# 在 AWS Organizations 成员账户上执行特权任务
<a name="id_root-user-privileged-task"></a>

AWS Organizations 管理账户或IAM的委托管理员账户，可以在成员账户上执行一些原本需要根用户凭证的特权任务。通过集中式根访问权限，这些任务通过短期特权会话执行。这些会话提供限于特定特权操作的临时凭证，无需根用户登录成员账户。

启动特权会话后，您可以删除配置错误的 Amazon S3 存储桶策略、删除配置错误的 Amazon SQS 队列策略、删除成员账户的根用户凭证，以及重新启用成员账户的根用户凭证。

**注意**  
要使用集中式根访问权限，您必须通过管理账户或委托管理员账户，以被明确授予 `sts:AssumeRoot` 权限的 IAM 用户或角色身份登录。您可以使用根用户凭证来调用 `sts:AssumeRoot`。

## 先决条件
<a name="root-user-privileged-task_prerequisite"></a>

在启动特权会话之前，您必须具备以下设置：
+ 您已在组织中启用集中根访问。有关启用此功能的步骤，请参阅[集中成员账户的根访问](id_root-enable-root-access.md)。
+ 您的管理账户或委派管理员账户具有以下权限：`sts:AssumeRoot`

## 对成员账户执行特权操作（控制台）
<a name="root-user-privileged-task_action-console"></a>

**要在 AWS 管理控制台中为成员账户的特权操作启动会话**

1. 登录 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在控制台的导航窗格中，选择**根访问管理**。

1. 从成员账户列表中选择一个名称，然后选择**采取特权操作**。

1. 选择您想要在成员账户中执行的特权操作。
   + 选择**删除 Amazon S3 存储桶策略**，以删除一项配置错误的存储桶策略，此策略将会拒绝所有主体访问 Amazon S3 存储桶策略。

     1. 选择**浏览 S3**，从成员账户拥有的存储桶中选择一个名称，然后选择**选择**。

     1. 选择**删除存储桶策略**。

     1. 在删除配置错误的策略后，使用 Amazon S3 控制台来纠正存储桶策略。有关更多信息，请参阅《Amazon S3 用户指南》**中的[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
   + 选择**删除 Amazon SQS 策略**，以删除 Amazon Simple Queue Service 基于资源的策略，此策略将会拒绝所有主体访问 Amazon SQS 队列。

     1. 在 **SQS 队列名称**中输入队列名称，然后选择**删除 SQS 策略**。

     1. 在删除配置错误的策略后，使用 Amazon SQS 控制台来纠正队列策略。有关更多信息，请参阅《Amazon SQS 开发人员指南》**中的 [Configuring an access policy in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)。
   + 选择**删除根凭证**，以删除成员账户的根访问权限。删除根用户凭证将会移除根用户密码、访问密钥、签名证书并停用成员账户的多重身份验证（MFA）。

     1. 选择**删除根凭证**。
   + 选择**允许密码恢复**，以恢复成员账户的根用户凭证。

     仅当成员账户没有根用户凭证时，此选项才可用。

     1. 选择**允许恢复密码**。

     1. 执行此特权操作后，有权访问该成员账户的根用户电子邮件收件箱的人可以[重置根用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)并登录到成员账户根用户。

## 对成员账户执行特权操作（AWS CLI）
<a name="root-user-privileged-task_action-cli"></a>

**要从 AWS Command Line Interface 中为成员账户的特权操作启动会话**

1. 使用以下命令假设根用户会话：[aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html)。
**注意**  
全局端点不支持 `sts:AssumeRoot`。您必须将此请求发送到区域的 AWS STS 端点。有关更多信息，请参阅 [管理 AWS 区域中的 AWS STS](id_credentials_temp_enable-regions.md)。

   在为成员账户启动特权根用户会话时，必须定义 `task-policy-arn`，以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 AWS 托管策略之一来限定特权会话操作的范围。
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作，您可以使用 AWS STS 条件键 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。

    在以下示例中，委派管理员担任根用户来删除成员账户 ID *111122223333* 的根用户凭证。

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. 使用响应中的 `SessionToken`、`AccessKeyId` 和 `SecretAccessKey` 在成员账户中执行特权操作。您可以省略请求中的用户名和密码，以默认设置为成员账户。
   + **检查根用户凭证的状态**。使用以下命令检查成员账户的根用户凭证状态。
     + [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **删除根用户凭证**。使用以下命令删除根访问。您可以移除根用户密码、访问密钥、签名证书，并停用多重身份验证（MFA），以移除对根用户的所有访问及根用户的恢复。
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **删除 Amazon S3 存储桶策略**。使用以下命令读取、编辑和删除配置错误的存储桶策略，该策略拒绝所有主体访问 Amazon S3 存储桶。
     + [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **删除 Amazon SQS 策略**。使用以下命令查看并删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
     + [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **允许密码恢复**。使用以下命令查看用户名并恢复成员账户的根用户凭证。
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## 对成员账户执行特权操作（AWS API）
<a name="root-user-privileged-task_action-api"></a>

**要从 AWS API 中为成员账户的特权操作启动会话**

1. 使用以下命令假设根用户会话：[AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。
**注意**  
全局端点不支持 AssumeRoot。您必须将此请求发送到区域的 AWS STS 端点。有关更多信息，请参阅 [管理 AWS 区域中的 AWS STS](id_credentials_temp_enable-regions.md)。

   在为成员账户启动特权根用户会话时，必须定义 `TaskPolicyArn`，以将会话的范围限定到会话期间要执行的特权操作。您可以使用以下 AWS 托管策略之一来限定特权会话操作的范围。
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   要限制管理账户或委派管理员在特权根用户会话期间可以执行的操作，您可以使用 AWS STS 条件键 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。

   在以下示例中，委派管理员担任根用户来读取、编辑和删除成员账户 ID *111122223333* 的 Amazon S3 存储桶中配置错误的基于资源的策略。

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. 使用响应中的 `SessionToken`、`AccessKeyId` 和 `SecretAccessKey` 在成员账户中执行特权操作。您可以省略请求中的用户名和密码，以默认设置为成员账户。
   + **检查根用户凭证的状态**。使用以下命令检查成员账户的根用户凭证状态。
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **删除根用户凭证**。使用以下命令删除根访问。您可以移除根用户密码、访问密钥、签名证书，并停用多重身份验证（MFA），以移除对根用户的所有访问及根用户的恢复。
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **删除 Amazon S3 存储桶策略**。使用以下命令读取、编辑和删除配置错误的存储桶策略，该策略拒绝所有主体访问 Amazon S3 存储桶。
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **删除 Amazon SQS 策略**。使用以下命令查看并删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **允许密码恢复**。使用以下命令查看用户名并恢复成员账户的根用户凭证。
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)