存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations

當您使用 AWS Organizations 主控台建立成員帳戶時, AWS Organizations 會自動在帳戶中建立名為 OrganizationAccountAccessRole IAM的角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體,因此該角色設定為授予對該組織管理帳戶的存取權。

您可以遵循 建 OrganizationAccountAccessRole 立受邀帳戶 AWS Organizations中的步驟,為獲邀請成員帳戶建立完全相同的角色。

若要使用此角色來存取成員帳戶,您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可,請執行下列程序。我們建議您將許可授予群組,而不是使用者,以方便維護。

AWS Management Console
將許可授予管理帳戶中IAM群組的成員以存取角色
  1. 以具有 管理帳戶中管理員許可的使用者https://console.aws.amazon.com/iam/身分登入 IAM 主控台。這是將許可委派給使用者將存取成員帳戶中角色的IAM群組所必需。

  2. 透過建立您稍後在步驟 14 中需要的受管理政策來開始。

    在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)

  3. 在視覺化編輯器索引標籤上,選擇選擇服務 STS在搜尋方塊中輸入 以篩選清單,然後選擇 STS選項。

  4. 動作區段assume中,在搜尋方塊中輸入 以篩選清單,然後選擇 AssumeRole選項。

  5. 資源區段中,選擇特定 ,選擇新增 ARNs

  6. 指定 ARN(s) 區段中,選擇其他 帳戶以進行資源輸入。

  7. 輸入您剛建立的成員帳戶的 ID

  8. 對於具有路徑 的資源角色名稱,輸入您在上一節中建立的角色名稱 (建議命名為 OrganizationAccountAccessRole)。

  9. 當對話方塊顯示正確的 時,選擇新增ARNsARN。

  10. (選用) 如果您想要要求多重要素身分驗證 (MFA),或從指定的 IP 地址範圍限制對角色的存取,請展開請求條件區段,然後選取您要強制執行的選項。

  11. 選擇 Next (下一步)

  12. 檢閱和建立頁面上,輸入新政策的名稱。例如:GrantAccessToOrganizationAccountAccessRole。您也可以加入選用說明。

  13. 選擇 Create policy (建立政策) 以儲存您的新受管政策。

  14. 現在有了可用的政策,您就可以將其連接到群組。

    在導覽窗格中,選擇使用者群組,然後選擇您要在成員帳戶中擔任該角色之成員的群組名稱 (而非核取方塊)。如果需要,您可以建立新群組。

  15. 選擇 許可 標籤、選擇 新增許可,然後選擇 連接政策

  16. (選擇性) 在 Search (搜尋) 方塊中,您可以開始輸入政策名稱以篩選清單,直到您可以看到剛剛在步驟 2步驟 13 建立的政策名稱為止。您也可以選擇所有類型,然後選擇客戶 AWS 受管 ,以篩選所有受管政策。

  17. 勾選政策旁的方塊,然後選擇連接政策

IAM 作為 群組成員的使用者現在具有許可,可以使用下列程序在 AWS Organizations 主控台中切換到新角色。

AWS Management Console
切換到成員帳戶的角色

使用角色時,使用者擁有新成員帳戶中的管理員許可。指示身為 群組成員IAM的使用者執行下列動作,以切換至新角色。

  1. 從 AWS Organizations 主控台的右上角,選擇包含您目前登入名稱的連結,然後選擇切換角色

  2. 輸入管理員提供的帳戶 ID 號碼和角色名稱。

  3. 對於 Display Name (顯示名稱),輸入您要在右上角導覽列中顯示的文字,以在您使用該角色時取代您的使用者名稱。您可以選擇性地選擇顏色。

  4. 選擇 Switch Role (切換角色)。現在您執行的所有動作,都是使用授予您切換目標角色的許可所完成。在切換回原始使用者之前,您不再擁有與原始IAM使用者相關聯的許可。

  5. 當您完成需要角色許可的動作時,您可以切換回一般IAM使用者。選擇右上角的角色名稱 (無論您指定為顯示名稱 ),然後選擇返回 UserName.