使用 存取組織中的成員帳戶 AWS Organizations

當您在組織中建立帳戶時，除了根使用者之外，AWS Organizations 還會自動建立名為 OrganizationAccountAccessRole 的 IAM 角色。您可以在建立時指定不同的名稱，但建議您在所有帳戶中一致命名。 AWS Organizations 不會建立任何其他使用者或角色。

若要存取組織中的帳戶，您必須使用以下其中一個方法：

使用根使用者 （不建議用於日常任務）

當您在組織中建立新的成員帳戶時，該帳戶預設沒有根使用者憑證。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原 (除非啟用帳戶復原)。

您可以集中成員帳戶的根存取權，以移除組織中現有成員帳戶的根使用者憑證。刪除根使用者登入資料會移除根使用者密碼、存取金鑰、簽署憑證，並停用多重驗證 (MFA)。這些成員帳戶沒有根使用者憑證，無法以根使用者身分登入，而且無法復原根使用者密碼。您在 Organizations 中建立的新帳戶預設沒有根使用者憑證。

如果您需要在不存在根使用者憑證的成員帳戶上執行需要根使用者憑證的任務，請聯絡您的管理員。

若要以根使用者身分存取您的成員帳戶，您必須完成密碼復原程序。如需詳細資訊，請參閱 AWS 登入使用者指南中的我忘記 的根使用者密碼 AWS 帳戶。

如果您必須使用根使用者存取成員帳戶，請遵循下列最佳實務：

如需這些任務的完整清單，了解需以根使用者登入的任務，請參閱 IAM 使用者指南中的需要根使用者憑證的任務。如需其他根使用者安全建議，請參閱《IAM 使用者指南》中的根使用者最佳實務 AWS 帳戶。

使用 IAM Identity Center 的信任存取

使用 AWS IAM Identity Center和 啟用 IAM Identity Center 的信任存取 AWS Organizations。這可讓使用者使用其公司登入資料登入 AWS 存取入口網站，並存取其指派管理帳戶或成員帳戶中的資源。

如需詳細資訊，請參閱 AWS IAM Identity Center 使用者指南中的多帳戶許可。如需設定 IAM Identity Center 的受信任存取的詳細資訊，請參閱 AWS IAM Identity Center 和 AWS Organizations。

使用 IAM 角色 OrganizationAccountAccessRole

如果您使用 提供的工具來建立帳戶 AWS Organizations，您可以使用您以此方式建立的所有新帳戶中，名為 OrganizationAccountAccessRole 的預先設定角色來存取帳戶。如需詳細資訊，請參閱存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations。

若是邀請現有帳戶加入組織，而該帳戶也接受邀請，您可以選擇建立 IAM 角色，以允許管理帳戶存取受邀的成員帳戶。此角色與 AWS Organizations建立的帳戶中自動新增的角色完全相同。

若要建立角色，請參閱建 OrganizationAccountAccessRole 立受邀帳戶 AWS Organizations。

在您建立角色後，您便可以使用存取 OrganizationAccountAccessRole 具有 的成員帳戶 AWS Organizations中的步驟來存取它。