这个问题可能看起来很无聊,但我正在与我们的 AWS 组织合作。我们有 3 个独立的根账户,它们通过 IAM 账户和策略连接在一个组织中。我们只能在 EC2 列表中看到来自默认根账户的实例(是的,我正在寻找正确的区域)。我们已在所有其他帐户中共享完整帐户访问权限并接受了邀请。我们的计费工作完美,并且来自我们的主根帐户(我可以看到其他单独帐户的计费很好)。即使是我们最高级别的管理员(字面意思是对所有内容的授予权限)也无法看到从单独的 root 帐户之一启动的实例。
我们的目标是我们的管理员组应该看到来自组织中所有 3 个根账户的 EC2 实例,而无需切换账户或凭证。
我知道这必须是可能的,但我已经花了至少 2 个小时,还没有走多远。关于如何实现这一目标的任何建议?
这里有一些术语问题。AWS Organizations中没有根账户或主根账户。有一个主AWS 账户,并且有零个或多个成员AWS 账户。
术语根是指主账户中的 AWS Organizations 构造,它是您组织中所有成员账户的父容器。有关更多信息,请参阅AWS Organizations 术语和概念。
将成员帐户“加入”到组织有两种方法:
如果您使用选项 #1,则通过自动创建的 IAM 角色自动为您提供对成员账户的管理控制OrganizationAccountAccessRole,您可以使用该角色授予主账户管理员访问创建的成员账户的权限。
如果您使用选项 #2,您不会自动拥有对成员帐户的完全管理员控制权。如果您希望主账户对受邀成员账户拥有完全的管理控制权,您必须OrganizationAccountAccessRole在成员账户中创建 IAM 角色并授予主账户代入该角色的权限。要进行此配置,请在受邀帐户成为成员后,按照在受邀成员帐户中创建 OrganizationAccountAccessRole 中的步骤操作。
@jarmod's answer provides a good overview of the terminology. I don't think it addresses your visibility problem.
Your assumptions appears to be that the master account of the organization should be able to directly see all resources of all accounts within the organization in its AWS console or via the API. That's not correct.
The resources in the accounts are generally still separated (allthough some things can be shared, but that's another matter), but you can change into these accounts by assuming a role in the accounts and then you're able to see the resources - this is what @jarmod is describing. After you changed into the accounts, you'll be able to see all resources within that respective account.
To learn more about organizations and their capabilities, here are some helpful links:
Resources within an AWS Account logically belong to that account and not to its organization.