访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations

使用 AWS Organizations 控制台创建成员账户时, AWS Organizations 会自动在账户OrganizationAccountAccessRole中创建一个名为的IAM角色。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。

您可以按照使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations中的步骤,为受邀成员账户创建相同的角色。

要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。

AWS Management Console
向管理账户中的IAM群组成员授予访问该角色的权限
  1. 以具有管理账户管理员权限的用户https://console.aws.amazon.com/iam/身份登录IAM控制台。这是向其用户将访问成员账户中角色的IAM群组委派权限所必需的。

  2. 首先,创建您稍后在步骤 14中需要的托管策略。

    在导航窗格中选择策略,然后选择创建策略

  3. 在可视化编辑器选项卡上,选择选择服务STS在搜索框中输入以筛选列表,然后选择该STS选项。

  4. 在 “操作” 部分,assume在搜索框中输入以筛选列表,然后选择相应AssumeRole选项。

  5. 在 “资源” 部分中,选择 “特定”,选择 “添加” ARNs

  6. 在 “指定 ARN (s)” 部分,为中的资源选择其他帐户

  7. 输入您刚刚创建的成员账户的 ID

  8. 对于带路径的资源角色名称,请输入您在上一节中创建的角色的名称(我们建议将其命名OrganizationAccountAccessRole)。

  9. 当对话框显示正确的内容ARNs时,选择 “添加” ARN。

  10. (可选)如果您想要要求多因素身份验证(MFA),或者限制指定 IP 地址范围内的角色访问权限,请展开 “请求条件” 部分,然后选择要强制执行的选项。

  11. 选择下一步

  12. 查看并创建页面上,输入新策略的名称。例如:GrantAccessToOrganizationAccountAccessRole。您还可以添加可选的说明。

  13. 选择 Create policy (创建策略) 以保存新的托管策略。

  14. 现在,您已有策略可用,您可以将其附加到组。

    在导航窗格中,选择 “用户组”,然后选择您希望其成员能够在成员账户中担任该角色的群组名称(不是复选框)。如果需要,您可以创建新组。

  15. 请选择权限选项卡,选择添加权限,然后选择附加策略

  16. (可选)在 Search (搜索) 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在步骤 2步骤 13中创建的策略的名称。您还可以通过选择 “所有类型”,然后选择 “客户 AWS 管理” 来筛选出所有托管策略。

  17. 选中您的策略旁边的复选框,然后选择附加策略

IAM作为该组成员的用户现在有权使用以下步骤在 AWS Organizations 控制台中切换到新角色。

AWS Management Console
切换到成员账户的角色

使用该角色时,用户具有新成员账户中的管理权限。指示属于群组成员的IAM用户执行以下操作以切换到新角色。

  1. 从 AWS Organizations 控制台的右上角,选择包含您当前登录名的链接,然后选择 Switch Role。

  2. 输入管理员提供的账户 ID 号和角色名称。

  3. 对于 Display Name (显示名称),输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。

  4. 选择 Switch Role。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回原来的IAM用户之前,您不再拥有与原始用户关联的权限。

  5. 完成需要角色权限的操作后,可以切换回普通IAM用户。在右上角选择角色名称(无论您指定为 “显示名称”),然后选择 “返回” UserName.