Prerequisiti Esecuzione di un'azione con privilegi su un account membro (console)Esecuzione di un'azione con privilegi su un account membro (AWS CLI)Esecuzione di un'azione con privilegi su un account membro (API AWS)

Esegui un'attività con privilegi su un account membro AWS Organizations

L'account di gestione AWS Organizations o un account amministratore delegato per IAM può eseguire alcune attività degli utenti root sugli account membri utilizzando l'accesso root a breve termine. Queste attività possono essere eseguite solo quando si effettua l'accesso come utente root di un account. Le sessioni con privilegi a breve termine forniscono credenziali temporanee utilizzabili per intraprendere azioni con privilegi su un account membro dell'organizzazione.

Una volta avviata una sessione con privilegi, puoi eliminare una policy del bucket Amazon S3 configurata in modo errato, eliminare la policy di una coda Amazon SQS non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riabilitare le credenziali dell'utente root per un account membro.

Nota

Per utilizzare l'accesso root centralizzato, è necessario accedere tramite un account di gestione o un account amministratore delegato e disporre dell'autorizzazione sts:AssumeRoot esplicitamente concessa.

Prerequisiti

Prima di poter avviare una sessione con privilegi, è necessario disporre delle seguenti impostazioni:

Devi aver abilitato l'accesso root centralizzato nella tua organizzazione. Per le operazioni per abilitare questa funzionalità, consulta Centralizzare l'accesso root per gli account dei membri.
Il tuo account di gestione o l'account amministratore delegato deve disporre delle seguenti autorizzazioni: sts:AssumeRoot

Esecuzione di un'azione con privilegi su un account membro (console)

Per avviare una sessione per un'azione con privilegi in un account membro nella Console di gestione AWS

Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione della console, scegli Gestione dell'accesso root.
Seleziona un nome dall'elenco degli account membri e scegli Esegui azioni con privilegi.
Scegli l'azione con privilegi che desideri eseguire nell'account membro.
- Seleziona Elimina policy del bucket Amazon S3 per rimuovere una policy del bucket mal configurata che impedisce a tutti i principali di accedere al bucket Amazon S3.
  1. Scegli Sfoglia S3 per selezionare un nome dai bucket di proprietà dell'account membro e seleziona Scegli.
  2. Scegli Elimina policy del bucket.
  3. Utilizza la console Amazon S3 per correggere la policy del bucket dopo aver eliminato la policy configurata non correttamente. Per informazioni, consulta Aggiunta di una policy del bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon S3.
- Seleziona Elimina la policy Amazon SQS per eliminare una policy basata sulle risorse Amazon Simple Queue Service che rifiuta a tutti i principali l'accesso a una coda Amazon SQS.
  1. Inserisci il nome della coda in Nome della coda SQS e seleziona Elimina la policy SQS.
  2. Utilizza la console Amazon SQS per correggere la policy della coda dopo aver eliminato la policy configurata non correttamente. Per ulteriori informazioni, consulta Configurazione di una policy di accesso in Amazon SQS nella Guida per gli sviluppatori di Amazon SQS.
- Seleziona Elimina le credenziali root per rimuovere l'accesso root da un account membro. L'eliminazione delle credenziali dell'utente root rimuove la password dell'utente root, le chiavi di accesso e i certificati di firma, e disattiva l'autenticazione a più fattori (MFA) per l'account membro.
  1. Scegli Elimina le credenziali root.
- Seleziona Consenti il recupero della password per recuperare le credenziali dell'utente root per un account membro.
  
  Questa opzione è disponibile solo quando l'account membro non ha le credenziali dell'utente root.
  1. Scegli Consenti il recupero della password.
  2. Dopo aver eseguito questa azione con privilegi, la persona con accesso alla casella di posta elettronica dell'utente root per l'account membro può reimpostare la password dell'utente root e accedere all'utente root dell'account membro.

Esecuzione di un'azione con privilegi su un account membro (AWS CLI)

Per avviare una sessione per un'azione con privilegi in un account membro dalla AWS Command Line Interface

Usa il seguente comando per assumere una sessione dell'utente root: aws sts assume-root.

Nota
L'endpoint globale non è supportato per sts:AssumeRoot. È necessario inviare questa richiesta a un endpoint AWS STS regionale. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.

Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'task-policy-arn per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti policy gestite da AWS per definire l'ambito delle azioni di sessione con privilegi.
Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione dell'utente root con privilegi, è possibile utilizzare la chiave di condizione AWS STS sts:TaskPolicyArn.

Nell'esempio seguente, l'amministratore delegato presuppone che root elimini le credenziali dell'utente root per l'ID dell'account membro 111122223333.
```
aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900
```
Utilizza SessionToken, AccessKeyId e SecretAccessKey dalla risposta per eseguire operazioni con privilegi nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.
- Controlla lo stato delle credenziali dell'utente root. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
- Elimina le credenziali dell'utente root. Per eliminare l'accesso root utilizza i comandi riportati di seguito. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per rimuovere l'accesso e il recupero dell'utente root.
- Elimina la policy del bucket Amazon S. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy del bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
- Elimina la policy di Amazon SQS. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
- Consenti il recupero della password. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
  - get-login-profile
  - create-login-profile

Esecuzione di un'azione con privilegi su un account membro (API AWS)

Per avviare una sessione per un'azione con privilegi in un account membro dall'API AWS

Usa il seguente comando per assumere una sessione dell'utente root: AssumeRoot.

Nota
L'endpoint globale non è supportato per AssumeRoot. È necessario inviare questa richiesta a un endpoint AWS STS regionale. Per ulteriori informazioni, consulta Gestire AWS STS in un Regione AWS.

Quando si avvia una sessione dell'utente root con privilegi per un account membro, è necessario definire l'TaskPolicyArn per limitare l'ambito della sessione all'azione con privilegi da eseguire durante la sessione. È possibile utilizzare una delle seguenti policy gestite da AWS per definire l'ambito delle azioni di sessione con privilegi.
Per limitare le azioni che un account di gestione o un amministratore delegato possono eseguire durante una sessione dell'utente root con privilegi, è possibile utilizzare la chiave di condizione AWS STS sts:TaskPolicyArn.

Nell'esempio seguente, l'amministratore delegato presuppone che root legga, modifichi ed elimini una policy basata sulle risorse non configurata correttamente per un bucket Amazon S3 per l'account membro ID 111122223333.
```
https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900
```
Utilizza SessionToken, AccessKeyId e SecretAccessKey dalla risposta per eseguire operazioni con privilegi nell'account membro. È possibile omettere il nome utente e la password nella richiesta per impostare come impostazione predefinita l'account utente.
- Controlla lo stato delle credenziali dell'utente root. Usa i seguenti comandi per controllare lo stato delle credenziali dell'utente root per un account membro.
- Elimina le credenziali dell'utente root. Per eliminare l'accesso root utilizza i comandi riportati di seguito. È possibile rimuovere la password dell'utente root, le chiavi di accesso, i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per rimuovere l'accesso e il recupero dell'utente root.
- Elimina la policy del bucket Amazon S. Utilizza i seguenti comandi per leggere, modificare ed eliminare una policy del bucket configurata in modo errato che impedisce a tutti i principali di accedere al bucket Amazon S3.
- Elimina la policy di Amazon SQS. Utilizza i seguenti comandi per visualizzare ed eliminare una policy basata sulle risorse Amazon Simple Queue Service che nega a tutti i principali l'accesso a una coda Amazon SQS.
- Consenti il recupero della password. Usa i seguenti comandi per visualizzare il nome utente e recuperare le credenziali dell'utente root per un account membro.
  - GetLoginProfile
  - CreateLoginProfile

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Centralizzare l'accesso root

MFA per l'utente root