Zugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations

Wenn Sie in Ihrer Organisation zusätzlich zum Root-Benutzer ein Konto erstellen,AWS Organizations erstellt automatisch eine IAM Rolle, die standardmäßig benannt istOrganizationAccountAccessRole. Sie können einen anderen Namen angeben, wenn Sie ihn erstellen. Es wird jedoch empfohlen, ihn konsistent für alle Konten zu benennen. AWS Organizations erstellt keine anderen Benutzer oder Rollen.

Um auf die Konten innerhalb Ihrer Organisation zugreifen zu können, müssen Sie eines der folgenden Verfahren durchführen:

Den Root-Benutzer verwenden (nicht für alltägliche Aufgaben empfohlen)

Wenn Sie ein erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle hat AWS-Services und Ressourcen im Konto. Diese Identität wird als AWS-Konto Root-Benutzer. Der Zugriff erfolgt, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. IAM Weitere Sicherheitsempfehlungen für Root-Benutzer finden Sie unter Bewährte Methoden für Root-Benutzer für AWS-Konto.

Die IAM Rolle verwenden OrganizationAccountAccessRole

Wenn Sie ein Konto mithilfe der im Rahmen von bereitgestellten Tools erstellen AWS Organizations, können Sie auf das Konto zugreifen, indem Sie die vorkonfigurierte Rolle mit dem Namen verwendenOrganizationAccountAccessRole, die in allen neuen Konten vorhanden ist, die Sie auf diese Weise erstellen. Weitere Informationen finden Sie unter Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations.

Wenn Sie ein vorhandenes Konto einladen, Ihrer Organisation beizutreten, und das Konto die Einladung annimmt, können Sie eine IAM Rolle erstellen, die dem Verwaltungskonto den Zugriff auf das eingeladene Mitgliedskonto ermöglicht. Diese Rolle soll mit der Rolle identisch sein, die automatisch zu einem Konto hinzugefügt wird, das mit erstellt wird AWS Organizations. Informationen zum Erstellen dieser Rolle finden Sie unterErstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations. Nach dem Erstellen der Rolle können Sie mit den Schritten in Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations zugreifen.

Vertrauenswürdigen Zugriff für IAM Identity Center verwenden

Verwenden von AWS IAM Identity Centerund aktivieren Sie den vertrauenswürdigen Zugriff für IAM Identity Center mit AWS Organizations. Auf diese Weise können sich Benutzer bei der anmelden AWS greifen mit ihren Unternehmensanmeldedaten auf das Portal zu und greifen auf Ressourcen in ihrem zugewiesenen Verwaltungskonto oder ihren Mitgliedskonten zu.

Weitere Informationen finden Sie unter Berechtigungen für mehrere Konten in der AWS IAM Identity Center Benutzerleitfaden. Informationen zum Einrichten eines vertrauenswürdigen Zugriffs für IAM Identity Center finden Sie unterAWS IAM Identity Center und AWS Organizations.