Acessando contas de membros em uma organização com AWS Organizations

Quando você cria uma conta na organização, além do usuário-raiz, o AWS Organizations cria automaticamente uma função do IAM denominada OrganizationAccountAccessRole por padrão. Você pode especificar um nome diferente ao criá-lo, mas recomendamos que você o nomeie de forma consistente em todas as suas contas. AWS Organizations não cria nenhum outro usuário ou função.

Para acessar as contas em sua organização, você deve usar um dos seguintes métodos:

Permissões mínimas

Para acessar e Conta da AWS de qualquer outra conta em sua organização, você deve ter a seguinte permissão:

sts:AssumeRole – o elemento Resource deve ser definido como um asterisco (*) ou o número do ID da conta com o usuário que precisa acessar a nova conta-membro

Using the root user (Not recommended for everyday tasks)

Quando você criar uma nova conta de membro na sua organização, a conta não terá credenciais de usuário-raiz por padrão. As contas-membro não podem fazer login com o usuário-raiz nem realizar a recuperação da senha do usuário-raiz, a menos que a recuperação de conta esteja habilitada.

Você pode centralizar o acesso raiz para contas de membros, removendo as credenciais de usuário-raiz das contas de membros existentes em sua organização. A exclusão das credenciais do usuário-raiz removerá a senha do usuário-raiz, as chaves de acesso e os certificados de assinatura e desativará a autenticação multifator (MFA). Essas contas-membro não têm credenciais de usuário-raiz, não podem fazer login como usuário-raiz e são impedidas de recuperar a senha do usuário-raiz. As novas contas que você criar no Organizations não terão credenciais de usuário-raiz por padrão.

Entre em contato com seu administrador se precisar realizar uma tarefa que exija credenciais de usuário-raiz em uma conta de membro na qual essas credenciais não estejam presentes.

Para acessar a conta de membro como o usuário-raiz, você precisa passar pelo processo de recuperação de senha. Consulte Esqueci a senha de usuário-raiz da minha Conta da AWS no Guia do usuário do AWS Sign-In para obter mais informações.

Se você precisa acessar uma conta de membro usando o usuário-raiz, siga as práticas recomendadas:

Não use o usuário-raiz para acessar a conta para nada além de criar outros usuários e funções com permissões mais limitadas. Em seguida, faça login como um desses usuários ou funções.
Habilitar a autenticação multifator (MFA) no usuário-raiz Redefina a senha e atribua um dispositivo MFA ao usuário raiz.

Para obter a lista completa das tarefas que exigem login como usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz no Guia do Usuário do IAM. Para obter mais recomendações de segurança do usuário-raiz, consulte Práticas recomendadas do usuário-raiz para sua Conta da AWS no Guia do usuário do IAM .

Using trusted access for IAM Identity Center

Use Centro de Identidade do AWS IAMe habilite o acesso confiável para o IAM Identity Center com AWS Organizations. Isso permite que os usuários entrem no portal de AWS acesso com suas credenciais corporativas e acessem recursos na conta de gerenciamento atribuída ou nas contas de membros.

Para obter mais informações, consulte Permissões para várias contas no Guia do usuário do Centro de Identidade do AWS IAM . Para obter informações sobre como configurar o acesso confiável para o IAM Identity Center, consulte Centro de Identidade do AWS IAM and AWS Organizations.

Using the IAM role OrganizationAccountAccessRole

Se você criar uma conta usando as ferramentas fornecidas como parte do AWS Organizations, poderá acessar a conta usando a função pré-configurada chamada OrganizationAccountAccessRole que existe em todas as novas contas que você cria dessa forma. Para obter mais informações, consulte Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations.

Se você convidar uma conta existente para participar de sua organização e a conta aceitar o convite, poderá optar por criar um perfil do IAM que permita o acesso da conta gerencial à conta-membro. Essa função deve ser idêntica à função adicionada automaticamente a uma conta criada com o AWS Organizations.

Para criar essa função, consulte Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations.

Depois de criar a função, acesse-a usando as etapas em Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar uma conta-membro

Como criar um perfil de acesso do IAM