本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 存取組織中的成員帳戶 AWS Organizations 當您在組織中建立帳戶時,除了根使用者之外,AWS Organizations 還會自動建立名為 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在建立時指定不同的名稱,但我們建議您在所有帳戶中一致地命名它。 AWS Organizations 不會建立任何其他使用者或角色。 若要存取組織中的帳戶,您必須使用以下其中一個方法: **最低許可** 若要 AWS 帳戶 從組織中的任何其他帳戶存取 ,您必須擁有下列許可: `sts:AssumeRole` – `Resource` 元素必須設為星號 (\*) 或需要存取新成員帳戶之使用者帳戶的帳戶 ID ------ #### [ Using the root user (Not recommended for everyday tasks) ] 當您在組織中建立新的成員帳戶時,該帳戶預設沒有根使用者登入資料。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原 (除非啟用帳戶復原)。 您可以[集中成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html),以移除組織中現有成員帳戶的根使用者憑證。刪除根使用者憑證會移除根使用者密碼、存取金鑰、簽署憑證,並停用多重驗證 (MFA)。這些成員帳戶沒有根使用者憑證,無法以根使用者身分登入,而且無法復原根使用者密碼。您在 Organizations 中建立的新帳戶預設沒有根使用者憑證。 如果您需要在不存在根使用者憑證的成員帳戶上執行需要根使用者憑證的任務,請聯絡您的管理員。 若要以根使用者身分存取您的成員帳戶,您必須完成密碼復原程序。如需詳細資訊,請參閱 *AWS 登入使用者指南*中的[我忘記 的根使用者密碼 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)。 如果您必須使用根使用者存取成員帳戶,請遵循下列最佳實務: + 除了建立具有更有限許可的其他使用者和角色之外,請勿使用根使用者來存取您的帳戶。然後,以這些使用者或角色身分登入。 + 在[根使用者上啟用多重驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。重設密碼,並[將 MFA 裝置指派給根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。 如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 *IAM 使用者指南*中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。如需其他根使用者安全建議,請參閱《*IAM 使用者指南*》中的 [的根使用者最佳實務 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。 ------ #### [ Using trusted access for IAM Identity Center ] 使用 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)並啟用 IAM Identity Center 的受信任存取 AWS Organizations。這可讓使用者使用其公司登入資料登入 AWS 存取入口網站,並存取其指派管理帳戶或成員帳戶中的資源。 如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[多帳戶許可](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)。如需設定 IAM Identity Center 的受信任存取的詳細資訊,請參閱 [AWS IAM Identity Center 而且 AWS Organizations](services-that-can-integrate-sso.md)。 ------ #### [ Using the IAM role OrganizationAccountAccessRole ] 如果您使用 提供的工具來建立帳戶 AWS Organizations,您可以使用您以此方式建立的所有新帳戶中,名為 `OrganizationAccountAccessRole` 的預先設定角色來存取帳戶。如需詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。 若是邀請現有帳戶加入組織,而該帳戶也接受邀請,您可以選擇建立 IAM 角色,以允許管理帳戶存取受邀的成員帳戶。此角色與 AWS Organizations建立的帳戶中自動新增的角色完全相同。 若要建立角色,請參閱[使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)。 在您建立角色後,您便可以使用[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步驟來存取它。 ------ **Topics** + [建立 IAM 存取角色](orgs_manage_accounts_create-cross-account-role.md) + [使用 IAM 存取角色](orgs_manage_accounts_access-cross-account-role.md)