使用访问组织中的成员账户 AWS Organizations

在组织中创建账户时，除了根用户外，AWS Organizations 还会自动创建默认名为 OrganizationAccountAccessRole 的 IAM 角色。您可以在创建时指定不同的名称，但我们建议您在所有账户中使用一致的名称。 AWS Organizations 不会创建任何其他用户或角色。

要访问组织中的账户，您必须使用以下方法之一：

使用根用户（不建议用于日常任务）

当您在组织中创建新的成员账户时，默认情况下，该账户没有根用户证书。除非启用账户恢复，否则成员账户不能登录到他们的根用户或为其根用户执行密码恢复。

您可以集中成员账户的 root 访问权限，以删除组织中现有成员账户的 root 用户证书。删除根用户证书会删除根用户密码、访问密钥、签名证书，并停用多因素身份验证 (MFA)。这些成员账户没有根用户凭证，无法以根用户身份登录，并且无法恢复根用户密码。默认情况下，您在 Organizations 中创建的新账户不具有根用户证书。

如果您需要在不存在 root 用户凭据的成员账户上执行需要根用户凭据的任务，请联系您的管理员。

要以 root 用户身份访问您的成员帐户，您必须完成密码恢复流程。有关更多信息，请参阅《AWS Sign-In 用户指南》中的 我忘记了 AWS 账户根用户密码。

如果您必须使用 root 用户访问成员账户，请遵循以下最佳实践：

有关要求您以根用户身份登录的任务的完整列表，请参阅 IAM 用户指南中的需要根用户凭证的任务。有关其他根用户安全建议，请参阅 IAM 用户指南 AWS 账户中的根用户最佳实践。

使用 IAM Identity Center 的可信访问

使用AWS IAM Identity Center并启用 IAM 身份中心的可信访问权限 AWS Organizations。这允许用户使用其公司凭据登录 AWS 访问门户，并访问其分配的管理账户或成员账户中的资源。

有关更多信息，请参阅《AWS IAM Identity Center 用户指南》中的多账户权限。有关为 IAM Identity Center 设置可信访问的信息，请参阅 AWS IAM Identity Center 和 AWS Organizations。

使用 IAM 角色 OrganizationAccountAccessRole

如果您使用中提供的工具创建账户 AWS Organizations，则可以使用以这种方式创建的所有新账户中都存在的名OrganizationAccountAccessRole为的预配置角色来访问该账户。有关更多信息，请参阅 使用 AWS Organizations 访问具有 OrganizationAccountAccessRole 的成员账户。

如果您邀请现有账户加入您的组织，并且该账户接受邀请，则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 AWS Organizations创建的账户中的角色相同。

如需创建此角色，请参阅使用 AWS Organizations 为受邀账户创建 OrganizationAccountAccessRole。

创建角色之后，您可以使用使用 AWS Organizations 访问具有 OrganizationAccountAccessRole 的成员账户中的步骤访问它。