存取和組織的成員帳戶

當您在組織中建立帳戶時，除了根使用者之外，AWS Organizations 還會自動建立名為 OrganizationAccountAccessRole 的 IAM 角色。您可以在建立時指定不同的名稱，但建議您在所有帳戶中一致命名。我們會以預設名稱參考本指南中的角色。AWS Organizations 不會建立任何其他使用者或角色。若要存取組織中的帳戶，您必須使用以下其中一個方法：

• 如果是建立 AWS 帳戶，您會先有一個登入身分，可以完整存取帳戶中所有 AWS 服務 與資源。此身分稱為 AWS 帳戶 根使用者，使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常作業。保護您的根使用者憑證，並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單，了解需以根使用者登入的任務，請參閱《IAM 使用者指南》中的需要根使用者憑證的任務。如需更多根使用者安全建議，請參閱適用於 AWS 帳戶 的根使用者最佳實務。

• 如果您使用 AWS Organizations 隨附的工具建立帳戶，則可以使用預先設定的角色 OrganizationAccountAccessRole 來存取帳戶，以此方式建立的所有新帳戶中都有該角色。如需詳細資訊，請參閱 存取擁有管理帳戶存取角色的成員帳戶。

• 若是邀請現有帳戶加入組織，而該帳戶也接受邀請，您可以選擇建立 IAM 角色，以允許管理帳戶存取受邀的成員帳戶。此角色與 AWS Organizations 建立的帳戶中自動新增的角色完全相同。若要建立角色，請參閱在受邀 OrganizationAccountAccessRole 的成員帳戶中建立。在您建立角色後，您便可以使用存取擁有管理帳戶存取角色的成員帳戶中的步驟來存取它。

• 使用 AWS IAM Identity Center 並啟用具有 AWS Organizations 的 IAM Identity Center 受信任存取。這可讓使用者利用其企業憑證來登入 AWS 存取入口網站，並在其獲指派的管理帳戶或成員帳戶中存取資源。

  如需詳細資訊，請參閱 AWS IAM Identity Center 使用者指南中的多帳戶許可。如需設定 IAM Identity Center 的受信任存取的詳細資訊，請參閱 AWS IAM Identity Center 與 AWS Organizations。

最低許可

若要從組織的任何其他帳戶存取 AWS 帳戶，您必須擁有以下許可：

• sts:AssumeRole – Resource 元素必須設為星號 (*) 或需要存取新成員帳戶之使用者帳戶的帳戶 ID

以根帳戶使用者身分存取成員帳戶

建立新帳戶時，AWS Organizations 最初會指派密碼給根帳戶使用者，長度至少為 64 個字元。所有字元會隨機產生，不保證外觀會出現特定的字元集。您無法擷取此初始密碼。若要第一次以根帳戶使用者的身分存取帳戶，您必須進行密碼復原程序。如需詳細資訊，請參閱AWS登入使用指南AWS 帳戶中的我忘記了我的 root 使用者密碼。

備註

• 做為最佳實務，我們建議您不要使用根使用者來存取帳戶，要建立具有更受限許可的其他使用者和角色除外。然後，以這些使用者或角色身分登入。

• 我們還建議您在根使用者上啟用多重要素驗證 (MFA)。重設密碼，並將 MFA 裝置指派給根使用者。

• 如果您在組織中使用錯誤的電子郵件地址建立成員帳戶，即無法以根帳戶使用者的身分登入帳戶。請聯絡 AWS 帳單和支援以取得協助。

在受邀 OrganizationAccountAccessRole 的成員帳戶中建立

依預設，如果您隨著組織建立成員帳戶，AWS 會自動在帳戶中建立一個角色，為管理帳戶中可以擔任該角色的 IAM 使用者授予管理員許可。在預設情況下，該角色名為 OrganizationAccountAccessRole。如需詳細資訊，請參閱 存取擁有管理帳戶存取角色的成員帳戶。

不過，您邀請加入組織的成員帳戶，不會自動建立管理員角色。您可以手動執行此動作，如以下程序所示。這基本上會複製自動為已建立帳戶設定的角色。我們建議您為手動建立的角色使用相同的名稱 OrganizationAccountAccessRole，以保有一致性並方便記住。

AWS Management Console

在成員帳戶中建立 AWS Organizations 管理員角色

1. 登入 IAM 主控台，網址為 https://console.aws.amazon.com/iam/。您必須以 IAM 使用者的身分登入，擔任 IAM 角色，或以成員帳戶中的根使用者身分登入 (不建議)。使用者或角色必須具有建立 IAM 角色和政策的許可。

2. 在 IAM 主控台中，導覽至 [角色]，然後選擇 [建立角色]。

3. 選擇 AWS 帳戶，然後選取 [其他] AWS 帳戶。

4. 輸入您要授與管理員存取權的管理帳戶的 12 位數帳號 ID 號碼。在選項下，請注意以下事項：

   • 針對此角色，因為帳戶是公司內部帳戶，您不應該選擇 Require external ID (需要外部 ID)。如需有關外部 ID 選項的詳細資訊，請參閱何時應該使用外部 ID？ 在 IAM 使用者指南中。

   • 如果您已啟用和設定 MFA 身分驗證，您可以選擇性地要求使用 MFA 裝置進行身分驗證。如需 MFA 的詳細資訊，請參閱 IAM 使用者指南中AWS的使用多重要素驗證 (MFA)。

5. 選擇下一步。

6. 在 [新增權限] 頁面上，選擇名為的AWS受管理策略，AdministratorAccess然後選擇 [下一步]。

7. 在 [名稱、檢閱和建立] 頁面上，指定角色名稱和選擇性描述。為求與新帳戶中指派給角色的預設名稱一致，建議您使用 OrganizationAccountAccessRole。若要遞交您的變更，請選擇 Create role (建立角色)。

8. 您的新角色會顯示在可用的角色清單中。選擇新角色的名稱來檢視其詳細資訊，特別注意提供的連結 URL。將此 URL 提供給成員帳戶中，需要存取角色的使用者。此外，請記下 Role ARN (角色 ARN)，因為您在步驟 15 中將需要它。

9. 登入 IAM 主控台，網址為 https://console.aws.amazon.com/iam/。這時，以管理帳戶中擁有許可能建立政策和將政策指派給使用者或群組的使用者身分登入。

10. 瀏覽至 [原則]，然後選擇 [建立原則]。

11. 針對 Service (服務)，選擇 STS。

12. 針對動作，首先在篩選條件方塊中輸入 AssumeRole，然後在出現時選中旁邊的核取方塊。

13. 在 [資源] 下，確定已選取 [特定]，然後選擇 [新增 ARN]。

14. 輸入 AWS 成員帳戶 ID 號碼，然後輸入您在之前的步驟 1–8 中建立的角色名稱。選擇新增 ARN。

15. 如果您要授予許可以擔任多個成員帳戶中的角色，請對每個帳戶重複步驟 14 和 15。

16. 選擇下一步。

17. 在 [檢閱並建立] 頁面上，輸入新原則的名稱，然後選擇 [建立原則] 以儲存變更。

18. 在功能窗格中選擇 [使用者群組]，然後選擇要用來委派成員帳戶管理的群組名稱 (而非核取方塊)。

19. 選擇許可索引標籤標籤。

20. 選擇 [新增權限]，選擇 [附加原則]，然後選取您在步驟 11—18 中建立的原則。

所選取群組成員的使用者現在可以使用您在步驟 9 中擷取的 URL 來存取每個成員帳戶的角色。他們可以透過您在組織中所建立帳戶的相同方式存取這些成員帳戶。如需使用角色來管理成員帳戶詳細資訊，請參閱存取擁有管理帳戶存取角色的成員帳戶。

存取擁有管理帳戶存取角色的成員帳戶

當您使用 AWS Organizations 主控台建立成員帳戶時，AWS Organizations 會自動在帳戶中建立名為 OrganizationAccountAccessRole 的 IAM 角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體，因此該角色設定為授予對該組織管理帳戶的存取權。您可以遵循 在受邀 OrganizationAccountAccessRole 的成員帳戶中建立中的步驟，為獲邀請成員帳戶建立完全相同的角色。若要使用此角色來存取成員帳戶，您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可，請執行下列程序。我們建議您將許可授予群組，而不是使用者，以方便維護。

AWS Management Console

授予管理帳戶中 IAM 群組成員的許可以存取角色

1. 登入 IAM 主控台 (https://console.aws.amazon.com/iam/)，以管理帳戶中擁有管理員許可的使用者身分。需要此項，才能將許可委派給其使用者將存取成員帳戶中角色的 IAM 群組。

2. 透過建立您稍後在步驟 11 中需要的受管理政策來開始。

   在導覽窗格中，選擇 Policies (政策)，然後選擇 Create policy (建立政策)。

3. 在視覺化編輯器索引標籤上，選擇 Choose a service (選擇服務)，在搜尋方塊中輸入 STS 以篩選清單，然後選擇 STS 選項。

4. 在 [動作] 區段assume中，輸入搜尋方塊以篩選清單，然後選擇選AssumeRole項。

5. 在 [資源] 區段中，選擇 [特定]，選擇 [新增 ARN]，然後輸入成員帳號和您在上一節建立的角色名稱 (我們建議您命名它OrganizationAccountAccessRole)。

6. 當對話方塊顯示正確的 ARN 時，請選擇「新增 ARN」。

7. (選擇性) 如果您想要要求多重因素認證 (Multi-Factor Authentication，MFA)，或限制來自指定 IP 地址範圍的角色存取，請展開「請求條件」區段，然後選取您要強制執行的選項。

8. 選擇下一步。

9. 在 [檢閱並建立] 頁面上，輸入新原則的名稱。例如：GrantAccessToOrganizationAccountAccessRole。您也可以加入選用說明。

10. 選擇 Create policy (建立政策) 以儲存您的新受管政策。

11. 現在有了可用的政策，您就可以將其連接到群組。

    在功能窗格中，選擇 [使用者群組]，然後選擇您希望其成員能夠在成員帳戶中擔任角色的群組名稱 (而非核取方塊)。如果需要，您可以建立新群組。

12. 選擇 許可 標籤、選擇 新增許可，然後選擇 連接政策。

13. (選擇性) 在 Search (搜尋) 方塊中，您可以開始輸入政策名稱以篩選清單，直到您可以看到剛剛在步驟 2 到步驟 10 建立的政策名稱為止。您也可以選擇 [所有類型]，然後選擇 [客戶AWS管理]，篩選掉所有受管理的政策。

14. 核取原則旁邊的方塊，然後選擇 [附加原則]。

作為群組成員的 IAM 使用者現在擁有許可，能夠遵循下列程序，在 AWS Organizations 主控台中切換到新角色。

AWS Management Console

切換到成員帳戶的角色

使用角色時，使用者擁有新成員帳戶中的管理員許可。指示身為群組成員的 IAM 使用者，執行下列動作切換到新的角色。

1. 從 AWS Organizations 主控台的右上角處，選取包含目前登入名稱的連結，然後選擇 Switch role (切換角色)。

2. 輸入管理員提供的帳戶 ID 號碼和角色名稱。

3. 對於 Display Name (顯示名稱)，輸入您要在右上角導覽列中顯示的文字，以在您使用該角色時取代您的使用者名稱。您可以選擇性地選擇顏色。

4. 選擇 Switch Role (切換角色)。現在您執行的所有動作，都是使用授予您切換目標角色的許可所完成。在您切換回去之前，您將不再擁有與原始 IAM 使用者建立關聯的許可。

5. 在您完成需要角色許可的執行動作後，您便可以切換回您的一般 IAM 使用者。選擇右上角的角色名稱 (無論您指定為 [顯示名稱])，然後選擇 [返回至] UserName。

其他資源

• 如需有關授予切換角色權限的詳細資訊，請參閱《IAM 使用者指南》中的授予使用者切換角色的權限。

• 如需有關使用已獲授與您承擔的角色的詳細資訊，請參閱《IAM 使用者指南》中的「切換到角色 (主控台)」。

• 如需使用角色進行跨帳戶存取的教學課程，請參閱 IAM AWS 帳戶 使用者指南中的教學課程：跨 IAM 角色委派存取權。

• 如需關閉 AWS 帳戶 的相關資訊，請參閱關閉組織中的成員帳戶。