Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Creazione OrganizationAccountAccessRole di un account invitato con AWS Organizations Per impostazione predefinita, se crei un account membro come parte dell'organizzazione, AWS crea automaticamente un ruolo nell'account che concede le autorizzazioni di amministratore agli utenti IAM delegati nell'account di gestione. Per impostazione predefinita, tale ruolo è denominato `OrganizationAccountAccessRole`. Per ulteriori informazioni, consulta [Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). Tuttavia, gli account membro *invitati* a far parte dell'organizzazione ***non*** ottengono automaticamente un ruolo amministratore creato. È necessario eseguire questa operazione manualmente, come illustrato nella procedura seguente. Essenzialmente, in questo modo viene duplicato il ruoto automaticamente configurato per gli account creati. Consigliamo di utilizzare lo stesso nome, `OrganizationAccountAccessRole`, per i ruoli creati manualmente per coerenza e facilità di memorizzazione. ------ #### [ Console di gestione AWS ] **Per creare un ruolo di AWS Organizations amministratore in un account membro** 1. Accedi alla console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account membro. L'utente o il ruolo devono avere autorizzazioni per creare i ruoli e le policy IAM. 1. Nella console IAM, accedi a **Ruoli** e quindi scegli **Crea ruolo**. 1. Scegli **Account AWS**, quindi seleziona **Altro Account AWS**. 1. Inserisci il numero ID dell'account a 12 cifre dell'account di gestione a cui desideri concedere l'accesso come amministratore. In **Opzioni**, tieni presente quanto segue: + Per questo ruolo, poiché gli account sono interni all'azienda, **non** è necessario scegliere **Require external ID (Richiedi ID esterno)**. Per ulteriori informazioni sull'opzione ID esterno, vedi [Quando devo usare un ID esterno?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) nella *Guida per l'utente IAM*. + Se l'MFA è abilitata e configurata, è possibile scegliere di richiedere l'autenticazione utilizzando un dispositivo MFA. *Per ulteriori informazioni sulla MFA, consulta [Using Multi-Factor Authentication (MFA) AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM User Guide.* 1. Scegli **Next (Successivo)**. 1. **Nella pagina **Aggiungi autorizzazioni**, scegli la policy AWS gestita denominata, quindi scegli `AdministratorAccess` Avanti.** 1. Nella pagina **Nome, revisione e creazione,** specifica un nome di ruolo e una descrizione facoltativa. Consigliamo di utilizzare `OrganizationAccountAccessRole`, per coerenza con il nome predefinito assegnato al ruolo nei nuovi account. Per rendere effettive le modifiche, scegliere **Create role (Crea ruolo)**. 1. Il nuovo ruolo viene visualizzato nell'elenco di ruoli disponibili. Scegli il nome del nuovo ruolo per visualizzare i dettagli, facendo particolare attenzione all'URL del link che viene fornito. Assegnare questo URL agli utenti nell'account membro che deve accedere al ruolo. Inoltre, prendere nota del **Role ARN (ARN ruolo)** perché sarà necessario nella fase 15. 1. Accedi alla console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). A questo punto, accedi come utente nell'account di gestione che dispone delle autorizzazioni per creare policy e assegnare le policy a utenti o gruppi. 1. Passa a **Politiche**, quindi seleziona **Crea policy**. 1. In **Service (Servizio)**, scegliere **STS**. 1. In **Azioni**, iniziare a digitare **AssumeRole** nella casella **Filtro** e quindi selezionare la casella di controllo accanto quando viene visualizzata. 1. In **Risorse**, assicurati che sia selezionato **Specifico**, quindi scegli **Aggiungi ARNs**. 1. Inserisci il numero ID dell'account AWS membro, quindi inserisci il nome del ruolo creato in precedenza nei passaggi da 1 a 8. Scegliere **Aggiungi ARNs**. 1. Se si concede l'autorizzazione per assumere il ruolo in più account membri, ripetere le fasi 14 e 15 per ogni account. 1. Scegli **Next (Successivo)**. 1. Nella pagina **Rivedi e crea**, inserisci un nome per la nuova politica, quindi scegli **Crea politica** per salvare le modifiche. 1. Scegli **Gruppi di utenti** nel riquadro di navigazione, quindi scegli il nome del gruppo (non la casella di controllo) che desideri utilizzare per delegare l'amministrazione dell'account membro. 1. Scegli la scheda **Autorizzazioni**. 1. Scegli **Aggiungi autorizzazioni**, scegli **Allega politiche**, quindi seleziona la politica che hai creato nei passaggi 11—18. ------ Gli utenti che sono membri del gruppo selezionato ora possono utilizzare URLs quello acquisito nel passaggio 9 per accedere al ruolo di ciascun account membro. Possono accedere a questi account membri esattamente come se accedessero a un account creato nell'organizzazione. Per ulteriori informazioni su come utilizzare il ruolo per amministrare un account membro, consulta [Accedere a un account membro che ha OrganizationAccountAccessRole con AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).