As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

Quando você cria uma conta de membro usando o AWS Organizations console, cria AWS Organizations *automaticamente* uma função do IAM nomeada `OrganizationAccountAccessRole` na conta. Essa função tem permissões administrativas completas na conta do membro. O escopo de acesso para essa função inclui todas as entidades principais na conta de gerenciamento, de modo que a função esteja configurada para conceder esse acesso à conta de gerenciamento da organização.

Você pode criar uma função idêntica para a conta de um membro convidado seguindo as etapas de [Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations](orgs_manage_accounts_create-cross-account-role.md).

Para usar essa função para acessar a conta-membro, você deve fazer login como usuário a partir da conta de gerenciamento que tem permissão para assumir a função. Para configurar essas permissões, execute o procedimento a seguir. Recomendamos que você conceda permissões a grupos em vez de usuários para a facilidade de manutenção.

------
#### [ Console de gerenciamento da AWS ]

**Para conceder permissões a membros de um grupo do IAM na conta de gerenciamento para acessar a função**

1. Faça login no console do IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)como um usuário com permissões de administrador na conta de gerenciamento. Isso é necessário para delegar permissões para o grupo do IAM cujos usuários terão acesso à função na conta-membro.

1. <a name="step-create-policy"></a>Comece criando a política gerenciada de que você precisará posteriormente em [Step 14](#step-choose-group). 

   No painel de navegação, escolha **Policies (Políticas)** e, em seguida, selecione **Create policy (Criar política)**.

1. Na guia Visual editor, escolha **Choose a service**, digite **STS** na caixa de pesquisa para filtrar a lista e escolha a opção **STS**.

1. Na seção **Ações**, insira **assume** na caixa de pesquisa para filtrar a lista e escolha a **AssumeRole**opção.

1. Na seção **Recursos**, escolha **Específico**, escolha **Adicionar ARNs**

1. Na seção **Specify ARN(s)**, escolha **Other account** para o recurso.

1. Insira o ID da conta-membro que você acabou de criar

1. Em **Resource role name with path**, insira o nome do perfil criado na seção anterior (recomendamos dar a ele o nome `OrganizationAccountAccessRole`).

1. Escolha **Adicionar ARNs** quando a caixa de diálogo exibir o ARN correto.

1. (Opcional) Se desejar exigir autenticação multifator (MFA) ou restringir o acesso à função a partir de um intervalo de endereços IP especificado, expanda a seção Request conditions (Condições de solicitação) e selecione as opções que deseja impor.

1. Escolha **Próximo**.

1. Na página **Review and create**, insira um nome para a política. Por exemplo: **GrantAccessToOrganizationAccountAccessRole**. Você também pode adicionar uma descrição opcional. 

1. <a name="step-end-policy"></a>Escolha **Criar política** para salvar a nova política gerenciada.

1. <a name="step-choose-group"></a>Agora que você tem a política disponível, poderá associá-la a um grupo.

   No painel de navegação, escolha **Groups** e selecione o nome do grupo (não a caixa de seleção) cujos membros você deseja que assumam a função na conta-membro. Se necessário, você poderá criar outro grupo.

1. Escolha a guia **Permissões**, escolha **Adicionar permissões** e depois **Anexar políticas**.

1. (Opcional) Na caixa **Search (Pesquisar)**, é possível começar a digitar o nome da política para filtrar a lista até ver o nome da política criada em [Step 2](#step-create-policy) até [Step 13](#step-end-policy). Você também pode filtrar todas as políticas gerenciadas da AWS selecionando **Policy Type** e **Customer Managed**.

1. Marque a caixa ao lado da política e selecione **Attach policies**.

------

Os usuários do IAM que são membros do grupo agora têm permissões para mudar para a nova função no AWS Organizations console usando o procedimento a seguir.

------
#### [ Console de gerenciamento da AWS ]

**Para alternar para a função para a conta-membro**

Ao usar a função, o usuário tem permissões de administrador na nova conta-membro. Instrua os usuários do IAM que são membros do grupo a fazer o seguinte para alternar para a nova função. 

1. **No canto superior direito do AWS Organizations console, escolha o link que contém seu nome de login atual e escolha Trocar função.**

1. Insira o nome da função e o número do ID da conta fornecida pelo administrador.

1. Em **Display Name (Nome de exibição)**, insira o texto a ser exibido na barra de navegação no canto superior direito em vez do seu nome de usuário enquanto estiver usando a função. Você também pode escolher uma cor.

1. Selecione **Switch Role (Mudar de função)**. Agora, todas as ações que você executar serão feitas com as permissões concedidas à função para a qual você mudou. Você não tem mais as permissões associadas ao seu usuário original do IAM até você alternar de volta.

1. Ao concluir as ações que exigem as permissões da função, você poderá alternar de volta para seu usuário do IAM normal. Escolha o nome da função no canto superior direito (o que você especificou como **Nome de exibição**) e, em seguida, escolha **Voltar para**. *UserName*

------