访问和管理组织中的成员账户
在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 OrganizationAccountAccessRole
的 IAM 角色。您可以在创建名称时指定其他名称,但我们建议您在所有账户中始终如一地命名该名称。我们使用默认名称引用本指南中的角色。Amazon Organizations 不创建任何其他 IAM 用户、组或其他角色。要访问组织中的账户,您必须使用以下方法之一:
-
您在 Amazon Organizations 外部创建的Amazon Web Services 账户包含一个具有对该账户的完全访问权限的 IAM 管理员用户。您可以使用这些凭证登录。
-
如果您通过使用作为 Amazon Organizations 一部分提供的工具创建一个账户,则可以使用名为
OrganizationAccountAccessRole
的预配置角色访问该账户,该角色存在于通过这种方式创建的所有新账户中。请参阅访问具有管理账户访问权角色的成员账户。 -
如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 Amazon Organizations 创建的账户中的角色相同。如需创建此角色,请参阅在受邀成员账户中创建 OrganizationAccountAccessRole。创建角色之后,您可以使用访问具有管理账户访问权角色的成员账户中的步骤访问它。
-
使用 Amazon IAM Identity Center (successor to Amazon Single Sign-On) 并为 IAM Identity Center 与 Amazon Organizations 启用可信访问。这允许用户使用其公司凭证登录 Amazon 访问门户并访问向其分配的管理账户或成员账户中的资源。
有关更多信息,请参阅《Amazon IAM Identity Center (successor to Amazon Single Sign-On) 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息,请参阅 Amazon IAM Identity Center (successor to Amazon Single Sign-On) 和 Amazon Organizations。
最小权限
要从组织中的任何其他账户访问Amazon Web Services 账户,必须具有以下权限:
-
sts:AssumeRole
–Resource
元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。
以根用户身份访问成员账户
当您创建新账户时,Amazon Organizations 最初为根用户分配一个最少为 64 字符长的密码。所有字符都是随机生成的,不保证出现特定字符集。您无法检索此初始密码。要首次以根用户身份访问该账户,您必须完成密码恢复过程。
注意
-
我们建议的最佳实践是,除了创建其他具有更多受限权限的用户和角色之外,不要使用根用户访问账户。然后以这些用户或角色之一的身份登录。
-
此外,我们还建议您对根用户设置多重验证 (MFA)。重置密码,然后向根用户分配 MFA 设备。
-
如果您在组织中创建了一个电子邮件地址不正确的成员账户,则无法以根用户身份登录该账户。请联系 Amazon Billing and Support
以获取帮助。
在受邀成员账户中创建 OrganizationAccountAccessRole
默认情况下,如果您创建属于组织的成员账户,Amazon会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 OrganizationAccountAccessRole
。有关更多信息,请参阅访问具有管理账户访问权角色的成员账户。
但是,您邀请 加入组织中的成员账户不 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole
,以确保一致性和方便记忆。
作为选定组成员的用户现在可以使用您在步骤 9 中捕获的 URL 来访问每个成员账户的角色。他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅访问具有管理账户访问权角色的成员账户。
访问具有管理账户访问权角色的成员账户
使用 Amazon Organizations 控制台创建成员账户时,Amazon Organizations 将自动在账户中创建 IAM 角色(名为 OrganizationAccountAccessRole
)。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。您可以按照在受邀成员账户中创建 OrganizationAccountAccessRole中的步骤,为受邀成员账户创建相同的角色。要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。
现在,作为组成员的 IAM 用户有权使用以下过程在 Amazon Organizations 控制台中切换到新角色。
其他资源
-
有关授予切换角色权限的更多信息,请参阅《IAM 用户指南》中的向用户授予切换角色的权限。
-
有关使用要担任的您已授予权限的角色的更多信息,请参阅《IAM 用户指南》中的切换到角色(Amazon Web Services Management Console)。
-
有关使用角色进行跨账户访问的教程,请参阅《IAM 用户指南》中的教程:使用 IAM 角色委派跨Amazon Web Services 账户的访问权。
-
有关关闭Amazon Web Services 账户的信息,请参阅关闭Amazon Web Services 账户。