本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS Organizations 成員帳戶上執行特權任務
IAM 的 AWS Organizations 管理帳戶或委派管理員帳戶可以對成員帳戶執行一些特殊權限任務,否則需要根使用者憑證。透過集中式根存取,這些任務會透過短期特權工作階段執行。這些工作階段提供範圍限定於特定特殊權限動作的臨時憑證,而不需要成員帳戶的根使用者登入。
啟動特權工作階段後,您可以刪除設定錯誤的 Amazon S3 儲存貯體政策、刪除設定錯誤的 Amazon SQS 佇列政策、刪除成員帳戶的根使用者憑證,以及為成員帳戶重新啟用根使用者憑證。
**注意**
若要使用集中式根存取,您必須透過管理帳戶或委派管理員帳戶以明確授予`sts:AssumeRoot`許可的 IAM 使用者或角色身分登入。您無法使用根使用者登入資料來呼叫 `sts:AssumeRoot`。
## 先決條件
您必須先具有下列設定,然後才能啟動特權工作階段:
+ 您已在組織中啟用集中式根存取權。如需啟用此功能的步驟,請參閱[集中成員帳戶的根存取權](id_root-enable-root-access.md)。
+ 您的管理帳戶或委派管理員帳戶具有下列許可:`sts:AssumeRoot`
## 對成員帳戶執行特權動作 (主控台)
**在 中為成員帳戶中的特權動作啟動工作階段 AWS 管理主控台**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在主控台的導覽窗格中,選擇**根存取權管理**。
1. 從成員帳戶清單中選取名稱,然後選擇**執行特權動作**。
1. 選擇您要在成員帳戶中執行的特權動作。
+ 選取**刪除 Amazon S3 儲存貯體政策**,以移除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
1. 選擇**瀏覽 S3** 以從成員帳戶擁有的儲存貯體中選取名稱,然後選取**選擇**。
1. 選擇**刪除儲存貯體政策**。
1. 刪除設定錯誤的政策後,使用 Amazon S3 主控台來更正儲存貯體政策。如需詳細資訊,請參閱 *Amazon S3 User Guide* 中的 [Adding a bucket policy by using the Amazon S3 console](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
+ 選取**刪除 Amazon SQS 政策**,以刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
1. 在 **SQS 佇列名稱**中輸入佇列名稱,然後選取**刪除 SQS 政策**。
1. 刪除設定錯誤的政策後,使用 Amazon SQS 主控台來更正佇列政策。如需詳細資訊,請參閱《Amazon SQS 開發人員指南》**中的[在 Amazon SQS 中設定存取政策](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)。
+ 選取**刪除根憑證**,以從成員帳戶移除根存取權。刪除根使用者憑證會移除成員帳戶的根使用者密碼、存取金鑰、簽署憑證和停用多重要素驗證 (MFA)。
1. 選擇**刪除根憑證**。
+ 選取**允許密碼復原**,以復原成員帳戶的根使用者憑證。
只有在成員帳戶沒有根使用者憑證時,才能使用此選項。
1. 選擇**允許密碼復原**。
1. 執行此特權動作後,有權存取成員帳戶根使用者電子郵件收件匣的人員可以[重設根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html),並登入成員帳戶根使用者。
## 對成員帳戶執行特權動作 (AWS CLI)
**從 為成員帳戶中的特權動作啟動工作階段 AWS Command Line Interface**
1. 使用下列命令來擔任根使用者工作階段:[aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html)。
**注意**
`sts:AssumeRoot` 不支援全域端點。您必須將此請求傳送至區域 AWS STS 端點。如需詳細資訊,請參閱[在 AWS STS 中管理 AWS 區域](id_credentials_temp_enable-regions.md)。
為成員帳戶啟動特權根使用者工作階段時,您必須定義 `task-policy-arn`,以將工作階段範圍限制為工作階段期間要執行的特權動作。您可以使用下列其中一個 AWS 受管政策,來限制特權工作階段動作的範圍。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
若要限制管理帳戶或委派管理員在特權根使用者工作階段期間可執行的動作,您可以使用 AWS STS 條件金鑰 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。
在下列範例中,委派管理員假設以根使用者身分刪除成員帳戶 ID *111122223333* 的根使用者憑證。
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. 使用回應中的 `AccessKeyId`、`SessionToken` 和 `SecretAccessKey`,在成員帳戶中執行特權動作。您可以省略請求中的使用者名稱和密碼,以預設為成員帳戶。
+ **檢查根使用者憑證的狀態**。使用下列命令,來檢查成員帳戶的根使用者憑證狀態。
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **刪除根使用者憑證**。使用下列命令刪除根存取權。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用多重要素驗證 (MFA),以移除對根使用者的所有存取和復原。
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **刪除 Amazon S3 儲存貯體政策**。使用下列命令來讀取、編輯和刪除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **刪除 Amazon SQS 政策**。使用下列命令,來檢視和刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **允許密碼復原**。使用下列命令來檢視使用者名稱,並復原成員帳戶的根使用者憑證。
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## 對成員帳戶 (AWS API) 採取特權動作
**從 AWS API 為成員帳戶中的特權動作啟動工作階段**
1. 使用下列命令來擔任根使用者工作階段:[AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。
**注意**
AssumeRoot 不支援全域端點。您必須將此請求傳送至區域 AWS STS 端點。如需詳細資訊,請參閱[在 AWS STS 中管理 AWS 區域](id_credentials_temp_enable-regions.md)。
為成員帳戶啟動特權根使用者工作階段時,您必須定義 `TaskPolicyArn`,以將工作階段範圍限制為工作階段期間要執行的特權動作。您可以使用下列其中一個 AWS 受管政策來限制特權工作階段動作的範圍。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
若要限制管理帳戶或委派管理員在特權根使用者工作階段期間可執行的動作,您可以使用 AWS STS 條件金鑰 [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn)。
在下列範例中,委派管理員擔任根使用者身分,以讀取、編輯和刪除成員帳號 ID *111122223333* 的 Amazon S3 儲存貯體之設定錯誤的資源型政策。
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. 使用回應中的 `AccessKeyId`、`SessionToken` 和 `SecretAccessKey`,在成員帳戶中執行特權動作。您可以省略請求中的使用者名稱和密碼,以預設為成員帳戶。
+ **檢查根使用者憑證的狀態**。使用下列命令,來檢查成員帳戶的根使用者憑證狀態。
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **刪除根使用者憑證**。使用下列命令刪除根存取權。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用多重要素驗證 (MFA),以移除對根使用者的所有存取和復原。
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **刪除 Amazon S3 儲存貯體政策**。使用下列命令來讀取、編輯和刪除設定錯誤的儲存貯體政策,此政策拒絕所有主體存取 Amazon S3 儲存貯體。
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **刪除 Amazon SQS 政策**。使用下列命令,來檢視和刪除拒絕所有主體存取 Amazon SQS 佇列的 Amazon Simple Queue Service 資源型政策。
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **允許密碼復原**。使用下列命令來檢視使用者名稱,並復原成員帳戶的根使用者憑證。
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)