使用访问组织中的成员账户 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用访问组织中的成员账户 Amazon Organizations

在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 OrganizationAccountAccessRole 的 IAM 角色。您可以在创建时指定不同的名称,但我们建议您在所有账户中使用一致的名称。 Amazon Organizations 不会创建任何其他用户或角色。

要访问组织中的账户,您必须使用以下方法之一:

您可以集中成员账户的 root 访问权限,以删除组织中现有成员账户的 root 用户证书。删除根用户证书会删除根用户密码、访问密钥、签名证书,并停用多因素身份验证 (MFA)。这些成员账户没有根用户凭证,无法以根用户身份登录,并且无法恢复根用户密码。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。

使用 IAM Identity Center 的可信访问

使用Amazon IAM Identity Center并启用 IAM 身份中心的可信访问权限 Amazon Organizations。这允许用户使用其公司凭据登录 Amazon 访问门户,并访问其分配的管理账户或成员账户中的资源。

有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息,请参阅 Amazon IAM Identity Center 和 Amazon Organizations

使用 IAM 角色 OrganizationAccountAccessRole

如果您使用中提供的工具创建账户 Amazon Organizations,则可以使用以这种方式创建的所有新账户中都存在的名OrganizationAccountAccessRole为的预配置角色来访问该账户。有关更多信息,请参阅 使用 Amazon Organizations 访问具有 OrganizationAccountAccessRole 的成员账户

如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 Amazon Organizations创建的账户中的角色相同。

如需创建此角色,请参阅使用 Amazon Organizations 为受邀账户创建 OrganizationAccountAccessRole

创建角色之后,您可以使用使用 Amazon Organizations 访问具有 OrganizationAccountAccessRole 的成员账户中的步骤访问它。

最小权限

要 Amazon Web Services 账户 从组织中的任何其他账户访问的,您必须具有以下权限:

  • sts:AssumeRoleResource 元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。

主题