使用 Amazon Organizations 访问组织中的成员账户
在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 OrganizationAccountAccessRole
的 IAM 角色。您可以在创建时指定其他名称,但我们建议您在所有账户中使用一致的命名方式。Amazon Organizations 不会创建任何其他用户或角色。
要访问组织中的账户,您必须使用以下方法之一:
您在 Amazon Organizations 外部创建的 Amazon Web Services 账户 包含一个具有对该账户的完全访问权限的管理员用户。您可以使用这些凭证登录。
使用 IAM 角色 OrganizationAccountAccessRole
如果您通过使用作为 Amazon Organizations 一部分提供的工具创建一个账户,则可以使用名为 OrganizationAccountAccessRole
的预配置角色访问该账户,该角色存在于通过这种方式创建的所有新账户中。有关更多信息,请参阅 使用 Amazon Organizations 访问具有 OrganizationAccountAccessRole 的成员账户。
如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 Amazon Organizations 创建的账户中的角色相同。如需创建此角色,请参阅使用 Amazon Organizations 为受邀账户创建 OrganizationAccountAccessRole。创建角色之后,您可以使用使用 Amazon Organizations 访问具有 OrganizationAccountAccessRole 的成员账户中的步骤访问它。
使用 IAM Identity Center 的可信访问
使用 Amazon IAM Identity Center 并为 IAM Identity Center 与 Amazon Organizations 启用可信访问。这允许用户使用其公司凭证登录 Amazon 访问门户并访问向其分配的管理账户或成员账户中的资源。
有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息,请参阅 Amazon IAM Identity Center 和 Amazon Organizations。
最小权限
要从组织中的任何其他账户访问Amazon Web Services 账户,必须具有以下权限:
-
sts:AssumeRole
–Resource
元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。