1

设置 AWS Organizations 后,我创建了一个具有自定义 IAM 角色名称的成员账户。我现在忘记了使用的角色名称,我无法以root身份进入该帐户。我需要在成员账户中创建 IAM 用户,但无法使用自定义承担角色,OrganizationAccountAccessRole我似乎无法做到。

我试过通过

  1. 使用成员账户根用户,但它没有 IAM 权限
  2. IAMFullAccess使用附加到AdministratorAccess策略集的AWS SSO 用户登录成员账户,但用户无法访问 IAM。
  3. 尝试使用主帐户管理员用户描述成员帐户,但该角色不存在

在这一点上,我认为唯一的出路是重新创建会员帐户。请告诉我有更好的方法。

更新: - 发现 1 和 2 不起作用,因为帐户上的限制性服务控制策略 (SCP) 不包括 IAM 访问权限。

4

1 回答 1

2

根据评论。

解决方案是检查CloudTrial日志以查找用于创建角色的 API 调用。

于 2020-04-07T11:21:39.747 回答