Prerequisiti Esecuzione di un'azione privilegiata su un account membro (console)Esecuzione di un'azione privilegiata su un account membro ()AWS CLI Esecuzione di un'azione privilegiata su un account membro ()AWS API

Esegui un'attività privilegiata su un account AWS Organizations membro

L'account di AWS Organizations gestione o un account amministratore delegato di IAM può eseguire alcune attività degli utenti root sugli account dei membri utilizzando l'accesso root a breve termine. Queste attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Le sessioni privilegiate a breve termine forniscono credenziali temporanee utilizzabili per eseguire azioni privilegiate su un account membro dell'organizzazione.

Una volta avviata una sessione privilegiata, puoi eliminare una policy di Amazon S3 bucket configurata in modo errato, eliminare una policy di coda SQS Amazon non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riattivare le credenziali utente root per un account membro.

Prerequisiti

Prima di poter avviare una sessione privilegiata, è necessario disporre delle seguenti impostazioni:

Hai abilitato l'accesso root centralizzato nella tua organizzazione. Per la procedura su come abilitare questa funzionalità, consultaCentralizza l'accesso root per gli account dei membri.
Il tuo account di gestione o l'account amministratore delegato dispone delle seguenti autorizzazioni: sts:AssumeRoot

Esecuzione di un'azione privilegiata su un account membro (console)

Per avviare una sessione di azione privilegiata in un account membro nel AWS Management Console

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione della console selezionare Root access management (Gestione utente).
Seleziona un nome dall'elenco degli account membri e scegli Intraprendi azioni privilegiate.
Scegli l'azione privilegiata che desideri intraprendere nell'account membro.
- Seleziona Delete Amazon S3 bucket policy per rimuovere una policy bucket mal configurata che impedisce a tutti i principali di accedere al bucket Amazon S3.
  1. Scegli Browse S3 per selezionare un nome dai bucket di proprietà dell'account membro e seleziona Choose.
  2. Scegli Elimina la politica sui bucket.
  3. Utilizza la console Amazon S3 per correggere la policy del bucket dopo aver eliminato la policy mal configurata. Per ulteriori informazioni, consulta Aggiungere una policy sui bucket utilizzando la console Amazon S3 nella Amazon S3 User Guide.
- Seleziona Delete Amazon SQS policy per eliminare una policy basata sulle risorse di Amazon Simple Queue Service che impedisce a tutti i principali di accedere a una coda Amazon. SQS
  1. Inserisci il nome della coda nel nome della coda e seleziona Elimina politicaSQS. SQS
  2. Usa la SQS console Amazon per correggere la politica di coda dopo aver eliminato la politica non configurata correttamente. Per ulteriori informazioni, consulta Configurazione di una politica di accesso in Amazon SQS nell'Amazon SQS Developer Guide.
- Seleziona Elimina le credenziali root per rimuovere l'accesso root da un account membro. L'eliminazione delle credenziali dell'utente root rimuove la password dell'utente root, le chiavi di accesso, i certificati di firma e disattiva l'autenticazione a più fattori () MFA per l'account membro.
  1. Scegli Elimina le credenziali root.
- Seleziona Consenti il recupero della password per recuperare le credenziali dell'utente root per un account membro.
  
  Questa opzione è disponibile solo quando l'account utente non ha credenziali utente root.
  1. Scegli Consenti il recupero della password.
  2. Dopo aver eseguito questa azione privilegiata, la persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può reimpostare la password dell'utente root e accedere all'account utente root dell'account membro.

Esecuzione di un'azione privilegiata su un account membro ()AWS CLI

Per avviare una sessione di azione privilegiata su un account membro dal AWS Command Line Interface

Usa il seguente comando per assumere una sessione utente root: aws sts assume-root.

Nota
L'endpoint globale non è supportato per. sts:AssumeRoot È necessario inviare questa richiesta a un AWS STS endpoint regionale. Per ulteriori informazioni, consulta Manage (Gestione) AWS STS in un Regione AWS.

Quando si avvia una sessione utente root privilegiata per un account membro, è necessario definire task-policy-arn l'ambito della sessione in base all'azione privilegiata da eseguire durante la sessione. È possibile utilizzare una delle seguenti politiche AWS gestite per definire l'ambito delle azioni di sessione privilegiate.
Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione di utente root privilegiato, puoi utilizzare la chiave di AWS STS condizione sts:. TaskPolicyArn

Nel seguente esempio, l'amministratore delegato presuppone root per eliminare le credenziali dell'utente root per l'ID dell'account membro 111122223333.
```
aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900
```
Utilizza il comando AccessKeyId e SecretAccessKey proveniente dalla risposta per eseguire azioni privilegiate nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.
- Controlla lo stato delle credenziali dell'utente root. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
- Eliminare le credenziali dell'utente root. Utilizza i seguenti comandi per eliminare l'accesso root. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare ed eliminare l'autenticazione a più fattori (MFA) per rimuovere tutti gli accessi e il ripristino dell'utente root.
- Elimina la policy Amazon S3 del bucket. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
- Elimina la SQS politica di Amazon. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che rifiuta tutti i principali di accedere a una coda Amazon. SQS
- Consenti il recupero della password. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
  - get-login-profile
  - create-login-profile

Esecuzione di un'azione privilegiata su un account membro ()AWS API

Per avviare una sessione di azione privilegiata su un account membro dal AWS API

Usa il seguente comando per assumere una sessione utente root: AssumeRoot.

Nota
L'endpoint globale non è supportato per AssumeRoot. È necessario inviare questa richiesta a un AWS STS endpoint regionale. Per ulteriori informazioni, consulta Manage (Gestione) AWS STS in un Regione AWS.

Quando si avvia una sessione utente root privilegiata per un account membro, è necessario definire TaskPolicyArn l'ambito della sessione in base all'azione privilegiata da eseguire durante la sessione. È possibile utilizzare una delle seguenti politiche AWS gestite per definire l'ambito delle azioni di sessione privilegiate.
Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione di utente root privilegiato, puoi utilizzare la chiave di AWS STS condizione sts:. TaskPolicyArn

Nell'esempio seguente, l'amministratore delegato presuppone che sia root a leggere, modificare ed eliminare una policy basata sulle risorse non configurata correttamente per un bucket Amazon S3 per l'ID dell'account membro 111122223333.
```
https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900
```
Usa il comando AccessKeyId e SecretAccessKey proveniente dalla risposta per eseguire azioni privilegiate nell'account del membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.
- Controlla lo stato delle credenziali dell'utente root. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
- Eliminare le credenziali dell'utente root. Utilizza i seguenti comandi per eliminare l'accesso root. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare ed eliminare l'autenticazione a più fattori (MFA) per rimuovere tutti gli accessi e il ripristino dell'utente root.
- Elimina la policy Amazon S3 del bucket. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
- Elimina la SQS politica di Amazon. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che rifiuta tutti i principali di accedere a una coda Amazon. SQS
- Consenti il recupero della password. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
  - GetLoginProfile
  - CreateLoginProfile

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Centralizzazione dell'accesso root

MFAper l'utente root