Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations

Quando crei un account membro utilizzando la AWS Organizations console, crea AWS Organizations automaticamente un ruolo IAM denominato OrganizationAccountAccessRole nell'account. Questo ruolo dispone di autorizzazioni amministrative complete nell'account membro. L'ambito di accesso per questo ruolo include tutti i principali nell'account di gestione, in modo che sia in grado di concedere l'accesso all'account di gestione dell'organizzazione.

È possibile creare un ruolo identico per un account membro invitato seguendo le fasi indicate in Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations.

Per utilizzare questo ruolo per accedere all'account membro, è necessario accedere come utente dall'account di gestione che dispone delle autorizzazioni per assumere il ruolo. Per configurare queste autorizzazioni, eseguire la procedura seguente. Consigliamo di concedere le autorizzazioni ai gruppi anziché agli utenti per semplificare la manutenzione.

AWS Management Console
Per concedere autorizzazioni ai membri di un gruppo IAM nell'account di gestione per accedere al ruolo (console)

  1. Accedi alla console IAM https://console.aws.amazon.com/iam/come utente con autorizzazioni di amministratore nell'account di gestione. Questo passaggio è obbligatorio per delegare le autorizzazioni al gruppo IAM i cui utenti potranno accedere al ruolo nell'account membro.

  2. Iniziare creando le policy gestite necessarie in seguito in Passo 14.

    Nel pannello di navigazione, seleziona Policy e Crea policy.

  3. Nella scheda Visual editor, scegli Scegli un servizio, inserisci STS nella casella di ricerca per filtrare l'elenco, quindi scegli l'opzione STS.

  4. Nella sezione Azioni, inserisci assume nella casella di ricerca per filtrare l'elenco, quindi scegli l'AssumeRoleopzione.

  5. Nella sezione Risorse, scegli Specifico, scegli Aggiungi ARNs

  6. Nella sezione Specificare ARN, scegli Altro account per la risorsa in.

  7. Inserisci l'ID dell'account membro che hai appena creato

  8. Per Nome ruolo di risorsa con percorso, inserisci il nome del ruolo che hai creato nella sezione precedente (ti consigliamo di assegnargli un nomeOrganizationAccountAccessRole).

  9. Scegliete Aggiungi ARNs quando nella finestra di dialogo viene visualizzato l'ARN corretto.

  10. (Opzionale) Se si desidera richiedere Multi-Factor Authentication (MFA) o limitare l'accesso al ruolo da un intervallo di indirizzi IP specificato, espandere la sezione Condizioni di richiesta e selezionare le opzioni che si desidera applicare.

  11. Scegli Next (Successivo).

  12. Nella pagina Rivedi e crea, inserisci un nome per la nuova politica. Ad esempio: GrantAccessToOrganizationAccountAccessRole. Puoi anche aggiungere una descrizione opzionale.

  13. Selezionare Crea policy per salvare la nuova policy gestita.

  14. Ora che la policy è disponibile, è possibile collegarla a un gruppo.

    Nel riquadro di navigazione, scegli Gruppi di utenti, quindi scegli il nome del gruppo (non la casella di controllo) i cui membri desideri che assumano il ruolo nell'account membro. Se necessario, è possibile creare un nuovo gruppo.

  15. Nella scheda Permissions (Autorizzazioni), scegli Add permissions (Aggiungi autorizzazioni), quindi Attach policies (Collega policy).

  16. (Opzionale) Nella casella Cerca è possibile iniziare a digitare il nome della policy per filtrare l'elenco finché non viene visualizzato il nome della policy appena creata in Passo 2 tramite Passo 13. Puoi anche filtrare tutte le politiche AWS gestite scegliendo Tutti i tipi e quindi scegliendo Gestito dal cliente.

  17. Seleziona la casella accanto alla tua politica, quindi scegli Allega politiche.

Gli utenti IAM che sono membri del gruppo ora dispongono delle autorizzazioni per passare al nuovo ruolo nella AWS Organizations console utilizzando la seguente procedura.

AWS Management Console
Per passare al ruolo per l'account membro

Quando si utilizza il ruolo, l'utente dispone di autorizzazioni di amministratore nel nuovo account membro. Spiega agli utenti IAM che sono membri del gruppo di eseguire le seguenti operazioni per passare al nuovo ruolo.

  1. Dall'angolo in alto a destra della AWS Organizations console, scegli il link che contiene il nome di accesso corrente, quindi scegli Cambia ruolo.

  2. Inserire il numero di ID dell'account fornito dall'amministratore e il nome del ruolo.

  3. In Display Name (Nome visualizzazione), inserire il testo che si desidera visualizzare sulla barra di navigazione nell'angolo in alto a destra al posto dell'attuale nome utente mentre si sta utilizzando il ruolo. È anche possibile scegliere un colore.

  4. Seleziona Switch Role (Cambia ruolo). Ora tutte le azioni eseguite vengono effettuate con le autorizzazioni concesse al ruolo a cui si è passati. Non sono più disponibili le autorizzazioni associate all'utente IAM originale finché non si cambia nuovamente questa opzione.

  5. Una volta completata l'esecuzione delle operazioni che richiedono le autorizzazioni del ruolo, è possibile tornare all'utente IAM normale. Scegli il nome del ruolo nell'angolo in alto a destra (qualunque cosa tu abbia specificato come nome visualizzato), quindi scegli Torna a. UserName