AWS Organizations를 사용하여 멤버 계정의 루트 사용자 이메일 주소 업데이트

보안 및 관리 복원력을 높이기 위해 관리 계정의 IAM 위탁자(필요한 IAM 권한이 있음)는 각 계정에 개별적으로 로그인할 필요 없이 모든 멤버 계정의 루트 사용자 이메일 주소(기본 이메일 주소라고도 함)를 중앙에서 업데이트할 수 있습니다. 이렇게 하면 관리 계정(또는 위임된 관리자 계정)의 관리자가 멤버 계정에 대한 더 많은 제어를 할 수 있습니다. 또한 원래 루트 사용자 이메일 주소 또는 관리 자격 증명에 대한 액세스 권한을 잃어버렸더라도 AWS Organizations에 있는 모든 멤버 계정의 루트 사용자 이메일 주소를 최신 상태로 유지할 수 있습니다.

관리 계정 관리자가 루트 사용자 이메일 주소를 중앙에서 변경하면 암호와 MFA 구성 모두 변경 전과 동일하게 유지됩니다. 계정의 루트 사용자 이메일 주소와 기본 연락 전화번호를 제어하는 사용자는 MFA를 우회할 수 있습니다.

조직 내 멤버 계정의 루트 사용자 이메일 주소를 업데이트하려면 조직에서 이전에 모든 기능 모드를 활성화했어야 합니다. 통합 결제 모드 또는 조직의 일부가 아닌 계정에서는 AWS Organizations가 루트 사용자 이메일 주소를 중앙에서 업데이트할 수 없습니다. API에서 지원하지 않는 계정의 루트 사용자 이메일 주소를 변경하려는 사용자는 계속해서 Billing Console을 사용하여 루트 사용자 이메일 주소를 관리해야 합니다.

멤버 계정의 루트 사용자 이메일 주소 업데이트

다음 절차에 따라 루트 사용자 이메일 주소를 업데이트하세요.

AWS Management Console

참고

멤버 계정에 대해 조직의 관리 계정 또는 위임된 관리자 계정에서 이 절차를 수행하려면 Account Management 서비스에 대해 신뢰할 수 있는 액세스를 활성화해야 합니다.
이 절차를 사용하여 작업을 호출하는 데 사용하는 것과 다른 조직의 계정에 액세스할 수 없습니다.

AWS Organizations 콘솔을 사용하여 멤버 계정의 루트 사용자 이메일 주소를 업데이트하려면

AWS Organizations 콘솔에 조직 내 관리 계정의 루트 사용자(또는 동등한 IAM 권한)로 로그인합니다.
AWS 계정 페이지에서 루트 사용자 이메일 주소를 업데이트하려는 멤버 계정을 선택합니다.
계정 세부 정보 섹션에서 작업 버튼을 선택한 다음 이메일 주소 업데이트를 선택합니다.
이메일에서 루트 사용자의 새 이메일 주소를 입력한 다음 저장을 선택합니다. 그러면 일회용 암호(OTP)가 새 이메일 주소로 전송됩니다.

참고
코드를 기다리는 동안 Organizations 콘솔에서 이 페이지를 닫아야 하는 경우 코드를 보낸 후 24시간 이내에 OTP 프로세스를 반환하고 완료할 수 있습니다. 이렇게 하려면 계정 세부 정보 페이지에서 작업 버튼을 선택한 다음 이메일 업데이트 완료를 선택합니다.
검증 코드에 이전 단계에서 새 이메일 주소로 전송된 코드를 입력한 다음 확인을 선택합니다. 이렇게 하면 계정의 루트 사용자 이메일 주소 업데이트가 커밋됩니다.

AWS CLI & AWS SDKs

다음 AWS CLI 명령 또는 해당 AWS SDK와 동등한 작업을 사용하여 루트 사용자 이메일 주소(기본 이메일 주소라고도 함)를 검색하거나 업데이트할 수 있습니다.

참고

멤버 계정에 대해 조직의 관리 계정 또는 위임된 관리자 계정에서 이러한 작업을 수행하려면 Account Management 서비스에 대해 신뢰할 수 있는 액세스를 활성화해야 합니다.
작업을 호출하는 데 사용하는 것과 다른 조직의 계정에 액세스할 수 없습니다.

최소 권한

각 작업에 대해 해당 작업에 매핑되는 권한이 있어야 합니다.

account:GetPrimaryEmail
account:StartPrimaryEmailUpdate
account:AcceptPrimaryEmailUpdate

이러한 개별 권한을 사용하는 경우 일부 사용자에게 루트 사용자 이메일 주소 정보만 읽을 수 있는 권한을 부여하고 다른 사용자에게 읽기 및 쓰기 기능을 부여할 수 있습니다.

루트 사용자 이메일 업데이트 프로세스를 완료하려면 아래 예제에 표시된 순서대로 기본 이메일 API를 함께 사용해야 합니다.

예 `GetPrimaryEmail`

다음 예제에서는 조직의 지정된 멤버 계정에서 루트 사용자 이메일 주소를 검색합니다. 사용된 보안 인증 정보는 조직의 관리 계정 또는 Account Management의 위임된 관리자 계정에서 가져온 것이어야 합니다.


$ aws account get-primary-email --account-id 123456789012

예 `StartPrimaryEmailUpdate`

다음 예제에서는 루트 사용자 이메일 주소 업데이트 프로세스를 시작하고, 새 이메일 주소를 식별하고, 조직의 지정된 멤버 계정에 대한 일회용 암호(OTP)를 새 이메일 주소로 보냅니다. 사용된 보안 인증 정보는 조직의 관리 계정 또는 Account Management의 위임된 관리자 계정에서 가져온 것이어야 합니다.


$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com

예 `AcceptPrimaryEmailUpdate`

다음 예제에서는 OTP 코드를 수락하고 조직의 지정된 멤버 계정으로 새 이메일 주소를 설정합니다. 사용된 보안 인증 정보는 조직의 관리 계정 또는 Account Management의 위임된 관리자 계정에서 가져온 것이어야 합니다.


$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

멤버 계정에서 조직 탈퇴

계정 초대