Como criar OrganizationAccountAccessRole para uma conta convidada com o AWS Organizations
Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada OrganizationAccountAccessRole
. Para obter mais informações, consulte Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations.
No entanto, contas de associado que você convida para participar da sua organização não recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, OrganizationAccountAccessRole
, para suas funções criadas manualmente, para consistência e facilidade de lembrar.
- AWS Management Console
-
Para criar uma função de administrador do AWS Organizations em uma conta-membro
-
Faça login no console do IAM em https://console.aws.amazon.com/iam/. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM.
-
No console do IAM acesse Perfis e, em seguida, escolha Criar perfil.
-
Escolha Conta da AWS e selecione Outra Conta da AWS.
-
Insira o número de ID de 12 dígitos da conta de gerenciamento à qual você deseja conceder acesso de administrador. Em Opções, observe o seguinte:
-
Para essa função, porque as contas são internar à empresa, você não deve escolher Require external ID (Requerer ID externo). Para obter mais informações sobre a opção de ID externo, consulte Quando devo usar um ID externo? no Guia do usuário do IAM.
-
Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre MFA, consulte Uso da autenticação multifator (MFA) na AWS no Guia do usuário do IAM.
-
Escolha Próximo.
-
Na página Adicionar permissões, selecione a política gerenciada da AWS denominada AdministratorAccess
e, em seguida, selecione Próximo.
-
Na página Nomear, revisar e criar, especifique um nome de perfil e uma descrição opcional. Recomendamos que você use OrganizationAccountAccessRole
, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha Criação de função.
-
Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o Role ARN (ARN da função), pois você precisará dele na etapa 15.
-
Faça login no console do IAM em https://console.aws.amazon.com/iam/. Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos.
-
Acesse Políticas e escolha Criar política.
-
Para Service, escolha STS.
-
Para Actions (Ações), comece digitando AssumeRole
na caixa Filter (Filtro) e marque a caixa de seleção próxima a ela quando aparecer.
-
Em Recursos, verifique se Específicos está selecionado e escolha Adicionar ARNs.
-
Insira o número do ID da conta-membro da AWS e, depois, o nome da função criada anteriormente nas etapas de 1 a 8. Escolha Add ARNs.
-
Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta.
-
Escolha Próximo.
-
Na página Revisar e criar, insira um nome para a nova política e selecione Criar política para salvar suas alterações.
-
Escolha Grupos de usuário no painel de navegação e escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta-membro.
-
Escolha a aba Permissões.
-
Escolha Adicionar permissões, Anexar política e selecione a política que criou nas etapas 11–18.
Os usuários que são membros do grupo selecionado agora podem usar os URLs que você capturou na etapa 9 para acessar a função de cada conta membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations.