Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations - AWS Organizations

Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations

Quando você cria a conta-membro usando o console do AWS Organizations, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.

Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de Como criar OrganizationAccountAccessRole para uma conta convidada com o AWS Organizations.

Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.

AWS Management Console
Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função
  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/ como usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.

  2. Comece criando a política gerenciada de que você precisará posteriormente em Passo 14.

    No painel de navegação, escolha Policies (Políticas) e, em seguida, selecione Create policy (Criar política).

  3. Na guia Visual editor, escolha Choose a service, digite STS na caixa de pesquisa para filtrar a lista e escolha a opção STS.

  4. Na seção Actions, digite assume na caixa de pesquisa para filtrar a lista e escolha a opção AssumeRole.

  5. Na seção Resources, escolha Specific, escolha Add ARNs

  6. Na seção Specify ARN(s), escolha Other account para o recurso.

  7. Insira o ID da conta-membro que você acabou de criar

  8. Em Resource role name with path, insira o nome do perfil criado na seção anterior (recomendamos dar a ele o nome OrganizationAccountAccessRole).

  9. Escolha Add ARNs quando a caixa de diálogo exibir o ARN correto.

  10. (Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.

  11. Escolha Próximo.

  12. Na página Review and create, insira um nome para a política. Por exemplo: GrantAccessToOrganizationAccountAccessRole. Você também pode adicionar uma descrição opcional.

  13. Escolha Criar política para salvar a nova política gerenciada.

  14. Agora que você tem a política disponível, poderá associá-la a um grupo.

    No painel de navegação, escolha Groups e selecione o nome do grupo (não a caixa de seleção) cujos membros você deseja que assumam a função na conta-membro. Se necessário, você poderá criar outro grupo.

  15. Escolha a guia Permissões, escolha Adicionar permissões e depois Anexar políticas.

  16. (Opcional) Na caixa Search (Pesquisar), é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em Passo 2 até Passo 13. Você também pode filtrar todas as políticas gerenciadas da AWS selecionando Policy Type e Customer Managed.

  17. Marque a caixa ao lado da política e selecione Attach policies.

Os usuários do IAM que são membros do grupo agora têm permissões para alternar para a nova função no console do AWS Organizations seguindo o procedimento abaixo.

AWS Management Console
Para alternar para a função para a conta-membro

Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função.

  1. No canto superior direito do console do AWS Organizations, selecione o link que contém seu nome de login atual e escolha Switch role (Alternar função).

  2. Insira o nome da função e o número do ID da conta fornecida pelo administrador.

  3. Em Display Name (Nome de exibição), insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.

  4. Selecione Switch Role (Mudar de função). Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.

  5. Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (qualquer coisa especificada como o Display Name [Nome para exibição]) e escolha Back to UserName (Voltar para UserName).