Accès aux comptes des membres d'une organisation avec AWS Organizations

Lorsque vous créez un compte dans votre organisation, en plus de l'utilisateur root,AWS Organizations crée automatiquement un IAM rôle nommé par défautOrganizationAccountAccessRole. Vous pouvez spécifier un autre nom lorsque vous le créez, mais nous vous recommandons de le nommer de manière cohérente entre tous vos comptes. AWS Organizations ne crée aucun autre utilisateur ou rôle.

Pour accéder aux comptes de votre organisation, vous devez utiliser l'une des méthodes suivantes :

Utiliser l'utilisateur root (non recommandé pour les tâches quotidiennes)

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion qui donne un accès complet à tous Services AWS et les ressources du compte. Cette identité s'appelle Compte AWS utilisateur root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, consultez la section Tâches nécessitant des informations d'identification utilisateur root dans le guide de IAM l'utilisateur. Pour des recommandations de sécurité supplémentaires pour les utilisateurs root, consultez les meilleures pratiques pour les utilisateurs root pour votre Compte AWS.

Utilisation du IAM rôle OrganizationAccountAccessRole

Si vous créez un compte à l'aide des outils fournis dans le cadre de AWS Organizations, vous pouvez accéder au compte en utilisant le nom de rôle préconfiguré OrganizationAccountAccessRole qui existe dans tous les nouveaux comptes que vous créez de cette manière. Pour de plus amples informations, veuillez consulter Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations.

Si vous invitez un compte existant à rejoindre votre organisation et que celui-ci accepte l'invitation, vous pouvez alors choisir de créer un IAM rôle permettant au compte de gestion d'accéder au compte du membre invité. Ce rôle est censé être identique au rôle automatiquement ajouté à un compte créé avec AWS Organizations. Pour créer ce rôle, consultezCréation OrganizationAccountAccessRole d'un compte invité avec AWS Organizations. Après avoir créé le rôle, vous pouvez y accéder grâce à la procédure décrite dans Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations.

Utilisation d'un accès sécurisé pour IAM Identity Center

Utiliser AWS IAM Identity Centeret permettez un accès sécurisé à IAM Identity Center avec AWS Organizations. Cela permet aux utilisateurs de se connecter au AWS accéder au portail avec leurs informations d'identification professionnelles et accéder aux ressources du compte de gestion ou des comptes membres qui leur ont été attribués.

Pour plus d'informations, consultez la section Autorisations multi-comptes dans le AWS IAM Identity Center Guide de l'utilisateur. Pour plus d'informations sur la configuration d'un accès sécurisé pour IAM Identity Center, consultezAWS IAM Identity Center et AWS Organizations.