Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations

Wenn Sie ein Konto in Ihrer Organisation erstellen, erstellt AWS Organizations zusätzlich zum Root-Benutzer automatisch eine IAM-Rolle, die standardmäßig OrganizationAccountAccessRole benannt ist. Sie können bei der Erstellung einen anderen Namen angeben. Wir empfehlen jedoch, ihn für alle Ihre Konten einheitlich zu benennen. AWS Organizations erstellt keine anderen Benutzer oder Rollen.

Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines der folgenden Verfahren durchführen:

Den Root-Benutzer verwenden (nicht für alltägliche Aufgaben empfohlen)

Wenn Sie in Ihrer Organisation ein neues Mitgliedskonto erstellen, hat das Konto standardmäßig keine Root-Benutzeranmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen, es sei denn, die Kontowiederherstellung ist aktiviert.

Sie können den Root-Zugriff für Mitgliedskonten zentralisieren, um Root-Benutzeranmeldedaten für bestehende Mitgliedskonten in Ihrer Organisation zu entfernen. Durch das Löschen von Root-Benutzeranmeldedaten werden das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate entfernt und die Multi-Faktor-Authentifizierung deaktiviert (). MFA Diese Mitgliedskonten verfügen nicht über die Anmeldeinformationen als Root-Benutzer, können sich nicht als Root-Benutzer anmelden und können das Root-Benutzer-Passwort nicht wiederherstellen. Neue Konten, die Sie in Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen.

Wenden Sie sich an Ihren Administrator, wenn Sie eine Aufgabe ausführen müssen, für die Root-Benutzeranmeldedaten für ein Mitgliedskonto erforderlich sind, für das keine Root-Benutzeranmeldedaten vorhanden sind.

Um als Root-Benutzer auf Ihr Mitgliedskonto zuzugreifen, müssen Sie den Vorgang zur Kennwortwiederherstellung durchführen. Weitere Informationen finden Sie unter Ich habe mein Root-Benutzerpasswort für mich vergessen AWS-Konto im AWS Anmelde-Benutzerhandbuch.

Wenn Sie mit dem Root-Benutzer auf ein Mitgliedskonto zugreifen müssen, befolgen Sie diese bewährten Methoden:

Verwenden Sie den Root-Benutzer nicht, um auf Ihr Konto zuzugreifen, es sei denn, um andere Benutzer und Rollen mit eingeschränkteren Berechtigungen zu erstellen. Melden Sie sich dann als einer dieser neuen Benutzer oder Rollen an.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer. Setzen Sie das Passwort zurück und weisen Sie dem Root-Benutzer ein MFA Gerät zu.

Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. IAM Weitere Sicherheitsempfehlungen für Root-Benutzer finden Sie unter Bewährte Methoden für IAM Root-Benutzer AWS-Konto im Benutzerhandbuch.

Verwenden Sie den vertrauenswürdigen Zugriff für IAM Identity Center

Verwenden AWS IAM Identity Centerund aktivieren Sie den vertrauenswürdigen Zugriff für IAM Identity Center mit AWS Organizations. Auf diese Weise können sich Benutzer mit ihren Unternehmensanmeldedaten beim AWS Zugriffsportal anmelden und auf Ressourcen in ihrem zugewiesenen Verwaltungskonto oder Mitgliedskonten zugreifen.

Weitere Informationen finden Sie unter Berechtigungen für mehrere Konten im Benutzerhandbuch von AWS IAM Identity Center . Informationen zur Einrichtung eines vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unterAWS IAM Identity Center und AWS Organizations.

Die IAM Rolle verwenden OrganizationAccountAccessRole

Wenn Sie ein Konto mithilfe der im Rahmen von bereitgestellten Tools erstellen, können Sie auf das Konto zugreifen AWS Organizations, indem Sie die vorkonfigurierte Rolle mit dem Namen verwendenOrganizationAccountAccessRole, die in allen neuen Konten vorhanden ist, die Sie auf diese Weise erstellen. Weitere Informationen finden Sie unter Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations.

Wenn Sie ein vorhandenes Konto einladen, Ihrer Organisation beizutreten, und das Konto die Einladung akzeptiert, können Sie anschließend eine IAM Rolle erstellen, die dem Verwaltungskonto den Zugriff auf das Konto des eingeladenen Mitglieds ermöglicht. Diese Rolle soll mit der Rolle identisch sein, die automatisch einem Konto hinzugefügt wird, das mit AWS Organizations erstellt wird.

Informationen zum Erstellen dieser Rolle finden Sie unter Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations.

Nach dem Erstellen der Rolle können Sie mit den Schritten in Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations zugreifen.

Mindestberechtigungen

Um AWS-Konto von einem anderen Konto in Ihrer Organisation aus auf ein Konto zugreifen zu können, benötigen Sie die folgenden Berechtigungen:

sts:AssumeRole – Das Resource-Element muss entweder auf ein Sternchen (*) oder auf die Konto-ID-Nummer des Kontos des Benutzers festgelegt sein, der auf das neue Mitgliedskonto zugreifen muss

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen eines Mitgliedskontos

Eine IAM Zugriffsrolle erstellen