Зона приземления AWS - доступ к основным учетным записям?
Как я могу получить доступ к зоне приземления AWS? core учетные записи после создания зоны приземления AWS?
Это то, что я сделал до сих пор:
- Разверните зону приземления AWS на основе шаблона инициации зоны приземления AWS
- Пусть CodePipeline выполнит
aws-landing-zone-configuration.zipфайл - Я вижу, что
shared service,securityиlog archiveучетная запись была создана и добавлена в основное подразделение, когда я смотрю на организацию AWS в консоли
Конечно, так как я создал учетные записи, я знаю адрес электронной почты root и могу использовать его для сброса пароля root, но это не относится к делу.
1 ответ
Вы можете переключить роль на другие основные учетные записи, предполагая, что OrganizationAccountAccessRole, Посадочная зона не позволяет этого по умолчанию, поэтому вам придется настроить это.
Зона приземления AWS развернута в учетной записи AWS Organizations. Когда вы впервые создаете стек Landing Zone из последнего шаблона инициации Landing Zone, вы должны указать различные входные параметры, в том числе основные адреса электронной почты для основных учетных записей, которые создает посадочная зона, а именно:
- Журнал Архив аккаунта (
LoggingAccountEmail) - Учетная запись (
SecurityAccountEmail) - Аккаунт общих служб (
SharedServicesAccountEmail)
Из шаблона CloudFormation Landing Zone для более подробной информации:
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Landing Zone Core Account Configuration
Parameters:
- SharedServicesAccountEmail
- LoggingAccountEmail
- SecurityAccountEmail
- NestedOUDelimiter
- CoreOUName
- NonCoreOUNames
- SecurityAlertEmail
- LockStackSetsExecutionRole
- SubscribeAllChangeEventsEmailToTopic
- AllChangeEventsEmail
При создании основных учетных записей Security, Log Archive или Shared Services организации AWS первоначально назначают пароль корневому пользователю для каждой основной учетной записи длиной не менее 64 символов. Все символы генерируются случайным образом без каких-либо гарантий появления определенных наборов символов.
Вы не можете восстановить этот начальный пароль.
Чтобы получить доступ к учетной записи в качестве пользователя root в первый раз, вы должны пройти процедуру восстановления пароля.
Смотрите здесь для получения дополнительной информации.
В руководстве пользователя целевой зоны AWS на стр. 5 в разделе "Учетная запись безопасности" описан способ для пользователей IAM учетной записи безопасности использовать роль переключателя для двух существующих ролей, развернутых через AVM:
Учетная запись безопасности создает роли аудитора (только для чтения) и администратора (с полным доступом) из учетной записи безопасности для всех управляемых учетных записей AWS Landing Zone. Эти роли предназначены для использования группами безопасности и соответствия для аудита, например для размещения пользовательских лямбда-функций AWS Config Rule или для выполнения автоматических операций безопасности, таких как выполнение действий по исправлению.
Я попытался использовать эти роли, но, к сожалению, не смог настроить политику предположений, поскольку по умолчанию доверенный объект был настроен как arn той же роли, которая определена в учетной записи безопасности. Я не могу переключиться на эту локальную роль в учетной записи безопасности, поскольку я не могу изменить разрешения для этой роли, вероятно, из-за превентивных ограничений. Так что, я думаю, нам нужно либо настроить его в шаблонах ALZ CFN, либо немного взломать эти превентивные ограждения. Я не могу поверить, что AWS продвигает эту функцию в своем руководстве пользователя и что она не работает из коробки. У кого-нибудь есть опыт в этом? Я предоставлю более подробную информацию, как только у меня появится доступ к моей среде AWS. Я знаю, что это не дает полного решения этого вопроса, и что это может быть совершенно другой вопрос,но я думаю, что это может дать подсказку к решению, поэтому я сделал здесь сообщение, чтобы активнее работать над решением.
Обновить:
Имена этих двух ролей:
- AWSLandingZoneAdminExecutionRole
- AWSLandingZoneReadOnlyExecutionRole