使用访问组织中的成员账户 AWS Organizations

当您在组织中创建账户时，除了根用户之外，AWS Organizations 自动创建一个默认名为的IAM角色OrganizationAccountAccessRole。您可以在创建名称时指定其他名称，但我们建议您在所有账户中始终如一地命名该名称。 AWS Organizations 不会创建任何其他用户或角色。

要访问组织中的账户，您必须使用以下方法之一：

使用 root 用户（不建议用于日常任务）

当你创建 AWS 账户，您从一个登录身份开始，该身份可以完全访问所有人 AWS 服务 以及账户中的资源。这个身份叫做 AWS 账户 root 用户，使用您创建账户时使用的电子邮件地址和密码登录即可访问。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以 root 用户身份登录的任务的完整列表，请参阅用户指南中的需要根用户凭证的IAM任务。有关其他根用户安全建议，请参阅您的 root 用户最佳实践 AWS 账户.

使用IAM角色 OrganizationAccountAccessRole

如果您使用作为其一部分提供的工具创建账户 AWS Organizations，您可以使用名为的预配置角色访问该账户OrganizationAccountAccessRole，该角色存在于您以这种方式创建的所有新账户中。有关更多信息，请参阅 访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations。

如果您邀请现有账户加入您的组织，并且该账户接受了邀请，则可以选择创建一个允许管理账户访问受邀成员账户的IAM角色。此角色旨在与自动添加至使用创建的账户的角色相同 AWS Organizations。 要创建此角色，请参阅使用 OrganizationAccountAccessRole 创建受邀账号 AWS Organizations。创建角色之后，您可以使用访问具有 OrganizationAccountAccessRole 以下内容的成员账户 AWS Organizations中的步骤访问它。

对IAM身份中心使用可信访问权限

使用 AWS IAM Identity Center并通过以下方式为IAM身份中心启用可信访问权限 AWS Organizations。 这允许用户登录 AWS 使用其公司凭证访问门户，并访问其分配的管理账户或成员账户中的资源。

有关更多信息，请参阅中的多账户权限 AWS IAM Identity Center 用户指南。 有关为 Ident IAM ity Center 设置可信访问的信息，请参阅AWS IAM Identity Center 和 AWS Organizations。