单个AWS组织中的多个Root帐户:IAM管理员无法查看指定区域中的所有EC2实例

时间:2019-01-25 22:06:33

标签: amazon-web-services amazon-ec2 amazon-iam aws-iam aws-organizations

这个问题似乎不太乐观,但是我正在与我们的AWS组织联系。我们在一个组织中使用IAM帐户和策略连接了3个独立的根帐户。我们只能在EC2列表中看到来自默认根帐户的实例(是的,我正在正确的区域中查找)。我们已经在所有其他帐户中共享了完整的帐户访问权限,并接受了邀请。我们的帐单运作完美,并且可以从我们的主根帐户进入渠道(我可以看到其他单独帐户的帐单很好)。即使是我们最高级别的管理员(实际上是对所有内容的授予权限)也无法看到从单独的根帐户之一启动的实例。

我们的目标是管理员组应查看组织中所有3个根帐户的EC2实例,而无需切换帐户或凭据。

我知道这是必须的,但是我已经花了至少2个小时,而且还没走很远。关于如何实现这一目标的任何建议?

2 个答案:

答案 0 :(得分:4)

此处存在一些术语问题。 AWS Organizations中没有根帐户主根帐户。有一个 master AWS账户,有零个或多个 member AWS账户。

术语 root 是指主账户中的AWS Organizations构造,该组织是组织中所有成员账户的父容器。有关更多信息,请参见AWS Organizations Terminology and Concepts

有两种方法可以将会员帐户“加入”组织:

  1. 主帐户中的管理员创建一个新的成员帐户
  2. 主帐户中的
  3. 管理员邀请现有帐户成为成员

如果您使用选项#1,则会通过自动创建的名为OrganizationAccountAccessRole的IAM角色为您自动提供对会员帐户的管理控制,您可以使用该角色向主帐户中的用户授予对创建帐户的管理员访问权限会员帐户。

如果使用选项#2,则不会自动拥有对会员帐户的完全管理员控制权。如果希望主帐户对受邀请的成员帐户具有完全的管理控制权,则必须在成员帐户中创建OrganizationAccountAccessRole IAM角色,并授予主帐户许可以承担该角色。要进行配置,请在受邀帐户成为会员后,按照Creating the OrganizationAccountAccessRole in an Invited Member Account中的步骤进行操作。

答案 1 :(得分:2)

@jarmod的答案很好地概述了该术语。我认为这不能解决您的可见性问题。

您的假设似乎是该组织的主账户应能够直接在其AWS控制台或API中 查看该组织内所有账户的所有资源。 不正确

帐户中的资源通常仍然是分离的(尽管可以共享某些东西,但这是另一回事),但是您可以通过在帐户中扮演角色来更改为这些帐户,然后能够看到资源-这就是@jarmod所描述的。 更改为帐户后,您将能够查看该帐户 中的所有资源。

要了解有关组织及其功能的更多信息,请参见以下有用链接:

AWS账户中的资源在逻辑上属于该账户,而不是其组织。