As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acessar contas-membro em sua organização
Quando você cria uma conta na organização, além do usuário-raiz, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole
por padrão. Você pode especificar um nome diferente ao criar uma conta, mas, recomendamos usar o nome de modo consistente em todas as suas contas. Fazemos referência ao perfil neste guia pelo nome padrão. O AWS Organizations não cria nenhum outro usuário ou perfil. Para acessar as contas em sua organização, você deve usar um dos seguintes métodos:
-
Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos os atributos e Serviços da AWS na conta. Essa identidade, denominada usuário raiz da Conta da AWS, e é acessada por login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não utilizar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do usuário do IAM. Para obter mais recomendações de segurança do usuário raiz, consulte As práticas recomendadas do usuário raiz para a Conta da AWS.
-
Se você criar uma conta usando as ferramentas fornecidas como parte do AWS Organizations, poderá acessá-la usando a função pré-configurada denominada
OrganizationAccountAccessRole
, que existe em todas as novas contas criadas dessa maneira. Para ter mais informações, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento. -
Se você convidar uma conta existente para participar de sua organização e a conta aceitar o convite, poderá optar por criar uma função do IAM que permita o acesso da conta de gerenciamento à conta-membro. Essa função deve ser idêntica à função adicionada automaticamente a uma conta criada com o AWS Organizations. Para criar essa função, consulte Criando o OrganizationAccountAccessRole em uma conta de membro convidado. Depois de criar a função, acesse-a usando as etapas em Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.
-
Use o AWS IAM Identity Center e habilite o acesso confiável para o IAM Identity Center com o AWS Organizations. Isso permite que os usuários façam login no portal de acesso do AWS com suas credenciais corporativas e acessem recursos em suas contas de gerenciamento ou contas-membro designadas.
Para obter mais informações, consulte Permissões para várias contas no Guia do usuário do AWS IAM Identity Center. Para obter informações sobre como configurar o acesso confiável para o IAM Identity Center, consulte AWS IAM Identity Center e AWS Organizations.
Permissões mínimas
Para acessar uma Conta da AWS a partir de qualquer outra conta de sua organização, você deve ter as seguintes permissões:
-
sts:AssumeRole
– o elementoResource
deve ser definido como um asterisco (*) ou o número do ID da conta com o usuário que precisa acessar a nova conta-membro
Acessar a conta-membro como usuário-raiz
Quando você cria uma nova conta, o AWS Organizations inicialmente atribui uma senha ao usuário raiz com pelo menos 64 caracteres. Todos os caracteres são gerados aleatoriamente sem garantias sobre a aparência de determinados conjuntos de caracteres. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha. Para obter mais informações, consulte Esqueci minha senha de usuário root Conta da AWS no Guia do usuário de AWSlogin.
Observações
-
Como prática recomendada, recomendamos que você não use o usuário raiz para acessar a conta para nada além de criar outros usuários e funções com permissões mais limitadas. Em seguida, faça login como um desses usuários ou funções.
-
Recomendamos também que você habilite a autenticação multifator (MFA) no usuário raiz. Redefina a senha e atribua um dispositivo MFA ao usuário raiz.
-
Se você criou uma conta-membro em uma organização com um endereço de e-mail incorreto, não poderá fazer login na conta como usuário raiz. Entre em contato com o AWS Billing and Support
para obter ajuda.
Criando o OrganizationAccountAccessRole em uma conta de membro convidado
Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada OrganizationAccountAccessRole
. Para obter mais informações, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.
No entanto, contas de associado que você convida para participar da sua organização não recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, OrganizationAccountAccessRole
, para suas funções criadas manualmente, para consistência e facilidade de lembrar.
Os usuários que são membros do grupo selecionado agora podem usar os URLs que você capturou na etapa 9 para acessar a função de cada conta membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento.
Acesso à conta-membro que tem uma função de acesso na conta de gerenciamento
Quando você cria a conta-membro usando o console do AWS Organizations, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole
na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização. Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Criando o OrganizationAccountAccessRole em uma conta de membro convidado. Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.
Os usuários do IAM que são membros do grupo agora têm permissões para alternar para a nova função no console do AWS Organizations seguindo o procedimento abaixo.
Recursos adicionais
-
Para obter mais informações sobre como conceder permissões para trocar de função, consulte Conceder permissões a um usuário para trocar de função no Guia do usuário do IAM.
-
Para obter mais informações sobre o uso de uma função que você recebeu permissão para assumir, consulte Mudança para uma função (console) no Guia do usuário do IAM.
-
Para ver um tutorial sobre o uso de funções para acesso entre contas, consulte Tutorial: Delegar acesso Contas da AWS usando funções do IAM no Guia do usuário do IAM.
-
Para obter informações sobre fechamento de Contas da AWS, consulte Fechar uma conta-membro em sua organização.