Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations
Quando você cria a conta-membro usando o console do AWS Organizations, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole
na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.
Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Como criar OrganizationAccountAccessRole para uma conta convidada com o AWS Organizations.
Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.
- AWS Management Console
-
Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função
-
Faça login no console do IAM em https://console.aws.amazon.com/iam/ como usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.
-
Comece criando a política gerenciada de que você precisará posteriormente em Passo 14.
No painel de navegação, escolha Policies (Políticas) e, em seguida, selecione Create policy (Criar política).
-
Na guia Visual editor, escolha Choose a service, digite STS
na caixa de pesquisa para filtrar a lista e escolha a opção STS.
-
Na seção Actions, digite assume
na caixa de pesquisa para filtrar a lista e escolha a opção AssumeRole.
-
Na seção Resources, escolha Specific, escolha Add ARNs
Na seção Specify ARN(s), escolha Other account para o recurso.
Insira o ID da conta-membro que você acabou de criar
Em Resource role name with path, insira o nome do perfil criado na seção anterior (recomendamos dar a ele o nome OrganizationAccountAccessRole
).
-
Escolha Add ARNs quando a caixa de diálogo exibir o ARN correto.
-
(Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.
-
Escolha Próximo.
-
Na página Review and create, insira um nome para a política. Por exemplo: GrantAccessToOrganizationAccountAccessRole
. Você também pode adicionar uma descrição opcional.
-
Escolha Criar política para salvar a nova política gerenciada.
-
Agora que você tem a política disponível, poderá associá-la a um grupo.
No painel de navegação, escolha Groups e selecione o nome do grupo (não a caixa de seleção) cujos membros você deseja que assumam a função na conta-membro. Se necessário, você poderá criar outro grupo.
-
Escolha a guia Permissões, escolha Adicionar permissões e depois Anexar políticas.
-
(Opcional) Na caixa Search (Pesquisar), é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em Passo 2 até Passo 13. Você também pode filtrar todas as políticas gerenciadas da AWS selecionando Policy Type e Customer Managed.
-
Marque a caixa ao lado da política e selecione Attach policies.
Os usuários do IAM que são membros do grupo agora têm permissões para alternar para a nova função no console do AWS Organizations seguindo o procedimento abaixo.
- AWS Management Console
-
Para alternar para a função para a conta-membro
Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função.
-
No canto superior direito do console do AWS Organizations, selecione o link que contém seu nome de login atual e escolha Switch role (Alternar função).
-
Insira o nome da função e o número do ID da conta fornecida pelo administrador.
-
Em Display Name (Nome de exibição), insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.
-
Selecione Switch Role (Mudar de função). Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.
-
Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (qualquer coisa especificada como o Display Name [Nome para exibição]) e escolha Back to UserName (Voltar para UserName)
.