使用访问组织中的成员账户 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用访问组织中的成员账户 Amazon Organizations

在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 OrganizationAccountAccessRole 的 IAM 角色。您可以在创建时指定不同的名称,但我们建议您在所有账户中使用一致的名称。 Amazon Organizations 不会创建任何其他用户或角色。

要访问组织中的账户,您必须使用以下方法之一:

最小权限

要 Amazon Web Services 账户 从组织中的任何其他账户访问的,您必须具有以下权限:

  • sts:AssumeRoleResource 元素必须设置为星号(*)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。

Using trusted access for IAM Identity Center

使用Amazon IAM Identity Center并启用 IAM 身份中心的可信访问权限 Amazon Organizations。这允许用户使用其公司凭据登录 Amazon 访问门户,并访问其分配的管理账户或成员账户中的资源。

有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息,请参阅 Amazon IAM Identity Center 和 Amazon Organizations

Using the IAM role OrganizationAccountAccessRole

如果您使用中提供的工具创建账户 Amazon Organizations,则可以使用以这种方式创建的所有新账户中都存在的名OrganizationAccountAccessRole为的预配置角色来访问该账户。有关更多信息,请参阅 使用 Amazon Organizations 访问具有 OrganizationAccountAccessRole 的成员账户

如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 Amazon Organizations创建的账户中的角色相同。

如需创建此角色,请参阅使用 Amazon Organizations 为受邀账户创建 OrganizationAccountAccessRole

创建角色之后,您可以使用使用 Amazon Organizations 访问具有 OrganizationAccountAccessRole 的成员账户中的步骤访问它。

主题