本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations
使用 AWS Organizations 控制台创建成员账户时, AWS Organizations 会自动在账户OrganizationAccountAccessRole
中创建一个名为的IAM角色。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。
您可以按照使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations中的步骤,为受邀成员账户创建相同的角色。
要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。
- AWS Management Console
-
向管理账户中的IAM群组成员授予访问该角色的权限
-
以具有管理账户管理员权限的用户https://console.aws.amazon.com/iam/身份登录IAM控制台。这是向其用户将访问成员账户中角色的IAM群组委派权限所必需的。
-
首先,创建您稍后在步骤 14中需要的托管策略。
在导航窗格中选择策略,然后选择创建策略。
-
在可视化编辑器选项卡上,选择选择服务,STS
在搜索框中输入以筛选列表,然后选择该STS选项。
-
在 “操作” 部分,assume
在搜索框中输入以筛选列表,然后选择相应AssumeRole选项。
-
在 “资源” 部分中,选择 “特定”,选择 “添加” ARNs
在 “指定 ARN (s)” 部分,为中的资源选择其他帐户。
输入您刚刚创建的成员账户的 ID
对于带路径的资源角色名称,请输入您在上一节中创建的角色的名称(我们建议将其命名OrganizationAccountAccessRole
)。
-
当对话框显示正确的内容ARNs时,选择 “添加” ARN。
-
(可选)如果您想要要求多因素身份验证(MFA),或者限制指定 IP 地址范围内的角色访问权限,请展开 “请求条件” 部分,然后选择要强制执行的选项。
-
选择下一步。
-
在查看并创建页面上,输入新策略的名称。例如:GrantAccessToOrganizationAccountAccessRole
。您还可以添加可选的说明。
-
选择 Create policy (创建策略) 以保存新的托管策略。
-
现在,您已有策略可用,您可以将其附加到组。
在导航窗格中,选择 “用户组”,然后选择您希望其成员能够在成员账户中担任该角色的群组名称(不是复选框)。如果需要,您可以创建新组。
-
请选择权限选项卡,选择添加权限,然后选择附加策略。
-
(可选)在 Search (搜索) 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在步骤 2到步骤 13中创建的策略的名称。您还可以通过选择 “所有类型”,然后选择 “客户 AWS 管理” 来筛选出所有托管策略。
-
选中您的策略旁边的复选框,然后选择附加策略。
IAM作为该组成员的用户现在有权使用以下步骤在 AWS Organizations 控制台中切换到新角色。
- AWS Management Console
-
切换到成员账户的角色
使用该角色时,用户具有新成员账户中的管理权限。指示属于群组成员的IAM用户执行以下操作以切换到新角色。
-
从 AWS Organizations 控制台的右上角,选择包含您当前登录名的链接,然后选择 Switch Role。
-
输入管理员提供的账户 ID 号和角色名称。
-
对于 Display Name (显示名称),输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。
-
选择 Switch Role。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回原来的IAM用户之前,您不再拥有与原始用户关联的权限。
-
完成需要角色权限的操作后,可以切换回普通IAM用户。在右上角选择角色名称(无论您指定为 “显示名称”),然后选择 “返回” UserName
.