Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès et administration des comptes membres de votre organisation
Lorsque vous créez un compte dans votre organisation, en plus de l'utilisateur racine, AWS Organizations crée automatiquement un rôle IAM nommé par défaut OrganizationAccountAccessRole
. Vous pouvez spécifier un autre nom lorsque vous le créez, mais nous vous recommandons de le nommer de manière cohérente entre tous vos comptes. Dans ce guide, nous utilisons ce nom par défaut pour faire référence au rôle. AWS Organizations ne crée aucun autre utilisateur ou rôle. Pour accéder aux comptes de votre organisation, vous devez utiliser l'une des méthodes suivantes :
-
Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d’un accès complet à tous les services AWS et ressources du compte. Cette identité est appelée utilisateur root du Compte AWS. Vous pouvez y accéder en vous connectant à l’aide de l’adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur root pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur root et utilisez-les pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur root, consultez Tâches nécessitant les informations d’identification de l’utilisateur root dans le Guide de l’utilisateur IAM. Pour des recommandations supplémentaires de sécurité pour l’utilisateur root, consultez Bonnes pratiques d'utilisateur root pour votre Compte AWS.
-
Si vous créez un compte à l'aide des outils fournis avec AWS Organizations, vous pouvez y accéder en utilisant le rôle préconfiguré
OrganizationAccountAccessRole
qui existe dans tous les nouveaux comptes créés de cette manière. Pour plus d’informations, consultez Accès à un compte membre possédant un rôle d'accès au compte de gestion. -
Si vous invitez un compte existant à rejoindre votre organisation et qu'il accepte l'invitation, vous pouvez ensuite décider de créer un rôle IAM qui permet au compte de gestion d'accéder au compte membre invité. Ce rôle est censé être identique au rôle automatiquement ajouté à un compte créé avec AWS Organizations. Pour créer ce rôle, consultez Création du OrganizationAccountAccessRole dans un compte de membre invité. Après avoir créé le rôle, vous pouvez y accéder grâce à la procédure décrite dans Accès à un compte membre possédant un rôle d'accès au compte de gestion.
-
Utilisez AWS IAM Identity Center et activez l'accès de confiance à IAM Identity Center avec AWS Organizations. Cela permet aux utilisateurs de se connecter au portail d'accès AWS avec les informations d'identification de leur entreprise et d'accéder aux ressources dans le compte de gestion qui leur est attribué ou dans les comptes membres.
Pour plus d'informations, consultez Autorisations de plusieurs comptes dans le Guide de l'utilisateur AWS IAM Identity Center. Pour plus d'informations sur la configuration de l'accès de confiance à IAM Identity Center, consultez AWS IAM Identity Center et AWS Organizations.
Autorisations minimales
Pour accéder à un Compte AWS à partir de n'importe quel autre compte de votre organisation, vous devez disposer de l'autorisation suivante :
-
sts:AssumeRole
- L'élémentResource
doit être défini sur un astérisque (*) ou sur l'ID du compte associé à l'utilisateur ayant besoin d'accéder au nouveau compte membre.
Accès à un compte membre en tant qu'utilisateur racine
Lorsque vous créez un nouveau compte, AWS Organizations attribue initialement à l'utilisateur racine un mot de passe comportant au moins 64 caractères. Tous les caractères sont générés de façon aléatoire, sans aucune garantie sur l'apparence de certains jeux de caractères. Vous ne pouvez pas récupérer ce mot de passe initial. Pour accéder au compte en tant qu'utilisateur racine pour la première fois, vous devez suivre le processus de récupération du mot de passe. Pour plus d'informations, consultez la section J'ai oublié mon mot de passe utilisateur root Compte AWS dans le guide de AWS connexion de l'utilisateur.
Remarques
-
En tant que bonne pratique, nous vous recommandons de ne pas utiliser l'utilisateur racine pour accéder à votre compte pour des activités autres que la création d'autres utilisateurs et rôles avec des autorisations plus limitées. Ensuite, connectez-vous en tant que l'un de ces utilisateurs ou rôles.
-
Nous vous recommandons également d’activer l'authentification multifactorielle (MFA) sur l’utilisateur root. Réinitialisez le mot de passe et attribuez un dispositif MFA à l'utilisateur racine.
-
Si vous avez créé un compte membre dans une organisation avec une adresse e-mail incorrecte, vous ne pouvez pas vous connecter au compte en tant qu'utilisateur racine. Contactez AWS Billing and Support
pour obtenir de l'aide.
Création du OrganizationAccountAccessRole dans un compte de membre invité
Par défaut, si vous créez un compte membre dans le cadre de votre organisation, AWS crée automatiquement dans le compte un rôle qui accorde des autorisations d'administrateur aux utilisateurs IAM du compte de gestion qui peuvent assumer le rôle. Par défaut, ce rôle est nommé OrganizationAccountAccessRole
. Pour de plus amples informations, consultez Accès à un compte membre possédant un rôle d'accès au compte de gestion.
Cependant, un rôle administrateur n'est pas automatiquement créé pour les comptes membres que vous invitez à rejoindre votre organisation. Vous devez le faire manuellement, comme indiqué dans la procédure suivante. Cela permet essentiellement de dupliquer le rôle automatiquement configuré pour les comptes créés. Nous vous recommandons d'utiliser le même nom (OrganizationAccountAccessRole
) pour les rôles créés manuellement afin de faciliter la cohérence et la mémorisation.
Les utilisateurs qui sont membres du groupe sélectionné peuvent désormais utiliser les adresses URL que vous avez capturées à l'étape 9 pour accéder au rôle de chaque compte membre. Ils peuvent accéder à ces comptes membres de la même façon qu'ils le feraient pour accéder à un compte créé dans l'organisation. Pour de plus amples informations sur l'utilisation du rôle pour administrer un compte membre, consultez Accès à un compte membre possédant un rôle d'accès au compte de gestion.
Accès à un compte membre possédant un rôle d'accès au compte de gestion
Lorsque vous créez un compte membre à l'aide de la console AWS Organizations, AWS Organizations crée automatiquement un rôle IAM nommé OrganizationAccountAccessRole
dans le compte. Ce rôle possède les autorisations d'administration complètes du compte membre. La portée de l'accès pour ce rôle inclut tous les principaux du compte de gestion, si bien que le rôle est configuré pour accorder cet accès au compte de gestion de l'organisation. Vous pouvez créer un rôle identique pour un compte membre invité en suivant les étapes indiquées dans Création du OrganizationAccountAccessRole dans un compte de membre invité. Pour utiliser ce rôle afin d'accéder au compte membre, vous devez vous connecter en tant qu'utilisateur du compte de gestion disposant des autorisations pour assumer le rôle. Pour configurer ces autorisations, exécutez la procédure suivante. Nous vous recommandons d'accorder des autorisations à des groupes plutôt qu'à des utilisateurs pour faciliter la maintenance.
Les utilisateurs IAM qui sont membres du groupe disposent désormais d'autorisations pour endosser le nouveau rôle dans la console AWS Organizations en suivant la procédure ci-dessous.
Ressources supplémentaires
-
Pour plus d'informations sur l'octroi d'autorisations permettant de changer de rôle, consultez la section Octroi à un utilisateur d'autorisations pour changer de rôle dans le Guide de l'utilisateur IAM.
-
Pour plus d'informations sur l'utilisation d'un rôle que vous avez été autorisé à assumer, consultez la section Passer à un rôle (console) dans le guide de l'utilisateur IAM.
-
Pour un didacticiel sur l'utilisation des rôles pour l'accès entre comptes, voir Tutoriel : déléguer l'accès à Comptes AWS l'aide de rôles IAM dans le Guide de l'utilisateur IAM.
-
Pour en savoir plus sur la clôture de Comptes AWS, consultez Clôture d'un compte membre de votre organisation.