As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criação OrganizationAccountAccessRole de uma conta convidada com AWS Organizations Por padrão, se você criar a conta-membro como parte de sua organização, a AWS criará automaticamente uma função na conta que concede permissões de administrador aos usuários do IAM na conta de gerenciamento que podem assumir a função. Por padrão, essa função é denominada `OrganizationAccountAccessRole`. Para obter mais informações, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md). No entanto, contas de associado que você *convida* para participar da sua organização ***não*** recebem automaticamente a função de administrador criada. Você precisa fazer isso manualmente, como mostrado no procedimento a seguir. Isso duplica a função configurada automaticamente para as contas criadas. Recomendamos que você use o mesmo nome, `OrganizationAccountAccessRole`, para suas funções criadas manualmente, para consistência e facilidade de lembrar. ------ #### [ Console de gerenciamento da AWS ] **Para criar uma função de AWS Organizations administrador em uma conta de membro** 1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta-membro. O usuário ou a função deve ter permissão para criar funções e políticas do IAM. 1. No console do IAM acesse **Perfis** e, em seguida, escolha **Criar perfil**. 1. Escolha e **Conta da AWS**, em seguida, selecione **Outro Conta da AWS**. 1. Insira o número de ID de 12 dígitos da conta de gerenciamento à qual você deseja conceder acesso de administrador. Em **Opções**, observe o seguinte: + Para essa função, porque as contas são internar à empresa, você **não** deve escolher **Require external ID (Requerer ID externo)**. Para obter mais informações sobre a opção de ID externo, consulte [Quando devo usar um ID externo?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use) no *Guia do usuário do IAM*. + Se tiver MFA habilitado e configurado, você também poderá optar por exigir autenticação usando um dispositivo Multi-Factor Authentication (MFA – Autenticação multifator). Para obter mais informações sobre MFA, consulte [Uso da autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*. 1. Escolha **Próximo**. 1. Na página **Adicionar permissões**, selecione a política gerenciada da AWS denominada `AdministratorAccess` e, em seguida, selecione **Próximo**. 1. Na página **Nomear, revisar e criar**, especifique um nome de perfil e uma descrição opcional. Recomendamos que você use `OrganizationAccountAccessRole`, para manter a consistência com o nome padrão atribuído à função nas novas contas. Para confirmar as alterações, escolha **Criação de função**. 1. Sua nova função é exibida na lista de funções disponíveis. Escolha o novo nome da função para ver os detalhes, prestando atenção especial no URL do link que é fornecido. Dê esse URL aos usuários da conta-membro que precisam acessar a função. Além disso, anote o **Role ARN (ARN da função)**, pois você precisará dele na etapa 15. 1. Faça login no console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Dessa vez, faça login como usuário na conta de gerenciamento que tem permissões para criar políticas e atribuí-las a usuários ou grupos. 1. Acesse **Políticas** e escolha **Criar política**. 1. Para **Service**, escolha **STS**. 1. Para **Actions (Ações)**, comece digitando **AssumeRole** na caixa **Filter (Filtro)** e marque a caixa de seleção próxima a ela quando aparecer. 1. Em **Recursos**, certifique-se de que **Específico** esteja selecionado e escolha **Adicionar ARNs**. 1. Insira o número de ID AWS da conta do membro e, em seguida, insira o nome da função que você criou anteriormente nas etapas de 1 a 8. Escolha **Add (Adicionar) ARNs**. 1. Se você estiver concedendo permissão para assumir a função em várias contas membro, repita as etapas 14 e 15 para cada conta. 1. Escolha **Próximo**. 1. Na página **Revisar e criar**, insira um nome para a nova política e selecione **Criar política** para salvar suas alterações. 1. Escolha **Grupos de usuário** no painel de navegação e escolha o nome do grupo (não a caixa de seleção) que você deseja usar para delegar a administração da conta-membro. 1. Escolha a aba **Permissões**. 1. Escolha **Adicionar permissões**, **Anexar política** e selecione a política que criou nas etapas 11–18. ------ Os usuários que são membros do grupo selecionado agora podem usar o URLs que você capturou na etapa 9 para acessar a função de cada conta de membro. Eles podem acessar essas contas membros da mesma forma como acessariam uma conta que você cria na organização. Para obter mais informações sobre como usar a função para administrar uma conta-membro, consulte [Acessando uma conta de membro que tem OrganizationAccountAccessRole com AWS Organizations](orgs_manage_accounts_access-cross-account-role.md).