Несколько корневых учетных записей в одной организации AWS: администратор IAM не может видеть все экземпляры EC2 в указанном регионе

Question

Этот вопрос может показаться нудистским, но я дергаю себя за волосы в нашей организации AWS.У нас есть 3 отдельные корневые учетные записи, связанные в одной организации с учетными записями и политиками IAM.Мы можем видеть только экземпляры из учетной записи root по умолчанию в списке EC2 (да, я смотрю в правильном регионе).Мы предоставили полный доступ к аккаунту всем остальным аккаунтам и приняли приглашения.Наш биллинг работает отлично, и уходит с нашего основного корневого аккаунта (и я вижу, что биллинг других отдельных аккаунтов в порядке).Даже наш самый высокий уровень администратора (буквально предоставляющий разрешение всем) не может видеть экземпляры, запущенные с одной из отдельных учетных записей root.

Наша цель - наша группа администраторов должна видеть экземпляры EC2 со всех 3 корневых учетных записей в организации без переключения учетных записей или учетных данных.

Я знаю, что это возможно, но я потратил по крайней мере2 часа и далеко не ушли.Любые предложения о том, как этого добиться?

Answer 1

@ Ответ Jarmod дает хороший обзор терминологии. Я не думаю, что это решает вашу проблему видимости .

Вы предполагаете, что основная учетная запись организации должна иметь возможность напрямую видеть все ресурсы всех учетных записей в организации в консоли AWS или через API. Это не правильно .

Ресурсы в учетных записях, как правило, по-прежнему разделены (хотя некоторые вещи могут быть общими, но это другой вопрос), но вы можете изменить эти учетные записи , приняв на себя роль в учетных записях, а затем вы ' возможность видеть ресурсы - это то, что описывает @jarmod. После того, как вы перешли в учетные записи, вы сможете увидеть все ресурсы в этой соответствующей учетной записи.

Чтобы узнать больше об организациях и их возможностях, вот несколько полезных ссылок:

• Документация по управлению разрешениями доступа для вашей организации AWS
• Услуги, которые можно использовать совместно с организациями

Ресурсы в учетной записи AWS логически принадлежат этой учетной записи, а не ее организации.

Answer 2

Здесь есть некоторые терминологические проблемы. В организациях AWS нет корневых учетных записей или основных корневых учетных записей . Существует одна основная учетная запись AWS, и существует ноль или более член учетных записей AWS.

Термин root относится к конструкции AWS Organizations внутри основной учетной записи, которая является родительским контейнером для всех учетных записей участников в вашей организации. Подробнее см. Терминология и концепции организаций AWS .

Существует два способа «присоединить» учетную запись участника к организации:

1. Администратор в основной учетной записи создает новую учетную запись участника
2. администратор в основной учетной записи приглашает существующую учетную запись стать членом

Если вы используете опцию № 1, вам будет автоматически предоставлен административный контроль над учетной записью участника через автоматически созданную роль IAM с именем OrganizationAccountAccessRole, которую вы можете использовать для предоставления пользователям в основной учетной записи администратора доступа к созданной учетной записи участника. .

Если вы используете опцию № 2, вы автоматически не имеете полного административного контроля над учетной записью участника. Если вы хотите, чтобы основная учетная запись имела полный административный контроль над приглашенной учетной записью участника, необходимо создать роль OrganizationAccountAccessRole IAM в учетной записи участника и предоставить разрешение основной учетной записи для принятия роли. Чтобы настроить это, после того, как приглашенная учетная запись станет членом, выполните действия, описанные в Создание OrganizationAccountAccessRole в учетной записи приглашенного участника .