Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengakses akun anggota di organisasi Anda
Saat Anda membuat akun di organisasi, selain pengguna root,AWS Organizations secara otomatis membuat IAM role yang secara default diberi nama OrganizationAccountAccessRole
. Anda dapat menentukan nama yang berbeda saat membuatnya, namun sebaiknya Anda menamainya secara konsisten di semua akun Anda. Kami merujuk ke peran dalam panduan ini dengan nama default. AWS Organizationstidak membuat pengguna atau peran lain. Untuk mengakses akun di organisasi Anda, Anda harus menggunakan salah satu metode berikut:
-
Saat Anda membuat Akun AWS, Anda memulai dengan satu identitas masuk yang memiliki akses penuh ke semua Layanan AWS dan sumber daya di akun tersebut. Identitas ini disebut pengguna root Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar tugas lengkap yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM. Untuk rekomendasi keamanan pengguna root tambahan, lihat Praktik terbaik pengguna Root untuk Anda Akun AWS.
-
Jika Anda membuat akun dengan menggunakan alat yang disediakan sebagai bagian dari AWS Organizations, Anda dapat mengakses akun dengan menggunakan peran yang telah dikonfigurasi bernama
OrganizationAccountAccessRole
yang ada di semua akun baru yang Anda buat dengan cara ini. Untuk informasi selengkapnya, lihat Mengakses akun anggota yang memiliki peran akses akun pengelolaan. -
Jika Anda mengundang akun yang ada untuk bergabung dengan organisasi Anda dan akun tersebut menerima undangan, Anda kemudian dapat memilih untuk membuat IAM role yang memungkinkan akun pengelolaan mengakses akun anggota yang diundang. Peran ini dimaksudkan agar identik dengan peran yang ditambahkan secara otomatis ke akun yang dibuat dengan AWS Organizations. Untuk membuat peran ini, lihat Membuat akun anggota yang diundang OrganizationAccountAccessRole . Setelah membuat peran, Anda dapat mengaksesnya menggunakan langkah-langkah di Mengakses akun anggota yang memiliki peran akses akun pengelolaan.
-
Gunakan AWS IAM Identity Centerdan aktifkan akses tepercaya untuk IAM Identity Center denganAWS Organizations. Hal ini memungkinkan pengguna untuk masuk ke portal AWS akses dengan kredensi perusahaan mereka dan mengakses sumber daya di akun manajemen atau akun anggota yang ditugaskan.
Untuk informasi selengkapnya, lihat Izin multi-akun di AWS IAM Identity CenterPanduan Pengguna. Untuk informasi tentang menyiapkan akses tepercaya untuk Pusat Identitas IAM, lihatAWS IAM Identity Center dan AWS Organizations.
Izin minimum
Untuk mengakses Akun AWS dari akun lain di organisasi Anda, Anda harus memiliki izin berikut:
-
sts:AssumeRole
— ElemenResource
harus diatur ke tanda bintang (*) atau nomor ID akun dengan pengguna yang perlu mengakses akun anggota baru
Mengakses akun anggota sebagai pengguna akar
Saat Anda membuat akun baru, AWS Organizations awalnya akan menetapkan kata sandi untuk pengguna akar yang terdiri dari minimal 64 karakter. Semua karakter yang dihasilkan secara acak tanpa jaminan pada penampilan rangkaian karakter tertentu. Anda tidak dapat mengambil kata sandi awal ini. Untuk mengakses akun sebagai pengguna akar untuk pertama kalinya, Anda harus melalui proses pemulihan kata sandi. Untuk informasi selengkapnya, lihat Saya lupa kata sandi pengguna root untuk saya Akun AWS di Panduan Pengguna AWS Masuk.
Catatan
-
Sebagai praktik terbaik, kami menyarankan agar Anda tidak menggunakan pengguna akar untuk mengakses akun Anda kecuali untuk membuat pengguna dan peran lain dengan izin yang lebih terbatas. Setelah itu, masuk sebagai salah satu pengguna atau peran tersebut.
-
Kami juga menyarankan Anda mengaktifkan otentikasi multi-faktor (MFA) pada pengguna root. Setel ulang kata sandi, dan tetapkan perangkat MFA ke pengguna akar.
-
Jika Anda membuat akun anggota di organisasi dengan alamat email yang salah, maka Anda tidak dapat masuk ke akun sebagai pengguna akar. Kontak Penagihan dan Support AWS
untuk mendapatkan bantuan.
Membuat akun anggota yang diundang OrganizationAccountAccessRole
Secara default, jika Anda membuat akun anggota sebagai bagian dari organisasi, AWS secara otomatis membuat peran dalam akun yang memberikan izin administrator untuk pengguna IAM di akun pengelolaan yang dapat mengambil peran tersebut. Secara default, peran diberi nama OrganizationAccountAccessRole
. Untuk informasi lebih lanjut, lihat Mengakses akun anggota yang memiliki peran akses akun pengelolaan.
Namun, akun anggota yang Anda undang untuk bergabung dengan organisasi Anda tidak secara otomatis mendapatkan peran administrator yang dibuat. Anda harus melakukannya secara manual, seperti yang ditunjukkan dalam prosedur berikut. Hal ini pada dasarnya menduplikasi peran secara otomatis yang disiapkan untuk akun yang dibuat. Kami menyarankan agar Anda menggunakan nama yang sama, OrganizationAccountAccessRole
, untuk peran Anda yang dibuat secara manual untuk konsistensi dan kemudahan mengingatnya.
Pengguna yang merupakan anggota grup yang dipilih sekarang dapat menggunakan URL yang Anda ambil di langkah 9 untuk mengakses peran dari setiap akun anggota. Mereka dapat mengakses akun anggota ini dengan cara yang sama seperti jika mengakses akun yang Anda buat di organisasi. Untuk informasi selengkapnya tentang penggunaan peran untuk mengelola akun anggota, lihat Mengakses akun anggota yang memiliki peran akses akun pengelolaan.
Mengakses akun anggota yang memiliki peran akses akun pengelolaan
Ketika Anda membuat akun anggota menggunakan konsol AWS Organizations, AWS Organizations secara otomatis membuat IAM role bernama OrganizationAccountAccessRole
pada akun. Peran ini memiliki izin administratif penuh di akun anggota. Ruang lingkup akses untuk peran ini mencakup semua prinsip dalam akun manajemen, sehingga peran tersebut dikonfigurasi untuk memberikan akses ke akun manajemen organisasi. Anda dapat membuat peran yang sama untuk akun anggota yang diundang dengan mengikuti langkah-langkah di Membuat akun anggota yang diundang OrganizationAccountAccessRole . Untuk menggunakan peran ini untuk mengakses akun anggota, Anda harus masuk sebagai pengguna dari akun pengelolaan yang memiliki izin untuk mengambil peran tersebut. Untuk mengkonfigurasi izin ini, lakukan prosedur berikut. Kami merekomendasikan agar Anda memberikan izin ke grup bukan pengguna untuk kemudahan pemeliharaan.
Pengguna IAM yang merupakan anggota grup sekarang memiliki izin untuk beralih ke peran baru di konsol AWS Organizations dengan menggunakan prosedur berikut.
Sumber daya tambahan
-
Untuk informasi selengkapnya tentang pemberian izin untuk beralih peran, lihat Memberikan izin pengguna untuk beralih peran di Panduan Pengguna IAM.
-
Untuk informasi selengkapnya tentang penggunaan peran yang telah diberikan izin untuk diasumsikan, lihat Beralih ke peran (konsol) di Panduan Pengguna IAM.
-
Untuk tutorial tentang penggunaan peran untuk akses lintas akun, lihat Tutorial: Mendelegasikan akses Akun AWS menggunakan peran IAM dalam Panduan Pengguna IAM.
-
Untuk informasi tentang menutup Akun AWS, lihat Menutup akun anggota di organisasi Anda.