Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新成员账户的 root 用户电子邮件地址
为了提高安全性和管理弹性,管理账户中的 IAM 委托人(拥有必要的 IAM 权限)可以集中更新其任何成员账户的根用户电子邮件地址(也称为主电子邮件地址),而无需单独登录每个账户。这为管理账户(或委托管理员账户)中的管理员提供了对其成员账户的更多控制权。它还可确保您的 Amazon Organizations 任何成员账户中的根用户电子邮件地址保持最新,即使您可能无法访问原始根用户电子邮件地址或管理凭证。
当管理账户管理员集中更改根用户电子邮件地址时,密码和 MFA 配置将与更改前相同。请注意,控制账户根用户电子邮件地址和主要联系电话号码的用户可以绕过 MFA。
要更新组织中成员账户的 root 用户电子邮件地址,您的组织必须事先启用所有功能模式。 Amazon Organizations 在整合账单模式或不属于组织的账户中,无法集中更新其根用户电子邮件地址。想要更改 API 不支持的账户的根用户电子邮件地址的用户应继续使用账单控制台来管理其根用户电子邮件地址。
如何集中更新成员账户的 root 用户电子邮件地址
使用以下步骤更新 root 用户的电子邮件地址。
- Amazon Management Console
-
使用 Amazon Organizations 控制台更新成员账户的 root 用户电子邮件地址
-
以具有您要关闭的管理账户所需最低权限portal:ModifyAccount的用户或角色登录。
-
在该Amazon Web Services 账户页面上,选择要为其更新 root 用户电子邮件地址的成员帐户。
-
在 “账户详情” 部分,选择 “操作” 按钮,然后选择 “更新电子邮件地址”。
-
在 “电子邮件” 下,输入 root 用户的新电子邮件地址,然后选择 “保存”。这会向新的电子邮件地址发送一次性密码 (OTP)。
如果您在等待代码时需要在 Organizations 控制台中关闭此页面,则可以在代码发送后的 24 小时内返回并完成 OTP 流程。为此,在 “账户详情” 页面上,选择 “操作” 按钮,然后选择 “完成电子邮件更新”。
-
在 “验证码” 下,输入在上一步中发送到新电子邮件地址的验证码,然后选择确认。这会将更新提交到该账户的 root 用户电子邮件地址。
- Amazon CLI & Amazon SDKs
-
您可以使用以下 Amazon CLI
命令或其 Amazon SDK 等效操作来检索或更新根用户的电子邮件地址(也称为主电子邮件地址):
对于每个操作,您必须拥有映射到该操作的权限:
如果您使用这些个人权限,则可以授予某些用户仅读取根用户电子邮件地址信息的权限,而授予其他用户同时读取和写入的权限。
要完成 root 用户电子邮件更新过程,您必须按照以下示例中显示的顺序一起使用主电子邮件 API。
例 GetPrimaryEmail
以下示例从组织中的指定成员账户中检索根用户的电子邮件地址。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。
$ aws account get-primary-email --account-id 123456789012
例 StartPrimaryEmailUpdate
以下示例启动根用户电子邮件地址更新过程,识别新的电子邮件地址,并向组织中指定成员账户的新电子邮件地址发送一次性密码 (OTP)。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。
$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
例 AcceptPrimaryEmailUpdate
以下示例接受 OTP 代码并将新的电子邮件地址设置为组织中的指定成员账户。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。
$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com