Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations

Per impostazione predefinita, se crei un account membro come parte della tua organizzazione, AWS crea automaticamente un ruolo nell'account che concede le autorizzazioni di amministratore agli IAM utenti dell'account di gestione che possono assumere il ruolo. Per impostazione predefinita, tale ruolo è denominato OrganizationAccountAccessRole. Per ulteriori informazioni, consulta Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations.

Tuttavia, gli account membro invitati a far parte dell'organizzazione non ottengono automaticamente un ruolo amministratore creato. È necessario eseguire questa operazione manualmente, come illustrato nella procedura seguente. Essenzialmente, in questo modo viene duplicato il ruoto automaticamente configurato per gli account creati. Consigliamo di utilizzare lo stesso nome, OrganizationAccountAccessRole, per i ruoli creati manualmente per coerenza e facilità di memorizzazione.

AWS Management Console
Per creare un AWS Organizations ruolo di amministratore in un account membro

  1. Accedi alla IAM console all'indirizzo https://console.aws.amazon.com/iam/. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account del membro. L'utente o il ruolo devono disporre dell'autorizzazione per creare IAM ruoli e politiche.

  2. Nella IAM console, accedi a Ruoli e quindi scegli Crea ruolo.

  3. Scegliere Account AWS, quindi seleziona Altro Account AWS.

  4. Inserisci il numero ID dell'account a 12 cifre dell'account di gestione a cui desideri concedere l'accesso come amministratore. In Opzioni, tieni presente quanto segue:

    • Per questo ruolo, poiché gli account sono interni all'azienda, non è necessario scegliere Require external ID (Richiedi ID esterno). Per ulteriori informazioni sull'opzione ID esterno, vedi Quando devo usare un ID esterno? nella Guida IAM per l'utente.

    • Se l'hai MFA abilitata e configurata, puoi facoltativamente scegliere di richiedere l'autenticazione tramite un MFA dispositivo. Per ulteriori informazioni suMFA, consulta Using Multi-Factor Authentication () MFA in AWS nella Guida per l'utente di IAM.

  5. Scegli Next (Successivo).

  6. Nella pagina Aggiungi autorizzazioni, scegli AWS nome della politica gestita, AdministratorAccess quindi scegli Avanti.

  7. Nella pagina Nome, rivedi e crea, specifica un nome di ruolo e una descrizione facoltativa. Consigliamo di utilizzare OrganizationAccountAccessRole, per coerenza con il nome predefinito assegnato al ruolo nei nuovi account. Per rendere effettive le modifiche, scegliere Create role (Crea ruolo).

  8. Il nuovo ruolo viene visualizzato nell'elenco di ruoli disponibili. Scegli il nome del nuovo ruolo per visualizzarne i dettagli, prestando particolare attenzione al link URL fornito. URLAssegnalo agli utenti dell'account membro che devono accedere al ruolo. Inoltre, prendi nota del ruolo ARN perché ne hai bisogno nel passaggio 15.

  9. Accedi alla IAM console all'indirizzo https://console.aws.amazon.com/iam/. A questo punto, accedi come utente nell'account di gestione che dispone delle autorizzazioni per creare policy e assegnare le policy a utenti o gruppi.

  10. Vai a Politiche, quindi scegli Crea politica.

  11. Per Servizio, scegli STS.

  12. In Azioni, iniziare a digitare AssumeRole nella casella Filtro e quindi selezionare la casella di controllo accanto quando viene visualizzata.

  13. In Risorse, assicurati che sia selezionato Specifico, quindi scegli Aggiungi ARNs.

  14. Inserisci il AWS il numero ID dell'account membro, quindi inserisci il nome del ruolo creato in precedenza nei passaggi da 1 a 8. Scegli Aggiungi. ARNs

  15. Se si concede l'autorizzazione per assumere il ruolo in più account membri, ripetere le fasi 14 e 15 per ogni account.

  16. Scegli Next (Successivo).

  17. Nella pagina Rivedi e crea, inserisci un nome per la nuova politica, quindi scegli Crea politica per salvare le modifiche.

  18. Scegli Gruppi di utenti nel riquadro di navigazione, quindi scegli il nome del gruppo (non la casella di controllo) che desideri utilizzare per delegare l'amministrazione dell'account membro.

  19. Scegli la scheda Autorizzazioni.

  20. Scegli Aggiungi autorizzazioni, scegli Allega politiche, quindi seleziona la politica che hai creato nei passaggi 11—18.

Gli utenti che sono membri del gruppo selezionato ora possono utilizzare URLs quello acquisito nel passaggio 9 per accedere al ruolo di ciascun account membro. Possono accedere a questi account membri esattamente come se accedessero a un account creato nell'organizzazione. Per ulteriori informazioni su come utilizzare il ruolo per amministrare un account membro, consulta Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations.