Mengakses akun anggota di organisasi Anda

Saat Anda membuat akun di organisasi, selain pengguna root,AWS Organizations secara otomatis membuat IAM role yang secara default diberi nama OrganizationAccountAccessRole. Anda dapat menentukan nama yang berbeda saat membuatnya, namun sebaiknya Anda menamainya secara konsisten di semua akun Anda. Kami merujuk ke peran dalam panduan ini dengan nama default. AWS Organizationstidak membuat pengguna atau peran lain. Untuk mengakses akun di organisasi Anda, Anda harus menggunakan salah satu metode berikut:

• Saat Anda membuat Akun AWS, Anda memulai dengan satu identitas masuk yang memiliki akses penuh ke semua Layanan AWS dan sumber daya di akun tersebut. Identitas ini disebut pengguna root Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar tugas lengkap yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM. Untuk rekomendasi keamanan pengguna root tambahan, lihat Praktik terbaik pengguna Root untuk Anda Akun AWS.

• Jika Anda membuat akun dengan menggunakan alat yang disediakan sebagai bagian dari AWS Organizations, Anda dapat mengakses akun dengan menggunakan peran yang telah dikonfigurasi bernama OrganizationAccountAccessRole yang ada di semua akun baru yang Anda buat dengan cara ini. Untuk informasi selengkapnya, lihat Mengakses akun anggota yang memiliki peran akses akun pengelolaan.

• Jika Anda mengundang akun yang ada untuk bergabung dengan organisasi Anda dan akun tersebut menerima undangan, Anda kemudian dapat memilih untuk membuat IAM role yang memungkinkan akun pengelolaan mengakses akun anggota yang diundang. Peran ini dimaksudkan agar identik dengan peran yang ditambahkan secara otomatis ke akun yang dibuat dengan AWS Organizations. Untuk membuat peran ini, lihat Membuat akun anggota yang diundang OrganizationAccountAccessRole . Setelah membuat peran, Anda dapat mengaksesnya menggunakan langkah-langkah di Mengakses akun anggota yang memiliki peran akses akun pengelolaan.

• Gunakan AWS IAM Identity Centerdan aktifkan akses tepercaya untuk IAM Identity Center denganAWS Organizations. Hal ini memungkinkan pengguna untuk masuk ke portal AWS akses dengan kredensi perusahaan mereka dan mengakses sumber daya di akun manajemen atau akun anggota yang ditugaskan.

  Untuk informasi selengkapnya, lihat Izin multi-akun di AWS IAM Identity CenterPanduan Pengguna. Untuk informasi tentang menyiapkan akses tepercaya untuk Pusat Identitas IAM, lihatAWS IAM Identity Center dan AWS Organizations.

Izin minimum

Untuk mengakses Akun AWS dari akun lain di organisasi Anda, Anda harus memiliki izin berikut:

• sts:AssumeRole — Elemen Resource harus diatur ke tanda bintang (*) atau nomor ID akun dengan pengguna yang perlu mengakses akun anggota baru

Mengakses akun anggota sebagai pengguna akar

Saat Anda membuat akun baru, AWS Organizations awalnya akan menetapkan kata sandi untuk pengguna akar yang terdiri dari minimal 64 karakter. Semua karakter yang dihasilkan secara acak tanpa jaminan pada penampilan rangkaian karakter tertentu. Anda tidak dapat mengambil kata sandi awal ini. Untuk mengakses akun sebagai pengguna akar untuk pertama kalinya, Anda harus melalui proses pemulihan kata sandi. Untuk informasi selengkapnya, lihat Saya lupa kata sandi pengguna root untuk saya Akun AWS di Panduan Pengguna AWS Masuk.

Catatan

• Sebagai praktik terbaik, kami menyarankan agar Anda tidak menggunakan pengguna akar untuk mengakses akun Anda kecuali untuk membuat pengguna dan peran lain dengan izin yang lebih terbatas. Setelah itu, masuk sebagai salah satu pengguna atau peran tersebut.

• Kami juga menyarankan Anda mengaktifkan otentikasi multi-faktor (MFA) pada pengguna root. Setel ulang kata sandi, dan tetapkan perangkat MFA ke pengguna akar.

• Jika Anda membuat akun anggota di organisasi dengan alamat email yang salah, maka Anda tidak dapat masuk ke akun sebagai pengguna akar. Kontak Penagihan dan Support AWS untuk mendapatkan bantuan.

Membuat akun anggota yang diundang OrganizationAccountAccessRole

Secara default, jika Anda membuat akun anggota sebagai bagian dari organisasi, AWS secara otomatis membuat peran dalam akun yang memberikan izin administrator untuk pengguna IAM di akun pengelolaan yang dapat mengambil peran tersebut. Secara default, peran diberi nama OrganizationAccountAccessRole. Untuk informasi lebih lanjut, lihat Mengakses akun anggota yang memiliki peran akses akun pengelolaan.

Namun, akun anggota yang Anda undang untuk bergabung dengan organisasi Anda tidak secara otomatis mendapatkan peran administrator yang dibuat. Anda harus melakukannya secara manual, seperti yang ditunjukkan dalam prosedur berikut. Hal ini pada dasarnya menduplikasi peran secara otomatis yang disiapkan untuk akun yang dibuat. Kami menyarankan agar Anda menggunakan nama yang sama, OrganizationAccountAccessRole, untuk peran Anda yang dibuat secara manual untuk konsistensi dan kemudahan mengingatnya.

AWS Management Console

Untuk membuat peran administrator AWS Organizations di akun anggota

1. Masuk ke konsol IAM dan di https://console.aws.amazon.com/iam/. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak disarankan) di akun anggota. Pengguna atau peran harus memiliki izin untuk membuat peran dan kebijakan IAM.

2. Di konsol IAM, navigasikan ke Peran dan kemudian pilih Buat peran.

3. Pilih Akun AWS, lalu pilih Lainnya Akun AWS.

4. Masukkan 12 digit nomor ID akun dari akun manajemen yang ingin Anda berikan akses administrator. Di bawah Opsi, harap perhatikan hal berikut:

   • Untuk peran ini, karena akun adalah internal perusahaan Anda, maka Anda harus tidak memilih Minta ID eksternal. Untuk informasi selengkapnya tentang opsi ID eksternal, lihat Kapan saya harus menggunakan ID eksternal? di Panduan Pengguna IAM.

   • Jika Anda telah mengaktifkan dan mengonfigurasi MFA, maka Anda dapat memilih untuk meminta autentikasi menggunakan perangkat MFA. Untuk informasi selengkapnya tentang MFA, lihat Menggunakan otentikasi multi-faktor (MFA) AWS di Panduan Pengguna IAM.

5. Pilih Berikutnya.

6. Pada halaman Tambahkan izin, pilih kebijakan AWS terkelola bernama, AdministratorAccess lalu pilih Berikutnya.

7. Pada halaman Nama, tinjau, dan buat, tentukan nama peran dan deskripsi opsional. Kami menyarankan agar Anda menggunakan OrganizationAccountAccessRole, agar konsisten dengan nama default yang ditetapkan ke peran di akun baru. Untuk melakukan perubahan Anda, pilih Buat peran.

8. Peran baru Anda akan muncul di daftar peran yang tersedia. Pilih nama peran baru untuk melihat detailnya, perhatikan dengan baik URL tautan yang disediakan. Berikan URL ini kepada pengguna di akun anggota yang perlu mengakses peran tersebut. Perhatikan juga ARN Peran karena Anda akan membutuhkannya di langkah 15.

9. Masuk ke konsol IAM dan di https://console.aws.amazon.com/iam/. Kali ini, masuk sebagai pengguna di akun pengelolaan yang memiliki izin untuk membuat kebijakan dan menetapkan kebijakan untuk pengguna atau grup.

10. Arahkan ke Kebijakan, lalu pilih Buat kebijakan.

11. Untuk Layanan, pilih STS.

12. Untuk Tindakan, mulai ketik AssumeRole di Filter dan pilih kotak centang di sampingnya saat muncul.

13. Di bawah Sumber Daya, pastikan Spesifik dipilih dan kemudian pilih Tambahkan ARN.

14. Masukkan nomor ID akun anggota AWS, lalu masukkan nama peran yang Anda buat sebelumnya di langkah 1–8. Pilih Tambahkan ARN.

15. Jika Anda memberikan izin untuk mengambil peran di beberapa akun anggota, ulangi langkah 14 dan 15 untuk setiap akun.

16. Pilih Berikutnya.

17. Pada halaman Tinjau dan buat, masukkan nama untuk kebijakan baru, lalu pilih Buat kebijakan untuk menyimpan perubahan.

18. Pilih Grup pengguna di panel navigasi lalu pilih nama grup (bukan kotak centang) yang ingin Anda gunakan untuk mendelegasikan administrasi akun anggota.

19. Pilih tab Izin.

20. Pilih Tambahkan izin, pilih Lampirkan kebijakan, lalu pilih kebijakan yang Anda buat di langkah 11—18.

Pengguna yang merupakan anggota grup yang dipilih sekarang dapat menggunakan URL yang Anda ambil di langkah 9 untuk mengakses peran dari setiap akun anggota. Mereka dapat mengakses akun anggota ini dengan cara yang sama seperti jika mengakses akun yang Anda buat di organisasi. Untuk informasi selengkapnya tentang penggunaan peran untuk mengelola akun anggota, lihat Mengakses akun anggota yang memiliki peran akses akun pengelolaan.

Mengakses akun anggota yang memiliki peran akses akun pengelolaan

Ketika Anda membuat akun anggota menggunakan konsol AWS Organizations, AWS Organizations secara otomatis membuat IAM role bernama OrganizationAccountAccessRole pada akun. Peran ini memiliki izin administratif penuh di akun anggota. Ruang lingkup akses untuk peran ini mencakup semua prinsip dalam akun manajemen, sehingga peran tersebut dikonfigurasi untuk memberikan akses ke akun manajemen organisasi. Anda dapat membuat peran yang sama untuk akun anggota yang diundang dengan mengikuti langkah-langkah di Membuat akun anggota yang diundang OrganizationAccountAccessRole . Untuk menggunakan peran ini untuk mengakses akun anggota, Anda harus masuk sebagai pengguna dari akun pengelolaan yang memiliki izin untuk mengambil peran tersebut. Untuk mengkonfigurasi izin ini, lakukan prosedur berikut. Kami merekomendasikan agar Anda memberikan izin ke grup bukan pengguna untuk kemudahan pemeliharaan.

AWS Management Console

Untuk memberikan izin kepada anggota grup IAM di akun pengelolaan untuk mengakses peran

1. Masuk ke konsol IAM di https://console.aws.amazon.com/iam/ dengan pengguna Anda yang memiliki izin administrator di akun pengelolaan. Hal ini diperlukan untuk mendelegasikan izin ke grup IAM pengguna yang akan mengakses peran dalam akun anggota itu.

2. Mulailah dengan membuat kebijakan terkelola yang Anda butuhkan nanti di Tahap 11.

   Pada panel navigasi, pilih Kebijakan, lalu pilih Buat kebijakan.

3. Pada tab Editor Visual, pilih Pilih layanan, ketik STS di kotak pencarian untuk mem-filter daftar, lalu pilih kotak centang opsi STS.

4. Di bagian Tindakan, ketik assume kotak pencarian untuk memfilter daftar, lalu pilih AssumeRoleopsi.

5. Di bagian Sumber Daya, pilih Spesifik, pilih Tambahkan ARN, lalu ketik nomor akun anggota dan nama peran yang Anda buat di bagian sebelumnya (kami sarankan untuk menamainyaOrganizationAccountAccessRole).

6. Pilih Tambahkan ARN saat kotak dialog menampilkan ARN yang benar.

7. (Opsional) Jika Anda ingin mewajibkan autentikasi multi faktor (MFA), atau membatasi akses ke peran dari rentang alamat IP tertentu, maka perluas bagian syarat Permintaan, dan pilih opsi yang ingin Anda terapkan.

8. Pilih Berikutnya.

9. Pada halaman Tinjau dan buat, masukkan nama untuk kebijakan baru. Sebagai contoh : GrantAccessToOrganizationAccountAccessRole. Anda juga dapat menambahkan deskripsi opsional.

10. Pilih Buat kebijakan untuk menyimpan kebijakan terkelola baru Anda.

11. Setelah kebijakan tersedia, Anda dapat melampirkannya ke grup.

    Di panel navigasi, pilih Grup pengguna lalu pilih nama grup (bukan kotak centang) yang anggotanya ingin Anda dapat mengambil peran di akun anggota. Jika perlu, Anda dapat membuat grup baru.

12. Pilih tab Izin, pilih Tambahkan izin, lalu pilih Lampirkan kebijakan.

13. (Opsional) Dalam kotak Pencarian, Anda dapat mulai mengetik nama kebijakan Anda untuk mem-filter daftar sampai Anda dapat melihat nama kebijakan Anda yang baru saja dibuat di Tahap 2 melalui Tahap 10. Anda juga dapat memfilter semua kebijakan AWS terkelola dengan memilih Semua jenis dan kemudian memilih Customer managed.

14. Centang kotak di samping kebijakan Anda, lalu pilih Lampirkan kebijakan.

Pengguna IAM yang merupakan anggota grup sekarang memiliki izin untuk beralih ke peran baru di konsol AWS Organizations dengan menggunakan prosedur berikut.

AWS Management Console

Untuk beralih ke peran akun anggota

Saat menggunakan peran, pengguna memiliki izin administrator di akun anggota baru. Instruksikan pengguna IAM Anda yang merupakan anggota grup untuk melakukan hal berikut untuk beralih ke peran baru.

1. Dari sudut kanan atas konsol AWS Organizations, pilih tautan yang berisi nama masuk Anda saat ini dan kemudian pilih Beralih Peran.

2. Masukkan nomor ID akun dan nama peran yang disediakan administrator.

3. Untuk Nama Tampilan, masukkan teks yang ingin Anda tampilkan di bilah navigasi di sudut kanan atas di tempat nama pengguna Anda saat Anda menggunakan peran tersebut. Anda dapat memilih warna secara opsional.

4. Pilih Ganti Peran. Sekarang semua tindakan yang Anda lakukan akan dilakukan dengan izin yang diberikan untuk peran yang Anda beralih padanya. Anda tidak lagi memiliki izin yang terkait dengan pengguna IAM asli Anda sampai Anda beralih kembali.

5. Setelah selesai melakukan tindakan yang memerlukan izin peran, Anda dapat beralih kembali ke pengguna IAM normal. Pilih nama peran di sudut kanan atas (apa pun yang Anda tentukan sebagai Nama Tampilan) lalu pilih Kembali ke. UserName

Sumber daya tambahan

• Untuk informasi selengkapnya tentang pemberian izin untuk beralih peran, lihat Memberikan izin pengguna untuk beralih peran di Panduan Pengguna IAM.

• Untuk informasi selengkapnya tentang penggunaan peran yang telah diberikan izin untuk diasumsikan, lihat Beralih ke peran (konsol) di Panduan Pengguna IAM.

• Untuk tutorial tentang penggunaan peran untuk akses lintas akun, lihat Tutorial: Mendelegasikan akses Akun AWS menggunakan peran IAM dalam Panduan Pengguna IAM.

• Untuk informasi tentang menutup Akun AWS, lihat Menutup akun anggota di organisasi Anda.