Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations

Wenn Sie ein Konto in Ihrer Organisation erstellen, erstellt AWS Organizations zusätzlich zum Root-Benutzer automatisch eine IAM-Rolle, die standardmäßig OrganizationAccountAccessRole benannt ist. Sie können bei der Erstellung einen anderen Namen angeben. Wir empfehlen jedoch, ihn für alle Ihre Konten einheitlich zu benennen. AWS Organizations erstellt keine anderen Benutzer oder Rollen.

Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines der folgenden Verfahren durchführen:

Den Root-Benutzer verwenden (nicht für alltägliche Aufgaben empfohlen)

Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen. Verwenden Sie diese nur, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. IAM Weitere Sicherheitsempfehlungen für Root-Benutzer finden Sie unter Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto.

Um als Stammbenutzer erstmals auf das Konto zugreifen zu können, müssen Sie den Prozess für die Passwortwiederherstellung ausführen. Weitere Informationen finden Sie unter Ich habe mein Root-Benutzerkennwort für mich vergessen AWS-Konto im AWS Anmelde-Benutzerhandbuch.

Wenn Sie mit dem Root-Benutzer auf ein Mitgliedskonto zugreifen müssen, befolgen Sie diese bewährten Methoden:

Verwenden Sie den Root-Benutzer nicht, um auf Ihr Konto zuzugreifen, es sei denn, um andere Benutzer und Rollen mit eingeschränkteren Berechtigungen zu erstellen. Melden Sie sich dann als einer dieser neuen Benutzer oder Rollen an.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer. Setzen Sie das Passwort zurück und weisen Sie dem Root-Benutzer ein MFA Gerät zu.

Wenn Sie ein Mitgliedskonto in einer Organisation mit einer falschen E-Mail-Adresse erstellt haben, können Sie sich beim Konto nicht als Root-Benutzer anmelden. Wenden Sie sich an AWS Billing and Support .

Mitgliedskonten verfügen möglicherweise nicht über Root-Benutzeranmeldedaten

AWS-Konten Bei der Verwaltung unter Verwendung ist AWS Organizations möglicherweise die Root-Zugriffsverwaltung für Mitgliedskonten aktiviert. Beim Löschen von Root-Benutzeranmeldedaten werden das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung deaktiviert ()MFA. Diese Mitgliedskonten haben keine Root-Benutzeranmeldeinformationen, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzerkennwort nicht wiederherstellen. Neue Konten, die Sie in Organizations erstellen, haben standardmäßig keine Root-Benutzeranmeldedaten.

Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Root-Benutzeranmeldedaten für ein Mitgliedskonto erforderlich sind, für das keine Root-Benutzeranmeldedaten vorhanden sind.

Verwenden Sie den vertrauenswürdigen Zugriff für IAM Identity Center

Verwenden AWS IAM Identity Centerund aktivieren Sie den vertrauenswürdigen Zugriff für IAM Identity Center mit AWS Organizations. Auf diese Weise können sich Benutzer mit ihren Unternehmensanmeldedaten beim AWS Zugriffsportal anmelden und auf Ressourcen in ihrem zugewiesenen Verwaltungskonto oder Mitgliedskonten zugreifen.

Weitere Informationen finden Sie unter Berechtigungen für mehrere Konten im Benutzerhandbuch von AWS IAM Identity Center . Informationen zur Einrichtung eines vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unterAWS IAM Identity Center und AWS Organizations.

Die IAM Rolle verwenden OrganizationAccountAccessRole

Wenn Sie ein Konto mithilfe der im Rahmen von bereitgestellten Tools erstellen, können Sie auf das Konto zugreifen AWS Organizations, indem Sie die vorkonfigurierte Rolle mit dem Namen verwendenOrganizationAccountAccessRole, die in allen neuen Konten vorhanden ist, die Sie auf diese Weise erstellen. Weitere Informationen finden Sie unter Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations.

Wenn Sie ein vorhandenes Konto einladen, Ihrer Organisation beizutreten, und das Konto die Einladung akzeptiert, können Sie anschließend eine IAM Rolle erstellen, die dem Verwaltungskonto den Zugriff auf das Konto des eingeladenen Mitglieds ermöglicht. Diese Rolle soll mit der Rolle identisch sein, die automatisch einem Konto hinzugefügt wird, das mit AWS Organizations erstellt wird.

Informationen zum Erstellen dieser Rolle finden Sie unter Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations.

Nach dem Erstellen der Rolle können Sie mit den Schritten in Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations zugreifen.

Mindestberechtigungen

Um AWS-Konto von einem anderen Konto in Ihrer Organisation aus auf ein Konto zugreifen zu können, benötigen Sie die folgenden Berechtigungen:

sts:AssumeRole – Das Resource-Element muss entweder auf ein Sternchen (*) oder auf die Konto-ID-Nummer des Kontos des Benutzers festgelegt sein, der auf das neue Mitgliedskonto zugreifen muss

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen eines Mitgliedskontos

Eine IAM Zugriffsrolle erstellen