我们有一个人负责我们公司的所有 AWS 资源,包括 EC2、弹性 IP、EBS 存储等。现在我们希望第二个人也能访问第一个人帐户中的所有资源。
到目前为止,我们已经:
- 邀请第二人加入该组织
- 在组织中完成“启用所有功能”流程(包括两个用户接受并最终确定)
- 进入资源访问管理器 > 设置并选中“启用与 AWS 组织共享”
但第二个人仍然看不到第一个人的账户中的资源。
我确信我们只是忽略了一些直接的东西,例如:
- 也许第二个人必须指定他专门查看组织的资源
- 也许第一个人需要以某种方式明确地说“分享一切”
- 也许第一个人需要将其帐户中的资源指定为组织资源
- 也许在资源访问管理器中创建某种资源共享(当我们检查启用与 AWS 组织的共享时,它说“如果您启用与组织的账户共享,则无需使用邀请即可共享资源”,所以我们认为这没有必要)
我们找不到关于如何实现这一点的清晰教程或文档。我们缺少什么步骤?我们该如何设置?
答案1
这个问题对我来说真的没什么意义。如果您希望第二个人有权访问 AWS 资源,只需进入 AWS IAM 并为他们创建一个 IAM 用户。确保设置 MFA。AWS Organisations 非常有用,但根据我对您的问题的了解,它根本不相关。
第一个用户不应使用根帐户。通常,您需要创建帐户、设置 MFA、为所有用户设置 IAM 帐户,然后锁定根凭据。
如果您确实需要共享资源的帐户,那么这实际上取决于您想要实现的目标。如果是这种情况,请关闭此问题并提出另一个问题,说明您想要实现的总体目标。
AWS 是一个复杂的企业平台。如果您的组织要使用它,您将需要培训,最好是认证。
答案2
您无需邀请第二人 AWS 账户加入您的组织。
为了授予第二个用户对第一个人 AWS 账户的访问权限,您有两个主要选择:
- 创建 IAM 用户- 正如@Tim 的回答所建议的,您可以简单地在第一人称 AWS 账户中为第二个人创建一个 IAM 用户。
- 使用跨账户 IAM 角色- 如果第二人是您组织之外的人员,您可以在第一人称 AWS 账户中创建一个 IAM 角色,在该角色中您可以信任第二人的 AWS 账户。