Проблема организации AWS IAM - я не вижу пользователей IAM или каких-либо сегментов

Question

Я знаю, что многое из того, что я уже сделал, неверно.Вот что произошло:

Я создал учетную запись AWS и создал организацию.

Я добавил кого-то другого (назовем его Джо) в организацию как пользователь root.

Джо создал группу пользователей IAM, и эти пользователи начали создавать сегменты S3.

Я возвращаюсь в свою корневую учетную запись и не вижу никаких сегментов S3

Я не вижу ничего, работающего под EC2

И я не вижу пользователей IAM

В основном кажется, что мы находимся в совершенно другом мире.

Я попросил Джо создать для меня пользователя IAM, и я смог войти через эту учетную запись.Через этот аккаунт я все вижу правильно.Очень важно, чтобы я понял это, потому что Джо в конце концов покинет проект, и мне нужно убедиться, что все находится под правильной корневой учетной записью AWS.

Я убедился, что регионы совпадают.Я попытался зайти в свою учетную запись root, включить политики управления службами и подключить FullAWSAccess.

Answer 1

Так работают организации.

Несмотря на то, что вы консолидировали выставление счетов и можете применять политики за пределами границ, Организации - это консолидированное высокоуровневое управление учетными записями, а не консолидированное представление, в котором объединяются все подчиненные ресурсы.

Учетные записи по-прежнему являются отдельными объектами, а ресурсы по-прежнему принадлежат и связаны с учетной записью, которая их создала - поэтому, если вы не хотите, чтобы проект оставался в отдельной учетной записи, вы не хотите, чтобы эти вещи создавались в отдельной учетной записи.

Возможно, концептуальная проблема здесь заключается в том, что вы рассматриваете учетную запись AWS как принадлежащую человеку - учетную запись Джо - но это не так, как предполагалось.Отдельные учетные записи в организации предназначены для использования в качестве учетных записей вашей компании - учетной записи подразделения, учетной записи проекта и т. Д. Учетные записи AWS «собственные» пользователи (определенные в IAM) - пользователи не «владеют» учетными записями AWS.Корневые учетные данные - это учетные данные с высоким уровнем привилегий учетной записи, которые используются только в административном порядке для начальной начальной загрузки и настолько мало других операций, сколько необходимо - и не предназначены для использования каким-либо отдельным человеком.

См. Доступ к учетной записи участника, имеющей роль доступа к основной учетной записи для способа, которым организации могут переключать представление консоли с учетной записи на учетную запись без выхода из системы или входа в нее.