管理您组织中的Amazon Web Services 账户 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理您组织中的Amazon Web Services 账户

组织是您共同管理的Amazon Web Services 账户的集合。您可以执行以下任务来管理属于组织的账户:

加入组织的影响

对加入组织的Amazon Web Services 账户的影响?

如果您邀请一个Amazon Web Services 账户加入组织,该账户的拥有者接受邀请后,Amazon Organizations 将自动对新的成员账户进行如下更改:

  • Amazon Organizations 创建名为 AWSServiceRoleForOrganizations 的服务相关角色。如果您的组织支持所有功能,该账户必须具有此角色。如果组织仅支持整合账单功能集,您可以删除该角色。如果您删除该角色,然后在组织中启用所有功能,则 Amazon Organizations 将为该账户重新创建该角色。

  • 您可能会具备附加到组织根或包含账户的 OU 的各种策略。如果是这样,这些策略将立即应用到受邀账户中的所有用户和角色。

  • 您可以为组织的其他Amazon服务启用服务信任。在您这样做时,该可信服务可以在组织的任何成员账户(包括受邀账户)中创建服务相关角色或执行操作。

注意

对于受邀成员账户,Amazon Organizations 不会自动创建 IAM 角色 OrganizationAccountAccessRole。此角色授予管理账户中的用户对成员账户的管理访问权限。如果您希望对受邀账户启用该级别的管理控制权,可以手动将该角色添加到受邀账户。有关更多信息,请参阅在受邀成员账户中创建 OrganizationAccountAccessRole

您可以邀请账户加入仅启用整合账单功能的组织。如果您以后希望为组织启用所有功能,则受邀账户必须批准更改。

对您在组织中创建的Amazon Web Services 账户的影响?

如果您在组织中创建一个Amazon Web Services 账户,Amazon Organizations 将自动对新成员账户进行如下更改:

  • Amazon Organizations 创建名为 AWSServiceRoleForOrganizations 的服务相关角色。如果您的组织支持所有功能,该账户必须具有此角色。如果组织仅支持整合账单功能集,您可以删除该角色。如果您删除该角色,然后在组织中启用所有功能,则 Amazon Organizations 将为该账户重新创建该角色。

  • Amazon Organizations 会创建 IAM 角色 OrganizationAccountAccessRole。此角色授予管理账户对新成员账户的访问权限。虽然这个角色可以被删除,但我们建议您不要删除它,以便它可用作恢复选项。

  • 如果您在 OU 树的根级别附加了策略,这些策略会立即应用于新建账户中的所有用户和角色。默认情况下,新账户会添加到根 OU。

  • 如果您为组织启用了对其他 Amazon 服务的服务信任,则该可信服务可以在组织中的任何成员账户(包括您创建的账户)中创建服务相关角色或执行操作。