Acessar e administrar as contas-membro em sua organização - AWS Organizations

Acessar e administrar as contas-membro em sua organização

Quando você cria uma conta na organização, além do usuário-raiz, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole por padrão. Você pode especificar um nome diferente ao criar uma conta, mas, recomendamos usar o nome de modo consistente em todas as suas contas. Fazemos referência à função neste guia pelo nome padrão. O AWS Organizations não cria nenhum outro usuário, grupo ou outras funções do IAM. Para acessar as contas em sua organização, você deve usar um dos seguintes métodos:

Permissões mínimas

Para acessar uma Conta da AWS a partir de qualquer outra conta de sua organização, você deve ter as seguintes permissões:

  • sts:AssumeRole – o elemento Resource deve ser definido como um asterisco (*) ou o número do ID da conta com o usuário que precisa acessar a nova conta-membro

Acessar a conta-membro como usuário-raiz

Quando você cria uma nova conta, o AWS Organizations inicialmente atribui uma senha ao usuário raiz com pelo menos 64 caracteres. Todos os caracteres são gerados aleatoriamente sem garantias sobre a aparência de determinados conjuntos de caracteres. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha.

Observações
  • Como prática recomendada, recomendamos que você não use o usuário raiz para acessar a conta para nada além de criar outros usuários e funções com permissões mais limitadas. Em seguida, faça login como um desses usuários ou funções.

  • Recomendamos também que você defina a autenticação multifator (MFA) no usuário raiz. Redefina a senha e atribua um dispositivo MFA ao usuário raiz.

  • Se você criou uma conta-membro em uma organização com um endereço de e-mail incorreto, não poderá fazer login na conta como usuário raiz. Entre em contato com o AWS Billing and Support para obter ajuda.

AWS Management Console

Para solicitar uma nova senha para o usuário-raiz da conta-membro

  1. Vá para a página Sign in (Fazer login) do console do AWS em https://console.aws.amazon.com/. Se você já estiver conectado à AWS, deverá fazer login para ver a página de entrada.

  2. Se a página Login (Fazer login) mostrar três caixas de texto para Account ID or alias (ID ou alias da conta), IAM user name (Nome de usuário do IAM) e Password (Senha), escolha Sign in using root account credentials (Fazer login usando as credenciais da conta raiz).

  3. Insira o endereço de e-mail associado à sua Conta da AWS e escolha Next (Avançar).

  4. Escolha Forgot your password? (Esqueceu a senha?) e insira as informações necessárias para redefinir a senha para uma nova senha fornecida por você. Para fazer isso, é preciso poder acessar e-mails recebidos enviados ao endereço de e-mail associado à conta.

Criar OrganizationAccountAccessRole na conta-membro convidada

Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada OrganizationAccountAccessRole. Para obter mais informações, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.

No entanto, contas de associado que você convida para participar da sua organização não recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, OrganizationAccountAccessRole, para suas funções criadas manualmente, para consistência e facilidade de lembrar.

AWS Management Console

Para criar uma função de administrador do AWS Organizations em uma conta-membro

  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM.

  2. No console do IAM acesse Roles (Funções) e, em seguida, escolha Create Role (Criar função).

  3. Escolha Another Conta da AWS (Outra Conta da AWS).

  4. Insira o número de ID de 12 dígitos da conta de gerenciamento à qual você deseja conceder acesso de administrador e escolha Next: Permissions (Avançar: Permissões).

    Para essa função, porque as contas são internar à empresa, você não deve escolher Require external ID (Requerer ID externo). Para obter mais informações sobre a opção de ID externo, consulte Quando devo usar o ID externo? no Guia do usuário do IAM.

  5. Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre MFA, consulte Uso da autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

  6. Na página Attach permissions policies (Associar políticas de permissões), selecione a política gerenciada da AWS denominada AdministratorAccess e, em seguida, selecione Next: Tags (Próximo: Tags).

  7. Na página Add tags (optional) (Adicionar tags (opcional)), escolha Next: Review (Próximo: revisar).

  8. Na página Review, especifique um nome de função e uma descrição opcional. Recomendamos que você use OrganizationAccountAccessRole, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha Criação de função.

  9. Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o Role ARN (ARN da função), pois você precisará dele na etapa 15.

  10. Faça login no console do IAM em https://console.aws.amazon.com/iam/. Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos.

  11. Acesse Policies (Políticas) e escolha Create Policy (Criar política).

  12. Para Service, escolha STS.

  13. Para Actions (Ações), comece digitando AssumeRole na caixa Filter (Filtro) e marque a caixa de seleção próxima a ela quando aparecer.

  14. Escolha Resources (Recursos), verifique se Specific (Específicos) está selecionado e escolha Add ARN (Adicionar ARN).

  15. Insira o número do ID da conta-membro da AWS e, depois, o nome da função criada anteriormente nas etapas de 1 a 8. Escolha Add (Adicionar).

  16. Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta.

  17. Escolha Review policy (Revisar política).

  18. Insira um nome para a nova política e escolha Create policy (Criar política) para salvar as alterações.

  19. Escolha Groups (Grupos) no painel de navegação e escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta membro.

  20. Escolha a guia Permissions (Permissões).

  21. Escolha Attach Policy (Anexar política), selecione a política criada nas etapas de 11 a 18 e, em seguida, escolha Attach Policy (Anexar política).

Os usuários que são membros do grupo selecionado agora podem usar os URLs que você capturou na etapa 9 para acessar a função de cada conta membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.

Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento

Quando você cria a conta-membro usando o console do AWS Organizations, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização. Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Criar OrganizationAccountAccessRole na conta-membro convidada. Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.

AWS Management Console

Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função

  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/ como usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.

  2. Comece criando a política gerenciada de que você precisará posteriormente em Passo 11.

    No painel de navegação, escolha Policies (Políticas) e, em seguida, selecione Create policy (Criar política).

  3. Na guia Visual editor (Editor visual), escolha Choose a service (Escolher um serviço), digite STS na caixa de pesquisa para filtrar a lista e escolha a opção STS.

  4. Na seção Actions (Ações), digite assume na caixa de pesquisa para filtrar a lista e escolha a opção AssumeRole.

  5. Na seção Resources (Recursos), escolha Specific (Específico), selecione Add ARN to restrict access (Adicionar ARN para restringir o acesso) e digite o número da conta-membro e o nome da função criada na seção anterior (recomendamos fornecer a ela o nome OrganizationAccountAccessRole).

  6. Escolha Add (Adicionar) quando a caixa de diálogo exibir o ARN correto.

  7. (Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.

  8. Escolha Review policy (Revisar política).

  9. No campo Name (Nome), insira um nome para a política. Por exemplo: GrantAccessToOrganizationAccountAccessRole. Você também pode adicionar uma descrição opcional.

  10. Escolha Criar política para salvar a nova política gerenciada.

  11. Agora que você tem a política disponível, poderá associá-la a um grupo.

    No painel de navegação, escolha Groups (Grupos) e escolha o nome do grupo (não a caixa de seleção) cujos membros você deseja que assumam a função na conta-membro. Se necessário, você poderá criar outro grupo.

  12. Na guia Permissions (Permissões), em Managed Policies (Políticas gerenciadas), selecione Attach policy (Anexar política).

  13. (Opcional) Na caixa Search (Pesquisar), é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em Passo 2 até Passo 10. Você também pode filtrar todas as políticas gerenciadas da AWS escolhendo Policy Type (Tipo de política) e Customer Managed (Gerenciado pelo cliente).

  14. Marque a caixa ao lado da política e escolha Attach Policy (Anexar política).

Os usuários do IAM que são membros do grupo agora têm permissões para alternar para a nova função no console do AWS Organizations seguindo o procedimento abaixo.

AWS Management Console

Para alternar para a função para a conta-membro

Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função.

  1. No canto superior direito do console do AWS Organizations, selecione o link que contém seu nome de login atual e escolha Switch role (Alternar função).

  2. Insira o nome da função e o número do ID da conta fornecida pelo administrador.

  3. Em Display Name (Nome de exibição), insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.

  4. Selecione Switch Role (Mudar de função). Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.

  5. Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (qualquer coisa especificada como o Display Name [Nome para exibição]) e escolha Back to UserName (Voltar para UserName).

Recursos adicionais