Accès et administration des comptes membres de votre organisation

Lorsque vous créez un compte dans votre organisation, en plus de l'utilisateur racine, AWS Organizations crée automatiquement un rôle IAM nommé par défaut OrganizationAccountAccessRole. Vous pouvez spécifier un autre nom lorsque vous le créez, mais nous vous recommandons de le nommer de manière cohérente entre tous vos comptes. Dans ce guide, nous utilisons ce nom par défaut pour faire référence au rôle. AWS Organizations ne crée aucun autre utilisateur ou rôle. Pour accéder aux comptes de votre organisation, vous devez utiliser l'une des méthodes suivantes :

• Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d’un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée utilisateur root du Compte AWS. Vous pouvez y accéder en vous connectant à l’aide de l’adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur root pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur root et utilisez-les pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur root, consultez Tâches nécessitant les informations d’identification de l’utilisateur root dans le Guide de l’utilisateur IAM. Pour des recommandations supplémentaires de sécurité pour l’utilisateur root, consultez Bonnes pratiques d'utilisateur root pour votre Compte AWS.

• Si vous créez un compte à l'aide des outils fournis avec AWS Organizations, vous pouvez y accéder en utilisant le rôle préconfiguré OrganizationAccountAccessRole qui existe dans tous les nouveaux comptes créés de cette manière. Pour plus d’informations, consultez Accès à un compte membre possédant un rôle d'accès au compte de gestion.

• Si vous invitez un compte existant à rejoindre votre organisation et qu'il accepte l'invitation, vous pouvez ensuite décider de créer un rôle IAM qui permet au compte de gestion d'accéder au compte membre invité. Ce rôle est censé être identique au rôle automatiquement ajouté à un compte créé avec AWS Organizations. Pour créer ce rôle, consultez Création du OrganizationAccountAccessRole dans un compte de membre invité. Après avoir créé le rôle, vous pouvez y accéder grâce à la procédure décrite dans Accès à un compte membre possédant un rôle d'accès au compte de gestion.

• Utilisez AWS IAM Identity Center et activez l'accès de confiance à IAM Identity Center avec AWS Organizations. Cela permet aux utilisateurs de se connecter au portail d'accès AWS avec les informations d'identification de leur entreprise et d'accéder aux ressources dans le compte de gestion qui leur est attribué ou dans les comptes membres.

  Pour plus d'informations, consultez Autorisations de plusieurs comptes dans le Guide de l'utilisateur AWS IAM Identity Center. Pour plus d'informations sur la configuration de l'accès de confiance à IAM Identity Center, consultez AWS IAM Identity Center et AWS Organizations.

Autorisations minimales

Pour accéder à un Compte AWS à partir de n'importe quel autre compte de votre organisation, vous devez disposer de l'autorisation suivante :

• sts:AssumeRole - L'élément Resource doit être défini sur un astérisque (*) ou sur l'ID du compte associé à l'utilisateur ayant besoin d'accéder au nouveau compte membre.

Accès à un compte membre en tant qu'utilisateur racine

Lorsque vous créez un nouveau compte, AWS Organizations attribue initialement à l'utilisateur racine un mot de passe comportant au moins 64 caractères. Tous les caractères sont générés de façon aléatoire, sans aucune garantie sur l'apparence de certains jeux de caractères. Vous ne pouvez pas récupérer ce mot de passe initial. Pour accéder au compte en tant qu'utilisateur racine pour la première fois, vous devez suivre le processus de récupération du mot de passe. Pour plus d'informations, consultez la section J'ai oublié mon mot de passe utilisateur root Compte AWS dans le guide de AWS connexion de l'utilisateur.

Remarques

• En tant que bonne pratique, nous vous recommandons de ne pas utiliser l'utilisateur racine pour accéder à votre compte pour des activités autres que la création d'autres utilisateurs et rôles avec des autorisations plus limitées. Ensuite, connectez-vous en tant que l'un de ces utilisateurs ou rôles.

• Nous vous recommandons également d’activer l'authentification multifactorielle (MFA) sur l’utilisateur root. Réinitialisez le mot de passe et attribuez un dispositif MFA à l'utilisateur racine.

• Si vous avez créé un compte membre dans une organisation avec une adresse e-mail incorrecte, vous ne pouvez pas vous connecter au compte en tant qu'utilisateur racine. Contactez AWS Billing and Support pour obtenir de l'aide.

Création du OrganizationAccountAccessRole dans un compte de membre invité

Par défaut, si vous créez un compte membre dans le cadre de votre organisation, AWS crée automatiquement dans le compte un rôle qui accorde des autorisations d'administrateur aux utilisateurs IAM du compte de gestion qui peuvent assumer le rôle. Par défaut, ce rôle est nommé OrganizationAccountAccessRole. Pour de plus amples informations, consultez Accès à un compte membre possédant un rôle d'accès au compte de gestion.

Cependant, un rôle administrateur n'est pas automatiquement créé pour les comptes membres que vous invitez à rejoindre votre organisation. Vous devez le faire manuellement, comme indiqué dans la procédure suivante. Cela permet essentiellement de dupliquer le rôle automatiquement configuré pour les comptes créés. Nous vous recommandons d'utiliser le même nom (OrganizationAccountAccessRole) pour les rôles créés manuellement afin de faciliter la cohérence et la mémorisation.

AWS Management Console

Pour créer un rôle d'administration AWS Organizations dans un compte membre

1. Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte membre. L'utilisateur ou le rôle doit être autorisé à créer des rôles et des politiques IAM.

2. Dans la console IAM, accédez à Rôles, puis sélectionnez Créer un rôle.

3. Choisissez Compte AWS, puis sélectionnez Autre Compte AWS.

4. Entrez le numéro d'identification à 12 chiffres du compte de gestion auquel vous souhaitez accorder l'accès administrateur. Dans la section Options, veuillez prendre note des points suivants :

   • Pour ce rôle, dans la mesure où les comptes sont internes à votre société, ne choisissez pas Exiger un ID externe. Pour plus d'informations sur l'option ID externe, voir Quand dois-je utiliser un ID externe ? dans le guide de l'utilisateur IAM.

   • Si l'authentification MFA est activée et configurée, vous pouvez éventuellement exiger une authentification à l'aide d'un périphérique MFA. Pour plus d'informations sur l'authentification multifactorielle, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'utilisateur IAM.

5. Choisissez Suivant.

6. Sur la page Ajouter des autorisations, choisissez la politique AWS gérée nommée, AdministratorAccess puis cliquez sur Suivant.

7. Sur la page Nom, révision et création, spécifiez un nom de rôle et une description facultative. Nous vous recommandons d'utiliser OrganizationAccountAccessRole, par souci de cohérence avec le nom par défaut attribué au rôle dans les nouveaux comptes. Pour valider vos modifications, choisissez Créer un rôle.

8. Votre nouveau rôle s'affiche sur la liste des rôles disponibles. Choisissez le nom du nouveau rôle pour en afficher les détails et prêtez une attention particulière à l'adresse URL fournie. Communiquez cette URL aux utilisateurs du compte membre qui ont besoin d'accéder au rôle. Notez également le nom ARN de rôle car il est nécessaire à l’étape 15.

9. Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/. Cette fois, connectez-vous en tant qu'utilisateur du compte de gestion, qui dispose des autorisations pour créer des politiques et attribuer des politiques à des utilisateurs ou des groupes.

10. Accédez à Politiques, puis choisissez Créer une politique.

11. Pour Service, choisissez STS.

12. Pour Actions, commencez par saisir AssumeRole dans la zone Filtrer, puis sélectionnez la case en regard de celle-ci lorsqu'elle s'affiche.

13. Sous Ressources, assurez-vous que Spécifique est sélectionné, puis choisissez Ajouter des ARN.

14. Entrez le numéro d'ID du compte membre AWS, puis indiquez le nom du rôle que vous avez créé précédemment aux étapes 1 à 8. Choisissez Ajouter des ARN.

15. Si vous accordez l'autorisation d'assumer le rôle dans plusieurs comptes membres, répétez les étapes 14 et 15 pour chaque compte.

16. Choisissez Suivant.

17. Sur la page Réviser et créer, entrez le nom de la nouvelle politique, puis choisissez Créer une politique pour enregistrer vos modifications.

18. Choisissez Groupes d'utilisateurs dans le volet de navigation, puis choisissez le nom du groupe (et non la case à cocher) que vous souhaitez utiliser pour déléguer l'administration du compte membre.

19. Choisissez l’onglet Permissions (Autorisations).

20. Choisissez Ajouter des autorisations, choisissez Joindre des politiques, puis sélectionnez la politique que vous avez créée aux étapes 11 à 18.

Les utilisateurs qui sont membres du groupe sélectionné peuvent désormais utiliser les adresses URL que vous avez capturées à l'étape 9 pour accéder au rôle de chaque compte membre. Ils peuvent accéder à ces comptes membres de la même façon qu'ils le feraient pour accéder à un compte créé dans l'organisation. Pour de plus amples informations sur l'utilisation du rôle pour administrer un compte membre, consultez Accès à un compte membre possédant un rôle d'accès au compte de gestion.

Accès à un compte membre possédant un rôle d'accès au compte de gestion

Lorsque vous créez un compte membre à l'aide de la console AWS Organizations, AWS Organizations crée automatiquement un rôle IAM nommé OrganizationAccountAccessRole dans le compte. Ce rôle possède les autorisations d'administration complètes du compte membre. La portée de l'accès pour ce rôle inclut tous les principaux du compte de gestion, si bien que le rôle est configuré pour accorder cet accès au compte de gestion de l'organisation. Vous pouvez créer un rôle identique pour un compte membre invité en suivant les étapes indiquées dans Création du OrganizationAccountAccessRole dans un compte de membre invité. Pour utiliser ce rôle afin d'accéder au compte membre, vous devez vous connecter en tant qu'utilisateur du compte de gestion disposant des autorisations pour assumer le rôle. Pour configurer ces autorisations, exécutez la procédure suivante. Nous vous recommandons d'accorder des autorisations à des groupes plutôt qu'à des utilisateurs pour faciliter la maintenance.

AWS Management Console

Pour accorder des autorisations à des membres d'un groupe IAM dans le compte de gestion afin d'accéder au rôle

1. Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/ en tant qu'utilisateur avec des autorisations d'administration dans le compte de gestion. Cette action est obligatoire pour déléguer des autorisations au groupe IAM dont les utilisateurs accéderont au rôle dans le compte membre.

2. Commencez par créer la politique gérée dont vous aurez besoin ultérieurement dans Étape 11.

   Dans le panneau de navigation, choisissez Politiques, puis Créer une politique.

3. Dans l'onglet Éditeur visuel, choisissez Choisir un service, tapez STS dans la zone de recherche pour filtrer la liste, puis choisissez l'option STS.

4. Dans la section Actions, tapez assume dans la zone de recherche pour filtrer la liste, puis choisissez l'AssumeRoleoption.

5. Dans la section Ressources, choisissez Spécifique, choisissez Ajouter des ARN, puis tapez le numéro de compte du membre et le nom du rôle que vous avez créé dans la section précédente (nous vous recommandons de le nommerOrganizationAccountAccessRole).

6. Choisissez Ajouter des ARN lorsque la boîte de dialogue affiche le bon ARN.

7. (Facultatif) Si vous souhaitez exiger l'authentification multi-facteur (MFA) ou restreindre l'accès au rôle à partir d'une plage d'adresses IP spécifiée, développez la section Conditions de demande et sélectionnez les options à appliquer.

8. Choisissez Suivant.

9. Sur la page Réviser et créer, entrez le nom de la nouvelle politique. Par exemple : GrantAccessToOrganizationAccountAccessRole. Vous pouvez également ajouter une description si vous le souhaitez.

10. Choisissez Créer une politique pour enregistrer votre nouvelle politique gérée.

11. Maintenant que vous disposez de la politique, vous pouvez l'attacher à un groupe.

    Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le nom du groupe (et non la case à cocher) dont vous souhaitez que les membres puissent assumer le rôle dans le compte membre. Si nécessaire, vous pouvez créer un nouveau groupe.

12. Choisissez l'onglet Autorisations, puis Ajouter des autorisations, et enfin Attacher des politiques.

13. (Facultatif) Dans la zone Rechercher, vous pouvez commencer à taper le nom de votre politique pour filtrer la liste jusqu'à ce que le nom de la politique que vous venez de créer aux étapes Étape 2 à Étape 10 apparaisse. Vous pouvez également filtrer toutes les politiques AWS gérées en choisissant Tous les types, puis en choisissant Gestion par le client.

14. Cochez la case à côté de votre politique, puis choisissez Joindre des politiques.

Les utilisateurs IAM qui sont membres du groupe disposent désormais d'autorisations pour endosser le nouveau rôle dans la console AWS Organizations en suivant la procédure ci-dessous.

AWS Management Console

Pour endosser le rôle pour le compte membre

Lorsqu'il utilise le rôle, l'utilisateur dispose des autorisations d'administration dans le nouveau compte membre. Indiquez à vos utilisateurs IAM qui sont membres du groupe d'effectuer les opérations suivantes pour endosser le nouveau rôle.

1. Dans le coin supérieur droit de la console AWS Organizations, choisissez le lien qui contient votre nom de connexion actuel, puis choisissez Changer de rôle.

2. Entrez l'ID de compte et le nom de rôle fournis par votre administrateur.

3. Pour Nom d'affichage, entrez le texte que vous souhaitez afficher dans la barre de navigation dans le coin supérieur droit à la place de votre nom d'utilisateur quand vous utilisez ce rôle. Vous pouvez éventuellement choisir une couleur.

4. Choisissez Changer de rôle. À présent, toutes les actions que vous exécutez sont effectuées avec les autorisations accordées au rôle que vous avez endossé. Vous ne disposez plus des autorisations associées à votre utilisateur IAM d'origine jusqu'à ce que vous changiez de nouveau de rôle.

5. Lorsque vous avez terminé d'exécuter les actions qui exigent les autorisations de ce rôle, vous pouvez revenir à votre utilisateur IAM normal. Choisissez le nom du rôle dans le coin supérieur droit (celui que vous avez spécifié comme nom d'affichage), puis cliquez sur Retour à. UserName

Ressources supplémentaires

• Pour plus d'informations sur l'octroi d'autorisations permettant de changer de rôle, consultez la section Octroi à un utilisateur d'autorisations pour changer de rôle dans le Guide de l'utilisateur IAM.

• Pour plus d'informations sur l'utilisation d'un rôle que vous avez été autorisé à assumer, consultez la section Passer à un rôle (console) dans le guide de l'utilisateur IAM.

• Pour un didacticiel sur l'utilisation des rôles pour l'accès entre comptes, voir Tutoriel : déléguer l'accès à Comptes AWS l'aide de rôles IAM dans le Guide de l'utilisateur IAM.

• Pour en savoir plus sur la clôture de Comptes AWS, consultez Clôture d'un compte membre de votre organisation.