本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用访问组织中的成员账户 AWS Organizations 在组织中创建账户时,除了根用户外,AWS Organizations 还会自动创建默认名为 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在创建时指定不同的名称,但我们建议您在所有账户中使用一致的名称。 AWS Organizations 不会创建任何其他用户或角色。 要访问组织中的账户,您必须使用以下方法之一: **最小权限** 要 AWS 账户 从组织中的任何其他账户访问的,您必须具有以下权限: `sts:AssumeRole` – `Resource` 元素必须设置为星号(\*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。 ------ #### [ Using the root user (Not recommended for everyday tasks) ] 您在组织中创建新的成员账户时,该账户默认不具有根用户凭证。除非启用账户恢复,否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。 您可以[集中成员账户的根访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html),以移除组织中现有成员账户的根用户凭证。删除根用户凭证将会移除根用户密码、访问密钥、签名证书,并停用多重身份验证(MFA)。这些成员账户没有根用户凭证,无法以根用户身份登录,并且无法恢复根用户密码。默认情况下,您在 Organizations 中创建的新账户不具有根用户证书。 如果您需要在没有根用户凭证的成员账户上执行需要根用户凭证才能执行的任务,请联系您的管理员。 要以根用户身份访问成员账户,您必须完成密码恢复过程。有关更多信息,请参阅《AWS Sign-In 用户指南》中的 [我忘记了 AWS 账户根用户密码](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)**。 如果必须使用根用户来访问成员账户,请遵循以下最佳实践: + 除非是创建其他具有更多受限权限的用户和角色,否则请不要使用根用户来访问账户。然后以这些用户或角色之一的身份登录。 + [对根用户启用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。重置密码,然后[向根用户分配 MFA 设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。 有关要求您以根用户身份登录的任务的完整列表,请参阅 *IAM 用户指南*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。有关其他根用户安全建议,请参阅《IAM 用户指南》**中的[您的 AWS 账户的根用户最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。 ------ #### [ Using trusted access for IAM Identity Center ] 使用[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)并启用 IAM 身份中心的可信访问权限 AWS Organizations。这允许用户使用其公司凭据登录 AWS 访问门户,并访问其分配的管理账户或成员账户中的资源。 有关更多信息,请参阅《*AWS IAM Identity Center 用户指南*》中的[多账户权限](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)。有关为 IAM Identity Center 设置可信访问的信息,请参阅 [AWS IAM Identity Center 和 AWS Organizations](services-that-can-integrate-sso.md)。 ------ #### [ Using the IAM role OrganizationAccountAccessRole ] 如果您使用中提供的工具创建账户 AWS Organizations,则可以使用以这种方式创建的所有新账户中都存在的名`OrganizationAccountAccessRole`为的预配置角色来访问该账户。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。 如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 AWS Organizations创建的账户中的角色相同。 如需创建此角色,请参阅[使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)。 创建角色之后,您可以使用[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步骤访问它。 ------ **Topics** + [创建 IAM 访问角色](orgs_manage_accounts_create-cross-account-role.md) + [使用 IAM 访问角色](orgs_manage_accounts_access-cross-account-role.md)