As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations
Quando você cria uma conta de membro usando o AWS Organizations console, AWS Organizations cria automaticamente uma IAM função nomeada OrganizationAccountAccessRole
na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.
Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations.
Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.
- AWS Management Console
-
Para conceder permissões aos membros de um IAM grupo na conta de gerenciamento para acessar a função
-
Faça login no IAM console https://console.aws.amazon.com/iam/como usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões ao IAM grupo cujos usuários acessarão a função na conta do membro.
-
Comece criando a política gerenciada de que você precisará posteriormente em Passo 11.
No painel de navegação, escolha Policies (Políticas) e, em seguida, selecione Create policy (Criar política).
-
Na guia Editor visual, escolha Escolher um serviço, digite STS
na caixa de pesquisa para filtrar a lista e escolha a STSopção.
-
Na seção Ações, digite assume
na caixa de pesquisa para filtrar a lista e escolha a AssumeRoleopção.
-
Na seção Recursos, escolha Específico, escolha Adicionar ARNs e digite o número da conta do membro e o nome da função que você criou na seção anterior (recomendamos nomeá-laOrganizationAccountAccessRole
).
-
Escolha Adicionar ARNs quando a caixa de diálogo exibir o corretoARN.
-
(Opcional) Se você quiser exigir a autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Condições de solicitação e selecione as opções que deseja aplicar.
-
Escolha Próximo.
-
Na página Revisar e criar, insira um nome para a nova política. Por exemplo: GrantAccessToOrganizationAccountAccessRole
. Você também pode adicionar uma descrição opcional.
-
Escolha Criar política para salvar a nova política gerenciada.
-
Agora que você tem a política disponível, poderá associá-la a um grupo.
No painel de navegação, escolha Grupos de usuários e, em seguida, escolha o nome do grupo (não a caixa de seleção) cujos membros você deseja que possam assumir a função na conta do membro. Se necessário, você poderá criar outro grupo.
-
Escolha a guia Permissões, escolha Adicionar permissões e depois Anexar políticas.
-
(Opcional) Na caixa Search (Pesquisar), é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em Passo 2 até Passo 10. Você também pode filtrar todos os AWS políticas gerenciadas escolhendo Todos os tipos e, em seguida, escolhendo Gerenciado pelo cliente.
-
Marque a caixa ao lado da sua política e escolha Anexar políticas.
IAMos usuários que são membros do grupo agora têm permissões para mudar para a nova função no AWS Organizations console usando o procedimento a seguir.
- AWS Management Console
-
Para alternar para a função para a conta-membro
Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua seus IAM usuários que são membros do grupo a fazer o seguinte para mudar para a nova função.
-
Do canto superior direito do AWS Organizations console, escolha o link que contém seu nome de login atual e escolha Trocar função.
-
Insira o nome da função e o número do ID da conta fornecida pelo administrador.
-
Em Display Name (Nome de exibição), insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.
-
Selecione Switch Role (Mudar de função). Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu IAM usuário original até voltar.
-
Ao terminar de executar ações que exigem as permissões da função, você pode voltar para o IAM usuário normal. Escolha o nome da função no canto superior direito (o que você especificou como Nome de exibição) e, em seguida, escolha Voltar para UserName
.