本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 為受邀帳戶建立 OrganizationAccountAccessRole AWS Organizations 依預設,如果您隨著組織建立成員帳戶, AWS 會自動在帳戶中建立一個角色,為管理帳戶中可以擔任該角色的 IAM 使用者授予管理員許可。在預設情況下,該角色名為 `OrganizationAccountAccessRole`。如需詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。 不過,您*邀請*加入組織的成員帳戶,***不會***自動建立管理員角色。您可以手動執行此動作,如以下程序所示。這基本上會複製自動為已建立帳戶設定的角色。我們建議您為手動建立的角色使用相同的名稱 `OrganizationAccountAccessRole`,以保有一致性並方便記住。 ------ #### [ AWS 管理主控台 ] **在成員帳戶中建立 AWS Organizations 管理員角色** 1. 登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。您必須以 IAM 使用者的身分登入,擔任 IAM 角色,或以成員帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。使用者或角色必須具有建立 IAM 角色和政策的許可。 1. 在 IAM 主控台中,導覽至**角色**,然後選擇**建立角色**。 1. 選擇 **AWS 帳戶**,然後選擇**另一個 AWS 帳戶**。 1. 輸入您要授予管理員存取權之管理帳戶的 12 位數帳戶 ID 號碼。在**選項**下,請注意下列事項: + 針對此角色,因為帳戶是公司內部帳戶,您**不**應該選擇 **Require external ID** (需要外部 ID)。如需外部 ID 選項的詳細資訊,請參閱《*IAM 使用者指南*》中的[我應該何時使用外部 ID?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)。 + 如果您已啟用和設定 MFA 身分驗證,您可以選擇性地要求使用 MFA 裝置進行身分驗證。如需 MFA 的詳細資訊,請參閱《*IAM 使用者指南*》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。 1. 選擇**下一步**。 1. 在**新增許可**頁面上,選擇名為 的 AWS 受管政策,`AdministratorAccess`然後選擇**下一步**。 1. 在**名稱、檢閱和建立**頁面上,指定角色名稱和選用描述。為求與新帳戶中指派給角色的預設名稱一致,建議您使用 `OrganizationAccountAccessRole`。若要遞交您的變更,請選擇 **Create role (建立角色)**。 1. 您的新角色會顯示在可用的角色清單中。選擇新角色的名稱來檢視其詳細資訊,特別注意提供的連結 URL。將此 URL 提供給成員帳戶中,需要存取角色的使用者。此外,請記下 **Role ARN (角色 ARN)**,因為您在步驟 15 中將需要它。 1. 登入 IAM 主控台,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。這時,以管理帳戶中擁有許可能建立政策和將政策指派給使用者或群組的使用者身分登入。 1. 導覽至**政策**,然後選擇**建立政策**。 1. 針對 **Service (服務)**,選擇 **STS**。 1. 針對**動作**,首先在**篩選條件**方塊中輸入 **AssumeRole**,然後在出現時選中旁邊的核取方塊。 1. 在**資源**下,確定已選取**特定**,然後選擇**新增 ARNs**。 1. 輸入 AWS 成員帳戶 ID 號碼,然後輸入您先前在步驟 1–8 中建立的角色名稱。選擇**新增 ARN**。 1. 如果您要授予許可以擔任多個成員帳戶中的角色,請對每個帳戶重複步驟 14 和 15。 1. 選擇**下一步**。 1. 在**檢閱和建立**頁面上,輸入新政策的名稱,然後選擇**建立政策**以儲存變更。 1. 在導覽窗格中選擇**使用者群組**,然後選擇您要用來委派成員帳戶管理的群組名稱 (而非核取方塊)。 1. 選擇**許可**索引標籤。 1. 選擇**新增許可**,選擇**連接政策**,然後選擇您在步驟 11–18 中建立的政策。 ------ 所選取群組成員的使用者現在可以使用您在步驟 9 中擷取的 URL 來存取每個成員帳戶的角色。他們可以透過您在組織中所建立帳戶的相同方式存取這些成員帳戶。如需使用角色來管理成員帳戶詳細資訊,請參閱[使用 存取具有 OrganizationAccountAccessRole 的成員帳戶 AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)。