这个问题可能看起来很无聊,但我对我们的AWS组织很恼火。我们有3个独立的根帐户,它们与IAM帐户和策略连接在一个组织中。我们只能在EC2列表中看到来自默认根帐户的实例(是的,我正在正确的区域中查找)。我们已经在所有其他帐户中共享了完全帐户访问权限,并接受了邀请。我们的账单工作得很好,并且从我们的主要根账户中流出(我可以看到其他单独账户的账单很好)。即使是我们的最高级别管理员(实际上是对所有内容授予权限)也无法看到从一个单独的根帐户启动的实例。
我们的目标是,我们的管理组应该在不切换帐户或凭据的情况下查看组织中所有3个根帐户的EC2实例。
我知道这一定是可能的,但我已经花了至少两个小时,还没有走多远。关于如何实现这一目标,有什么建议吗?
这里有一些术语问题。AWS组织中没有根帐户或主根帐户。有一个管理层AWS帐户,并且有零个或多个AWS成员帐户。
术语root指的是管理帐户内的AWS组织结构,该帐户是组织中所有成员帐户的父容器。有关更多信息,请参阅AWS组织术语和概念。
有两种方法可以将成员帐户"加入"组织:
- 管理帐户中的管理员创建一个新的成员帐户
- 管理帐户中的管理员邀请现有帐户成为成员
如果使用选项#1,则会通过名为OrganizationAccountAccessRole的自动创建的IAM角色自动为您提供对成员帐户的管理控制,您可以使用该角色授予管理帐户中的用户对创建的成员帐户的管理员访问权限。
如果使用选项#2,则不会自动拥有对成员帐户的完全管理员控制权。如果希望管理帐户对受邀成员帐户拥有完全的管理控制权,则必须在成员帐户中创建OrganizationAccountAccessRoleIAM角色,并授予管理帐户承担该角色的权限。若要对此进行配置,请在受邀帐户成为成员后,按照在受邀成员帐户中创建OrganizationAccountAccessRole中的步骤进行操作。
@jarmod的回答很好地概括了术语。我认为它不能解决您的可见性问题。
您的假设似乎是,组织的主帐户应能够直接在AWS控制台或通过API查看组织内所有帐户的所有资源。这是不正确的。
帐户中的资源通常仍然是分开的(尽管有些东西可以共享,但这是另一回事),但您可以通过在帐户中扮演角色来更改为这些帐户,然后您可以看到资源-这就是@jarmod所描述的在您更改帐户后,您将能够查看相应帐户内的所有资源。
要了解更多关于组织及其能力的信息,这里有一些有用的链接:
- 有关管理AWS组织访问权限的文档
- 可与组织一起使用的服务
AWS帐户中的资源在逻辑上属于该帐户,而不是其组织