使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations

默认情况下,如果您在组织中创建成员账户, Amazon 自动在账户中创建一个角色,该角色向管理账户中可以担任该角色的IAM用户授予管理员权限。默认情况下,该角色名为 OrganizationAccountAccessRole。有关更多信息,请参阅 访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations

但是,您邀请 加入组织中的成员账户 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole,以确保一致性和方便记忆。

Amazon Web Services Management Console
要创建 Amazon Organizations 成员账户中的管理员角色
  1. 登录IAM控制台,网址为https://console.aws.amazon.com/iam/。您必须以IAM用户身份登录,或者在有权创建IAM角色和策略的成员账户中扮演角色。IAM您可以使用在创建成员账户时为您创建的 管理员用户。

  2. 在IAM控制台中,导航到 “角色”,然后选择 “创建角色”。

  3. 选择 Amazon Web Services 账户,然后选择 “其他” Amazon Web Services 账户.

  4. 输入您要授予管理员访问权限的管理账户的 12 位数账户 ID 号。在 “选项” 下,请注意以下内容:

    • 对于此角色,由于账户是公司的内部账户,因此,您应选择 Require external ID (需要外部 ID)。有关外部 ID 选项的更多信息,请参阅何时应使用外部 ID? 在《IAM用户指南》中。

    • 如果您已MFA启用并配置,则可以选择要求使用MFA设备进行身份验证。有关的更多信息MFA,请参阅中的使用多重身份验证 (MFA) Amazon(在 IAM 用户指南中)。

  5. 选择下一步

  6. 在 “添加权限” 页面上,选择 Amazon 托管策略已命名,AdministratorAccess然后选择下一步

  7. 在 “名称、查看和创建” 页面上,指定角色名称和可选描述。我们建议您使用 OrganizationAccountAccessRole,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 Create role (创建角色)。

  8. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看其详细信息,并特别注意URL所提供的链接。URL将其提供给成员账户中需要访问该角色的用户。另外,请记下该角色,ARN因为你需要在步骤 15 中使用它。

  9. 登录IAM控制台,网址为https://console.aws.amazon.com/iam/。此时,以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。

  10. 导航到 “策略”,然后选择 “创建策略”。

  11. 对于 Service,选择 STS

  12. 对于 Actions (操作),在 Filter (筛选器) 框中开始键入 AssumeRole,然后在该角色显示后选中其旁边的复选框。

  13. 在 “资源” 下,确保选择 “特定”,然后选择 “添加” ARNs。

  14. 输入 Amazon 成员账户 ID 号,然后输入您之前在步骤 1—8 中创建的角色的名称。选择 “添加” ARNs。

  15. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。

  16. 选择下一步

  17. 查看并创建页面上,输入新策略的名称,然后选择创建策略以保存更改。

  18. 在导航窗格中选择 “用户组”,然后选择要用来委派成员账户管理的群组名称(不是复选框)。

  19. 选择权限选项卡。

  20. 选择 “添加权限”,选择 “附加策略”,然后选择您在步骤 11—18 中创建的策略。

属于所选群组成员的用户现在可以使用您在步骤 9 中捕获的来访问每个成员账户的角色。URLs他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations