本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations 默认情况下,如果您创建属于组织的成员账户, AWS 会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 `OrganizationAccountAccessRole`。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。 但是,您*邀请* 加入组织中的成员账户***不*** 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 `OrganizationAccountAccessRole`,以确保一致性和方便记忆。 ------ #### [ AWS 管理控制台 ] **在成员账户中创建 AWS Organizations 管理员角色** 1. 登录 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您必须以 IAM 用户身份登录,担任 IAM 角色;或以成员账户中的根用户身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。用户或角色必须具有创建 IAM 角色和策略的权限。 1. 在 IAM 控制台中,导航至**角色**,然后选择**创建角色**。 1. 选择 **AWS 账户**,然后选择 “其**他**” AWS 账户。 1. 输入您希望向其授予管理员访问权限的管理账户的 12 位账户 ID 编号。在**选项**下,请注意以下方面: + 对于此角色,由于账户是公司的内部账户,因此,您**不**应选择 **Require external ID (需要外部 ID)**。有关外部 ID 选项的更多信息,请参阅《IAM 用户指南》**中的[我何时应使用外部 ID?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)。 + 如果您启用了 MFA 并进行了配置,则可以选择要求使用 MFA 设备进行身份验证。有关 MFA 的更多信息,请参阅《IAM 用户指南》**中的[在 AWS中使用多重身份验证(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。 1. 选择**下一步**。 1. 在**附加权限**页面上,选择名为 `AdministratorAccess` 的 AWS 托管式策略,然后选择**下一步**。 1. 在**命名、检查和创建**页面上,指定一个角色名称和可选的描述。我们建议您使用 `OrganizationAccountAccessRole`,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 **Create role** (创建角色)。 1. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息,特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外,记下 **Role ARN (角色 ARN)**,因为您在步骤 15 中需要它。 1. 登录 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。此时,以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。 1. 导航到**策略**,然后选择**创建策略**。 1. 对于 **Service**,选择 **STS**。 1. 对于 **Actions (操作)**,在 **Filter (筛选器)** 框中开始键入 **AssumeRole**,然后在该角色显示后选中其旁边的复选框。 1. 在 “**资源**” 下,确保选择 “**特定**”,然后选择 “**添加**” ARNs。 1. 输入 AWS 成员账户 ID 号,然后输入您之前在步骤 1—8 中创建的角色的名称。选择**添加 ARNs**。 1. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。 1. 选择**下一步**。 1. 在**检查并创建**页面上,输入新策略的名称,然后选择**创建策略**以保存您的更改。 1. 导航窗格中选择**用户组**,然后选择要用于委派成员账户的管理权限的组的名称(不是复选框)。 1. 选择**权限**选项卡。 1. 选择**添加策略**,选择**附加策略**,然后选择您在步骤 11–18 中创建的策略。 ------ 属于所选群组成员的用户现在可以使用您在步骤 9 中捕获的来访问每个成员账户的角色。 URLs 他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。