Accesso agli account dei membri in un'organizzazione con AWS Organizations

Quando crei un account nell'organizzazione, oltre all'utente root, AWS Organizations crea automaticamente un ruolo IAM denominato per impostazione predefinita OrganizationAccountAccessRole. Puoi specificare un nome diverso al momento della creazione, tuttavia ti consigliamo di assegnarlo in modo uniforme in tutti gli account. AWS Organizations non crea altri utenti o ruoli.

Per accedere all'account nell'organizzazione, è necessario utilizzare uno dei seguenti metodi:

Utilizzo dell'utente root (non consigliato per le attività quotidiane)

Quando si crea un nuovo account membro nell'organizzazione, per impostazione predefinita l'account non dispone di credenziali utente root. Gli account membri non possono accedere al proprio utente root o eseguirne il recupero della password a meno che non sia abilitato il recupero dell'account.

È possibile centralizzare l'accesso root per gli account dei membri per rimuovere le credenziali dell'utente root per gli account membro esistenti nell'organizzazione. L'eliminazione delle credenziali dell'utente root rimuove la password dell'utente root, le chiavi di accesso, i certificati di firma e disattiva l'autenticazione a più fattori (MFA). Questi account membri non dispongono di credenziali dell'utente root, non possono accedere come utente root e non possono recuperare la password dell'utente root. Per impostazione predefinita, i nuovi account creati in Organizations non hanno credenziali dell'utente root.

Rivolgiti all'amministratore se devi eseguire un'operazione che richiede le credenziali dell'utente root su un account membro in cui non sono presenti le credenziali dell'utente root.

Per accedere al proprio account membro come utente root, è necessario eseguire la procedura di recupero della password. Per ulteriori informazioni, consulta Ho dimenticato la mia password utente root Account AWS nella Guida per l'utente di AWS accesso.

Se devi accedere a un account membro utilizzando l'utente root, segui queste best practice:

Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione Attività che richiedono le credenziali dell'utente root nella Guida per l'utente IAM. Per ulteriori consigli sulla sicurezza degli utenti root, consulta le migliori pratiche per l'utente root Account AWS nella IAM User Guide.

Utilizzo dell'accesso affidabile per IAM Identity Center

Utilizza AWS IAM Identity Centere abilita l'accesso affidabile per IAM Identity Center con AWS Organizations. Ciò consente agli utenti di accedere al portale di AWS accesso con le proprie credenziali aziendali e accedere alle risorse nell'account di gestione assegnato o negli account membro.

Per ulteriori informazioni, consulta Autorizzazioni multi-account nella Guida per l'utente di AWS IAM Identity Center . Per ulteriori informazioni su come configurare l'accesso sicuro a IAM Identity Center, consulta AWS IAM Identity Center e AWS Organizations.

Utilizzo del ruolo IAM OrganizationAccountAccessRole

Se crei un account utilizzando gli strumenti forniti come parte di AWS Organizations, puoi accedere all'account utilizzando il ruolo preconfigurato denominato OrganizationAccountAccessRole che esiste in tutti i nuovi account che crei in questo modo. Per ulteriori informazioni, consulta Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations.

Se inviti un account esistente a far parte dell'organizzazione e l'account accetta l'invito, puoi scegliere di creare un ruolo IAM che consente all'account di gestione di accedere all'account membro invitato. Si presume che questo ruolo sia identico al ruolo aggiunto automaticamente a un account creato con AWS Organizations.

Per creare questo ruolo, consulta Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations.

Una volta creato il ruolo, è possibile accedervi tramite le fasi in Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations.