单个 AWS 组织中的多个根帐户:IAM 管理员无法查看指定区域中的所有 EC2 实例
Multiple Root accounts in single AWS organization: IAM admin can't see all EC2 instances in specified region
这个问题可能看起来很幼稚,但我正在与我们的 AWS 组织一起努力。我们有 3 个独立的根帐户连接在一个组织中,具有 IAM 帐户和策略。我们只能在 EC2 列表中看到来自默认根帐户的实例(是的,我正在寻找正确的区域)。我们已在所有其他帐户之间共享完整的帐户访问权限并接受了邀请。我们的计费工作完美,从我们的主要根帐户开始(我可以看到其他单独帐户的计费很好)。即使是我们最高级别的管理员(字面意思是授予所有权限)也无法看到从单独的根帐户之一启动的实例。
我们的目标是我们的管理员组应该看到来自组织中所有 3 个根帐户的 EC2 实例,而无需切换帐户或凭据。
我知道这一定是可能的,但我已经花了至少 2 个小时而且还没有走多远。关于如何实现这一目标的任何建议?
此处存在一些术语问题。 AWS Organizations 中没有 root accounts 或 main root accounts。有一个 master 个 AWS 账户,并且有零个或多个 member 个 AWS 账户。
术语 root 是指主账户中的 AWS Organizations 结构,它是您组织中所有成员账户的父容器。有关更多信息,请参阅 AWS Organizations Terminology and Concepts。
有两种方法可以'join'组织成员帐户:
- 主账户的管理员创建了一个新的成员账户
- 主账户的管理员邀请现有账户成为会员
如果您使用选项 #1,将通过一个名为 OrganizationAccountAccessRole 的自动创建的 IAM 角色自动为您提供对成员账户的管理控制,您可以使用该角色向主账户中的用户授予管理员访问权限创建的会员账号。
如果您使用选项 #2,您不会自动拥有对成员帐户的完全管理员控制权。如果您希望主账户对受邀成员账户拥有完全管理控制权,您必须在成员账户中创建 OrganizationAccountAccessRole IAM 角色并授予主账户代入该角色的权限。要配置此功能,请在受邀帐户成为会员后,按照 Creating the OrganizationAccountAccessRole in an Invited Member Account.
中的步骤操作
@jarmod 的回答很好地概述了术语。我认为它无法解决您的 可见性 问题。
您的假设似乎是组织的主账户应该能够直接在其 AWS 控制台或通过 [=] 查看组织内所有账户的所有资源42=]。那是不正确。
账户里的资源一般还是分开的(虽然有些东西可以共享,但那是另外一回事),但是你可以换成这些账户通过承担一个角色帐户,然后您就可以看到资源——这就是@jarmod 所描述的。 在您更改为帐户后,您将能够看到相应帐户中的所有资源。
要了解有关组织及其能力的更多信息,这里有一些有用的链接:
- Documentation on Managing Access Permissions for Your AWS Organization
- Services that can be used in conjunction with organizations
AWS 账户中的资源在逻辑上属于该账户而不属于其组织。
这个问题可能看起来很幼稚,但我正在与我们的 AWS 组织一起努力。我们有 3 个独立的根帐户连接在一个组织中,具有 IAM 帐户和策略。我们只能在 EC2 列表中看到来自默认根帐户的实例(是的,我正在寻找正确的区域)。我们已在所有其他帐户之间共享完整的帐户访问权限并接受了邀请。我们的计费工作完美,从我们的主要根帐户开始(我可以看到其他单独帐户的计费很好)。即使是我们最高级别的管理员(字面意思是授予所有权限)也无法看到从单独的根帐户之一启动的实例。
我们的目标是我们的管理员组应该看到来自组织中所有 3 个根帐户的 EC2 实例,而无需切换帐户或凭据。
我知道这一定是可能的,但我已经花了至少 2 个小时而且还没有走多远。关于如何实现这一目标的任何建议?
此处存在一些术语问题。 AWS Organizations 中没有 root accounts 或 main root accounts。有一个 master 个 AWS 账户,并且有零个或多个 member 个 AWS 账户。
术语 root 是指主账户中的 AWS Organizations 结构,它是您组织中所有成员账户的父容器。有关更多信息,请参阅 AWS Organizations Terminology and Concepts。
有两种方法可以'join'组织成员帐户:
- 主账户的管理员创建了一个新的成员账户
- 主账户的管理员邀请现有账户成为会员
如果您使用选项 #1,将通过一个名为 OrganizationAccountAccessRole 的自动创建的 IAM 角色自动为您提供对成员账户的管理控制,您可以使用该角色向主账户中的用户授予管理员访问权限创建的会员账号。
如果您使用选项 #2,您不会自动拥有对成员帐户的完全管理员控制权。如果您希望主账户对受邀成员账户拥有完全管理控制权,您必须在成员账户中创建 OrganizationAccountAccessRole IAM 角色并授予主账户代入该角色的权限。要配置此功能,请在受邀帐户成为会员后,按照 Creating the OrganizationAccountAccessRole in an Invited Member Account.
@jarmod 的回答很好地概述了术语。我认为它无法解决您的 可见性 问题。
您的假设似乎是组织的主账户应该能够直接在其 AWS 控制台或通过 [=] 查看组织内所有账户的所有资源42=]。那是不正确。
账户里的资源一般还是分开的(虽然有些东西可以共享,但那是另外一回事),但是你可以换成这些账户通过承担一个角色帐户,然后您就可以看到资源——这就是@jarmod 所描述的。 在您更改为帐户后,您将能够看到相应帐户中的所有资源。
要了解有关组织及其能力的更多信息,这里有一些有用的链接:
- Documentation on Managing Access Permissions for Your AWS Organization
- Services that can be used in conjunction with organizations
AWS 账户中的资源在逻辑上属于该账户而不属于其组织。