Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accès aux comptes des membres d'une organisation avec AWS Organizations
Lorsque vous créez un compte dans votre organisation, en plus de l'utilisateur racine, AWS Organizations crée automatiquement un rôle IAM nommé par défaut `OrganizationAccountAccessRole`. Vous pouvez spécifier un autre nom lorsque vous le créez, mais nous vous recommandons de le nommer de manière cohérente sur tous vos comptes. AWS Organizations ne crée aucun autre utilisateur ou rôle.
Pour accéder aux comptes de votre organisation, vous devez utiliser l'une des méthodes suivantes :
**Autorisations minimales**
Pour accéder à un compte Compte AWS depuis n'importe quel autre compte de votre organisation, vous devez disposer des autorisations suivantes :
`sts:AssumeRole` - L'élément `Resource` doit être défini sur un astérisque (\$1) ou sur l'ID du compte associé à l'utilisateur ayant besoin d'accéder au nouveau compte membre.
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Lorsque vous créez un nouveau compte membre dans votre organisation, le compte ne possède aucun identifiant d'utilisateur root par défaut. Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine si la récupération de compte n’est pas activée.
Vous pouvez [centraliser l'accès root pour les comptes membres](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) afin de supprimer les informations d'identification des utilisateurs root pour les comptes membres existants de votre organisation. La suppression des informations d'identification de l'utilisateur root supprime le mot de passe de l'utilisateur root, les clés d'accès, les certificats de signature et désactive l'authentification multifactorielle (MFA). Ces comptes membres ne disposent pas d’informations d’identification de l’utilisateur racine, ne peuvent pas se connecter en tant qu’utilisateur racine et ne peuvent pas récupérer le mot de passe de l’utilisateur racine. Les nouveaux comptes que vous créez dans Organizations ne disposent par défaut d’aucunes informations d’identification d’utilisateur racine.
Contactez votre administrateur si vous devez effectuer une tâche qui nécessite les informations d'identification de l'utilisateur root sur un compte membre où les informations d'identification de l'utilisateur root ne sont pas présentes.
Pour accéder à votre compte de membre en tant qu'utilisateur root, vous devez suivre le processus de récupération du mot de passe. Pour plus d'informations, consultez la section [J'ai oublié mon mot de passe utilisateur root Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) dans le *guide de AWS connexion de l'utilisateur*.
Si vous devez accéder à un compte membre en utilisant l'utilisateur root, suivez les bonnes pratiques suivantes :
+ N'utilisez pas l'utilisateur root pour accéder à votre compte, sauf pour créer d'autres utilisateurs et rôles avec des autorisations plus limitées. Ensuite, connectez-vous en tant que l'un de ces utilisateurs ou rôles.
+ [Activez l'authentification multifactorielle (MFA) sur l'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Réinitialisez le mot de passe et [attribuez un dispositif MFA à l'utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez [Tâches nécessitant des informations d’identification d’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. Pour des recommandations de sécurité supplémentaires pour les utilisateurs [root, consultez les meilleures pratiques pour les utilisateurs root Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) dans le *guide de l'utilisateur IAM*.
------
#### [ Using trusted access for IAM Identity Center ]
Utilisez [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)et activez un accès sécurisé pour IAM Identity Center avec AWS Organizations. Cela permet aux utilisateurs de se connecter au portail d' AWS accès avec leurs informations d'identification professionnelles et d'accéder aux ressources du compte de gestion ou des comptes membres qui leur ont été attribués.
Pour plus d'informations, consultez [Autorisations de plusieurs comptes](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) dans le *Guide de l'utilisateur AWS IAM Identity Center .* Pour plus d'informations sur la configuration de l'accès de confiance à IAM Identity Center, consultez [AWS IAM Identity Center et AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Si vous créez un compte à l'aide des outils fournis dans le cadre de AWS Organizations, vous pouvez accéder au compte en utilisant le nom de rôle préconfiguré `OrganizationAccountAccessRole` qui existe dans tous les nouveaux comptes que vous créez de cette manière. Pour de plus amples informations, veuillez consulter [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Si vous invitez un compte existant à rejoindre votre organisation et qu'il accepte l'invitation, vous pouvez ensuite décider de créer un rôle IAM qui permet au compte de gestion d'accéder au compte membre invité. Ce rôle est censé être identique au rôle automatiquement ajouté à un compte créé avec AWS Organizations.
Pour créer ce rôle, consultez [Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Après avoir créé le rôle, vous pouvez y accéder grâce à la procédure décrite dans [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Création d'un rôle d'accès IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Utilisation du rôle d'accès IAM](orgs_manage_accounts_access-cross-account-role.md)
# Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations
Par défaut, si vous créez un compte membre dans le cadre de votre organisation, AWS crée automatiquement dans le compte un rôle qui accorde des autorisations d'administrateur aux utilisateurs IAM du compte de gestion qui peuvent assumer le rôle. Par défaut, ce rôle est nommé `OrganizationAccountAccessRole`. Pour de plus amples informations, consultez [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Cependant, un rôle administrateur n'est ***pas*** automatiquement créé pour les comptes membres que vous *invitez* à rejoindre votre organisation. Vous devez le faire manuellement, comme indiqué dans la procédure suivante. Cela permet essentiellement de dupliquer le rôle automatiquement configuré pour les comptes créés. Nous vous recommandons d'utiliser le même nom (`OrganizationAccountAccessRole`) pour les rôles créés manuellement afin de faciliter la cohérence et la mémorisation.
------
#### [ AWS Management Console ]
**Pour créer un rôle d' AWS Organizations administrateur dans un compte membre**
1. Connectez-vous à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte membre. L'utilisateur ou le rôle doit être autorisé à créer des rôles et des politiques IAM.
1. Dans la console IAM, accédez à **Rôles**, puis sélectionnez **Créer un rôle**.
1. Choisissez **Compte AWS**, puis sélectionnez **Autre Compte AWS**.
1. Entrez le numéro d'identification à 12 chiffres du compte de gestion auquel vous souhaitez accorder l'accès administrateur. Dans la **section Options**, veuillez noter ce qui suit :
+ Pour ce rôle, dans la mesure où les comptes sont internes à votre société, ne choisissez **pas** **Exiger un ID externe**. Pour plus d'informations sur l'option ID externe, voir [Quand dois-je utiliser un ID externe ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) dans le *guide de l'utilisateur IAM*.
+ Si l'authentification MFA est activée et configurée, vous pouvez éventuellement exiger une authentification à l'aide d'un périphérique MFA. *Pour plus d'informations sur l'authentification multifactorielle, consultez la section [Utilisation de l'authentification multifactorielle (MFA) AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) le guide de l'utilisateur IAM.*
1. Choisissez **Suivant**.
1. Sur la page **Ajouter des autorisations**, choisissez la politique AWS gérée nommée, `AdministratorAccess` puis cliquez sur **Suivant**.
1. Sur la page **Nom, révision et création**, spécifiez un nom de rôle et une description facultative. Nous vous recommandons d'utiliser `OrganizationAccountAccessRole`, par souci de cohérence avec le nom par défaut attribué au rôle dans les nouveaux comptes. Pour valider vos modifications, choisissez **Créer un rôle**.
1. Votre nouveau rôle s'affiche sur la liste des rôles disponibles. Choisissez le nom du nouveau rôle pour en afficher les détails et prêtez une attention particulière à l'adresse URL fournie. Communiquez cette URL aux utilisateurs du compte membre qui ont besoin d'accéder au rôle. Notez également le nom **ARN de rôle** car il est nécessaire à l’étape 15.
1. Connectez-vous à la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. Cette fois, connectez-vous en tant qu'utilisateur du compte de gestion, qui dispose des autorisations pour créer des politiques et attribuer des politiques à des utilisateurs ou des groupes.
1. Accédez à **Politiques**, puis choisissez **Créer une politique**.
1. Pour **Service**, choisissez **STS**.
1. Pour **Actions**, commencez par saisir **AssumeRole** dans la zone **Filtrer**, puis sélectionnez la case en regard de celle-ci lorsqu'elle s'affiche.
1. Sous **Ressources**, assurez-vous que **Spécifique** est sélectionné, puis choisissez **Ajouter ARNs**.
1. Entrez le numéro d'identification du compte AWS membre, puis le nom du rôle que vous avez créé précédemment aux étapes 1 à 8. Choisissez **Ajouter ARNs**.
1. Si vous accordez l'autorisation d'assumer le rôle dans plusieurs comptes membres, répétez les étapes 14 et 15 pour chaque compte.
1. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, entrez le nom de la nouvelle politique, puis choisissez **Créer une politique** pour enregistrer vos modifications.
1. Choisissez **Groupes d'utilisateurs** dans le volet de navigation, puis choisissez le nom du groupe (et non la case à cocher) que vous souhaitez utiliser pour déléguer l'administration du compte membre.
1. Sélectionnez l’onglet **Autorisations**.
1. Choisissez **Ajouter des autorisations**, choisissez **Joindre des politiques**, puis sélectionnez la politique que vous avez créée aux étapes 11 à 18.
------
Les utilisateurs membres du groupe sélectionné peuvent désormais utiliser les informations URLs que vous avez capturées à l'étape 9 pour accéder au rôle de chaque compte membre. Ils peuvent accéder à ces comptes membres de la même façon qu'ils le feraient pour accéder à un compte créé dans l'organisation. Pour de plus amples informations sur l'utilisation du rôle pour administrer un compte membre, consultez [Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations
Lorsque vous créez un compte membre à l'aide de la AWS Organizations console, un rôle IAM nommé `OrganizationAccountAccessRole` dans le compte est AWS Organizations *automatiquement* créé. Ce rôle possède les autorisations d'administration complètes du compte membre. La portée de l'accès pour ce rôle inclut tous les principaux du compte de gestion, si bien que le rôle est configuré pour accorder cet accès au compte de gestion de l'organisation.
Vous pouvez créer un rôle identique pour un compte membre invité en suivant les étapes indiquées dans [Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Pour utiliser ce rôle afin d'accéder au compte membre, vous devez vous connecter en tant qu'utilisateur du compte de gestion disposant des autorisations pour assumer le rôle. Pour configurer ces autorisations, exécutez la procédure suivante. Nous vous recommandons d'accorder des autorisations à des groupes plutôt qu'à des utilisateurs pour faciliter la maintenance.
------
#### [ AWS Management Console ]
**Pour accorder des autorisations à des membres d'un groupe IAM dans le compte de gestion afin d'accéder au rôle**
1. Connectez-vous à la console IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)tant qu'utilisateur disposant des autorisations d'administrateur dans le compte de gestion. Cette action est obligatoire pour déléguer des autorisations au groupe IAM dont les utilisateurs accéderont au rôle dans le compte membre.
1. Commencez par créer la politique gérée dont vous aurez besoin ultérieurement dans [Step 14](#step-choose-group).
Dans le panneau de navigation, choisissez **Politiques**, puis **Créer une politique**.
1. Dans l'onglet Éditeur visuel, **choisissez Choisir un service**, entrez **STS** dans le champ de recherche pour filtrer la liste, puis choisissez l'option **STS**.
1. Dans la section **Actions**, entrez **assume** dans la zone de recherche pour filtrer la liste, puis choisissez l'**AssumeRole**option.
1. Dans la section **Ressources**, sélectionnez **Spécifique**, puis **Ajouter ARNs**
1. Dans la section **Spécifier les ARN**, choisissez **Autre compte** pour Resource in.
1. Entrez l'identifiant du compte membre que vous venez de créer
1. Pour **Nom du rôle de ressource avec chemin**, entrez le nom du rôle que vous avez créé dans la section précédente (nous vous recommandons de le nommer`OrganizationAccountAccessRole`).
1. Choisissez **Ajouter ARNs** lorsque la boîte de dialogue affiche le bon ARN.
1. (Facultatif) Si vous souhaitez exiger l'authentification multi-facteur (MFA) ou restreindre l'accès au rôle à partir d'une plage d'adresses IP spécifiée, développez la section Conditions de demande et sélectionnez les options à appliquer.
1. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, entrez le nom de la nouvelle politique. Par exemple : **GrantAccessToOrganizationAccountAccessRole**. Vous pouvez également ajouter une description si vous le souhaitez.
1. Choisissez **Créer une politique** pour enregistrer votre nouvelle politique gérée.
1. Maintenant que vous disposez de la politique, vous pouvez l'attacher à un groupe.
Dans le volet de navigation, choisissez **Groupes d'utilisateurs**, puis choisissez le nom du groupe (et non la case à cocher) dont vous souhaitez que les membres puissent assumer le rôle dans le compte membre. Si nécessaire, vous pouvez créer un nouveau groupe.
1. Choisissez l'onglet **Autorisations**, puis **Ajouter des autorisations**, et enfin **Attacher des politiques**.
1. (Facultatif) Dans la zone **Rechercher**, vous pouvez commencer à taper le nom de votre politique pour filtrer la liste jusqu'à ce que le nom de la politique que vous venez de créer aux étapes [Step 2](#step-create-policy) à [Step 13](#step-end-policy) apparaisse. Vous pouvez également filtrer toutes les politiques AWS gérées en choisissant **Tous les types**, puis en choisissant Gestion par **le client**.
1. Cochez la case à côté de votre politique, puis choisissez **Joindre des politiques**.
------
Les utilisateurs IAM membres du groupe sont désormais autorisés à passer au nouveau rôle dans la AWS Organizations console en suivant la procédure suivante.
------
#### [ AWS Management Console ]
**Pour endosser le rôle pour le compte membre**
Lorsqu'il utilise le rôle, l'utilisateur dispose des autorisations d'administration dans le nouveau compte membre. Indiquez à vos utilisateurs IAM qui sont membres du groupe d'effectuer les opérations suivantes pour endosser le nouveau rôle.
1. **Dans le coin supérieur droit de la AWS Organizations console, choisissez le lien contenant votre nom de connexion actuel, puis choisissez Changer de rôle.**
1. Entrez l'ID de compte et le nom de rôle fournis par votre administrateur.
1. Pour **Nom d'affichage**, entrez le texte que vous souhaitez afficher dans la barre de navigation dans le coin supérieur droit à la place de votre nom d'utilisateur quand vous utilisez ce rôle. Vous pouvez éventuellement choisir une couleur.
1. Choisissez **Changer de rôle**. À présent, toutes les actions que vous exécutez sont effectuées avec les autorisations accordées au rôle que vous avez endossé. Vous ne disposez plus des autorisations associées à votre utilisateur IAM d'origine jusqu'à ce que vous changiez de nouveau de rôle.
1. Lorsque vous avez terminé d'exécuter les actions qui exigent les autorisations de ce rôle, vous pouvez revenir à votre utilisateur IAM normal. Choisissez le nom du rôle dans le coin supérieur droit (quel que soit le nom que vous avez spécifié comme **nom d'affichage**), puis cliquez sur **Retour à**. *UserName*
------