Lakukan tugas istimewa di akun AWS Organizations anggota - AWS Identity and Access Management
PrasyaratMengambil tindakan istimewa pada akun anggota (konsol)Mengambil tindakan istimewa pada akun anggota ()AWS CLIMengambil tindakan istimewa pada akun anggota ()AWS API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lakukan tugas istimewa di akun AWS Organizations anggota

Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas pengguna root pada akun anggota menggunakan akses root jangka pendek. Tugas-tugas ini hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun. Sesi istimewa jangka pendek memberi Anda kredensi sementara yang dapat Anda lingkup untuk mengambil tindakan istimewa pada akun anggota di organisasi Anda.

Setelah meluncurkan sesi istimewa, Anda dapat menghapus kebijakan bucket Amazon S3 yang salah dikonfigurasi, menghapus kebijakan antrian SQS Amazon yang salah dikonfigurasi, menghapus kredenal pengguna root untuk akun anggota, dan mengaktifkan kembali kredensi pengguna root untuk akun anggota.

Prasyarat

Sebelum Anda dapat meluncurkan sesi istimewa, Anda harus memiliki pengaturan berikut:

  • Anda telah mengaktifkan akses root terpusat di organisasi Anda. Untuk langkah-langkah untuk mengaktifkan fitur ini, lihatMemusatkan akses root untuk akun anggota.

  • Akun manajemen atau akun administrator yang didelegasikan memiliki izin berikut: sts:AssumeRoot

Mengambil tindakan istimewa pada akun anggota (konsol)

Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota di AWS Management Console

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol, pilih Manajemen akses Root.

  3. Pilih nama dari daftar akun anggota, dan pilih Ambil tindakan istimewa.

  4. Pilih tindakan istimewa yang ingin Anda ambil di akun anggota.

    • Pilih kebijakan bucket Delete Amazon S3 untuk menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.

      1. Pilih Browse S3 untuk memilih nama dari bucket yang dimiliki oleh akun anggota, dan pilih Pilih.

      2. Pilih kebijakan Hapus bucket.

      3. Gunakan konsol Amazon S3 untuk memperbaiki kebijakan bucket setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan Pengguna Amazon S3.

    • Pilih Hapus SQS kebijakan Amazon untuk menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon. SQS

      1. Masukkan nama antrian dalam nama SQSantrian, dan pilih Hapus SQS kebijakan.

      2. Gunakan SQS konsol Amazon untuk memperbaiki kebijakan antrian setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan akses di Amazon SQS di Panduan SQS Pengembang Amazon.

    • Pilih Hapus kredenal root untuk menghapus akses root dari akun anggota. Menghapus kredensi pengguna root akan menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor () untuk akun anggota. MFA

      1. Pilih Hapus kredenal root.

    • Pilih Izinkan pemulihan kata sandi untuk memulihkan kredensi pengguna root untuk akun anggota.

      Opsi ini hanya tersedia ketika akun anggota tidak memiliki kredensi pengguna root.

      1. Pilih Izinkan pemulihan kata sandi.

      2. Setelah mengambil tindakan istimewa ini, orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat mengatur ulang kata sandi pengguna root dan masuk ke pengguna root akun anggota.

Mengambil tindakan istimewa pada akun anggota ()AWS CLI

Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari AWS Command Line Interface

  1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: aws sts assume-root.

    catatan

    Titik akhir global tidak didukung untuksts:AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat Kelola AWS STS dalam sebuah Wilayah AWS.

    Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan task-policy-arn cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.

    Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi sts:. TaskPolicyArn

    Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk menghapus kredensi pengguna root untuk ID akun anggota. 111122223333 

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. Gunakan AccessKeyId dan SecretAccessKey dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.

Mengambil tindakan istimewa pada akun anggota ()AWS API

Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari AWS API

  1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: AssumeRoot.

    catatan

    Titik akhir global tidak didukung untuk AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat Kelola AWS STS dalam sebuah Wilayah AWS.

    Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan TaskPolicyArn cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.

    Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi sts:. TaskPolicyArn

    Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk membaca, mengedit, dan menghapus kebijakan berbasis sumber daya yang salah konfigurasi untuk bucket Amazon S3 untuk ID akun anggota. 111122223333

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. Gunakan AccessKeyId dan SecretAccessKey dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.