Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用更新成员账户的 root 用户电子邮件地址 Amazon Organizations
为了提高安全性和管理弹性,管理账户中的IAM委托人(具有必要IAM权限)可以集中更新其任何成员账户的根用户电子邮件地址(也称为主电子邮件地址),而无需单独登录每个账户。这为管理账户(或委托管理员账户)中的管理员提供了对其成员账户的更多控制权。它还可确保您的所有成员账户中的根用户电子邮件地址均为根用户 Amazon Organizations 即使您可能无法访问原始 root 用户电子邮件地址或管理凭据,也可以保持最新状态。
当管理账户管理员集中更改 root 用户的电子邮件地址时,密码和MFA配置都将与更改前相同。请注意,控制账户根用户电子邮件地址和主要联系人电话号码的用户MFA可以绕过该设置。
要更新组织中成员账户的 root 用户电子邮件地址,您的组织必须事先启用所有功能模式。 Amazon Organizations 在整合账单模式或不属于组织的账户中,无法集中更新其根用户电子邮件地址。想要更改不受支持的账户的根用户电子邮件地址的用户API应继续使用账单控制台来管理其根用户电子邮件地址。
更新成员账户的 root 用户电子邮件地址
使用以下步骤更新 root 用户的电子邮件地址。
- Amazon Management Console
-
要更新成员账户的 root 用户电子邮件地址,请使用 Amazon Organizations Console
-
以具有您要关闭的管理账户所需最低权限portal:ModifyAccount
的用户或角色登录。
-
在存储库的 Amazon Web Services 账户页面上,选择要为其更新 root 用户电子邮件地址的成员帐户。
-
在 “账户详情” 部分,选择 “操作” 按钮,然后选择 “更新电子邮件地址”。
-
在 “电子邮件” 下,输入 root 用户的新电子邮件地址,然后选择 “保存”。这会向新的电子邮件地址发送一次性密码 (OTP)。
如果您在等待代码时需要在 Organizations 控制台中关闭此页面,则可以在代码发送后的 24 小时内返回并完成该OTP过程。为此,在 “账户详情” 页面上,选择 “操作” 按钮,然后选择 “完成电子邮件更新”。
-
在 “验证码” 下,输入在上一步中发送到新电子邮件地址的验证码,然后选择确认。这会将更新提交到该账户的 root 用户电子邮件地址。
- Amazon CLI & Amazon SDKs
-
您可以使用以下方法检索或更新 root 用户的电子邮件地址(也称为主电子邮件地址) Amazon CLI
命令或他们的 Amazon SDK等效操作:
对于每个操作,您必须拥有映射到该操作的权限:
如果您使用这些个人权限,则可以授予某些用户仅读取根用户电子邮件地址信息的权限,而授予其他用户同时读取和写入的权限。
要完成 root 用户电子邮件更新过程,您必须按照以下示例中显示的顺序APIs一起使用主电子邮件。
例 GetPrimaryEmail
以下示例从组织中的指定成员账户中检索根用户的电子邮件地址。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。
$
aws account get-primary-email --account-id 123456789012
例 StartPrimaryEmailUpdate
以下示例启动根用户电子邮件地址更新过程,识别新的电子邮件地址,并向组织中指定成员账户的新电子邮件地址发送一次性密码 (OTP)。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。
$
aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
例 AcceptPrimaryEmailUpdate
以下示例接受OTP代码并将新的电子邮件地址设置为组织中的指定成员账户。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。
$
aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com