最近在搞 Organizations 的自動化方法,整理一下 Organizations 與 Linked-Account 的關係以及一些設定方法,其中有一些注意事項是要特別遇到才會知道的,在這篇文章做一個記錄。
Linked-Account 的 ROOT 帳號登入密碼、MFA 設定
透過 Organizations 建立的 Linked-Account 預設只有 Assume Role (OrganizationAccountAccessRole) 可以登入,要登入 Linked-Account ROOT 的話在「After I use AWS Organizations to create a member account, how do I access that account?」這邊有提到:
When you create a new member account, Organizations sets an initial password for that account that can’t be retrieved. To access the account as the root user for the first time, follow these instructions to reset the initial password.
拿建立 Linked-Account 的 email 登入 ROOT,透過 reset password,AWS 會寄送一個 reset password 連結設定新密碼,當然 MFA 也要登入後才能設定。
Linked-Account 的稅務 (TAX) 和 付款 (Payment) 設定依 Organizations 為主
預設建出來的 Linked-Account 稅務(TAX) 和付款(Payment) 設定會參考 Organizations 設定
就算修改 Linked-Account TAX 也沒有意義,因為出帳仍然是由 Organizations 統一出帳,TAX/Payment 也是參考 Organizations,但若是 Linked-Account 離開 Organizations 後就是用 Linked-Account TAX/Payment 出帳了
Linked-Account 離開 Organizations 前必須要電話驗證
預設 Linked-Account 建立後不用電話驗證,但是如果要離開 Organizations 會被 AWS 要求電話驗證
假設出帳 Organizations 是由經銷商管理的話,總有一天會遇到更換 Organizations 的情境,最好電話驗證還是先設定起來,如果是自己公司管理的話就自己斟酌 …