用此格式,方法是不包括AccountID参数。

    • 组织中成员账户的账户 ARN:

      arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}

      在组织模式下运行备用联系人操作时,必须使用此格式,方法是将AccountID参数。

IAM 策略的上下文密钥

账户管理服务还提供了几个特定于账户管理服务的条件键这可以对您授予的权限进行精细控制。

account:AlternateContactTypes

上下文键account:AlternateContactTypes允许您指定 IAM 策略允许(或拒绝)三种账单类型中的哪种。

例如,以下示例 IAM 权限策略使用此条件密钥允许附加的委托人仅检索但不能修改BILLING组织中特定账户的备用联系人。

由于account:AlternateContactTypes是多值字符串类型,必须使用ForAnyValue或者ForAllValues多值字符串运算符. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "account:GetAlternateContact",
            "Resource": [
                "arn:aws:account::123456789012:account/o-aa111bb222/111111111111"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "account:AlternateContactTypes": [
                        "BILLING"
                    ]
                }
            }
        }
    ]
}
account:AccountResourceOrgPaths

上下文键account:AccountResourceOrgPaths允许您指定通过组织层次结构到特定组织单位 (OU) 的路径。只有该 OU 包含的成员账户才符合条件。以下示例代码段将策略限制为仅应用于两个指定 OU 中的任何一个账户。

由于account:AccountResourceOrgPaths是多值字符串类型,必须使用ForAnyValue或者ForAllValues多值字符串运算符. 另外,请注意,条件键上的前缀是account,尽管你正在引用组织中的 OU 的路径。 

"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgPaths": [
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*", 
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/*"
        ]
    }
}
account:AccountResourceOrgTags

上下文键account:AccountResourceOrgTags允许您引用可以附加到组织中账户的标签。标签是一个键/值字符串对,您可以使用它对账户中的资源进行分类和标记。有关标记的更多信息,请参阅标签编辑器中的Amazon Resource Groups用户指南. 有关在基于属性的访问控制策略中使用标签的信息,请参阅什么是适用于的 ABACAmazon中的IAM 用户指南. 以下示例代码段将策略限制为仅应用于组织中具有带有密钥的标签的帐户project值为blue或者red.

由于account:AccountResourceOrgTags是多值字符串类型,必须使用ForAnyValue或者ForAllValues多值字符串运算符. 另外,请注意,条件键上的前缀是account,尽管你在引用组织成员账户上的标签。 

"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgTags/project": [
            "blue", 
            "red"
        ]
    }
}
注意

您只能将标签附加到组织中的账户。你不能将标签附加到独立的 Amazon Web Services 账户 .

访问和更新账户的备用联系人详细信息

编辑您的 Amazon Web Services 账户 的备用联系人详细信息,请执行以下程序中的步骤。

Amazon Web Services Management Console

编辑您的 Amazon Web Services 账户 的备用联系方式

最小权限

要执行以下步骤,您至少必须具有以下 IAM 权限:

  • aws-portal:ViewAccount(要查看账户详情页面)

您还必须具有以下权限选项之一:

以下权限允许用户执行任何或全部备用联系人命令:

  • aws-portal:ModifyAccount

  1. 登录到Amazon Web Services Management Console作为具有最低权限的 IAM 用户或角色。

  2. 选择窗口右上角的账户名称,然后选择我的账户.

  3. 在存储库的账户设置页面,向下滚动到替代联系人,然后在标题的右侧,选择编辑.

    注意

    系统可能会提示您批准访问此信息。Amazon向与帐户关联的电子邮件地址和主要联系人电话号码发送请求。选择请求中的链接以在浏览器中打开它,然后批准访问权限。

  4. 更改任何可用字段中的值。

    重要

    对于专业 Amazon Web Services 账户 ,最佳做法是输入公司电话号码和电子邮件地址,而不是属于个人的电话号码和电子邮件地址。

  5. 完成您的所有更改后,选择更新.

Amazon CLI & SDKs

您可以检索、更新或删除替代联系信息可以通过使用以下方式Amazon CLI命令或他们的AmazonSDK 等效操作:

Notes

  • 要从管理帐户或组织中的委托管理员帐户对成员账户执行这些操作,您必须为账户服务启用可信访问.

  • 您无法访问与用于调用该操作的帐户不同的组织中的帐户。

最小权限

对于每个操作,您都必须具有映射到该操作的权限:

  • account:GetAlternateContact

  • account:PutAlternateContact

  • account:DeleteAlternateContact

如果您使用这些个人权限,则可以授予某些用户只读取联系人信息的能力,并授予其他用户读取和写入的能力。

这些区域有:aws-portal权限仅适用于Amazon Web Services Management Console,且不能用于授予权限Amazon CLI或者AmazonSDK 操作。

以下示例检索来电者账户的当前账单备用联系人。

$ aws account get-alternate-contact \
    --alternate-contact-type=BILLING
{
    "AlternateContact": {
        "AlternateContactType": "BILLING",
        "EmailAddress": "saanvi.sarkar@amazon.com",
        "Name": "Saanvi Sarkar",
        "PhoneNumber": "+1(206)555-0123",
        "Title": "CFO"
    }
}

以下示例还检索当前账单备用联系人,但这次检索组织中指定的成员账户。使用的凭证必须来自组织的管理帐户,或者来自账户管理的委派管理员帐户。

$ aws account get-alternate-contact \
    --alternate-contact-type=BILLING \
    --account-id 123456789012
{
    "AlternateContact": {
        "AlternateContactType": "BILLING",
        "EmailAddress": "saanvi.sarkar@amazon.com",
        "Name": "Saanvi Sarkar",
        "PhoneNumber": "+1(206)555-0123",
        "Title": "CFO"
    }
}

以下示例为呼叫者账户设置新的操作备用联系人。

$ aws account put-alternate-contact \
    --alternate-contact-type=OPERATIONS \
    --email-address=mateo_jackson@amazon.com \
    --name="Mateo Jackson" \
    --phone-number="+1(206)555-1234" \
    --title="Operations Manager"

如果成功,此命令不会产生任何输出。

以下示例还设置了 Operations 备用联系人,但这次是为组织中指定的成员帐户设置的。使用的凭证必须来自组织的管理帐户,或者来自账户管理的委派管理员帐户。

$ aws account put-alternate-contact \
    --account-id 123456789012 \
    --alternate-contact-type=OPERATIONS \
    --email-address=mateo_jackson@amazon.com \
    --name="Mateo Jackson" \
    --phone-number="+1(206)555-1234" \
    --title="Operations Manager"

如果成功,此命令不会产生任何输出。

注意

如果你执行多个PutAlternateContact同样的操作 Amazon Web Services 账户 和相同的联系人类型,第一个添加新的联系人,以及所有连续的呼叫都是相同的 Amazon Web Services 账户 然后联系人类型更新现有联系人。

以下示例删除呼叫者帐户的安全备用联系人。

$ aws account delete-alternate-contact \
    --alternate-contact-type=SECURITY

如果成功,此命令不会产生任何输出。

注意

如果您尝试多次删除同一联系人,第一个联系人将以静默方式成功。以后的所有尝试都会生成ResourceNotFound例外。

以下示例还删除了 Security 备用联系人,但这次删除组织中指定的成员帐户。使用的凭证必须来自组织的管理帐户,或者来自账户管理的委派管理员帐户。

$ aws account delete-alternate-contact \
    --account-id 123456789012 \
    --alternate-contact-type=SECURITY

如果成功,此命令不会产生任何输出。