本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

使用 AWS Organizations 控制台创建成员账户时， AWS Organizations *会自动*创建账户`OrganizationAccountAccessRole`中名为的 IAM 角色。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体，因此该角色将配置为授予对该组织管理账户的访问权限。

您可以按照[使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)中的步骤，为受邀成员账户创建相同的角色。

要使用此角色访问成员账户，您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限，请执行以下过程。我们建议您向组而不是用户授予权限，以便于维护。

------
#### [ AWS 管理控制台 ]

**向管理账户中 IAM 组的成员授予权限以访问角色**

1. 以具有管理账户管理员权限的用户[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)身份登录 IAM 控制台。这是向 IAM 组委派权限所必需的，该组的用户将具有成员账户中的角色。

1. <a name="step-create-policy"></a>首先，创建您稍后在[Step 14](#step-choose-group)中需要的托管策略。

   在导航窗格中选择**策略**，然后选择**创建策略**。

1. 在可视化编辑器选项卡上，选择**选择服务**，在搜索框中输入 **STS** 以筛选列表，然后选择 **STS** 选项。

1. 在 “**操作**” 部分，**assume**在搜索框中输入以筛选列表，然后选择**AssumeRole**选项。

1. 在 “**资源**” 部分中，选择 “**特定**”，选择 “**添加**” ARNs

1. 在**指定 ARN** 部分中，对于资源位置选择**其他账户**。

1. 输入您刚刚创建的成员账户的 ID

1. 对于**资源角色名称及路径**，请输入您在上一节中创建的角色的名称（我们建议将其命名为 `OrganizationAccountAccessRole`）。

1.  ARNs当对话框显示正确的 ARN 时，选择**添加**。

1. （可选）如果您要求多重验证 (MFA)，或要限制此角色从指定的 IP 地址范围进行访问，请展开 Request conditions (请求条件) 部分，然后选择要强制执行的选项。

1. 选择**下一步**。

1. 在**检查并创建**页面上，输入新策略的名称。例如：**GrantAccessToOrganizationAccountAccessRole**。您还可以添加可选的说明。

1. <a name="step-end-policy"></a>选择 **Create policy (创建策略)** 以保存新的托管策略。

1. <a name="step-choose-group"></a>现在，您已有策略可用，您可以将其附加到组。

   在导航窗格中选择**用户组**，然后选择其成员能够代入成员账户中角色的组的名称（不是复选框）。如果需要，您可以创建新组。

1. 请选择**权限**选项卡，选择**添加权限**，然后选择**附加策略**。

1. （可选）在 **Search (搜索)** 框中，您可以开始键入策略的名称以筛选列表，直到您可以看到刚刚在[Step 2](#step-create-policy)到[Step 13](#step-end-policy)中创建的策略的名称。还可以通过选择**所有类型**，然后选择**客户管理**，从而筛选出所有 AWS 托管式策略。

1. 选中策略旁边的复选框，然后选择**附加策略**。

------

作为群组成员的 IAM 用户现在有权使用以下步骤在 AWS Organizations 控制台中切换到新角色。

------
#### [ AWS 管理控制台 ]

**切换到成员账户的角色**

使用该角色时，用户具有新成员账户中的管理权限。指示您的作为该组成员的 IAM 用户执行以下操作以切换到新角色。

1. **从 AWS Organizations 控制台的右上角，选择包含您当前登录名的链接，然后选择 Switch Role。**

1. 输入管理员提供的账户 ID 号和角色名称。

1. 对于 **Display Name (显示名称)**，输入文本；在您使用角色时，该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。

1. 选择**切换角色**。现在，您执行的所有操作已完成，并且已将权限授予给您切换到的角色。在切换回之前，您不再具有与原始 IAM 用户关联的权限。

1. 完成执行需要角色权限的操作后，您可以切换回普通 IAM 用户。在右上角选择角色名称（无论您指定为 “**显示名称**”），然后选择 “**返回**”。*UserName*

------