在创建AWS Landing Zone之后如何访问AWS Landing Zone core帐户?
这是我到目前为止所做的:
aws-landing-zone-configuration.zip文件shared service,security和log archive帐户已创建并添加到核心OU中。当然,由于我创建了帐户,所以我知道根电子邮件地址,可以使用它来重置根密码,但这并不重要。
答案 0 :(得分:0)
您可以假设continue next将角色切换到其他核心帐户。默认情况下,着陆区不允许此操作,因此您必须进行设置。
答案 1 :(得分:0)
AWS Landing Zone已部署到AWS Organizations帐户中。首次从latest Landing Zone initiation template创建着陆区堆栈时,必须提供各种输入参数,包括着陆区创建的核心帐户的主要电子邮件地址,即
LoggingAccountEmail)SecurityAccountEmail)SharedServicesAccountEmail)从着陆区CloudFormation模板获取更多详细信息:
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Landing Zone Core Account Configuration
Parameters:
- SharedServicesAccountEmail
- LoggingAccountEmail
- SecurityAccountEmail
- NestedOUDelimiter
- CoreOUName
- NonCoreOUNames
- SecurityAlertEmail
- LockStackSetsExecutionRole
- SubscribeAllChangeEventsEmailToTopic
- AllChangeEventsEmail
创建Security,Log Archive或Shared Services核心帐户后,AWS Organizations最初会为每个核心帐户的根用户分配一个密码,密码长度至少为64个字符。所有字符都是随机生成的,不能保证某些字符集的外观。
您无法获取此初始密码。
要首次以root用户身份访问帐户,必须完成密码恢复过程。
有关更多信息,请参见here。
答案 2 :(得分:0)
在第5页上的“安全帐户”下的AWS着陆区user guide中,为安全帐户IAM用户提供了一种将切换角色转换为通过AVM部署的两个现有角色的方法:
安全账户创建从安全账户到所有AWS Landing Zone托管账户的审核员(只读)和管理员(完全访问)跨账户角色。这些角色的目的是供安全和合规团队用来审核(例如托管自定义AWS Config Rule lambda函数)或执行自动化安全操作(例如执行补救措施)。
我尝试利用这些角色,但不幸的是无法建立假设策略,因为默认情况下,将受信任实体设置为与安全帐户中定义的相同角色的别名。我无法切换到安全帐户中的此本地角色,因为可能由于预防性护栏而无法更改此角色的权限。因此,我想我们需要在ALZ CFN模板中自定义它,或者使用此预防性防护栏进行一些修改。 我不敢相信AWS在其用户指南中推广了此功能,并且无法立即使用。有人对此有经验吗?当我接近AWS环境时,我将提供更多具体细节。 我知道这不能为该问题提供完整的解决方案,并且可能是完全不同的问题,但是我认为它可以为解决方案提供提示,因此我在这里发表了一篇文章,以使更多的活动涉及该解决方案。 / p>
更新:
这两个角色的名称是: