Acessar contas-membro em sua organização - AWS Organizations
Acessar a conta-membro como usuário-raizCriando o OrganizationAccountAccessRole em uma conta de membro convidadoAcesso à conta-membro que tem uma função de acesso na conta de gerenciamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessar contas-membro em sua organização

Quando você cria uma conta na organização, além do usuário-raiz, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole por padrão. Você pode especificar um nome diferente ao criar uma conta, mas, recomendamos usar o nome de modo consistente em todas as suas contas. Fazemos referência ao perfil neste guia pelo nome padrão. O AWS Organizations não cria nenhum outro usuário ou perfil. Para acessar as contas em sua organização, você deve usar um dos seguintes métodos:

  • Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos os atributos e Serviços da AWS na conta. Essa identidade, denominada usuário raiz da Conta da AWS, e é acessada por login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não utilizar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do usuário do IAM. Para obter mais recomendações de segurança do usuário raiz, consulte As práticas recomendadas do usuário raiz para a Conta da AWS.

  • Se você criar uma conta usando as ferramentas fornecidas como parte do AWS Organizations, poderá acessá-la usando a função pré-configurada denominada OrganizationAccountAccessRole, que existe em todas as novas contas criadas dessa maneira. Para ter mais informações, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.

  • Se você convidar uma conta existente para participar de sua organização e a conta aceitar o convite, poderá optar por criar uma função do IAM que permita o acesso da conta de gerenciamento à conta-membro. Essa função deve ser idêntica à função adicionada automaticamente a uma conta criada com o AWS Organizations. Para criar essa função, consulte Criando o OrganizationAccountAccessRole em uma conta de membro convidado. Depois de criar a função, acesse-a usando as etapas em Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.

  • Use o AWS IAM Identity Center e habilite o acesso confiável para o IAM Identity Center com o AWS Organizations. Isso permite que os usuários façam login no portal de acesso do AWS com suas credenciais corporativas e acessem recursos em suas contas de gerenciamento ou contas-membro designadas.

    Para obter mais informações, consulte Permissões para várias contas no Guia do usuário do AWS IAM Identity Center. Para obter informações sobre como configurar o acesso confiável para o IAM Identity Center, consulte AWS IAM Identity Center e AWS Organizations.

Permissões mínimas

Para acessar uma Conta da AWS a partir de qualquer outra conta de sua organização, você deve ter as seguintes permissões:

  • sts:AssumeRole – o elemento Resource deve ser definido como um asterisco (*) ou o número do ID da conta com o usuário que precisa acessar a nova conta-membro

Acessar a conta-membro como usuário-raiz

Quando você cria uma nova conta, o AWS Organizations inicialmente atribui uma senha ao usuário raiz com pelo menos 64 caracteres. Todos os caracteres são gerados aleatoriamente sem garantias sobre a aparência de determinados conjuntos de caracteres. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha. Para obter mais informações, consulte Esqueci minha senha de usuário root Conta da AWS no Guia do usuário de AWSlogin.

Observações

Criando o OrganizationAccountAccessRole em uma conta de membro convidado

Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada OrganizationAccountAccessRole. Para obter mais informações, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.

No entanto, contas de associado que você convida para participar da sua organização não recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, OrganizationAccountAccessRole, para suas funções criadas manualmente, para consistência e facilidade de lembrar.

AWS Management Console
Para criar uma função de administrador do AWS Organizations em uma conta-membro

  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM.

  2. No console do IAM, navegue até Roles e escolha Create role.

  3. Escolha e Conta da AWS, em seguida, selecione Outro Conta da AWS.

  4. Insira o número de identificação da conta de gerenciamento de 12 dígitos à qual você deseja conceder acesso de administrador. Em Opções, observe o seguinte:

    • Para essa função, porque as contas são internar à empresa, você não deve escolher Require external ID (Requerer ID externo). Para obter mais informações sobre a opção de ID externa, consulte Quando devo usar uma ID externa? no Guia do usuário do IAM.

    • Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre a MFA, consulte Como usar a autenticação multifator (MFA) AWS no Guia do usuário do IAM.

  5. Escolha Próximo.

  6. Na página Adicionar permissões, escolha a política AWS gerenciada chamada AdministratorAccess e, em seguida, escolha Avançar.

  7. Na página Nome, revisão e criação, especifique um nome de função e uma descrição opcional. Recomendamos que você use OrganizationAccountAccessRole, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha Criação de função.

  8. Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o Role ARN (ARN da função), pois você precisará dele na etapa 15.

  9. Faça login no console do IAM em https://console.aws.amazon.com/iam/. Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos.

  10. Navegue até Políticas e escolha Criar política.

  11. Para Service, escolha STS.

  12. Para Actions (Ações), comece digitando AssumeRole na caixa Filter (Filtro) e marque a caixa de seleção próxima a ela quando aparecer.

  13. Em Recursos, certifique-se de que Específico esteja selecionado e escolha Adicionar ARNs.

  14. Insira o número do ID da conta-membro da AWS e, depois, o nome da função criada anteriormente nas etapas de 1 a 8. Escolha Add ARNs.

  15. Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta.

  16. Escolha Próximo.

  17. Na página Revisar e criar, insira um nome para a nova política e escolha Criar política para salvar suas alterações.

  18. Escolha Grupos de usuários no painel de navegação e, em seguida, escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta do membro.

  19. Escolha a aba Permissões.

  20. Escolha Adicionar permissões, escolha Anexar políticas e, em seguida, selecione a política que você criou nas etapas 11 a 18.

Os usuários que são membros do grupo selecionado agora podem usar os URLs que você capturou na etapa 9 para acessar a função de cada conta membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.

Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento

Quando você cria a conta-membro usando o console do AWS Organizations, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização. Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Criando o OrganizationAccountAccessRole em uma conta de membro convidado. Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.

AWS Management Console
Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função

  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/ como usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.

  2. Comece criando a política gerenciada de que você precisará posteriormente em Passo 11.

    No painel de navegação, escolha Policies (Políticas) e, em seguida, selecione Create policy (Criar política).

  3. Na guia Visual editor (Editor visual), escolha Choose a service (Escolher um serviço), digite STS na caixa de pesquisa para filtrar a lista e escolha a opção STS.

  4. Na seção Ações, digite assume na caixa de pesquisa para filtrar a lista e escolha a AssumeRoleopção.

  5. Na seção Recursos, escolha Específico, escolha Adicionar ARNs e digite o número da conta do membro e o nome da função que você criou na seção anterior (recomendamos nomeá-laOrganizationAccountAccessRole).

  6. Escolha Adicionar ARNs quando a caixa de diálogo exibir o ARN correto.

  7. (Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.

  8. Escolha Próximo.

  9. Na página Revisar e criar, insira um nome para a nova política. Por exemplo: GrantAccessToOrganizationAccountAccessRole. Você também pode adicionar uma descrição opcional.

  10. Escolha Criar política para salvar a nova política gerenciada.

  11. Agora que você tem a política disponível, poderá associá-la a um grupo.

    No painel de navegação, escolha Grupos de usuários e, em seguida, escolha o nome do grupo (não a caixa de seleção) cujos membros você deseja que possam assumir a função na conta do membro. Se necessário, você poderá criar outro grupo.

  12. Escolha a guia Permissões, escolha Adicionar permissões e depois Anexar políticas.

  13. (Opcional) Na caixa Search (Pesquisar), é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em Passo 2 até Passo 10. Você também pode filtrar todas as políticas AWS gerenciadas escolhendo Todos os tipos e, em seguida, escolhendo Gerenciado pelo cliente.

  14. Marque a caixa ao lado da sua política e escolha Anexar políticas.

Os usuários do IAM que são membros do grupo agora têm permissões para alternar para a nova função no console do AWS Organizations seguindo o procedimento abaixo.

AWS Management Console
Para alternar para a função para a conta-membro

Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função.

  1. No canto superior direito do console do AWS Organizations, selecione o link que contém seu nome de login atual e escolha Switch role (Alternar função).

  2. Insira o nome da função e o número do ID da conta fornecida pelo administrador.

  3. Em Display Name (Nome de exibição), insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.

  4. Selecione Switch Role (Mudar de função). Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.

  5. Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (o que você especificou como Nome de Exibição) e, em seguida, escolha Voltar para. UserName

Recursos adicionais