访问和管理组织中的成员账户 - AWS Organizations
在受邀成员账户中创建 OrganizationAccountAccessRole访问具有主账户访问权角色的成员账户
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

访问和管理组织中的成员账户

在组织中创建账户时,AWS Organizations 还会自动创建默认名为 OrganizationAccountAccessRole 的 IAM 角色。您可以在创建角色时指定名称。我们使用该默认名称引用本指南中的角色。但是,AWS Organizations 不创建任何其他 IAM 用户、组或其他角色。要访问组织中的账户,您必须使用以下方法之一:

  • 您在 AWS Organizations 外部创建的 AWS 账户包含一个具有对该账户的完全访问权限的 IAM 管理员用户。您可以使用这些凭证登录。

  • 如果您通过使用作为 AWS Organizations 一部分提供的工具创建一个账户,则可以使用名为 OrganizationAccountAccessRole 的预配置角色访问该账户,该角色存在于通过这种方式创建的所有新账户中。请参阅 访问具有主账户访问权角色的成员账户

  • 如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许主账户访问受邀成员账户。此角色应该与自动添加到使用 AWS Organizations 创建的账户中的角色相同。如需创建此角色,请参阅在受邀成员账户中创建 OrganizationAccountAccessRole。创建角色之后,您可以使用访问具有主账户访问权角色的成员账户中的步骤访问它。

最小权限

要从组织中的任何其他账户访问 AWS 账户,必须具有以下权限:

  • sts:AssumeRoleResource 元素必须设置为星号 (*) 或账户的账户 ID 号,该账户具有需要访问新成员账户的用户。

在受邀成员账户中创建 OrganizationAccountAccessRole

默认情况下,如果您创建属于组织的成员账户,则 AWS 将自动在账户中创建一个角色,此角色为主账户中的委派 IAM 用户授予管理员权限。默认情况下,该角色名为 OrganizationAccountAccessRole。有关更多信息,请参阅访问具有主账户访问权角色的成员账户

但是,您邀请 加入组织中的成员账户 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole,以确保一致性和方便记忆。

在成员账户中创建 AWS Organizations 管理员角色(控制台)

  1. 登录 IAM 控制台,网址为 https://console.amazonaws.cn/iam/。您必须以 IAM 用户身份登录,或者在有权创建 IAM 角色和策略的成员账户中代入 IAM 角色。您可以使用在创建成员账户时为您创建的 IAM 管理员用户。

  2. 在 IAM 控制台中,导航至 Roles (角色),然后选择 Create Role (创建角色)

  3. 选择 Another AWS account

  4. 输入您希望向其授予管理员访问权的主账户的 12 位账户 ID 编号,并选择下一步:权限

    对于此角色,由于账户是公司的内部账户,因此,您不应选择 Require external ID。有关外部 ID 选项的更多信息,请参阅 IAM 用户指南 中的我何时应使用外部 ID?

  5. 如果您启用了 MFA 并进行了配置,则可以选择要求使用 MFA 设备进行身份验证。有关 MFA 的更多信息,请参阅 IAM 用户指南 中的在 AWS 中使用多重验证 (MFA)

  6. 附加权限策略页面上,选择名为 AdministratorAccess 的 AWS 托管策略,然后选择下一步:标签

  7. Add tags (optional) (添加标签(可选)) 页面上,选择 Next: Review (下一步: 审核)

  8. Review 页面上,指定角色名称和可选描述。我们建议您使用 OrganizationAccountAccessRole,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 Create role (创建角色)。

  9. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息,特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外,记下 Role ARN (角色 ARN),因为您在步骤 15 中需要它。

  10. 登录 IAM 控制台,网址为 https://console.amazonaws.cn/iam/。此时,以主账户中有权创建策略和将策略分配给用户或组的用户身份登录。

  11. 导航到 Policies (策略),然后选择 Create Policy (创建策略)

    注意

    本示例演示如何创建策略并将其附加到组。如果您已为其他账户创建此策略,请跳至步骤 18。

  12. 对于 Service,选择 STS

  13. 对于 Actions (操作),在 Filter (筛选条件) 框中开始键入 AssumeRole,然后在该角色显示后选中其旁的复选框。

  14. 选择 Resources (资源),确保已选择 Specific (特定),然后选择 Add ARN (添加 ARN)

  15. 输入 AWS 成员账户 ID 号,然后输入您之前在步骤 1–8 中创建的角色的名称。选择 Add

  16. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。

  17. 选择查看策略

  18. 输入新策略的名称,然后选择 Create policy (创建策略) 以保存您的更改。

  19. 选择导航窗格中的 Groups (组),然后选择要用于委派成员账户的管理权限的组的名称(不是复选框)。

  20. 选择 Permissions 选项卡。

  21. 选择 Attach Policy (附加策略),选择您在步骤 11–18 中创建的策略,然后选择 Attach Policy (附加策略)

作为选定组成员的用户现在可以使用您在步骤 9 中捕获的 URL 来访问每个成员账户的角色。他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅访问具有主账户访问权角色的成员账户

访问具有主账户访问权角色的成员账户

使用 AWS Organizations 控制台创建成员账户时,AWS Organizations 将自动 在账户中创建 IAM 角色(名为 OrganizationAccountAccessRole)。此角色具有成员账户中的完整管理权限。此角色还配置为将该访问权授予组织的主账户。您可以按照在受邀成员账户中创建 OrganizationAccountAccessRole中的步骤,为受邀成员账户创建相同的角色。要使用此角色访问成员账户,您必须以有权代入角色的主账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。

向主账户中 IAM 组的成员授予访问角色的权限(控制台)

  1. 以主账户中具有管理员权限的用户身份登录位于 https://console.amazonaws.cn/iam/ 处的 IAM 控制台。这是向 IAM 组委派权限所必需的,该组的用户将访问成员账户中的角色。

  2. 首先,创建您稍后在步骤 11中需要的托管策略。

    在导航窗格中选择策略,然后选择创建策略

  3. 在可视化编辑器选项卡上,选择 Choose a service (选择服务),在搜索框中键入 STS 以筛选列表,然后选择 STS 选项。

  4. Actions (操作) 部分中,在搜索框键入 assume 以筛选列表,然后选择 AssumeRole 选项。

  5. 在 Resources (资源) 部分中,选择 Specific (特定),选择 Add ARN to restrict access (添加 ARN 以限制访问),然后键入成员账号和您在上一部分中创建的角色的名称(我们建议将其命名 OrganizationAccountAccessRole)。

  6. 当对话框显示正确的 ARN 时,选择 Add (添加)。

  7. (可选)如果您要求多重验证 (MFA),或要限制此角色从指定的 IP 地址范围进行访问,请展开 Request conditions (请求条件) 部分,然后选择要强制执行的选项。

  8. 选择查看策略

  9. Name (名称) 字段中,输入您的策略名称。例如:GrantAccessToOrganizationAccountAccessRole。您还可以添加可选的说明。

  10. 选择 Create policy (创建策略) 以保存新的托管策略。

  11. 现在,您已有策略可用,您可以将其附加到组。

    在导航窗格中,选择 Groups (组),然后选择其成员能够代入成员账户中角色的组的名称(不是复选框)。如果需要,您可以创建新组。

  12. Permissions (权限) 选项卡上,然后在 Managed Policies (托管策略) 下,选择 Attach policy (附加策略)

  13. (可选)在 Search (搜索) 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在步骤 2步骤 10中创建的策略的名称。您还可以通过选择 Policy Type (策略类型),然后选择 Customer Managed (客户托管) 来筛选出所有 AWS 托管策略。

  14. 选中策略旁边的复选框,然后选择 Attach Policy (附加策略)

现在,作为组成员的 IAM 用户有权按照以下过程在 AWS Organizations 控制台中切换到新角色。

切换到成员账户的角色(控制台)

使用该角色时,用户具有新成员账户中的管理权限。指示您的作为该组成员的 IAM 用户执行以下操作以切换到新角色。

  1. 从 AWS Organizations 控制台的右上角,选择包含当前登录名称的链接,然后选择 Switch Role (切换角色)

  2. 输入管理员提供的账户 ID 号和角色名称。

  3. 对于 Display Name (显示名称),输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。

  4. 选择 Switch Role。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回之前,您不再具有与原始 IAM 用户关联的权限。

  5. 完成执行需要角色权限的操作后,您可以切换回普通 IAM 用户。选择右上角的角色名称(无论您指定什么作为Display Name (显示名称)),然后选择 Back to UserName (返回到 UserName)

其他资源