Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations

Quando você cria uma conta de membro usando o AWS Organizations console, AWS Organizations cria automaticamente uma IAM função nomeada OrganizationAccountAccessRole na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.

Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations.

Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.

AWS Management Console
Para conceder permissões aos membros de um IAM grupo na conta de gerenciamento para acessar a função

  1. Faça login no IAM console https://console.aws.amazon.com/iam/como usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões ao IAM grupo cujos usuários acessarão a função na conta do membro.

  2. Comece criando a política gerenciada de que você precisará posteriormente em Passo 11.

    No painel de navegação, escolha Policies (Políticas) e, em seguida, selecione Create policy (Criar política).

  3. Na guia Editor visual, escolha Escolher um serviço, digite STS na caixa de pesquisa para filtrar a lista e escolha a STSopção.

  4. Na seção Ações, digite assume na caixa de pesquisa para filtrar a lista e escolha a AssumeRoleopção.

  5. Na seção Recursos, escolha Específico, escolha Adicionar ARNs e digite o número da conta do membro e o nome da função que você criou na seção anterior (recomendamos nomeá-laOrganizationAccountAccessRole).

  6. Escolha Adicionar ARNs quando a caixa de diálogo exibir o corretoARN.

  7. (Opcional) Se você quiser exigir a autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Condições de solicitação e selecione as opções que deseja aplicar.

  8. Escolha Próximo.

  9. Na página Revisar e criar, insira um nome para a nova política. Por exemplo: GrantAccessToOrganizationAccountAccessRole. Você também pode adicionar uma descrição opcional.

  10. Escolha Criar política para salvar a nova política gerenciada.

  11. Agora que você tem a política disponível, poderá associá-la a um grupo.

    No painel de navegação, escolha Grupos de usuários e, em seguida, escolha o nome do grupo (não a caixa de seleção) cujos membros você deseja que possam assumir a função na conta do membro. Se necessário, você poderá criar outro grupo.

  12. Escolha a guia Permissões, escolha Adicionar permissões e depois Anexar políticas.

  13. (Opcional) Na caixa Search (Pesquisar), é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em Passo 2 até Passo 10. Você também pode filtrar todos os AWS políticas gerenciadas escolhendo Todos os tipos e, em seguida, escolhendo Gerenciado pelo cliente.

  14. Marque a caixa ao lado da sua política e escolha Anexar políticas.

IAMos usuários que são membros do grupo agora têm permissões para mudar para a nova função no AWS Organizations console usando o procedimento a seguir.

AWS Management Console
Para alternar para a função para a conta-membro

Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua seus IAM usuários que são membros do grupo a fazer o seguinte para mudar para a nova função.

  1. Do canto superior direito do AWS Organizations console, escolha o link que contém seu nome de login atual e escolha Trocar função.

  2. Insira o nome da função e o número do ID da conta fornecida pelo administrador.

  3. Em Display Name (Nome de exibição), insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.

  4. Selecione Switch Role (Mudar de função). Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu IAM usuário original até voltar.

  5. Ao terminar de executar ações que exigem as permissões da função, você pode voltar para o IAM usuário normal. Escolha o nome da função no canto superior direito (o que você especificou como Nome de exibição) e, em seguida, escolha Voltar para UserName.