Nic*_*lly 4 amazon-ec2 amazon-web-services amazon-iam aws-organizations aws-iam
这个问题可能看起来很笨拙,但我正在与我们的 AWS 组织保持联系。我们将 3 个独立的根账户连接到一个组织中,并使用 IAM 账户和策略。我们只能在 EC2 列表中看到来自默认 root 帐户的实例(是的,我正在寻找正确的区域)。我们已在所有其他帐户之间共享完整帐户访问权限并接受了邀请。我们的计费工作完美,并且从我们的主根帐户漏斗(我可以看到其他单独帐户的计费很好)。即使是我们最高级别的管理员(字面意思是对所有内容的授予权限)也无法看到从单独的根帐户之一启动的实例。
我们的目标是我们的管理员组应该可以看到来自组织中所有 3 个根账户的 EC2 实例,而无需切换账户或凭证。
我知道这必须是可能的,但我已经花了至少 2 个小时并且没有走多远。关于如何实现这一目标的任何建议?
这里有一些术语问题。AWS Organizations中没有根账户或主根账户。有一个主AWS 账户,并且有零个或多个成员AWS 账户。
术语根是指主账户中的 AWS Organizations 构造,它是您组织中所有成员账户的父容器。有关更多信息,请参阅AWS Organizations 术语和概念。
有两种方法可以将成员帐户“加入”到组织中:
如果您使用选项 #1,则会通过自动创建的 IAM 角色自动为您提供对成员账户的管理控制OrganizationAccountAccessRole,您可以使用该角色授予主账户管理员对创建的成员账户的访问权限。
如果您使用选项 #2,您不会自动拥有对成员帐户的完全管理员控制权。如果您希望主账户对受邀成员账户拥有完全的管理控制权,您必须OrganizationAccountAccessRole在成员账户中创建IAM 角色并向主账户授予担任该角色的权限。要对此进行配置,在受邀帐户成为成员后,请按照在受邀成员帐户中创建 OrganizationAccountAccessRole 中的步骤进行操作。
@jarmod 的回答很好地概述了术语。我认为它不能解决您的可见性问题。
您的假设似乎是组织的主账户应该能够在其 AWS 控制台或通过 API直接查看组织内所有账户的所有资源。那不正确。
账户中的资源一般还是分开的(虽然有些东西可以共享,但那是另外一回事了),但是你可以通过在账户中扮演一个角色来切换到这些账户,然后你就可以看到资源了——这是@jarmod 在描述什么。之后你变成了账户,你就可以看到所有的资源范围内是各自的帐户。
要了解有关组织及其能力的更多信息,以下是一些有用的链接:
AWS 账户中的资源在逻辑上属于该账户而不是其组织。
| 归档时间: |
|
| 查看次数: |
3804 次 |
| 最近记录: |