Como criar OrganizationAccountAccessRole para uma conta convidada com o AWS Organizations - AWS Organizations

Como criar OrganizationAccountAccessRole para uma conta convidada com o AWS Organizations

Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada OrganizationAccountAccessRole. Para obter mais informações, consulte Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations.

No entanto, contas de associado que você convida para participar da sua organização não recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, OrganizationAccountAccessRole, para suas funções criadas manualmente, para consistência e facilidade de lembrar.

AWS Management Console
Para criar uma função de administrador do AWS Organizations em uma conta-membro
  1. Faça login no console do IAM em https://console.aws.amazon.com/iam/. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM.

  2. No console do IAM acesse Perfis e, em seguida, escolha Criar perfil.

  3. Escolha Conta da AWS e selecione Outra Conta da AWS.

  4. Insira o número de ID de 12 dígitos da conta de gerenciamento à qual você deseja conceder acesso de administrador. Em Opções, observe o seguinte:

    • Para essa função, porque as contas são internar à empresa, você não deve escolher Require external ID (Requerer ID externo). Para obter mais informações sobre a opção de ID externo, consulte Quando devo usar um ID externo? no Guia do usuário do IAM.

    • Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre MFA, consulte Uso da autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

  5. Escolha Próximo.

  6. Na página Adicionar permissões, selecione a política gerenciada da AWS denominada AdministratorAccess e, em seguida, selecione Próximo.

  7. Na página Nomear, revisar e criar, especifique um nome de perfil e uma descrição opcional. Recomendamos que você use OrganizationAccountAccessRole, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha Criação de função.

  8. Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o Role ARN (ARN da função), pois você precisará dele na etapa 15.

  9. Faça login no console do IAM em https://console.aws.amazon.com/iam/. Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos.

  10. Acesse Políticas e escolha Criar política.

  11. Para Service, escolha STS.

  12. Para Actions (Ações), comece digitando AssumeRole na caixa Filter (Filtro) e marque a caixa de seleção próxima a ela quando aparecer.

  13. Em Recursos, verifique se Específicos está selecionado e escolha Adicionar ARNs.

  14. Insira o número do ID da conta-membro da AWS e, depois, o nome da função criada anteriormente nas etapas de 1 a 8. Escolha Add ARNs.

  15. Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta.

  16. Escolha Próximo.

  17. Na página Revisar e criar, insira um nome para a nova política e selecione Criar política para salvar suas alterações.

  18. Escolha Grupos de usuário no painel de navegação e escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta-membro.

  19. Escolha a aba Permissões.

  20. Escolha Adicionar permissões, Anexar política e selecione a política que criou nas etapas 11–18.

Os usuários que são membros do grupo selecionado agora podem usar os URLs que você capturou na etapa 9 para acessar a função de cada conta membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte Acessar a conta-membro que tem OrganizationAccountAccessRole com o AWS Organizations.