使用 AWS Organizations 为受邀账户创建 OrganizationAccountAccessRole

默认情况下，如果您创建属于组织的成员账户，AWS会自动在账户中创建一个角色，将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下，该角色名为 OrganizationAccountAccessRole。有关更多信息，请参阅使用 AWS Organizations 访问具有 OrganizationAccountAccessRole 的成员账户。

但是，您邀请加入组织中的成员账户不自动创建管理员角色。您必须手动完成此操作，如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 OrganizationAccountAccessRole，以确保一致性和方便记忆。

AWS Management Console

在成员账户中创建 AWS Organizations 管理员角色

通过 https://console.aws.amazon.com/iam/ 登录到 IAM 控制台。您必须以 IAM 用户身份登录，担任 IAM 角色；或以成员账户中的根用户身份登录（不推荐）。用户或角色必须具有创建 IAM 角色和策略的权限。
在 IAM 控制台中，导航至角色，然后选择创建角色。
依次选择 AWS 账户，然后选择其他 AWS 账户。
输入您希望向其授予管理员访问权限的管理账户的 12 位账户 ID 编号。在选项下，请注意以下方面：
- 对于此角色，由于账户是公司的内部账户，因此，您不应选择 Require external ID (需要外部 ID)。有关外部 ID 选项的更多信息，请参阅《IAM 用户指南》中的我何时应使用外部 ID？。
- 如果您启用了 MFA 并进行了配置，则可以选择要求使用 MFA 设备进行身份验证。有关 MFA 的更多信息，请参阅《IAM 用户指南》中的在 AWS 中使用多重身份验证（MFA）。
选择下一步。
在附加权限页面上，选择名为 AdministratorAccess 的 AWS 托管式策略，然后选择下一步。
在命名、检查和创建页面上，指定一个角色名称和可选的描述。我们建议您使用 OrganizationAccountAccessRole，以便与分配给新账户中角色的默认名称保持一致。要提交您的更改，请选择 Create role (创建角色)。
您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息，特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外，记下 Role ARN (角色 ARN)，因为您在步骤 15 中需要它。
通过 https://console.aws.amazon.com/iam/ 登录到 IAM 控制台。此时，以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。
导航到策略，然后选择创建策略。
对于 Service，选择 STS。
对于 Actions (操作)，在 Filter (筛选器) 框中开始键入 AssumeRole，然后在该角色显示后选中其旁边的复选框。
选择资源，确保已选择特定，然后选择添加 ARN。
输入AWS成员账户 ID 号，然后输入您之前在步骤 1–8 中创建的角色的名称。选择添加 ARN。
如果您正授予在多个成员账户中代入该角色的权限，请为每个账户重复步骤 14 和 15。
选择下一步。
在检查并创建页面上，输入新策略的名称，然后选择创建策略以保存您的更改。
导航窗格中选择用户组，然后选择要用于委派成员账户的管理权限的组的名称（不是复选框）。
选择权限选项卡。
选择添加策略，选择附加策略，然后选择您在步骤 11–18 中创建的策略。

作为选定组成员的用户现在可以使用您在步骤 9 中捕获的 URL 来访问每个成员账户的角色。他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息，请参阅使用 AWS Organizations 访问具有 OrganizationAccountAccessRole 的成员账户。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

访问成员账户

使用 IAM 访问角色