AWS IAM组织问题-我看不到IAM用户或任何存储桶

Question

我知道我已经做的很多事情都是错误的。 这是发生了什么：

我创建了一个AWS账户并创建了一个组织。

我以root用户身份向组织添加了其他人（我们称他为“乔”）。

Joe创建了很多IAM用户，这些用户开始创建S3存储桶。

我重新登录到根帐户，但看不到任何S3存储桶

我看不到EC2下运行任何东西

我没有看到任何IAM用户

基本上，我们似乎处在完全不同的世界中。

我让Joe为我创建了一个IAM用户，我能够通过该帐户登录。通过该帐户，我可以正常查看所有内容。确定这一点非常重要，因为Joe最终将离开项目，并且我需要确保所有内容都在正确的AWS root帐户下。

我确保区域相同。我尝试进入我的根帐户并启用服务控制策略并附加FullAWSAccess。

Answer 1

这是组织的工作方式。

虽然您已经合并了帐单并可以跨边界执行策略，但是组织是关于合并的高级帐户管理，而不是所有下属资源都可以渗透到的合并视图。

帐户仍然是单独的实体，资源仍然由创建它们的帐户拥有并与之相关联-因此，除非您希望项目保留在单独的帐户中，否则您不希望在服务器中创建这些东西。单独的帐户。

可能，这里的概念性问题是您正在考虑将AWS账户视为属于某个人（即Joe的账户），但这并不是它的初衷。组织下的单个帐户都旨在用作您公司的帐户-部门帐户，项目帐户等。AWS帐户“拥有”用户（在IAM中定义）-用户不“拥有” AWS账户。根凭证是帐户的高特权凭证，仅在管理上用于初始引导以及必要的最少其他操作，并且不打算供个人使用。

有关组织允许您在不注销/登录的情况下从一个帐户切换到另一个帐户的方式，请参见Accessing a Member Account That Has a Master Account Access Role。