Lakukan tugas istimewa di akun AWS Organizations anggota - AWS Identity and Access Management
PrasyaratMengambil tindakan istimewa pada akun anggota (konsol)Mengambil tindakan istimewa pada akun anggota ()AWS CLIMengambil tindakan istimewa pada akun anggota (AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lakukan tugas istimewa di akun AWS Organizations anggota

Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas pengguna root pada akun anggota menggunakan akses root jangka pendek. Tugas-tugas ini hanya dapat dilakukan ketika Anda masuk sebagai pengguna root akun. Sesi istimewa jangka pendek memberi Anda kredensi sementara yang dapat Anda lingkup untuk mengambil tindakan istimewa pada akun anggota di organisasi Anda.

Setelah meluncurkan sesi istimewa, Anda dapat menghapus kebijakan bucket Amazon S3 yang salah dikonfigurasi, menghapus kebijakan antrian Amazon SQS yang salah dikonfigurasi, menghapus kredensi pengguna root untuk akun anggota, dan mengaktifkan kembali kredensi pengguna root untuk akun anggota.

catatan

Anda harus masuk ke akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM untuk mengaktifkan akses root terpusat. Anda tidak dapat menggunakan pengguna Akun AWS root.

Prasyarat

Sebelum Anda dapat meluncurkan sesi istimewa, Anda harus memiliki pengaturan berikut:

  • Anda telah mengaktifkan akses root terpusat di organisasi Anda. Untuk langkah-langkah untuk mengaktifkan fitur ini, lihatMemusatkan akses root untuk akun anggota.

  • Akun manajemen atau akun administrator yang didelegasikan memiliki izin berikut: sts:AssumeRoot

Mengambil tindakan istimewa pada akun anggota (konsol)

Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota di AWS Management Console

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol, pilih Manajemen akses Root.

  3. Pilih nama dari daftar akun anggota, dan pilih Ambil tindakan istimewa.

  4. Pilih tindakan istimewa yang ingin Anda ambil di akun anggota.

    • Pilih kebijakan bucket Delete Amazon S3 untuk menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.

      1. Pilih Browse S3 untuk memilih nama dari bucket yang dimiliki oleh akun anggota, dan pilih Pilih.

      2. Pilih kebijakan Hapus bucket.

      3. Gunakan konsol Amazon S3 untuk memperbaiki kebijakan bucket setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan Pengguna Amazon S3.

    • Pilih kebijakan Hapus Amazon SQS untuk menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.

      1. Masukkan nama antrian dalam nama antrian SQS, dan pilih Hapus kebijakan SQS.

      2. Gunakan konsol Amazon SQS untuk memperbaiki kebijakan antrian setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan akses di Amazon SQS di Panduan Pengembang Amazon SQS.

    • Pilih Hapus kredenal root untuk menghapus akses root dari akun anggota. Menghapus kredensi pengguna root menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk akun anggota.

      1. Pilih Hapus kredenal root.

    • Pilih Izinkan pemulihan kata sandi untuk memulihkan kredensi pengguna root untuk akun anggota.

      Opsi ini hanya tersedia ketika akun anggota tidak memiliki kredensi pengguna root.

      1. Pilih Izinkan pemulihan kata sandi.

      2. Setelah mengambil tindakan istimewa ini, orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat mengatur ulang kata sandi pengguna root dan masuk ke pengguna root akun anggota.

Mengambil tindakan istimewa pada akun anggota ()AWS CLI

Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari AWS Command Line Interface

  1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: aws sts assume-root.

    catatan

    Titik akhir global tidak didukung untuksts:AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat Kelola AWS STS dalam sebuah Wilayah AWS.

    Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan task-policy-arn cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.

    Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi sts:. TaskPolicyArn

    Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk menghapus kredensi pengguna root untuk ID akun anggota. 111122223333 

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. Gunakan AccessKeyId dan SecretAccessKey dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.

Mengambil tindakan istimewa pada akun anggota (AWS API)

Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari API AWS

  1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: AssumeRoot.

    catatan

    Titik akhir global tidak didukung untuk AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat Kelola AWS STS dalam sebuah Wilayah AWS.

    Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan TaskPolicyArn cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.

    Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi sts:. TaskPolicyArn

    Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk membaca, mengedit, dan menghapus kebijakan berbasis sumber daya yang salah konfigurasi untuk bucket Amazon S3 untuk ID akun anggota. 111122223333

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. Gunakan AccessKeyId dan SecretAccessKey dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.