本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问组织中的成员账户
在组织中创建账户时,除了根用户外,AWS Organizations 还会自动创建默认名为 OrganizationAccountAccessRole
的 IAM 角色。您可以在创建名称时指定其他名称,但我们建议您在所有账户中始终如一地命名该名称。我们在本指南中使用默认名称指代角色。AWS Organizations 不创建任何其他用户或其他角色。要访问组织中的账户,您必须使用以下方法之一:
-
创建 AWS 账户 时,最初使用的是一个对账户中所有 AWS 服务 和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅《IAM 用户指南》中的需要根用户凭证的任务。有关其他根用户安全建议,请参阅您的 AWS 账户 的根用户最佳实践。
-
如果您通过使用作为 AWS Organizations 一部分提供的工具创建一个账户,则可以使用名为
OrganizationAccountAccessRole
的预配置角色访问该账户,该角色存在于通过这种方式创建的所有新账户中。有关更多信息,请参阅 访问具有管理账户访问权角色的成员账户。 -
如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 AWS Organizations 创建的账户中的角色相同。如需创建此角色,请参阅 OrganizationAccountAccessRole 在受邀成员账户中创建。创建角色之后,您可以使用访问具有管理账户访问权角色的成员账户中的步骤访问它。
-
使用 AWS IAM Identity Center 并为 IAM Identity Center 与 AWS Organizations 启用可信访问。这允许用户使用其公司凭证登录 AWS 访问门户并访问向其分配的管理账户或成员账户中的资源。
有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息,请参阅 AWS IAM Identity Center 和 AWS Organizations。
最小权限
要从组织中的任何其他账户访问AWS 账户,必须具有以下权限:
-
sts:AssumeRole
–Resource
元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。
以根用户身份访问成员账户
当您创建新账户时,AWS Organizations 最初为根用户分配一个最少为 64 字符长的密码。所有字符都是随机生成的,不保证出现特定字符集。您无法检索此初始密码。要首次以根用户身份访问该账户,您必须完成密码恢复过程。有关更多信息,请参阅《AWS登录用户指南》AWS 账户中的 “我忘记了 root 用户密码”。
注意事项
-
我们建议的最佳实践是,除了创建其他具有更多受限权限的用户和角色之外,不要使用根用户访问账户。然后以这些用户或角色之一的身份登录。
-
此外,我们还建议您对根用户启用多重身份验证 (MFA)。重置密码,然后向根用户分配 MFA 设备。
-
如果您在组织中创建了一个电子邮件地址不正确的成员账户,则无法以根用户身份登录该账户。请联系 AWS Billing and Support
以获取帮助。
OrganizationAccountAccessRole 在受邀成员账户中创建
默认情况下,如果您创建属于组织的成员账户,AWS会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 OrganizationAccountAccessRole
。有关更多信息,请参阅 访问具有管理账户访问权角色的成员账户。
但是,您邀请 加入组织中的成员账户不 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole
,以确保一致性和方便记忆。
作为选定组成员的用户现在可以使用您在步骤 9 中捕获的 URL 来访问每个成员账户的角色。他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅访问具有管理账户访问权角色的成员账户。
访问具有管理账户访问权角色的成员账户
使用 AWS Organizations 控制台创建成员账户时,AWS Organizations 将自动在账户中创建 IAM 角色(名为 OrganizationAccountAccessRole
)。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。您可以按照 OrganizationAccountAccessRole 在受邀成员账户中创建中的步骤,为受邀成员账户创建相同的角色。要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。
现在,作为组成员的 IAM 用户有权使用以下过程在 AWS Organizations 控制台中切换到新角色。
其他资源
-
有关授予切换角色权限的更多信息,请参阅 IAM 用户指南中的授予用户切换角色的权限。
-
有关使用您已获得代入权限的角色的更多信息,请参阅 IAM 用户指南中的切换到角色(控制台)。
-
有关使用角色进行跨账户访问的教程,请参阅 IAM 用户指南中的教程:AWS 账户使用 IAM 角色委派访问权限。
-
有关关闭AWS 账户的信息,请参阅关闭组织中的成员账户。