Зона приземления AWS - доступ к основным учетным записям?

Question

Как получить доступ к учетным записям зоны приземления AWS core после создания зоны приземления AWS?

Это то, что я сделал до сих пор:

1. Развертывание Зона посадки AWS на основе шаблона инициации зоны приземления AWS
2. Пусть CodePipeline выполнит файл aws-landing-zone-configuration.zip
3. Я вижу, что shared serviceучетная запись security и log archive была создана и добавлена ​​в основное подразделение, когда я смотрю на организацию AWS в консоли

Конечно, с тех пор как я создал учетные записи, я знаю,адрес электронной почты root, и я могу использовать его для сброса пароля root, но это не относится к делу.

Answer 1

Зона приземления AWS развернута в учетной записи AWS Organizations.Когда вы впервые создаете стек Landing Zone из последнего шаблона инициации Landing Zone , вы должны указать различные входные параметры, в том числе основные адреса электронной почты для основных учетных записей, создаваемых целевой зоной, а именно:

1. Учетная запись архива журнала (LoggingAccountEmail)
2. Учетная запись безопасности (SecurityAccountEmail)
3. Учетная запись общих служб (SharedServicesAccountEmail)

Отшаблон CloudFormation Landing Zone для получения более подробной информации:

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: Landing Zone Core Account Configuration
      Parameters:
      - SharedServicesAccountEmail
      - LoggingAccountEmail
      - SecurityAccountEmail
      - NestedOUDelimiter
      - CoreOUName
      - NonCoreOUNames
      - SecurityAlertEmail
      - LockStackSetsExecutionRole
      - SubscribeAllChangeEventsEmailToTopic
      - AllChangeEventsEmail

При создании основных учетных записей Security, Log Archive или Shared Services организации AWS первоначально назначают пароль для корневого пользователя для каждой основной учетной записи, который является минимальнымиз 64 символов в длину.Все символы генерируются случайным образом без каких-либо гарантий появления определенных наборов символов.

Невозможно восстановить этот начальный пароль.

Чтобы получить доступ к учетной записи в качестве пользователя root в первый раз, необходимо пройти черезпроцесс восстановления пароля.

См. здесь для получения дополнительной информации.

Answer 2

Вы можете переключить роль на другие основные учетные записи, предполагая OrganizationAccountAccessRole.Посадочная зона не позволяет этого по умолчанию, поэтому вам придется настроить это.