建 OrganizationAccountAccessRole 立受邀帳戶 AWS Organizations - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建 OrganizationAccountAccessRole 立受邀帳戶 AWS Organizations

根據預設,如果您將成員帳戶建立為組織的一部分, AWS 會自動在帳戶中建立角色,將管理員權限授與管理帳IAM戶中可擔任該角色的使用者。在預設情況下,該角色名為 OrganizationAccountAccessRole。如需詳細資訊,請參閱存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations

不過,您邀請加入組織的成員帳戶,不會自動建立管理員角色。您可以手動執行此動作,如以下程序所示。這基本上會複製自動為已建立帳戶設定的角色。我們建議您為手動建立的角色使用相同的名稱 OrganizationAccountAccessRole,以保有一致性並方便記住。

AWS Management Console
若要建立 AWS Organizations 成員帳戶中的管理員角色
  1. 請在以下位置登入IAM主控台https://console.aws.amazon.com/iam/。您必須以IAM使用者身分登入、擔任IAM角色,或以 root 使用者身分登入 (不建議) 在成員帳戶中。使用者或角色必須具有建立IAM角色和策略的權限。

  2. 在IAM主控台中,瀏覽至 [角色],然後選擇 [建立角色]。

  3. 選擇 AWS 帳戶,然後選取 [其他] AWS 帳戶.

  4. 輸入您要授與管理員存取權的管理帳戶的 12 位數帳號 ID 號碼。在「選項」下,請注意以下事項:

    • 針對此角色,因為帳戶是公司內部帳戶,您應該選擇 Require external ID (需要外部 ID)。如需有關外部 ID 選項的詳細資訊,請參閱何時應該使用外部 ID?《IAM使用者指南》中。

    • 如果您已MFA啟用並設定,您可以選擇性地選擇要求使用MFA裝置進行驗證。如需詳細資訊MFA,請參閱中的使用多因素驗證 (MFA) AWS (在 IAM 使用者指南中)

  5. 選擇 Next (下一步)

  6. 在 [新增權限] 頁面上,選擇 AWS 受管理的策略命名AdministratorAccess,然後選擇 [下一步

  7. 在 [名稱、檢閱和建立] 頁面上,指定角色名稱和選擇性描述。為求與新帳戶中指派給角色的預設名稱一致,建議您使用 OrganizationAccountAccessRole。若要遞交您的變更,請選擇 Create role (建立角色)

  8. 您的新角色會顯示在可用的角色清單中。選擇新角色的名稱以檢視其詳細資料,並為所提供的連結URL付款特別注意事項。URL將其提供給需要訪問該角色的成員帳戶中的用戶。另外,請注意角色,ARN因為您在步驟 15 中需要它。

  9. 請在以下位置登入IAM主控台https://console.aws.amazon.com/iam/。這時,以管理帳戶中擁有許可能建立政策和將政策指派給使用者或群組的使用者身分登入。

  10. 瀏覽至 [原],然後選擇 [建立原則]。

  11. 對於「服務」,請選擇STS

  12. 針對動作,首先在篩選條件方塊中輸入 AssumeRole,然後在出現時選中旁邊的核取方塊。

  13. 在 [資源] 下,確定已選取 [特定],然後選擇 [新增] ARNs。

  14. 請輸入 AWS 成員帳號 ID 號碼,然後輸入您先前在步驟 1—8 中建立的角色名稱。選擇 [新增] ARNs。

  15. 如果您要授予許可以擔任多個成員帳戶中的角色,請對每個帳戶重複步驟 14 和 15。

  16. 選擇 Next (下一步)

  17. 在 [檢閱並建立] 頁面上,輸入新原則的名稱,然後選擇 [建立原則] 以儲存變更。

  18. 在功能窗格中選擇 [使用者群組],然後選擇要用來委派成員帳戶管理的群組名稱 (而非核取方塊)。

  19. 選擇許可索引標籤標籤。

  20. 選擇 [新增權限],選擇 [加原則],然後選取您在步驟 11—18 中建立的原則。

身為所選群組成員的使用者現在可以使用您URLs在步驟 9 中擷取的來存取每個成員帳戶的角色。他們可以透過您在組織中所建立帳戶的相同方式存取這些成員帳戶。如需使用角色來管理成員帳戶詳細資訊,請參閱存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations