Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Esegui un'attività con privilegi su un account membro AWS Organizations

Modalità Focus
Esegui un'attività con privilegi su un account membro AWS Organizations - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

L'account di AWS Organizations gestione o un account amministratore delegato per IAM può eseguire alcune attività degli utenti root sugli account dei membri utilizzando l'accesso root a breve termine. Queste attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Le sessioni con privilegi a breve termine forniscono credenziali temporanee utilizzabili per intraprendere azioni con privilegi su un account membro dell'organizzazione.

Una volta avviata una sessione con privilegi, puoi eliminare una policy del bucket Amazon S3 configurata in modo errato, eliminare la policy di una coda Amazon SQS non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riabilitare le credenziali dell'utente root per un account membro.

Nota

È necessario accedere a un account di AWS Organizations gestione o a un account amministratore delegato per IAM per abilitare l'accesso root centralizzato. Non è possibile utilizzare l'utente Account AWS root.

Prerequisiti

Prima di poter avviare una sessione con privilegi, è necessario disporre delle seguenti impostazioni:

  • Devi aver abilitato l'accesso root centralizzato nella tua organizzazione. Per le operazioni per abilitare questa funzionalità, consulta Centralizzare l'accesso root per gli account dei membri.

  • Il tuo account di gestione o l'account amministratore delegato deve disporre delle seguenti autorizzazioni: sts:AssumeRoot

Esecuzione di un'azione con privilegi su un account membro (console)

Per avviare una sessione per un'azione con privilegi in un account membro nella AWS Management Console
  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della console, scegli Gestione dell'accesso root.

  3. Seleziona un nome dall'elenco degli account membri e scegli Esegui azioni con privilegi.

  4. Scegli l'azione con privilegi che desideri eseguire nell'account membro.

    • Seleziona Elimina policy del bucket Amazon S3 per rimuovere una policy del bucket mal configurata che impedisce a tutti i principali di accedere al bucket Amazon S3.

      1. Scegli Sfoglia S3 per selezionare un nome dai bucket di proprietà dell'account membro e seleziona Scegli.

      2. Scegli Elimina policy del bucket.

      3. Utilizza la console Amazon S3 per correggere la policy del bucket dopo aver eliminato la policy configurata non correttamente. Per informazioni, consulta Aggiunta di una policy del bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon S3.

    • Seleziona Elimina la policy Amazon SQS per eliminare una policy basata sulle risorse Amazon Simple Queue Service che rifiuta a tutti i principali l'accesso a una coda Amazon SQS.

      1. Inserisci il nome della coda in Nome della coda SQS e seleziona Elimina la policy SQS.

      2. Utilizza la console Amazon SQS per correggere la policy della coda dopo aver eliminato la policy configurata non correttamente. Per ulteriori informazioni, consulta Configurazione di una policy di accesso in Amazon SQS nella Guida per gli sviluppatori di Amazon SQS.

    • Seleziona Elimina le credenziali root per rimuovere l'accesso root da un account membro. L'eliminazione delle credenziali dell'utente root rimuove la password dell'utente root, le chiavi di accesso, i certificati di firma e disattiva l'autenticazione a più fattori (MFA) per l'account membro.

      1. Scegli Elimina le credenziali root.

    • Seleziona Consenti il recupero della password per recuperare le credenziali dell'utente root per un account membro.

      Questa opzione è disponibile solo quando l'account membro non ha le credenziali dell'utente root.

      1. Scegli Consenti il recupero della password.

      2. Dopo aver eseguito questa azione con privilegi, la persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può reimpostare la password dell'utente root e accedere all'utente root dell'account membro.

Esecuzione di un'azione con privilegi su un account membro (AWS CLI)

Per avviare una sessione per un'azione con privilegi in un account membro dalla AWS Command Line Interface
  1. Usa il seguente comando per assumere una sessione dell'utente root: aws sts assume-root.

    Nota

    L'endpoint globale non è supportato per sts:AssumeRoot. È necessario inviare questa richiesta a un endpoint regionale. AWS STS Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.

    Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'task-policy-arn per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti policy gestite da AWS per definire l'ambito delle azioni di sessione con privilegi.

    Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione utente root privilegiata, è possibile utilizzare la chiave di AWS STS condizione sts:. TaskPolicyArn

    Nel seguente esempio, l'amministratore delegato presuppone root per eliminare le credenziali dell'utente root per l'ID dell'account membro. 111122223333

    aws sts assume-root \ --target-principal 111122223333 \ --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \ --duration-seconds 900
  2. Utilizza AccessKeyId e SecretAccessKey dalla risposta per eseguire azioni con privilegi nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.

Esecuzione di un'azione privilegiata su un account membro (API)AWS

Per avviare una sessione per un'azione con privilegi in un account membro dall'API AWS
  1. Usa il seguente comando per assumere una sessione utente root: AssumeRoot.

    Nota

    L'endpoint globale non è supportato per AssumeRoot. È necessario inviare questa richiesta a un AWS STS endpoint regionale. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.

    Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'TaskPolicyArn per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti politiche AWS gestite per definire l'ambito delle azioni di sessione privilegiate.

    Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione di utente root privilegiato, puoi utilizzare la chiave di AWS STS condizione sts:. TaskPolicyArn

    Nell'esempio seguente, l'amministratore delegato presuppone che sia root a leggere, modificare ed eliminare una policy basata sulle risorse non configurata correttamente per un bucket Amazon S3 per l'ID dell'account membro. 111122223333

    https://sts.us-east-2.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRoot &TargetPrincipal=111122223333 &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy &DurationSeconds 900
  2. Utilizza AccessKeyId e SecretAccessKey dalla risposta per eseguire azioni con privilegi nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.