访问和管理组织中的成员账户 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

访问和管理组织中的成员账户

在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 OrganizationAccountAccessRole 的 IAM 角色。您可以在创建名称时指定其他名称,但我们建议您在所有账户中始终如一地命名该名称。我们使用默认名称引用本指南中的角色。Amazon Organizations 不创建任何其他 IAM 用户、组或其他角色。要访问组织中的账户,您必须使用以下方法之一:

最小权限

要从组织中的任何其他账户访问Amazon Web Services 账户,必须具有以下权限:

  • sts:AssumeRoleResource 元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。

以根用户身份访问成员账户

当您创建新账户时,Amazon Organizations 最初为根用户分配一个最少为 64 字符长的密码。所有字符都是随机生成的,不保证出现特定字符集。您无法检索此初始密码。要首次以根用户身份访问该账户,您必须完成密码恢复过程。

注意
  • 我们建议的最佳实践是,除了创建其他具有更多受限权限的用户和角色之外,不要使用根用户访问账户。然后以这些用户或角色之一的身份登录。

  • 此外,我们还建议您对根用户设置多重验证 (MFA)。重置密码,然后向根用户分配 MFA 设备

  • 如果您在组织中创建了一个电子邮件地址不正确的成员账户,则无法以根用户身份登录该账户。请联系 Amazon Billing and Support 以获取帮助。

Amazon Web Services Management Console
为成员账户的根用户请求新密码
  1. 通过以下链接转到位于Amazon控制台的 Sign in (登录) 页面:https://console.aws.amazon.com/。如果您已登录 Amazon,则必须先注销才能看到登录页面。

  2. 如果 Sign in (登录) 页面显示 Account ID or alias (账户 ID 或别名)IAM user name (IAM 用户名)Password (密码) 三个文本框,请选择 Sign in using root account credentials (使用根账户凭证登录)

  3. 输入与Amazon Web Services 账户关联的电子邮件地址,然后选择 Next (下一步)

  4. 选择 Forgot your password? (忘记密码?),然后输入将密码重置为所提供的新密码所需的信息。要执行此操作,您必须能够访问发送到与账户关联的电子邮件地址的传入邮件。

在受邀成员账户中创建 OrganizationAccountAccessRole

默认情况下,如果您创建属于组织的成员账户,Amazon会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 OrganizationAccountAccessRole。有关更多信息,请参阅访问具有管理账户访问权角色的成员账户

但是,您邀请 加入组织中的成员账户 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole,以确保一致性和方便记忆。

Amazon Web Services Management Console
在成员账户中创建 Amazon Organizations 管理员角色
  1. 通过以下网址登录到 IAM 控制台:https://console.aws.amazon.com/iam/。您必须以 IAM 用户身份登录,或者在有权创建 IAM 角色和策略的成员账户中担任 IAM 角色。您可以使用在创建成员账户时为您创建的 IAM 管理员用户。

  2. 在 IAM 控制台中,导航至 Roles (角色),然后选择 Create Role (创建角色)

  3. 选择其他Amazon Web Services 账户

  4. 输入您希望向其授予管理员访问权的管理账户的 12 位账户 ID 编号,并选择 Next: Permissions (下一步:权限)

    对于此角色,由于账户是公司的内部账户,因此,您应选择 Require external ID (需要外部 ID)。有关外部 ID 选项的更多信息,请参阅《IAM 用户指南》中的我何时应使用外部 ID?

  5. 如果您启用了 MFA 并进行了配置,则可以选择要求使用 MFA 设备进行身份验证。有关更多信息,请参阅《IAM 用户指南》中的在Amazon中使用多重身份验证(MFA)

  6. 附加权限策略页面上,选择名为 AdministratorAccess 的 Amazon 托管策略,然后选择下一步:标签

  7. Add tags (optional) (添加标签(可选)) 页面上,选择 Next: Review (下一步: 审核)

  8. Review 页面上,指定角色名称和可选描述。我们建议您使用 OrganizationAccountAccessRole,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 Create role (创建角色)。

  9. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息,特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外,记下 Role ARN (角色 ARN),因为您在步骤 15 中需要它。

  10. 通过以下网址登录到 IAM 控制台:https://console.aws.amazon.com/iam/。此时,以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。

  11. 导航到 Policies (策略),然后选择 Create Policy (创建策略)

  12. 对于 Service,选择 STS

  13. 对于 Actions (操作),在 Filter (筛选器) 框中开始键入 AssumeRole,然后在该角色显示后选中其旁边的复选框。

  14. 选择 Resources (资源),确保已选择 Specific (特定),然后选择 Add ARN (添加 ARN)

  15. 输入Amazon成员账户 ID 号,然后输入您之前在步骤 1–8 中创建的角色的名称。选择 Add(添加)。

  16. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。

  17. 选择Review policy(查看策略)

  18. 输入新策略的名称,然后选择 Create policy (创建策略) 以保存您的更改。

  19. 选择导航窗格中的 Groups (组),然后选择要用于委派成员账户的管理权限的组的名称(不是复选框)。

  20. 请选择 Permissions 选项卡。

  21. 选择 Attach Policy (附加策略),选择您在步骤 11–18 中创建的策略,然后选择 Attach Policy (附加策略)

作为选定组成员的用户现在可以使用您在步骤 9 中捕获的 URL 来访问每个成员账户的角色。他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅访问具有管理账户访问权角色的成员账户

访问具有管理账户访问权角色的成员账户

使用 Amazon Organizations 控制台创建成员账户时,Amazon Organizations 将自动在账户中创建 IAM 角色(名为 OrganizationAccountAccessRole)。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。您可以按照在受邀成员账户中创建 OrganizationAccountAccessRole中的步骤,为受邀成员账户创建相同的角色。要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。

Amazon Web Services Management Console
向管理账户中 IAM 组的成员授予权限以访问角色
  1. 以管理账户中具有管理员权限的用户身份,通过以下网址登录 IAM 控制台:https://console.aws.amazon.com/iam/。这是向 IAM 组委派权限所必需的,该组的用户将具有成员账户中的角色。

  2. 首先,创建您稍后在步骤 11中需要的托管策略。

    在导航窗格中选择策略,然后选择创建策略

  3. 在可视化编辑器选项卡上,选择 Choose a service (选择服务),在搜索框中键入 STS 以筛选列表,然后选择 STS 选项。

  4. Actions (操作) 部分中,在搜索框键入 assume 以筛选列表,然后选择 AssumeRole 选项。

  5. 在 Resources (资源) 部分中,选择 Specific (特定),选择 Add ARN to restrict access (添加 ARN 以限制访问),然后键入成员账号和您在上一部分中创建的角色的名称(我们建议将其命名 OrganizationAccountAccessRole)。

  6. 当对话框显示正确的 ARN 时,选择 Add (添加)。

  7. (可选)如果您要求多重验证 (MFA),或要限制此角色从指定的 IP 地址范围进行访问,请展开 Request conditions (请求条件) 部分,然后选择要强制执行的选项。

  8. 选择Review policy(查看策略)

  9. Name (名称) 字段中,输入您的策略名称。例如:GrantAccessToOrganizationAccountAccessRole。您还可以添加可选的说明。

  10. 选择 Create policy (创建策略) 以保存新的托管策略。

  11. 现在,您已有策略可用,您可以将其附加到组。

    在导航窗格中,选择 Groups (组),然后选择其成员能够代入成员账户中角色的组的名称(不是复选框)。如果需要,您可以创建新组。

  12. Permissions (权限) 选项卡上,然后在 Managed Policies (托管策略) 下,选择 Attach policy (附加策略)

  13. (可选)在 Search (搜索) 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在步骤 2步骤 10中创建的策略的名称。还可以筛选出所有Amazon托管式策略,方法是选择 Policy Type (策略类型),然后选择 Customer Managed (客户托管)

  14. 选中策略旁边的复选框,然后选择 Attach Policy (附加策略)

现在,作为组成员的 IAM 用户有权使用以下过程在 Amazon Organizations 控制台中切换到新角色。

Amazon Web Services Management Console
切换到成员账户的角色

使用该角色时,用户具有新成员账户中的管理权限。指示您的作为该组成员的 IAM 用户执行以下操作以切换到新角色。

  1. 从 Amazon Organizations 控制台的右上角,选择包含当前登录名称的链接,然后选择 Switch Role (切换角色)

  2. 输入管理员提供的账户 ID 号和角色名称。

  3. 对于 Display Name (显示名称),输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。

  4. 选择 Switch Role。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回之前,您不再具有与原始 IAM 用户关联的权限。

  5. 完成执行需要角色权限的操作后,您可以切换回普通 IAM 用户。选择右上角的角色名称(无论您指定什么作为Display Name (显示名称)),然后选择 Back to UserName (返回到 UserName)

其他资源