本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

當您使用 AWS Organizations 主控台建立成員帳戶時， AWS Organizations *會自動*`OrganizationAccountAccessRole`在帳戶中建立名為 的 IAM 角色。此角色擁有成員帳戶內的完整管理許可。此角色的存取範圍包括管理帳戶中的所有主體，因此該角色設定為授予對該組織管理帳戶的存取權。

您可以遵循 [使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)中的步驟，為獲邀請成員帳戶建立完全相同的角色。

若要使用此角色來存取成員帳戶，您必須以管理帳戶帳戶中擁有擔任此角色許可的使用者身分登入。若要設定這些許可，請執行下列程序。我們建議您將許可授予群組，而不是使用者，以方便維護。

------
#### [ AWS 管理主控台 ]

**授予管理帳戶中 IAM 群組成員的許可以存取角色**

1. 登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))，以管理帳戶中擁有管理員許可的使用者身分。需要此項，才能將許可委派給其使用者將存取成員帳戶中角色的 IAM 群組。

1. <a name="step-create-policy"></a>透過建立您稍後在[Step 14](#step-choose-group) 中需要的受管理政策來開始。

   在導覽窗格中，選擇 **Policies (政策)**，然後選擇 **Create policy (建立政策)**。

1. 在視覺化編輯器索引標籤上，選擇**選擇服務**，**STS**在搜尋方塊中輸入 以篩選清單，然後選擇 **STS** 選項。

1. 在**動作**區段**assume**中，在搜尋方塊中輸入 以篩選清單，然後選擇 **AssumeRole** 選項。

1. 在**資源**區段中，選擇**特定**，選擇**新增 ARNs**

1. 在**指定 ARN (s)** 區段中，為資源選擇**其他帳戶**。

1. 輸入您剛建立的成員帳戶的 ID

1. 對於**具有路徑的資源角色名稱**，輸入您在上一節中建立的角色名稱 （建議將其命名為 `OrganizationAccountAccessRole`)。

1. 當對話方塊顯示正確的 ** ARNs 時，選擇新增** ARN。

1. (選擇性) 如果您想要要求多重因素認證 (Multi-Factor Authentication，MFA)，或限制來自指定 IP 地址範圍的角色存取，請展開「請求條件」區段，然後選取您要強制執行的選項。

1. 選擇**下一步**。

1. 在**檢閱和建立**頁面上，輸入新政策的名稱。例如：**GrantAccessToOrganizationAccountAccessRole**。您也可以加入選用說明。

1. <a name="step-end-policy"></a>選擇 **Create policy (建立政策)** 以儲存您的新受管政策。

1. <a name="step-choose-group"></a>現在有了可用的政策，您就可以將其連接到群組。

   在導覽窗格中，選擇**使用者群組**，然後選擇您要在成員帳戶中擔任該角色之成員的群組名稱 （而非核取方塊）。如果需要，您可以建立新群組。

1. 選擇 **許可** 標籤、選擇 **新增許可**，然後選擇 **連接政策**。

1. (選擇性) 在 **Search (搜尋)** 方塊中，您可以開始輸入政策名稱以篩選清單，直到您可以看到剛剛在[Step 2](#step-create-policy) 到[Step 13](#step-end-policy) 建立的政策名稱為止。您也可以選擇所有**類型**，然後選擇客戶 AWS 受管，篩選掉所有受管政策。 ****

1. 勾選政策旁的方塊，然後選擇**連接政策**。

------

屬於 群組成員的 IAM 使用者現在具有在 AWS Organizations 主控台中使用下列程序切換到新角色的許可。

------
#### [ AWS 管理主控台 ]

**切換到成員帳戶的角色**

使用角色時，使用者擁有新成員帳戶中的管理員許可。指示身為群組成員的 IAM 使用者，執行下列動作切換到新的角色。

1. 從 AWS Organizations 主控台的右上角，選擇包含您目前登入名稱的連結，然後選擇**切換角色**。

1. 輸入管理員提供的帳戶 ID 號碼和角色名稱。

1. 對於 **Display Name (顯示名稱)**，輸入您要在右上角導覽列中顯示的文字，以在您使用該角色時取代您的使用者名稱。您可以選擇性地選擇顏色。

1. 選擇 **Switch Role** (切換角色)。現在您執行的所有動作，都是使用授予您切換目標角色的許可所完成。在您切換回去之前，您將不再擁有與原始 IAM 使用者建立關聯的許可。

1. 在您完成需要角色許可的執行動作後，您便可以切換回您的一般 IAM 使用者。在右上角 (任何您指定為 **Display Name (顯示名稱)** 的項目) 選擇角色名稱，然後選擇 **Back to *UserName* (切換回 UserName)**。

------