Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Lakukan tugas istimewa di akun AWS Organizations anggota
Akun AWS Organizations manajemen atau akun administrator yang didelegasikan untuk IAM dapat melakukan beberapa tugas istimewa pada akun anggota yang jika tidak memerlukan kredensil pengguna root. Dengan akses root terpusat, tugas-tugas ini dilakukan melalui sesi istimewa jangka pendek. Sesi ini menyediakan kredensil sementara yang mencakup tindakan istimewa tertentu, tanpa memerlukan login pengguna root di akun anggota.
Setelah meluncurkan sesi istimewa, Anda dapat menghapus kebijakan bucket Amazon S3 yang salah dikonfigurasi, menghapus kebijakan antrian Amazon SQS yang salah dikonfigurasi, menghapus kredensi pengguna root untuk akun anggota, dan mengaktifkan kembali kredensi pengguna root untuk akun anggota.
**catatan**
Untuk menggunakan akses root terpusat, Anda harus masuk melalui akun manajemen atau akun administrator yang didelegasikan sebagai pengguna IAM atau peran dengan `sts:AssumeRoot` izin yang diberikan secara eksplisit. Anda tidak dapat menggunakan kredensil pengguna root untuk menelepon. `sts:AssumeRoot`
## Prasyarat
Sebelum Anda dapat meluncurkan sesi istimewa, Anda harus memiliki pengaturan berikut:
+ Anda telah mengaktifkan akses root terpusat di organisasi Anda. Untuk langkah-langkah untuk mengaktifkan fitur ini, lihat[Memusatkan akses root untuk akun anggota](id_root-enable-root-access.md).
+ Akun manajemen atau akun administrator yang didelegasikan memiliki izin berikut: `sts:AssumeRoot`
## Mengambil tindakan istimewa pada akun anggota (konsol)
**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota di Konsol Manajemen AWS**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol, pilih **Manajemen akses Root**.
1. Pilih nama dari daftar akun anggota, dan pilih **Ambil tindakan istimewa**.
1. Pilih tindakan istimewa yang ingin Anda ambil di akun anggota.
+ Pilih kebijakan bucket **Delete Amazon S3 untuk menghapus kebijakan bucket** yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
1. **Pilih **Browse S3** untuk memilih nama dari bucket yang dimiliki oleh akun anggota, dan pilih Pilih.**
1. Pilih **kebijakan Hapus bucket**.
1. Gunakan konsol Amazon S3 untuk memperbaiki kebijakan bucket setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Pengguna *Amazon S3*.
+ Pilih kebijakan **Hapus Amazon SQS untuk menghapus kebijakan** berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
1. Masukkan nama antrian dalam nama antrian **SQS**, dan pilih **Hapus** kebijakan SQS.
1. Gunakan konsol Amazon SQS untuk memperbaiki kebijakan antrian setelah menghapus kebijakan yang salah konfigurasi. Untuk informasi selengkapnya, lihat [Mengonfigurasi kebijakan akses di Amazon](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html) SQS di Panduan Pengembang *Amazon SQS*.
+ Pilih **Hapus kredenal root** untuk menghapus akses root dari akun anggota. Menghapus kredensi pengguna root menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk akun anggota.
1. Pilih **Hapus kredenal root**.
+ Pilih **Izinkan pemulihan kata sandi** untuk memulihkan kredensi pengguna root untuk akun anggota.
Opsi ini hanya tersedia ketika akun anggota tidak memiliki kredensi pengguna root.
1. Pilih **Izinkan pemulihan kata sandi**.
1. Setelah mengambil tindakan istimewa ini, orang yang memiliki akses ke kotak masuk email pengguna root untuk akun anggota dapat [mengatur ulang kata sandi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) dan masuk ke pengguna root akun anggota.
## Mengambil tindakan istimewa pada akun anggota ()AWS CLI
**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari AWS Command Line Interface**
1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html).
**catatan**
Titik akhir global tidak didukung untuk`sts:AssumeRoot`. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat [Kelola AWS STS dalam sebuah Wilayah AWS](id_credentials_temp_enable-regions.md).
Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan `task-policy-arn` cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi [sts](reference_policies_iam-condition-keys.md#ck_taskpolicyarn):. TaskPolicyArn
Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk menghapus kredensi pengguna root untuk ID akun anggota. *111122223333*
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. Gunakan`SessionToken`,`AccessKeyId`, dan `SecretAccessKey` dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.
+ **Periksa status kredenal pengguna root**. Gunakan perintah berikut untuk memeriksa status kredensi pengguna root untuk akun anggota.
+ [dapatkan-pengguna](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-digunakan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **Hapus kredensial pengguna root**. Gunakan perintah berikut untuk menghapus akses root. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk menghapus semua akses ke dan pemulihan pengguna root.
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Hapus kebijakan bucket Amazon S3**. Gunakan perintah berikut untuk membaca, mengedit, dan menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
+ [daftar-ember](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Hapus kebijakan Amazon SQS.** Gunakan perintah berikut untuk melihat dan menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
+ [daftar-antrian](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **Izinkan pemulihan kata sandi**. Gunakan perintah berikut untuk melihat nama pengguna dan memulihkan kredensi pengguna root untuk akun anggota.
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## Mengambil tindakan istimewa pada akun anggota (AWS API)
**Untuk meluncurkan sesi untuk tindakan istimewa di akun anggota dari API AWS**
1. Gunakan perintah berikut untuk mengasumsikan sesi pengguna root: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html).
**catatan**
Titik akhir global tidak didukung untuk AssumeRoot. Anda harus mengirim permintaan ini ke AWS STS titik akhir Regional. Untuk informasi selengkapnya, lihat [Kelola AWS STS dalam sebuah Wilayah AWS](id_credentials_temp_enable-regions.md).
Saat Anda meluncurkan sesi pengguna root istimewa untuk akun anggota, Anda harus menentukan `TaskPolicyArn` cakupan sesi ke tindakan istimewa yang akan dilakukan selama sesi. Anda dapat menggunakan salah satu kebijakan AWS terkelola berikut untuk mencakup tindakan sesi istimewa.
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3 UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
Untuk membatasi tindakan yang dapat dilakukan oleh akun manajemen atau administrator yang didelegasikan selama sesi pengguna root istimewa, Anda dapat menggunakan kunci AWS STS kondisi [sts](reference_policies_iam-condition-keys.md#ck_taskpolicyarn):. TaskPolicyArn
Dalam contoh berikut, administrator yang didelegasikan mengasumsikan root untuk membaca, mengedit, dan menghapus kebijakan berbasis sumber daya yang salah konfigurasi untuk bucket Amazon S3 untuk ID akun anggota. *111122223333*
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. Gunakan`SessionToken`,`AccessKeyId`, dan `SecretAccessKey` dari respons untuk melakukan tindakan istimewa di akun anggota. Anda dapat menghilangkan nama pengguna dan kata sandi dalam permintaan untuk default ke akun anggota.
+ **Periksa status kredenal pengguna root**. Gunakan perintah berikut untuk memeriksa status kredensi pengguna root untuk akun anggota.
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [Daftar MFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **Hapus kredensial pengguna root**. Gunakan perintah berikut untuk menghapus akses root. Anda dapat menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA) untuk menghapus semua akses ke dan pemulihan pengguna root.
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Hapus kebijakan bucket Amazon S3**. Gunakan perintah berikut untuk membaca, mengedit, dan menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Hapus kebijakan Amazon SQS.** Gunakan perintah berikut untuk melihat dan menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon SQS.
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **Izinkan pemulihan kata sandi**. Gunakan perintah berikut untuk melihat nama pengguna dan memulihkan kredensi pengguna root untuk akun anggota.
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)