本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取和組織的成員帳戶
當您在組織中建立帳戶時,除了根使用者之外,AWS Organizations 還會自動建立名為 OrganizationAccountAccessRole
的 IAM 角色。您可以在建立時指定不同的名稱,但建議您在所有帳戶中一致命名。我們會以預設名稱參考本指南中的角色。AWS Organizations 不會建立任何其他使用者或角色。若要存取組織中的帳戶,您必須使用以下其中一個方法:
-
如果是建立 AWS 帳戶,您會先有一個登入身分,可以完整存取帳戶中所有 AWS 服務 與資源。此身分稱為 AWS 帳戶 根使用者,使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常作業。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱《IAM 使用者指南》中的需要根使用者憑證的任務。如需更多根使用者安全建議,請參閱適用於 AWS 帳戶 的根使用者最佳實務。
-
如果您使用 AWS Organizations 隨附的工具建立帳戶,則可以使用預先設定的角色
OrganizationAccountAccessRole
來存取帳戶,以此方式建立的所有新帳戶中都有該角色。如需詳細資訊,請參閱 存取擁有管理帳戶存取角色的成員帳戶。 -
若是邀請現有帳戶加入組織,而該帳戶也接受邀請,您可以選擇建立 IAM 角色,以允許管理帳戶存取受邀的成員帳戶。此角色與 AWS Organizations 建立的帳戶中自動新增的角色完全相同。若要建立角色,請參閱在受邀 OrganizationAccountAccessRole 的成員帳戶中建立。在您建立角色後,您便可以使用存取擁有管理帳戶存取角色的成員帳戶中的步驟來存取它。
-
使用 AWS IAM Identity Center 並啟用具有 AWS Organizations 的 IAM Identity Center 受信任存取。這可讓使用者利用其企業憑證來登入 AWS 存取入口網站,並在其獲指派的管理帳戶或成員帳戶中存取資源。
如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的多帳戶許可。如需設定 IAM Identity Center 的受信任存取的詳細資訊,請參閱 AWS IAM Identity Center 與 AWS Organizations。
最低許可
若要從組織的任何其他帳戶存取 AWS 帳戶,您必須擁有以下許可:
-
sts:AssumeRole
–Resource
元素必須設為星號 (*) 或需要存取新成員帳戶之使用者帳戶的帳戶 ID
以根帳戶使用者身分存取成員帳戶
建立新帳戶時,AWS Organizations 最初會指派密碼給根帳戶使用者,長度至少為 64 個字元。所有字元會隨機產生,不保證外觀會出現特定的字元集。您無法擷取此初始密碼。若要第一次以根帳戶使用者的身分存取帳戶,您必須進行密碼復原程序。如需詳細資訊,請參閱AWS登入使用指南AWS 帳戶中的我忘記了我的 root 使用者密碼。
備註
-
做為最佳實務,我們建議您不要使用根使用者來存取帳戶,要建立具有更受限許可的其他使用者和角色除外。然後,以這些使用者或角色身分登入。
-
我們還建議您在根使用者上啟用多重要素驗證 (MFA)。重設密碼,並將 MFA 裝置指派給根使用者。
-
如果您在組織中使用錯誤的電子郵件地址建立成員帳戶,即無法以根帳戶使用者的身分登入帳戶。請聯絡 AWS 帳單和支援
以取得協助。
在受邀 OrganizationAccountAccessRole 的成員帳戶中建立
依預設,如果您隨著組織建立成員帳戶,AWS 會自動在帳戶中建立一個角色,為管理帳戶中可以擔任該角色的 IAM 使用者授予管理員許可。在預設情況下,該角色名為 OrganizationAccountAccessRole
。如需詳細資訊,請參閱 存取擁有管理帳戶存取角色的成員帳戶。
不過,您邀請加入組織的成員帳戶,不會自動建立管理員角色。您可以手動執行此動作,如以下程序所示。這基本上會複製自動為已建立帳戶設定的角色。我們建議您為手動建立的角色使用相同的名稱 OrganizationAccountAccessRole
,以保有一致性並方便記住。
所選取群組成員的使用者現在可以使用您在步驟 9 中擷取的 URL 來存取每個成員帳戶的角色。他們可以透過您在組織中所建立帳戶的相同方式存取這些成員帳戶。如需使用角色來管理成員帳戶詳細資訊,請參閱存取擁有管理帳戶存取角色的成員帳戶。
存取擁有管理帳戶存取角色的成員帳戶
當您使用 AWS Organizations 主控台建立成員帳戶時,AWS Organizations 會自動在帳戶中建立名為 OrganizationAccountAccessRole
的 IAM 角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體,因此該角色設定為授予對該組織管理帳戶的存取權。您可以遵循 在受邀 OrganizationAccountAccessRole 的成員帳戶中建立中的步驟,為獲邀請成員帳戶建立完全相同的角色。若要使用此角色來存取成員帳戶,您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可,請執行下列程序。我們建議您將許可授予群組,而不是使用者,以方便維護。
作為群組成員的 IAM 使用者現在擁有許可,能夠遵循下列程序,在 AWS Organizations 主控台中切換到新角色。
其他資源
-
如需有關授予切換角色權限的詳細資訊,請參閱《IAM 使用者指南》中的授予使用者切換角色的權限。
-
如需有關使用已獲授與您承擔的角色的詳細資訊,請參閱《IAM 使用者指南》中的「切換到角色 (主控台)」。
-
如需使用角色進行跨帳戶存取的教學課程,請參閱 IAM AWS 帳戶 使用者指南中的教學課程:跨 IAM 角色委派存取權。
-
如需關閉 AWS 帳戶 的相關資訊,請參閱關閉組織中的成員帳戶。