本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations
當您使用 AWS Organizations 主控台建立成員帳戶時, AWS Organizations 會自動在帳戶中建立名為 OrganizationAccountAccessRole
IAM的角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體,因此該角色設定為授予對該組織管理帳戶的存取權。
您可以遵循 建 OrganizationAccountAccessRole 立受邀帳戶 AWS Organizations中的步驟,為獲邀請成員帳戶建立完全相同的角色。
若要使用此角色來存取成員帳戶,您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可,請執行下列程序。我們建議您將許可授予群組,而不是使用者,以方便維護。
- AWS Management Console
-
將許可授予管理帳戶中IAM群組的成員以存取角色
-
以具有 管理帳戶中管理員許可的使用者https://console.aws.amazon.com/iam/身分登入 IAM 主控台。這是將許可委派給使用者將存取成員帳戶中角色的IAM群組所必需。
-
透過建立您稍後在步驟 14 中需要的受管理政策來開始。
在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。
-
在視覺化編輯器索引標籤上,選擇選擇服務 ,STS
在搜尋方塊中輸入 以篩選清單,然後選擇 STS選項。
-
在動作區段assume
中,在搜尋方塊中輸入 以篩選清單,然後選擇 AssumeRole選項。
-
在資源區段中,選擇特定 ,選擇新增 ARNs
在指定 ARN(s) 區段中,選擇其他 帳戶以進行資源輸入。
輸入您剛建立的成員帳戶的 ID
對於具有路徑 的資源角色名稱,輸入您在上一節中建立的角色名稱 (建議命名為 OrganizationAccountAccessRole
)。
-
當對話方塊顯示正確的 時,選擇新增ARNsARN。
-
(選用) 如果您想要要求多重要素身分驗證 (MFA),或從指定的 IP 地址範圍限制對角色的存取,請展開請求條件區段,然後選取您要強制執行的選項。
-
選擇 Next (下一步)。
-
在檢閱和建立頁面上,輸入新政策的名稱。例如:GrantAccessToOrganizationAccountAccessRole
。您也可以加入選用說明。
-
選擇 Create policy (建立政策) 以儲存您的新受管政策。
-
現在有了可用的政策,您就可以將其連接到群組。
在導覽窗格中,選擇使用者群組,然後選擇您要在成員帳戶中擔任該角色之成員的群組名稱 (而非核取方塊)。如果需要,您可以建立新群組。
-
選擇 許可 標籤、選擇 新增許可,然後選擇 連接政策。
-
(選擇性) 在 Search (搜尋) 方塊中,您可以開始輸入政策名稱以篩選清單,直到您可以看到剛剛在步驟 2 到步驟 13 建立的政策名稱為止。您也可以選擇所有類型,然後選擇客戶 AWS 受管 ,以篩選所有受管政策。
-
勾選政策旁的方塊,然後選擇連接政策 。
IAM 作為 群組成員的使用者現在具有許可,可以使用下列程序在 AWS Organizations 主控台中切換到新角色。
- AWS Management Console
-
切換到成員帳戶的角色
使用角色時,使用者擁有新成員帳戶中的管理員許可。指示身為 群組成員IAM的使用者執行下列動作,以切換至新角色。
-
從 AWS Organizations 主控台的右上角,選擇包含您目前登入名稱的連結,然後選擇切換角色 。
-
輸入管理員提供的帳戶 ID 號碼和角色名稱。
-
對於 Display Name (顯示名稱),輸入您要在右上角導覽列中顯示的文字,以在您使用該角色時取代您的使用者名稱。您可以選擇性地選擇顏色。
-
選擇 Switch Role (切換角色)。現在您執行的所有動作,都是使用授予您切換目標角色的許可所完成。在切換回原始使用者之前,您不再擁有與原始IAM使用者相關聯的許可。
-
當您完成需要角色許可的動作時,您可以切換回一般IAM使用者。選擇右上角的角色名稱 (無論您指定為顯示名稱 ),然後選擇返回 UserName
.