Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations

Lorsque vous créez un compte membre à l'aide de la AWS Organizations console, un IAM rôle nommé OrganizationAccountAccessRole dans le compte est AWS Organizations automatiquement créé. Ce rôle possède les autorisations d'administration complètes du compte membre. La portée de l'accès pour ce rôle inclut tous les principaux du compte de gestion, si bien que le rôle est configuré pour accorder cet accès au compte de gestion de l'organisation.

Vous pouvez créer un rôle identique pour un compte membre invité en suivant les étapes indiquées dans Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations.

Pour utiliser ce rôle afin d'accéder au compte membre, vous devez vous connecter en tant qu'utilisateur du compte de gestion disposant des autorisations pour assumer le rôle. Pour configurer ces autorisations, exécutez la procédure suivante. Nous vous recommandons d'accorder des autorisations à des groupes plutôt qu'à des utilisateurs pour faciliter la maintenance.

AWS Management Console
Pour autoriser les membres d'un IAM groupe dans le compte de gestion à accéder au rôle

  1. Connectez-vous à la IAM console en https://console.aws.amazon.com/iam/tant qu'utilisateur disposant des autorisations d'administrateur dans le compte de gestion. Cela est nécessaire pour déléguer des autorisations au IAM groupe dont les utilisateurs accèderont au rôle dans le compte membre.

  2. Commencez par créer la politique gérée dont vous aurez besoin ultérieurement dans Étape 14.

    Dans le panneau de navigation, choisissez Politiques, puis Créer une politique.

  3. Dans l'onglet Éditeur visuel, choisissez Choisir un service, entrez STS dans le champ de recherche pour filtrer la liste, puis choisissez l'STSoption.

  4. Dans la section Actions, entrez assume dans la zone de recherche pour filtrer la liste, puis choisissez l'AssumeRoleoption.

  5. Dans la section Ressources, sélectionnez Spécifique, puis Ajouter ARNs

  6. Dans la section Spécifier ARN (s), choisissez Autre compte pour Resource in.

  7. Entrez l'identifiant du compte membre que vous venez de créer

  8. Pour Nom du rôle de ressource avec chemin, entrez le nom du rôle que vous avez créé dans la section précédente (nous vous recommandons de le nommerOrganizationAccountAccessRole).

  9. Choisissez Ajouter ARNs lorsque la boîte de dialogue affiche le bon résultatARN.

  10. (Facultatif) Si vous souhaitez exiger une authentification multifactorielle (MFA) ou restreindre l'accès au rôle à partir d'une plage d'adresses IP spécifiée, développez la section Conditions de demande et sélectionnez les options que vous souhaitez appliquer.

  11. Choisissez Suivant.

  12. Sur la page Réviser et créer, entrez le nom de la nouvelle politique. Par exemple : GrantAccessToOrganizationAccountAccessRole. Vous pouvez également ajouter une description si vous le souhaitez.

  13. Choisissez Créer une politique pour enregistrer votre nouvelle politique gérée.

  14. Maintenant que vous disposez de la politique, vous pouvez l'attacher à un groupe.

    Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le nom du groupe (et non la case à cocher) dont vous souhaitez que les membres puissent assumer le rôle dans le compte membre. Si nécessaire, vous pouvez créer un nouveau groupe.

  15. Choisissez l'onglet Autorisations, puis Ajouter des autorisations, et enfin Attacher des politiques.

  16. (Facultatif) Dans la zone Rechercher, vous pouvez commencer à taper le nom de votre politique pour filtrer la liste jusqu'à ce que le nom de la politique que vous venez de créer aux étapes Étape 2 à Étape 13 apparaisse. Vous pouvez également filtrer toutes les politiques AWS gérées en choisissant Tous les types, puis en choisissant Gestion par le client.

  17. Cochez la case à côté de votre politique, puis choisissez Joindre des politiques.

IAMles utilisateurs membres du groupe sont désormais autorisés à passer au nouveau rôle dans la AWS Organizations console en suivant la procédure suivante.

AWS Management Console
Pour endosser le rôle pour le compte membre

Lorsqu'il utilise le rôle, l'utilisateur dispose des autorisations d'administration dans le nouveau compte membre. Demandez à vos IAM utilisateurs membres du groupe de procéder comme suit pour passer au nouveau rôle.

  1. Dans le coin supérieur droit de la AWS Organizations console, choisissez le lien contenant votre nom de connexion actuel, puis choisissez Changer de rôle.

  2. Entrez l'ID de compte et le nom de rôle fournis par votre administrateur.

  3. Pour Nom d'affichage, entrez le texte que vous souhaitez afficher dans la barre de navigation dans le coin supérieur droit à la place de votre nom d'utilisateur quand vous utilisez ce rôle. Vous pouvez éventuellement choisir une couleur.

  4. Choisissez Changer de rôle. À présent, toutes les actions que vous exécutez sont effectuées avec les autorisations accordées au rôle que vous avez endossé. Vous ne disposez plus des autorisations associées à votre IAM utilisateur d'origine jusqu'à ce que vous reveniez en arrière.

  5. Lorsque vous avez terminé d'effectuer des actions qui nécessitent les autorisations du rôle, vous pouvez redevenir votre IAM utilisateur normal. Choisissez le nom du rôle dans le coin supérieur droit (quel que soit le nom que vous avez spécifié comme nom d'affichage), puis cliquez sur Retour à UserName.