使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations

默认情况下，如果您在组织中创建成员账户， AWS 自动在账户中创建一个角色，该角色向管理账户中可以担任该角色的IAM用户授予管理员权限。默认情况下，该角色名为 OrganizationAccountAccessRole。有关更多信息，请参阅 访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations。

但是，您邀请 加入组织中的成员账户不 自动创建管理员角色。您必须手动完成此操作，如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole，以确保一致性和方便记忆。

AWS Management Console

要创建 AWS Organizations 成员账户中的管理员角色

1. 登录IAM控制台，网址为https://console.aws.amazon.com/iam/。您必须在成员账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）。用户或角色必须具有创建IAM角色和策略的权限。

2. 在IAM控制台中，导航到 “角色”，然后选择 “创建角色”。

3. 选择 AWS 账户，然后选择 “其他” AWS 账户.

4. 输入您要授予管理员访问权限的管理账户的 12 位数账户 ID 号。在 “选项” 下，请注意以下内容：

   • 对于此角色，由于账户是公司的内部账户，因此，您不应选择 Require external ID (需要外部 ID)。有关外部 ID 选项的更多信息，请参阅何时应使用外部 ID？ 在《IAM用户指南》中。

   • 如果您已MFA启用并配置，则可以选择要求使用MFA设备进行身份验证。有关的更多信息MFA，请参阅中的使用多重身份验证 (MFA) AWS（在 IAM 用户指南中）。

5. 选择下一步。

6. 在 “添加权限” 页面上，选择 AWS 托管策略已命名，AdministratorAccess然后选择下一步。

7. 在 “名称、查看和创建” 页面上，指定角色名称和可选描述。我们建议您使用 OrganizationAccountAccessRole，以便与分配给新账户中角色的默认名称保持一致。要提交您的更改，请选择 Create role (创建角色)。

8. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看其详细信息，并特别注意URL所提供的链接。URL将其提供给成员账户中需要访问该角色的用户。另外，请记下该角色，ARN因为你需要在步骤 15 中使用它。

9. 登录IAM控制台，网址为https://console.aws.amazon.com/iam/。此时，以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。

10. 导航到 “策略”，然后选择 “创建策略”。

11. 对于 Service，选择 STS。

12. 对于 Actions (操作)，在 Filter (筛选器) 框中开始键入 AssumeRole，然后在该角色显示后选中其旁边的复选框。

13. 在 “资源” 下，确保选择 “特定”，然后选择 “添加” ARNs。

14. 输入 AWS 成员账户 ID 号，然后输入您之前在步骤 1—8 中创建的角色的名称。选择 “添加” ARNs。

15. 如果您正授予在多个成员账户中代入该角色的权限，请为每个账户重复步骤 14 和 15。

16. 选择下一步。

17. 在查看并创建页面上，输入新策略的名称，然后选择创建策略以保存更改。

18. 在导航窗格中选择 “用户组”，然后选择要用来委派成员账户管理的群组名称（不是复选框）。

19. 选择权限选项卡。

20. 选择 “添加权限”，选择 “附加策略”，然后选择您在步骤 11—18 中创建的策略。

属于所选群组成员的用户现在可以使用您在步骤 9 中捕获的来访问每个成员账户的角色。URLs他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息，请参阅访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations。