访问组织中的成员账户 - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问组织中的成员账户

在组织中创建账户时,除了根用户外,AWS Organizations 还会自动创建默认名为 OrganizationAccountAccessRole 的 IAM 角色。您可以在创建名称时指定其他名称,但我们建议您在所有账户中始终如一地命名该名称。我们在本指南中使用默认名称指代角色。AWS Organizations 不创建任何其他用户或其他角色。要访问组织中的账户,您必须使用以下方法之一:

  • 创建 AWS 账户 时,最初使用的是一个对账户中所有 AWS 服务 和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅《IAM 用户指南》中的需要根用户凭证的任务。有关其他根用户安全建议,请参阅您的 AWS 账户 的根用户最佳实践

  • 如果您通过使用作为 AWS Organizations 一部分提供的工具创建一个账户,则可以使用名为 OrganizationAccountAccessRole 的预配置角色访问该账户,该角色存在于通过这种方式创建的所有新账户中。有关更多信息,请参阅 访问具有管理账户访问权角色的成员账户

  • 如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 AWS Organizations 创建的账户中的角色相同。如需创建此角色,请参阅 OrganizationAccountAccessRole 在受邀成员账户中创建。创建角色之后,您可以使用访问具有管理账户访问权角色的成员账户中的步骤访问它。

  • 使用 AWS IAM Identity Center 并为 IAM Identity Center 与 AWS Organizations 启用可信访问。这允许用户使用其公司凭证登录 AWS 访问门户并访问向其分配的管理账户或成员账户中的资源。

    有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息,请参阅 AWS IAM Identity Center 和 AWS Organizations

最小权限

要从组织中的任何其他账户访问AWS 账户,必须具有以下权限:

  • sts:AssumeRoleResource 元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。

以根用户身份访问成员账户

当您创建新账户时,AWS Organizations 最初为根用户分配一个最少为 64 字符长的密码。所有字符都是随机生成的,不保证出现特定字符集。您无法检索此初始密码。要首次以根用户身份访问该账户,您必须完成密码恢复过程。有关更多信息,请参阅《AWS登录用户指南》AWS 账户中的 “我忘记了 root 用户密码”。

注意事项

OrganizationAccountAccessRole 在受邀成员账户中创建

默认情况下,如果您创建属于组织的成员账户,AWS会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 OrganizationAccountAccessRole。有关更多信息,请参阅 访问具有管理账户访问权角色的成员账户

但是,您邀请 加入组织中的成员账户 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole,以确保一致性和方便记忆。

AWS Management Console
在成员账户中创建 AWS Organizations 管理员角色
  1. 通过 https://console.aws.amazon.com/iam/ 登录到 IAM 控制台。您必须以 IAM 用户身份登录,担任 IAM 角色;或以成员账户中的根用户身份登录(不推荐)。用户或角色必须具有创建 IAM 角色和策略的权限。

  2. 在 IAM 控制台中,导航到角色,然后选择创建角色

  3. 选择 AWS 账户,然后选择 “其” AWS 账户。

  4. 输入您要授予管理员访问权限的管理账户的 12 位数账户 ID 号。在 “选项” 下,请注意以下内容:

    • 对于此角色,由于账户是公司的内部账户,因此,您应选择 Require external ID (需要外部 ID)。有关外部 ID 选项的更多信息,请参阅何时应使用外部 ID?IAM 用户指南中。

    • 如果您启用了 MFA 并进行了配置,则可以选择要求使用 MFA 设备进行身份验证。有关 MFA 的更多信息,请参阅 IAM 用户指南AWS中的使用多重身份验证 (MFA)

  5. 请选择 Next(下一步)

  6. 添加权限页面上,选择名为的AWS托管策略AdministratorAccess,然后选择下一步

  7. 在 “名称、查看和创建” 页面上,指定角色名称和可选描述。我们建议您使用 OrganizationAccountAccessRole,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 Create role (创建角色)。

  8. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息,特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外,记下 Role ARN (角色 ARN),因为您在步骤 15 中需要它。

  9. 通过 https://console.aws.amazon.com/iam/ 登录到 IAM 控制台。此时,以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。

  10. 导航到 “策略”,然后选择 “创建策略”。

  11. 对于 Service,选择 STS

  12. 对于 Actions (操作),在 Filter (筛选器) 框中开始键入 AssumeRole,然后在该角色显示后选中其旁边的复选框。

  13. 在 “资源” 下,确保选择 “特定”,然后选择 “添加 ARN”。

  14. 输入AWS成员账户 ID 号,然后输入您之前在步骤 1–8 中创建的角色的名称。选择添加 ARN

  15. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。

  16. 请选择 Next(下一步)

  17. 查看并创建页面上,输入新策略的名称,然后选择创建策略以保存您的更改。

  18. 在导航窗格中选择 “用户组”,然后选择要用来委派成员账户管理的群组名称(不是复选框)。

  19. 选择 Permissions(权限)选项卡。

  20. 选择 “添加权限”,选择 “附加策略”,然后选择您在步骤 11—18 中创建的策略。

作为选定组成员的用户现在可以使用您在步骤 9 中捕获的 URL 来访问每个成员账户的角色。他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅访问具有管理账户访问权角色的成员账户

访问具有管理账户访问权角色的成员账户

使用 AWS Organizations 控制台创建成员账户时,AWS Organizations 将自动在账户中创建 IAM 角色(名为 OrganizationAccountAccessRole)。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。您可以按照 OrganizationAccountAccessRole 在受邀成员账户中创建中的步骤,为受邀成员账户创建相同的角色。要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。

AWS Management Console
向管理账户中 IAM 组的成员授予权限以访问角色
  1. 以管理账户中具有管理员权限的用户身份,通过以下网址登录 IAM 控制台:https://console.aws.amazon.com/iam/。这是向 IAM 组委派权限所必需的,该组的用户将具有成员账户中的角色。

  2. 首先,创建您稍后在步骤 11中需要的托管策略。

    在导航窗格中选择策略,然后选择创建策略

  3. 在可视化编辑器选项卡上,选择 Choose a service (选择服务),在搜索框中键入 STS 以筛选列表,然后选择 STS 选项。

  4. 在 “操作” 部分,assume在搜索框中键入以筛选列表,然后选择相应AssumeRole选项。

  5. 在 “资源” 部分,选择 “特定”,选择 “添加 ARN”,然后键入您在上一节中创建的成员账号和角色名称(我们建议将其命名OrganizationAccountAccessRole)。

  6. 当对话框显示正确的 ARN 时,选择添加 AR N。

  7. (可选)如果您要求多重验证 (MFA),或要限制此角色从指定的 IP 地址范围进行访问,请展开 Request conditions (请求条件) 部分,然后选择要强制执行的选项。

  8. 请选择 Next(下一步)

  9. 查看并创建页面上,输入新策略的名称。例如:GrantAccessToOrganizationAccountAccessRole。您还可以添加可选的说明。

  10. 选择 Create policy (创建策略) 以保存新的托管策略。

  11. 现在,您已有策略可用,您可以将其附加到组。

    在导航窗格中,选择 “用户组”,然后选择您希望其成员能够在成员账户中担任该角色的群组名称(不是复选框)。如果需要,您可以创建新组。

  12. 请选择权限选项卡,选择添加权限,然后选择附加策略

  13. (可选)在 Search (搜索) 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在步骤 2步骤 10中创建的策略的名称。您还可以通过选择 “所有类型”,然后选择 “客户AWS管理” 来筛选出所有托管策略。

  14. 选中您的策略旁边的复选框,然后选择附加策略

现在,作为组成员的 IAM 用户有权使用以下过程在 AWS Organizations 控制台中切换到新角色。

AWS Management Console
切换到成员账户的角色

使用该角色时,用户具有新成员账户中的管理权限。指示您的作为该组成员的 IAM 用户执行以下操作以切换到新角色。

  1. 从 AWS Organizations 控制台的右上角,选择包含当前登录名称的链接,然后选择 Switch Role (切换角色)

  2. 输入管理员提供的账户 ID 号和角色名称。

  3. 对于 Display Name (显示名称),输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。

  4. 选择 Switch Role。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回之前,您不再具有与原始 IAM 用户关联的权限。

  5. 完成执行需要角色权限的操作后,您可以切换回普通 IAM 用户。在右上角选择角色名称(无论您指定为 “显示名称”),然后选择 “返回”。UserName

其他资源