我已经建立了一个AWS组织,我是其中的“主人”。当我去组织主页(https://console.aws.amazon.com/organizations/home)时,我看到所有其他成员。
但是,当另一个用户访问该页面时,他只看到他的帐户属于该组织。
我想这样做,以便其他用户拥有“主”帐户所具有的所有权限,以便他有效地看到相同的控制台。
与https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html相关的指南似乎是“向用户授予完全管理员权限”。但是,本指南仅说明如何创建策略,而不是如何将其分配给用户。
如果我转到“用户”页面,我只会看到一个用户“lucy-s3-user”,它是“lucy-engineering”组的成员:
'lucy-engineering'小组拥有许多广泛的权限:
但是,如果我尝试将用户添加到群组,我在下拉菜单中看不到任何用户:
我不应该在这里看到组织的成员吗?如何向组织的其他成员授予完整的AWS访问权限?
您在AWS Organizations中拥有的所有帐户(主人或成员)都是独立的帐户,与IAM用户不同。 IAM用户是帐户特定的,例如您可以在主帐户和成员帐户中拥有名为Bob的IAM用户,但它们是完全独立的实体。
现在,当您(可能是现在正在执行的Root或IAM用户)登录到您的主帐户时,您只能查看和访问属于主帐户的资源。类似地,当某人(同样是root或IAM用户)登录到任何成员帐户时,他们可以看到成员帐户拥有的资源。将组织视为可由主管理的帐户容器,并为您提供合并计费和其他功能,如SCP(服务控制策略)。
由于帐户不是IAM用户,因此您不会在IAM用户或下拉列表中看到成员帐户。如果您希望成员帐户能够访问主帐户中的资源,则必须执行here所述的跨帐户IAM角色(假设角色可以由IAM用户/角色完成,并且在以root用户身份登录时不起作用)。
此外,将请求编辑屏幕截图以删除电子邮件和AWS账户ID :)