如何向AWS组织的其他成员授予完全管理员权限？

Question

我已经建立了一个AWS组织，我是其中的“主人”。当我去组织主页（https://console.aws.amazon.com/organizations/home）时，我看到所有其他成员。

但是，当另一个用户访问该页面时，他只看到他的帐户属于该组织。

我想这样做，以便其他用户拥有“主”帐户所具有的所有权限，以便他有效地看到相同的控制台。

与https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_iam-policies.html相关的指南似乎是“向用户授予完全管理员权限”。但是，本指南仅说明如何创建策略，而不是如何将其分配给用户。

如果我转到“用户”页面，我只会看到一个用户“lucy-s3-user”，它是“lucy-engineering”组的成员：

'lucy-engineering'小组拥有许多广泛的权限：

但是，如果我尝试将用户添加到群组，我在下拉菜单中看不到任何用户：

我不应该在这里看到组织的成员吗？如何向组织的其他成员授予完整的AWS访问权限？

Answer 1

您在AWS Organizations中拥有的所有帐户（主人或成员）都是独立的帐户，与IAM用户不同。 IAM用户是帐户特定的，例如您可以在主帐户和成员帐户中拥有名为Bob的IAM用户，但它们是完全独立的实体。

现在，当您（可能是现在正在执行的Root或IAM用户）登录到您的主帐户时，您只能查看和访问属于主帐户的资源。类似地，当某人（同样是root或IAM用户）登录到任何成员帐户时，他们可以看到成员帐户拥有的资源。将组织视为可由主管理的帐户容器，并为您提供合并计费和其他功能，如SCP（服务控制策略）。

由于帐户不是IAM用户，因此您不会在IAM用户或下拉列表中看到成员帐户。如果您希望成员帐户能够访问主帐户中的资源，则必须执行here所述的跨帐户IAM角色（假设角色可以由IAM用户/角色完成，并且在以root用户身份登录时不起作用）。

此外，将请求编辑屏幕截图以删除电子邮件和AWS账户ID :)