Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erstellung OrganizationAccountAccessRole für ein eingeladenes Konto mit AWS Organizations Wenn Sie ein Mitgliedskonto als Teil Ihrer Organisation erstellen, erstellt AWS standardmäßig automatisch eine Rolle im Konto, die IAM-Benutzern im Verwaltungskonto, die die Rolle übernehmen können, Administratorberechtigungen erteilt. Standardmäßig hat diese Rolle den Namen `OrganizationAccountAccessRole`. Weitere Informationen finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). Für Mitgliedskonten allerdings, die Sie zum Beitritt zur Organisation *einladen*, ***wird nicht*** automatisch eine Admin-Rolle erstellt. Sie müssen dies, wie in der folgenden Prozedur gezeigt, manuell erledigen. Die Prozedur dupliziert die automatisch für erstellte Konten eingerichtete Rolle. Wir empfehlen, dass Sie aus Konsistenzgründen und zur leichteren Erkennbarkeit denselben Namen (`OrganizationAccountAccessRole`) für Ihre manuell erstellten Rollen nutzen. ------ #### [ AWS-Managementkonsole ] **Um eine AWS Organizations Administratorrolle in einem Mitgliedskonto zu erstellen** 1. Melden Sie sich bei der IAM-Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Sie müssen sich im Mitgliedskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Stammbenutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). Der Benutzer oder die Rolle muss über die Berechtigung zum Erstellen von IAM-Rollen und Richtlinien verfügen. 1. Navigieren Sie in der IAM-Konsole zu **Rollen** und wählen Sie dann Rolle **erstellen** aus. 1. Wählen Sie **AWS-Konto**und wählen Sie dann **Andere AWS-Konto** aus. 1. Geben Sie die 12-stellige Konto-ID-Nummer des Verwaltungskontos ein, für das Sie Administratorzugriff gewähren möchten. Beachten Sie unter **Optionen** bitte Folgendes: + Da die Konten in Ihrem Unternehmen intern sind, sollten Sie für diese Rolle **nicht** die Option **Externe ID erforderlich** auswählen. Weitere Informationen zur Option „Externe ID“ finden Sie unter [Wann sollte ich eine externe ID verwenden?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) im *IAM-Benutzerhandbuch*. + Wenn Sie MFA aktiviert und konfiguriert haben, können Sie optional eine Authentifizierung mithilfe eines Multi-Factor Authentication (MFA)-Geräts festlegen. Weitere Informationen zu MFA finden Sie unter [Using Multi-Factor Authentication (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) *IAM-Benutzerhandbuch*. 1. Wählen Sie **Weiter** aus. 1. **Wählen Sie auf der Seite „**Berechtigungen hinzufügen**“ die AWS verwaltete Richtlinie mit dem Namen aus `AdministratorAccess` und klicken Sie dann auf Weiter.** 1. Geben Sie auf der Seite **Name, Überprüfung und Erstellung** einen Rollennamen und eine optionale Beschreibung an. Wir empfehlen, dass Sie zur Übereinstimmung mit dem Standardnamen für die Rolle in neuen Konten den Namen „`OrganizationAccountAccessRole`“ verwenden. Wählen Sie **Create Role** (Rolle erstellen) aus, um Ihre Änderungen zu übernehmen. 1. Die neue Rolle erscheint in der Liste der verfügbaren Rollen. Wählen Sie den Namen der neuen Rolle aus, um die Details anzuzeigen. Beachten Sie dabei besonders die angegebene Link-URL. Geben Sie diese URL an die Benutzer im Mitgliedskonto weiter, die Zugriff auf die Rolle benötigen. Notieren Sie sich außerdem den **Role ARN (Rollen-ARN)**. Sie benötigen ihn in Schritt 15. 1. Melden Sie sich bei der IAM-Konsole an unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Melden Sie sich jetzt als derjenige Benutzer im Verwaltungskonto an, der die Berechtigungen zur Erstellung von Richtlinien hat, und weisen Sie die Richtlinien für die Benutzer oder Gruppen zu. 1. Navigieren Sie zu **Richtlinien** und wählen Sie dann **Richtlinie erstellen** aus. 1. Wählen Sie unter **Service** die Option **STS** aus. 1. Für **Actions** geben Sie **AssumeRole** in das Feld **Filter** ein und aktivieren Sie dann das Kontrollkästchen daneben, wenn es angezeigt wird. 1. Stellen Sie sicher, dass unter **Ressourcen** die Option **Spezifisch** ausgewählt ist, und wählen Sie dann **Hinzufügen** aus ARNs. 1. Geben Sie die AWS Mitgliedskonto-ID-Nummer und dann den Namen der Rolle ein, die Sie zuvor in den Schritten 1—8 erstellt haben. Wählen Sie **Hinzufügen ARNs** aus. 1. Wenn Sie die Berechtigung zur Übernahme der Rolle in mehreren Mitgliedskonten erteilen, wiederholen Sie die Schritte 14 und 15 für jedes Konto. 1. Wählen Sie **Weiter** aus. 1. Geben Sie auf der Seite **Überprüfen und erstellen** einen Namen für die neue Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus, um Ihre Änderungen zu speichern. 1. Wählen Sie im Navigationsbereich **Benutzergruppen** und dann den Namen der Gruppe (nicht das Kontrollkästchen) aus, mit der Sie die Verwaltung des Mitgliedskontos delegieren möchten. 1. Wählen Sie die Registerkarte **Berechtigungen**. 1. Wählen Sie **Berechtigungen hinzufügen**, dann **Richtlinien anhängen** und wählen Sie dann die Richtlinie aus, die Sie in den Schritten 11—18 erstellt haben. ------ Die Benutzer, die Mitglieder der ausgewählten Gruppe sind, können nun die Daten URLs , die Sie in Schritt 9 erfasst haben, verwenden, um auf die Rollen der einzelnen Mitgliedskonten zuzugreifen. Sie können auf diese Mitgliedskonten so zugreifen wie beim Zugriff auf ein in der Organisation erstelltes Konto. Weitere Informationen über die Verwendung der Rolle zur Administration eines Mitgliedskontos finden Sie unter [Zugriff auf ein Mitgliedskonto OrganizationAccountAccessRole mit AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).