core创建 AWS 登陆区后如何访问 AWS 登陆区账户?
这是我到目前为止所做的:
aws-landing-zone-configuration.zip文件shared service和security帐户log archive已创建并添加到核心 OU当然,由于我创建了帐户,我知道 root 电子邮件地址,并且可以使用它来重置 root 密码,但这不是重点。
您可以将角色切换到其他核心帐户,假设OrganizationAccountAccessRole. 着陆区默认情况下不允许这样做,因此您必须进行设置。
在第 5 页“安全账户”下的 AWS 登陆区用户指南中,为安全账户 IAM 用户编写了一种方法,可以将角色切换到通过 AVM 部署的两个现有角色:
安全账户创建从安全账户到所有 AWS Landing Zone 托管账户的审计员(只读)和管理员(完全访问)跨账户角色。这些角色的目的是供安全和合规团队用于审计,例如托管自定义 AWS Config Rule lambda 函数,或执行自动化安全操作,例如执行补救操作。
我曾尝试使用这些角色,但遗憾的是无法设置假设策略,因为默认情况下,受信任实体已设置为安全帐户中定义的相同角色的 arn。我无法在安全帐户中切换到此本地角色,因为我无法更改此角色的权限,这可能是由于预防性护栏。所以我想我们需要在 ALZ CFN 模板中对其进行自定义,或者使用这种预防性护栏进行一些修改。我不敢相信 AWS 在他们的用户指南中推广了这个功能,而且它不能开箱即用。有人有这方面的经验吗?一旦我接近访问我的 AWS 环境,我将提供更具体的详细信息。我知道这并没有为这个问题提供完整的解决方案,而且它可能是完全不同的问题,
更新:
这两个角色的名称是:
AWS 登陆区部署到 AWS Organizations 账户中。当您首次从最新的登陆区启动模板创建登陆区堆栈时,您必须提供各种输入参数,包括登陆区创建的核心帐户的主电子邮件地址,即:
LoggingAccountEmail)SecurityAccountEmail)SharedServicesAccountEmail)从 Landing Zone CloudFormation 模板了解更多详细信息:
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Landing Zone Core Account Configuration
Parameters:
- SharedServicesAccountEmail
- LoggingAccountEmail
- SecurityAccountEmail
- NestedOUDelimiter
- CoreOUName
- NonCoreOUNames
- SecurityAlertEmail
- LockStackSetsExecutionRole
- SubscribeAllChangeEventsEmailToTopic
- AllChangeEventsEmail
创建安全、日志存档或共享服务核心账户时,AWS Organizations 最初会为每个核心账户的根用户分配一个密码,该密码长度至少为 64 个字符。所有字符都是随机生成的,不保证某些字符集的外观。
您无法检索此初始密码。
要首次以 root 用户身份访问该帐户,您必须完成密码恢复过程。
请参阅此处了解更多信息。