Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations

Par défaut, si vous créez un compte membre au sein de votre organisation, AWS crée automatiquement un rôle dans le compte qui accorde des autorisations d'administrateur aux IAM utilisateurs du compte de gestion qui peuvent assumer ce rôle. Par défaut, ce rôle est nommé OrganizationAccountAccessRole. Pour de plus amples informations, consultez Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations.

Cependant, un rôle administrateur n'est pas automatiquement créé pour les comptes membres que vous invitez à rejoindre votre organisation. Vous devez le faire manuellement, comme indiqué dans la procédure suivante. Cela permet essentiellement de dupliquer le rôle automatiquement configuré pour les comptes créés. Nous vous recommandons d'utiliser le même nom (OrganizationAccountAccessRole) pour les rôles créés manuellement afin de faciliter la cohérence et la mémorisation.

AWS Management Console
Pour créer un AWS Organizations rôle d'administrateur dans un compte membre
  1. Connectez-vous à la IAM console à l'adresse https://console.aws.amazon.com/iam/. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte membre. L'utilisateur ou le rôle doit être autorisé à créer des IAM rôles et des politiques.

  2. Dans la IAM console, accédez à Rôles, puis sélectionnez Créer un rôle.

  3. Choisissez Compte AWS, puis sélectionnez Autre Compte AWS.

  4. Entrez le numéro d'identification à 12 chiffres du compte de gestion auquel vous souhaitez accorder l'accès administrateur. Dans la section Options, veuillez prendre note des points suivants :

    • Pour ce rôle, dans la mesure où les comptes sont internes à votre société, ne choisissez pas Exiger un ID externe. Pour plus d'informations sur l'option ID externe, voir Quand dois-je utiliser un ID externe ? dans le guide de IAM l'utilisateur.

    • Si vous avez MFA activé et configuré, vous pouvez éventuellement choisir d'exiger l'authentification à l'aide d'un MFA appareil. Pour plus d'informations surMFA, voir Utilisation de l'authentification multifactorielle (MFA) dans AWS dans le guide de l'utilisateur IAM.

  5. Choisissez Suivant.

  6. Sur la page Ajouter des autorisations, sélectionnez AWS stratégie gérée nommée, AdministratorAccess puis choisissez Next.

  7. Sur la page Nom, révision et création, spécifiez un nom de rôle et une description facultative. Nous vous recommandons d'utiliser OrganizationAccountAccessRole, par souci de cohérence avec le nom par défaut attribué au rôle dans les nouveaux comptes. Pour valider vos modifications, choisissez Créer un rôle.

  8. Votre nouveau rôle s'affiche sur la liste des rôles disponibles. Choisissez le nom du nouveau rôle pour en afficher les détails, en portant une attention particulière au lien URL fourni. Donnez-le URL aux utilisateurs du compte membre qui ont besoin d'accéder au rôle. Notez également le rôle, ARN car vous en avez besoin à l'étape 15.

  9. Connectez-vous à la IAM console à l'adresse https://console.aws.amazon.com/iam/. Cette fois, connectez-vous en tant qu'utilisateur du compte de gestion, qui dispose des autorisations pour créer des politiques et attribuer des politiques à des utilisateurs ou des groupes.

  10. Accédez à Politiques, puis choisissez Créer une politique.

  11. Pour Service , choisissez STS.

  12. Pour Actions, commencez par saisir AssumeRole dans la zone Filtrer, puis sélectionnez la case en regard de celle-ci lorsqu'elle s'affiche.

  13. Sous Ressources, assurez-vous que Spécifique est sélectionné, puis choisissez Ajouter ARNs.

  14. Entrez le AWS numéro d'identification du compte membre, puis entrez le nom du rôle que vous avez créé précédemment aux étapes 1 à 8. Choisissez Ajouter ARNs.

  15. Si vous accordez l'autorisation d'assumer le rôle dans plusieurs comptes membres, répétez les étapes 14 et 15 pour chaque compte.

  16. Choisissez Suivant.

  17. Sur la page Réviser et créer, entrez le nom de la nouvelle politique, puis choisissez Créer une politique pour enregistrer vos modifications.

  18. Choisissez Groupes d'utilisateurs dans le volet de navigation, puis choisissez le nom du groupe (et non la case à cocher) que vous souhaitez utiliser pour déléguer l'administration du compte membre.

  19. Choisissez l’onglet Permissions (Autorisations).

  20. Choisissez Ajouter des autorisations, choisissez Joindre des politiques, puis sélectionnez la politique que vous avez créée aux étapes 11 à 18.

Les utilisateurs membres du groupe sélectionné peuvent désormais utiliser les informations URLs que vous avez capturées à l'étape 9 pour accéder au rôle de chaque compte membre. Ils peuvent accéder à ces comptes membres de la même façon qu'ils le feraient pour accéder à un compte créé dans l'organisation. Pour de plus amples informations sur l'utilisation du rôle pour administrer un compte membre, consultez Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations.