本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用访问组织中的成员账户 Amazon Organizations 在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在创建时指定不同的名称,但我们建议您在所有账户中使用一致的名称。 Amazon Organizations 不会创建任何其他用户或角色。 要访问组织中的账户,您必须使用以下方法之一: **最小权限** 要 Amazon Web Services 账户 从组织中的任何其他账户访问的,您必须具有以下权限: `sts:AssumeRole` – `Resource` 元素必须设置为星号(\$1)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。 ------ #### [ Using trusted access for IAM Identity Center ] 使用[Amazon IAM Identity Center](https://docs.amazonaws.cn/singlesignon/latest/userguide/what-is.html)并启用 IAM 身份中心的可信访问权限 Amazon Organizations。这允许用户使用其公司凭据登录 Amazon 访问门户,并访问其分配的管理账户或成员账户中的资源。 有关更多信息,请参阅《*Amazon IAM Identity Center 用户指南*》中的[多账户权限](https://docs.amazonaws.cn/singlesignon/latest/userguide/manage-your-accounts.html)。有关为 IAM Identity Center 设置可信访问的信息,请参阅 [Amazon IAM Identity Center 和 Amazon Organizations](services-that-can-integrate-sso.md)。 ------ #### [ Using the IAM role OrganizationAccountAccessRole ] 如果您使用中提供的工具创建账户 Amazon Organizations,则可以使用以这种方式创建的所有新账户中都存在的名`OrganizationAccountAccessRole`为的预配置角色来访问该账户。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations](orgs_manage_accounts_access-cross-account-role.md)。 如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 Amazon Organizations创建的账户中的角色相同。 如需创建此角色,请参阅[使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations](orgs_manage_accounts_create-cross-account-role.md)。 创建角色之后,您可以使用[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步骤访问它。 ------ **Topics** + [创建 IAM 访问角色](orgs_manage_accounts_create-cross-account-role.md) + [使用 IAM 访问角色](orgs_manage_accounts_access-cross-account-role.md)