Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengakses akun anggota dalam organisasi dengan AWS Organizations
Saat Anda membuat akun di organisasi, selain pengguna root,AWS Organizations secara otomatis membuat IAM role yang secara default diberi nama `OrganizationAccountAccessRole`. Anda dapat menentukan nama yang berbeda saat Anda membuatnya, namun kami menyarankan Anda menamainya secara konsisten di semua akun Anda. AWS Organizations tidak membuat pengguna atau peran lain.
Untuk mengakses akun di organisasi Anda, Anda harus menggunakan salah satu metode berikut:
**Izin minimum**
Untuk mengakses Akun AWS dari akun lain di organisasi Anda, Anda harus memiliki izin berikut:
`sts:AssumeRole` — Elemen `Resource` harus diatur ke tanda bintang (\$1) atau nomor ID akun dengan pengguna yang perlu mengakses akun anggota baru
------
#### [ Using the root user (Not recommended for everyday tasks) ]
Saat Anda membuat akun anggota baru di organisasi Anda, akun tersebut tidak memiliki kredensi pengguna root secara default. Akun anggota tidak dapat masuk ke pengguna root mereka atau melakukan pemulihan kata sandi untuk pengguna root mereka kecuali pemulihan akun diaktifkan.
Anda dapat [memusatkan akses root untuk akun anggota untuk](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) menghapus kredensi pengguna root untuk akun anggota yang ada di organisasi Anda. Menghapus kredensi pengguna root menghapus kata sandi pengguna root, kunci akses, menandatangani sertifikat, dan menonaktifkan otentikasi multi-faktor (MFA). Akun anggota ini tidak memiliki kredensi pengguna root, tidak dapat masuk sebagai pengguna root, dan dicegah memulihkan kata sandi pengguna root. Akun baru yang Anda buat di Organizations tidak memiliki kredensi pengguna root secara default.
Hubungi administrator Anda jika Anda perlu melakukan tugas yang memerlukan kredensi pengguna root pada akun anggota di mana kredensi pengguna root tidak ada.
Untuk mengakses akun anggota Anda sebagai pengguna root, Anda harus melalui proses pemulihan kata sandi. Untuk informasi selengkapnya, lihat [Saya lupa kata sandi pengguna root untuk saya Akun AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password) di *Panduan Pengguna AWS Masuk*.
Jika Anda harus mengakses akun anggota menggunakan pengguna root, ikuti praktik terbaik berikut:
+ Jangan gunakan pengguna root untuk mengakses akun Anda kecuali untuk membuat pengguna dan peran lain dengan izin yang lebih terbatas. Setelah itu, masuk sebagai salah satu pengguna atau peran tersebut.
+ [Aktifkan otentikasi multi-faktor (MFA) pada pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa). Setel ulang kata sandi, dan [tetapkan perangkat MFA ke pengguna akar](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html).
Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. Untuk rekomendasi keamanan pengguna root tambahan, lihat [Praktik terbaik pengguna Root untuk Anda Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) di *Panduan Pengguna IAM*.
------
#### [ Using trusted access for IAM Identity Center ]
Gunakan [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)dan aktifkan akses tepercaya untuk IAM Identity Center dengan AWS Organizations. Hal ini memungkinkan pengguna untuk masuk ke portal AWS akses dengan kredensi perusahaan mereka dan mengakses sumber daya di akun manajemen atau akun anggota yang ditugaskan.
Untuk informasi selengkapnya, lihat [Izin multi-akun](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html) di *AWS IAM Identity Center Panduan Pengguna*. Untuk informasi tentang menyiapkan akses tepercaya untuk Pusat Identitas IAM, lihat[AWS IAM Identity Center dan AWS Organizations](services-that-can-integrate-sso.md).
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
Jika Anda membuat akun dengan menggunakan alat yang disediakan sebagai bagian dari AWS Organizations, Anda dapat mengakses akun dengan menggunakan nama peran yang telah dikonfigurasi sebelumnya `OrganizationAccountAccessRole` yang ada di semua akun baru yang Anda buat dengan cara ini. Untuk informasi selengkapnya, lihat [Mengakses akun anggota yang memiliki OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Jika Anda mengundang akun yang ada untuk bergabung dengan organisasi Anda dan akun tersebut menerima undangan, Anda kemudian dapat memilih untuk membuat IAM role yang memungkinkan akun pengelolaan mengakses akun anggota yang diundang. Peran ini dimaksudkan agar identik dengan peran yang ditambahkan secara otomatis ke akun yang dibuat dengan AWS Organizations.
Untuk membuat peran ini, lihat [Membuat OrganizationAccountAccessRole akun yang diundang dengan AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Setelah membuat peran, Anda dapat mengaksesnya menggunakan langkah-langkah di [Mengakses akun anggota yang memiliki OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
------
**Topics**
+ [Membuat peran akses IAM](orgs_manage_accounts_create-cross-account-role.md)
+ [Menggunakan peran akses IAM](orgs_manage_accounts_access-cross-account-role.md)
# Membuat OrganizationAccountAccessRole akun yang diundang dengan AWS Organizations
Secara default, jika Anda membuat akun anggota sebagai bagian dari organisasi, AWS secara otomatis membuat peran dalam akun yang memberikan izin administrator untuk pengguna IAM di akun pengelolaan yang dapat mengambil peran tersebut. Secara default, peran diberi nama `OrganizationAccountAccessRole`. Untuk informasi lebih lanjut, lihat [Mengakses akun anggota yang memiliki OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
Namun, akun anggota yang Anda *undang* untuk bergabung dengan organisasi Anda ***tidak*** secara otomatis mendapatkan peran administrator yang dibuat. Anda harus melakukannya secara manual, seperti yang ditunjukkan dalam prosedur berikut. Hal ini pada dasarnya menduplikasi peran secara otomatis yang disiapkan untuk akun yang dibuat. Kami menyarankan agar Anda menggunakan nama yang sama, `OrganizationAccountAccessRole`, untuk peran Anda yang dibuat secara manual untuk konsistensi dan kemudahan mengingatnya.
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat peran AWS Organizations administrator di akun anggota**
1. Masuk ke konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar ([tidak disarankan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun anggota. Pengguna atau peran harus memiliki izin untuk membuat peran dan kebijakan IAM.
1. Di konsol IAM, navigasikan ke **Peran** dan kemudian pilih **Buat peran**.
1. Pilih **Akun AWS**, lalu pilih **Lainnya Akun AWS**.
1. Masukkan 12 digit nomor ID akun dari akun manajemen yang ingin Anda berikan akses administrator. Di bawah **Opsi**, harap perhatikan hal berikut:
+ Untuk peran ini, karena akun adalah internal perusahaan Anda, maka Anda harus **tidak** memilih **Minta ID eksternal**. Untuk informasi selengkapnya tentang opsi ID eksternal, lihat [Kapan saya harus menggunakan ID eksternal?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) di *Panduan Pengguna IAM*.
+ Jika Anda telah mengaktifkan dan mengonfigurasi MFA, maka Anda dapat memilih untuk meminta autentikasi menggunakan perangkat MFA. *Untuk informasi selengkapnya tentang MFA, lihat [Menggunakan otentikasi multi-faktor (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) di Panduan Pengguna IAM.*
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kebijakan AWS terkelola bernama, `AdministratorAccess` lalu pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, tentukan nama peran dan deskripsi opsional. Kami menyarankan agar Anda menggunakan `OrganizationAccountAccessRole`, agar konsisten dengan nama default yang ditetapkan ke peran di akun baru. Untuk melakukan perubahan Anda, pilih **Buat peran**.
1. Peran baru Anda akan muncul di daftar peran yang tersedia. Pilih nama peran baru untuk melihat detailnya, perhatikan dengan baik URL tautan yang disediakan. Berikan URL ini kepada pengguna di akun anggota yang perlu mengakses peran tersebut. Perhatikan juga **ARN Peran** karena Anda akan membutuhkannya di langkah 15.
1. Masuk ke konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Kali ini, masuk sebagai pengguna di akun pengelolaan yang memiliki izin untuk membuat kebijakan dan menetapkan kebijakan untuk pengguna atau grup.
1. Arahkan ke **Kebijakan**, lalu pilih **Buat kebijakan**.
1. Untuk **Layanan**, pilih **STS**.
1. Untuk **Tindakan**, mulai ketik **AssumeRole** di **Filter** dan pilih kotak centang di sampingnya saat muncul.
1. Di bawah **Sumber Daya**, pastikan **Spesifik** dipilih dan kemudian pilih **Tambah ARNs**.
1. Masukkan nomor ID akun AWS anggota lalu masukkan nama peran yang sebelumnya Anda buat di langkah 1—8. Pilih **Tambahkan ARNs**.
1. Jika Anda memberikan izin untuk mengambil peran di beberapa akun anggota, ulangi langkah 14 dan 15 untuk setiap akun.
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan buat**, masukkan nama untuk kebijakan baru, lalu pilih **Buat kebijakan** untuk menyimpan perubahan Anda.
1. Pilih **Grup pengguna** di panel navigasi lalu pilih nama grup (bukan kotak centang) yang ingin Anda gunakan untuk mendelegasikan administrasi akun anggota.
1. Pilih tab **Izin**.
1. Pilih **Tambahkan izin**, pilih **Lampirkan kebijakan**, lalu pilih kebijakan yang Anda buat di langkah 11—18.
------
Pengguna yang menjadi anggota grup yang dipilih sekarang dapat menggunakan URLs yang Anda ambil di langkah 9 untuk mengakses peran setiap akun anggota. Mereka dapat mengakses akun anggota ini dengan cara yang sama seperti jika mengakses akun yang Anda buat di organisasi. Untuk informasi selengkapnya tentang penggunaan peran untuk mengelola akun anggota, lihat [Mengakses akun anggota yang memiliki OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).
# Mengakses akun anggota yang memiliki OrganizationAccountAccessRole AWS Organizations
Saat Anda membuat akun anggota menggunakan AWS Organizations konsol, AWS Organizations *secara otomatis* membuat peran IAM yang disebutkan `OrganizationAccountAccessRole` di akun. Peran ini memiliki izin administratif penuh di akun anggota. Ruang lingkup akses untuk peran ini mencakup semua prinsip dalam akun manajemen, sehingga peran tersebut dikonfigurasi untuk memberikan akses ke akun manajemen organisasi.
Anda dapat membuat peran yang sama untuk akun anggota yang diundang dengan mengikuti langkah-langkah di [Membuat OrganizationAccountAccessRole akun yang diundang dengan AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).
Untuk menggunakan peran ini untuk mengakses akun anggota, Anda harus masuk sebagai pengguna dari akun pengelolaan yang memiliki izin untuk mengambil peran tersebut. Untuk mengkonfigurasi izin ini, lakukan prosedur berikut. Kami merekomendasikan agar Anda memberikan izin ke grup bukan pengguna untuk kemudahan pemeliharaan.
------
#### [ Konsol Manajemen AWS ]
**Untuk memberikan izin kepada anggota grup IAM di akun pengelolaan untuk mengakses peran**
1. Masuk ke konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)sebagai pengguna dengan izin administrator di akun manajemen. Hal ini diperlukan untuk mendelegasikan izin ke grup IAM pengguna yang akan mengakses peran dalam akun anggota itu.
1. Mulailah dengan membuat kebijakan terkelola yang Anda butuhkan nanti di [Step 14](#step-choose-group).
Pada panel navigasi, pilih **Kebijakan**, lalu pilih **Buat kebijakan**.
1. Pada tab Editor visual, pilih **Pilih layanan**, masukkan **STS** di kotak pencarian untuk memfilter daftar, lalu pilih opsi **STS**.
1. Di bagian **Tindakan**, masukkan **assume** di kotak pencarian untuk memfilter daftar, lalu pilih **AssumeRole**opsi.
1. Di bagian **Sumber Daya**, pilih **Spesifik**, pilih **Tambah ARNs**
1. Di bagian **Tentukan ARN**, pilih **Akun lain** untuk Sumber Daya di.
1. Masukkan ID akun anggota yang baru saja Anda buat
1. Untuk **nama peran Sumber Daya dengan jalur**, masukkan nama peran yang Anda buat di bagian sebelumnya (kami sarankan untuk menamainya`OrganizationAccountAccessRole`).
1. Pilih **Tambah ARNs** ketika kotak dialog menampilkan ARN yang benar.
1. (Opsional) Jika Anda ingin mewajibkan autentikasi multi faktor (MFA), atau membatasi akses ke peran dari rentang alamat IP tertentu, maka perluas bagian syarat Permintaan, dan pilih opsi yang ingin Anda terapkan.
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan buat**, masukkan nama untuk kebijakan baru. Sebagai contoh : **GrantAccessToOrganizationAccountAccessRole**. Anda juga dapat menambahkan deskripsi opsional.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan terkelola baru Anda.
1. Setelah kebijakan tersedia, Anda dapat melampirkannya ke grup.
Di panel navigasi, pilih **Grup pengguna** lalu pilih nama grup (bukan kotak centang) yang anggotanya ingin Anda dapat mengambil peran di akun anggota. Jika perlu, Anda dapat membuat grup baru.
1. Pilih tab **Izin**, pilih **Tambahkan izin**, lalu pilih **Lampirkan** kebijakan.
1. (Opsional) Dalam kotak **Pencarian**, Anda dapat mulai mengetik nama kebijakan Anda untuk mem-filter daftar sampai Anda dapat melihat nama kebijakan Anda yang baru saja dibuat di [Step 2](#step-create-policy) melalui [Step 13](#step-end-policy). Anda juga dapat memfilter semua kebijakan AWS terkelola dengan memilih **Semua jenis** dan kemudian memilih **Customer managed**.
1. Centang kotak di samping kebijakan Anda, lalu pilih **Lampirkan kebijakan**.
------
Pengguna IAM yang merupakan anggota grup sekarang memiliki izin untuk beralih ke peran baru di AWS Organizations konsol dengan menggunakan prosedur berikut.
------
#### [ Konsol Manajemen AWS ]
**Untuk beralih ke peran akun anggota**
Saat menggunakan peran, pengguna memiliki izin administrator di akun anggota baru. Instruksikan pengguna IAM Anda yang merupakan anggota grup untuk melakukan hal berikut untuk beralih ke peran baru.
1. **Dari sudut kanan atas AWS Organizations konsol, pilih tautan yang berisi nama masuk Anda saat ini, lalu pilih Beralih Peran.**
1. Masukkan nomor ID akun dan nama peran yang disediakan administrator.
1. Untuk **Nama Tampilan**, masukkan teks yang ingin Anda tampilkan di bilah navigasi di sudut kanan atas di tempat nama pengguna Anda saat Anda menggunakan peran tersebut. Anda dapat memilih warna secara opsional.
1. Pilih **Ganti Peran**. Sekarang semua tindakan yang Anda lakukan akan dilakukan dengan izin yang diberikan untuk peran yang Anda beralih padanya. Anda tidak lagi memiliki izin yang terkait dengan pengguna IAM asli Anda sampai Anda beralih kembali.
1. Setelah selesai melakukan tindakan yang memerlukan izin peran, Anda dapat beralih kembali ke pengguna IAM normal. **Pilih nama peran di sudut kanan atas (apa pun yang Anda tentukan sebagai **Nama Tampilan**) lalu pilih Kembali ke. *UserName***
------