![如何在两个 AWS Root 账户之间共享所有资源?](https://linux22.com/image/763288/%E5%A6%82%E4%BD%95%E5%9C%A8%E4%B8%A4%E4%B8%AA%20AWS%20Root%20%E8%B4%A6%E6%88%B7%E4%B9%8B%E9%97%B4%E5%85%B1%E4%BA%AB%E6%89%80%E6%9C%89%E8%B5%84%E6%BA%90%EF%BC%9F.png)
我们有一个人负责我们公司的所有 AWS 资源,包括 EC2、弹性 IP、EBS 存储等。现在我们希望第二个人也能访问第一个人帐户中的所有资源。
到目前为止,我们已经:
- 邀请第二人加入该组织
- 在组织中完成“启用所有功能”流程(包括两个用户接受并最终确定)
- 进入资源访问管理器 > 设置并选中“启用与 AWS 组织共享”
但第二个人仍然看不到第一个人的账户中的资源。
我确信我们只是忽略了一些直接的东西,例如:
- 也许第二个人必须指定他专门查看组织的资源
- 也许第一个人需要以某种方式明确地说“分享一切”
- 也许第一个人需要将其帐户中的资源指定为组织资源
- 也许在资源访问管理器中创建某种资源共享(当我们检查启用与 AWS 组织的共享时,它说“如果您启用与组织的账户共享,则无需使用邀请即可共享资源”,所以我们认为这没有必要)
我们找不到关于如何实现这一点的清晰教程或文档。我们缺少什么步骤?我们该如何设置?
答案1
这个问题对我来说真的没什么意义。如果您希望第二个人有权访问 AWS 资源,只需进入 AWS IAM 并为他们创建一个 IAM 用户。确保设置 MFA。AWS Organisations 非常有用,但根据我对您的问题的了解,它根本不相关。
第一个用户不应使用根帐户。通常,您需要创建帐户、设置 MFA、为所有用户设置 IAM 帐户,然后锁定根凭据。
如果您确实需要共享资源的帐户,那么这实际上取决于您想要实现的目标。如果是这种情况,请关闭此问题并提出另一个问题,说明您想要实现的总体目标。
AWS 是一个复杂的企业平台。如果您的组织要使用它,您将需要培训,最好是认证。
答案2
您无需邀请第二人 AWS 账户加入您的组织。
为了授予第二个用户对第一个人 AWS 账户的访问权限,您有两个主要选择:
- 创建 IAM 用户- 正如@Tim 的回答所建议的,您可以简单地在第一人称 AWS 账户中为第二个人创建一个 IAM 用户。
- 使用跨账户 IAM 角色- 如果第二人是您组织之外的人员,您可以在第一人称 AWS 账户中创建一个 IAM 角色,在该角色中您可以信任第二人的 AWS 账户。