本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Web Services 账户 在您的组织中进行管理
组织是您共同管理 Amazon Web Services 账户 的组织集合。您可以执行以下任务来管理属于组织的账户:
-
查看您组织中账户的详细信息。您可以查看该账户的唯一 ID 号、其 Amazon Resource Name(ARN)以及向其附加的策略。
-
导出组织 Amazon Web Services 账户 中所有人的列表。您可以下载一个包含组织内每个账户的账户详细信息的 .csv 文件。
-
邀请现有 Amazon Web Services 账户 人员加入您的组织。创建邀请、管理您已创建的邀请以及接受或拒绝邀请。
-
Amazon Web Services 账户 作为组织的一部分创建。创建并访问自动加入您的组织的。 Amazon Web Services 账户
-
更新您组织中的备用联系人。更新您在 Amazon Web Services 账户组织中的备用联系人。
-
Amazon Web Services 账户 从您的组织中移除。作为管理账户中的管理员,从组织中删除您不再希望管理的成员账户。作为成员账户的管理员,从其组织中删除您的账户。如果管理账户已将一个策略附加到您的成员账户,则您可能无法删除您的账户。
-
删除(或关闭) Amazon Web Services 账户。当您不再需要时 Amazon Web Services 账户,可以关闭账户,以防止任何使用或累积费用。
加入组织的影响
对加入组织 Amazon Web Services 账户 的人有何影响?
当您 Amazon Web Services 账户 邀请加入组织并且账户所有者接受邀请时, Amazon Organizations 会自动对新成员账户进行以下更改:
-
Amazon Organizations 创建名
AWSServiceRoleForOrganizations
为的服务相关角色。如果您的组织支持所有功能,该账户必须具有此角色。如果组织仅支持整合账单功能集,您可以删除该角色。如果您删除了该角色,之后又启用了组织中的所有功能,则会为该账户 Amazon Organizations 重新创建该角色。 -
您可能会具备附加到组织根或包含账户的 OU 的各种策略。如果是这样,这些策略将立即应用到受邀账户中的所有用户和角色。
-
您可以为组织中的其他服务启用 Amazon 服务信任。在您这样做时,该可信服务可以在组织的任何成员账户(包括受邀账户)中创建服务相关角色或执行操作。
注意
对于受邀成员账户, Amazon Organizations 不会自动创建 IAM 角色OrganizationAccountAccessRole。此角色授予管理账户中的用户对成员账户的管理访问权限。如果您希望对受邀账户启用该级别的管理控制权,可以手动将该角色添加到受邀账户。有关更多信息,请参阅 OrganizationAccountAccessRole 在受邀成员账户中创建。
您可以邀请账户加入仅启用整合账单功能的组织。如果您以后希望为组织启用所有功能,则受邀账户必须批准更改。
对你在组织中创建的会产生什么影响? Amazon Web Services 账户
当您在组织 Amazon Web Services 账户 中创建时, Amazon Organizations 会自动对新成员账户进行以下更改:
-
Amazon Organizations 创建名
AWSServiceRoleForOrganizations
为的服务相关角色。如果您的组织支持所有功能,该账户必须具有此角色。如果组织仅支持整合账单功能集,您可以删除该角色。如果您删除了该角色,之后又启用了组织中的所有功能,则会为该账户 Amazon Organizations 重新创建该角色。 -
Amazon Organizations 创建 IAM 角色OrganizationAccountAccessRole。此角色授予管理账户对新成员账户的访问权限。虽然这个角色可以被删除,但我们建议您不要删除它,以便它可用作恢复选项。
-
如果您在 OU 树的根级别附加了策略,这些策略会立即应用于新建账户中的所有用户和角色。默认情况下,新账户会添加到根 OU。
-
如果您为组织中的其他服务启用了 Amazon 服务信任,则该可信服务可以在组织中的任何成员帐户(包括您创建的帐户)中创建服务相关角色或执行操作。