使用更新成员账户的 root 用户电子邮件地址 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用更新成员账户的 root 用户电子邮件地址 Amazon Organizations

为了提高安全性和管理弹性,管理账户中的IAM委托人(具有必要IAM权限)可以集中更新其任何成员账户的根用户电子邮件地址(也称为主电子邮件地址),而无需单独登录每个账户。这为管理账户(或委托管理员账户)中的管理员提供了对其成员账户的更多控制权。它还可确保您的所有成员账户中的根用户电子邮件地址均为根用户 Amazon Organizations 即使您可能无法访问原始 root 用户电子邮件地址或管理凭据,也可以保持最新状态。

当管理账户管理员集中更改 root 用户的电子邮件地址时,密码和MFA配置都将与更改前相同。请注意,控制账户根用户电子邮件地址和主要联系人电话号码的用户MFA可以绕过该设置。

要更新组织中成员账户的 root 用户电子邮件地址,您的组织必须事先启用所有功能模式。 Amazon Organizations 在整合账单模式或不属于组织的账户中,无法集中更新其根用户电子邮件地址。想要更改不受支持的账户的根用户电子邮件地址的用户API应继续使用账单控制台来管理其根用户电子邮件地址。

更新成员账户的 root 用户电子邮件地址

使用以下步骤更新 root 用户的电子邮件地址。

Amazon Management Console
注意
  • 要通过管理账户或组织中的委托管理员账户对成员账户执行此过程,必须为账户管理服务启用可信访问权限

  • 您不能使用此过程访问与您用于调用操作的组织不同的组织中的帐户。

要更新成员账户的 root 用户电子邮件地址,请使用 Amazon Organizations Console
  1. 以具有您要关闭的管理账户所需最低权限portal:ModifyAccount的用户或角色登录。

  2. 在存储库的 Amazon Web Services 账户页面上,选择要为其更新 root 用户电子邮件地址的成员帐户。

  3. 在 “账户详情” 部分,选择 “操作” 按钮,然后选择 “更新电子邮件地址”。

  4. 在 “电子邮件” 下,输入 root 用户的新电子邮件地址,然后选择 “保存”。这会向新的电子邮件地址发送一次性密码 (OTP)。

    注意

    如果您在等待代码时需要在 Organizations 控制台中关闭此页面,则可以在代码发送后的 24 小时内返回并完成该OTP过程。为此,在 “账户详情” 页面上,选择 “操作” 按钮,然后选择 “完成电子邮件更新”。

  5. 在 “验证码” 下,输入在上一步中发送到新电子邮件地址的验证码,然后选择确认。这会将更新提交到该账户的 root 用户电子邮件地址。

Amazon CLI & Amazon SDKs

您可以使用以下方法检索或更新 root 用户的电子邮件地址(也称为主电子邮件地址) Amazon CLI 命令或他们的 Amazon SDK等效操作:

注意
  • 要通过管理账户或组织中的委托管理员账户对成员账户执行这些操作,必须为账户管理服务启用可信访问权限

  • 您无法访问与您用于调用操作的组织不同的组织中的帐户。

最小权限

对于每个操作,您必须拥有映射到该操作的权限:

  • account:GetPrimaryEmail

  • account:StartPrimaryEmailUpdate

  • account:AcceptPrimaryEmailUpdate

如果您使用这些个人权限,则可以授予某些用户仅读取根用户电子邮件地址信息的权限,而授予其他用户同时读取和写入的权限。

要完成 root 用户电子邮件更新过程,您必须按照以下示例中显示的顺序APIs一起使用主电子邮件。

GetPrimaryEmail

以下示例从组织中的指定成员账户中检索根用户的电子邮件地址。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。

$ aws account get-primary-email --account-id 123456789012
StartPrimaryEmailUpdate

以下示例启动根用户电子邮件地址更新过程,识别新的电子邮件地址,并向组织中指定成员账户的新电子邮件地址发送一次性密码 (OTP)。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。

$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
AcceptPrimaryEmailUpdate

以下示例接受OTP代码并将新的电子邮件地址设置为组织中的指定成员账户。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。

$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com