更新 AWS 账户 的备用联系人 - AWS 账户管理
电话号码和电子邮件地址要求为独立 AWS 账户 更新备用联系人更新您组织中任意 AWS 账户 的备用联系人account:AlternateContactTypes 上下文键

更新 AWS 账户 的备用联系人

通过备用联系人,AWS 最多可以联系三个与此账户关联的备用联系人。备用联系人不一定是特定人员。如果您拥有负责管理账单、运营和安全相关问题的团队,则可以添加电子邮件分发列表。除此之外,还有与账户的根用户关联的电子邮件地址。主账户联系人将继续接收发往根账户电子邮件的所有电子邮件通信。

您只能从与账户关联的以下联系人类型中指定一个类型。

  • 账单联系人

  • 操作联系人

  • 安全联系人

您可以根据账户是独立账户还是组织的一部分,以不同方式添加或编辑备用联系人:

  • 独立 AWS 账户 - 对于未与组织关联的 AWS 账户,您可以使用 AWS 管理控制台或通过 AWS CLI 和 SDK 更新自己的备用联系人。要了解如何执行此操作,请参阅更新独立 AWS 账户 备用联系人

  • 组织内的 AWS 账户 - 对于属于 AWS 组织的成员账户,管理账户或委托管理员账户中的用户可以从 AWS Organizations 控制台集中更新组织中的任何成员账户,也可以通过 AWS CLI 和 SDK 以编程方式更新。要了解如何执行此操作,请参阅更新您组织中的 AWS 账户 备用联系人

电话号码和电子邮件地址要求

在继续更新账户的备用联系人信息之前,我们建议在输入电话号码和电子邮件地址时先查看以下要求。

  • 电话号码只能包含数字、空格和以下字符:“+-()”。

  • 电子邮件地址最长可以有 254 个字符,除了标准的字母数字字符外,还可以在电子邮件地址的局部包含以下特殊字符:“+=.#|!&-_”。

为独立 AWS 账户 更新备用联系人

要为独立 AWS 账户 添加或编辑备用联系人,请执行以下流程中的步骤。以下 AWS Management Console 流程在独立上下文中始终有效。可以使用 AWS Management Console 只访问或更改操作调用账户中的备用联系人。

AWS Management Console
为独立 AWS 账户 添加或编辑备用联系人
最小权限

要执行下列步骤,您必须至少具有以下 IAM 权限:

  • account:GetAlternateContact(查看备用联系人详细信息)

  • account:PutAlternateContact(设置或更新备用联系人)

  • account:DeleteAlternateContact(删除备用联系人)

  1. 以具有最低权限的 IAM 用户或角色登录 AWS Management Console

  2. 在窗口的右上角,选择您的账户名称,然后选择账户

  3. 账户页面上,向下滚动到备用联系人,在标头右侧选择编辑

    注意

    如果您没有看到编辑选项,则可能是因为您并非以账户根用户或具有上述最低权限之人的身份登录。

  4. 更改任何可用字段中的值。

    重要

    对于企业 AWS 账户,最佳做法是输入公司而非个人的电话号码和电子邮件地址。

  5. 完成所有更改后,选择更新

AWS CLI & SDKs

您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作,检索、更新或删除备用联系人信息:

注意
最小权限

对于各个操作,您必须具有映射到此操作的权限:

  • GetAlternateContact(查看备用联系人详细信息)

  • PutAlternateContact(设置或更新备用联系人)

  • DeleteAlternateContact(删除备用联系人)

如果使用这些单独权限,就可以授予某些用户仅读取联系人信息的权限,而授予其他用户同时读取和写入的权限。

以下示例检索了调用方账户的当前账单备用联系人。

$ aws account get-alternate-contact \
    --alternate-contact-type=BILLING
{
    "AlternateContact": {
        "AlternateContactType": "BILLING",
        "EmailAddress": "saanvi.sarkar@amazon.com",
        "Name": "Saanvi Sarkar",
        "PhoneNumber": "+1(206)555-0123",
        "Title": "CFO"
    }
}

以下示例为调用方账户设置了新的操作备用联系人。

$ aws account put-alternate-contact \
    --alternate-contact-type=OPERATIONS \
    --email-address=mateo_jackson@amazon.com \
    --name="Mateo Jackson" \
    --phone-number="+1(206)555-1234" \
    --title="Operations Manager"

如果成功,此命令不会产生任何输出。

注意

如果对相同 AWS 账户 和相同联系人类型执行多次 PutAlternateContact 操作,则第一个操作会添加新联系人,而随后对相同 AWS 账户 和联系人类型的所有调用会更新现有联系人。

以下示例删除了调用方账户的安全备用联系人。

$ aws account delete-alternate-contact \
    --alternate-contact-type=SECURITY

如果成功,此命令不会产生任何输出。

注意

如果尝试多次删除同一个联系人,第一次会静默成功。之后所有尝试都会生成 ResourceNotFound 异常。

更新您组织中任意 AWS 账户 的备用联系人

要为组织中的任何 AWS 账户 添加或编辑备用联系人详细信息,请执行以下流程中的步骤。

要求

要使用 AWS Organizations 控制台更新备用联系人,您需要进行一些初步设置:

  • 您的组织必须启用所有功能才能管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅整合账单,而您要启用所有功能,请参阅在组织中启用所有功能

  • 您需要启用 AWS 账户管理服务可信访问权限。要进行此设置,请参阅 启用 AWS 账户管理可信访问权限

注意

AWS Organizations 托管策略 AWSOrganizationsReadOnlyAccessAWSOrganizationsFullAccess 更新为提供访问 AWS 账户管理 API 的权限,这样您就可以从 AWS Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizations AWS 托管策略的更新

AWS Management Console
为组织中的任何 AWS 账户 添加或编辑备用联系人

  1. 使用组织的管理账户凭证登录 AWS Organizations 控制台

  2. AWS 账户 中,选择要更新的账户。

  3. 选择联系人信息,然后在备用联系人下找到联系人类型:账单联系人安全联系人运营联系人

  4. 要添加新联系人,请选择添加。或者要更新现有联系人,请选择编辑

  5. 更改任何可用字段中的值。

    重要

    对于企业 AWS 账户,最佳做法是输入公司而非个人的电话号码和电子邮件地址。

  6. 完成所有更改后,选择更新

AWS CLI & SDKs

您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作,检索、更新或删除备用联系人信息:

注意

  • 要通过管理账户或组织中的委托管理员账户对成员账户执行这些操作,必须启用账户服务可信访问权限

  • 您无法访问与您的操作调用组织不同的组织中的账户。

最小权限

对于各个操作,您必须具有映射到此操作的权限:

  • GetAlternateContact(查看备用联系人详细信息)

  • PutAlternateContact(设置或更新备用联系人)

  • DeleteAlternateContact(删除备用联系人)

如果使用这些单独权限,就可以授予某些用户仅读取联系人信息的权限,而授予其他用户同时读取和写入的权限。

以下示例检索了组织中调用方账户的当前账单备用联系人。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

$ aws account get-alternate-contact \
    --alternate-contact-type=BILLING \
    --account-id 123456789012
{
    "AlternateContact": {
        "AlternateContactType": "BILLING",
        "EmailAddress": "saanvi.sarkar@amazon.com",
        "Name": "Saanvi Sarkar",
        "PhoneNumber": "+1(206)555-0123",
        "Title": "CFO"
    }
}

以下示例为组织中的指定成员账户设置了操作备用联系人。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

$ aws account put-alternate-contact \
    --account-id 123456789012 \
    --alternate-contact-type=OPERATIONS \
    --email-address=mateo_jackson@amazon.com \
    --name="Mateo Jackson" \
    --phone-number="+1(206)555-1234" \
    --title="Operations Manager"

如果成功,此命令不会产生任何输出。

注意

如果对相同 AWS 账户 和相同联系人类型执行多次 PutAlternateContact 操作,则第一个操作会添加新联系人,而随后对相同 AWS 账户 和联系人类型的所有调用会更新现有联系人。

以下示例删除了组织中指定成员账户的安全备用联系人。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

$ aws account delete-alternate-contact \
    --account-id 123456789012 \
    --alternate-contact-type=SECURITY

如果成功,此命令不会产生任何输出。
注意

如果尝试多次删除同一个联系人,第一次会静默成功。之后所有尝试都会生成 ResourceNotFound 异常。

account:AlternateContactTypes 上下文键

可以使用上下文键 account:AlternateContactTypes 指定 IAM 策略允许(或拒绝)的三种账单类型中之一。例如,以下示例 IAM 权限策略使用此条件键,允许附加的主体仅检索组织中特定账户的 BILLING 备用联系人,但不能进行修改。

由于 account:AlternateContactTypes 是多值字符串类型,因此必须使用 ForAnyValueForAllValues 多值字符串运算符。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "account:GetAlternateContact",
            "Resource": [
                "arn:aws:account::123456789012:account/o-aa111bb222/111111111111"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "account:AlternateContactTypes": [
                        "BILLING"
                    ]
                }
            }
        }
    ]
}