在多账户AWS环境中，如何在IAM用户登录时强制他/她承担角色？

Question

我正在管理一个具有整合计费功能的多账户AWS环境。同时，我将所有IAM用户创建集中在一个别名(帐户)下，以便进行有效管理。但他们的资源驻留在基于项目创建的其他AWS账户中。

我已经使用IAM角色设置了跨AWS账户的委派访问权限，并且可以正常工作。但是，这些用户每次登录时都需要手动切换角色。这很麻烦。如何强制这些用户在登录时自动获取该角色？

Answer 1

您可以为他们提供直接登录到他们认为是“本地”的帐户的链接。如果他们没有登录到基本帐户，AWS将强制登录到该帐户，然后自动切换角色。

您可以使用以下格式手动构建链接：https://signin.aws.amazon.com/switchrole?account=account_id_number&roleName=role_name&displayName=text_to_display，其中管理员向您提供account_id_number和role_name。对于text_to_display，请参考以下步骤中的步骤5中的说明。

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html