本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用管理组织中的账户 Amazon Organizations
管理组织中的账户
*Amazon Web Services 账户*是您的 Amazon 资源的容器。您可以在中创建和管理您的 Amazon 资源 Amazon Web Services 账户。
本主题介绍如何管理的帐户 Amazon Organizations。
**Topics**
+ [管理账户](orgs-manage_accounts_management.md)
+ [成员账户](orgs-manage_accounts_members.md)
+ [账户邀请](orgs_manage_accounts_invites.md)
+ [迁移账户](orgs_account_migration.md)
+ [查看账户详细信息](orgs_view_account.md)
+ [导出账户详细信息](orgs_manage_accounts_export.md)
+ [监控账户状态](orgs_manage_accounts_account_state.md)
+ [更新账户的备用联系人](orgs_manage_accounts_update_contacts.md)
+ [更新账户的主要联系人](orgs_manage_accounts_update_contacts_primary.md)
+ [更新 Amazon Web Services 区域 账号](orgs_manage_accounts_update_enabled_regions.md)
# 使用管理账户 Amazon Organizations
管理账户
*管理账户*是 Amazon Web Services 账户 您用来创建组织的。
管理账户是组织的最终所有者,对组织的安全、基础设施和财务策略拥有最终控制权。此账户具有付款人账户的角色,并负责支付其组织中账户产生的所有费用。
本主题介绍如何使用管理账户 Amazon Organizations。
**Topics**
+ [
# 管理账户的最佳实践
](orgs_best-practices_mgmt-acct.md)
+ [注销管理账户](orgs_manage_accounts_close_management.md)
# 管理账户的最佳实践
请遵循以下建议,来帮助保护 Amazon Organizations中管理账户的安全。这些建议假定您还遵守[仅将根用户用于真正需要它的任务的最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [
## 限制谁有权访问管理账户
](#bp_mgmt-acct_limit-access)
+ [
## 检查并跟踪谁有访问权限
](#bp_mgmt-acct_review-access)
+ [
## 仅将管理账户用于***需要***管理账户的任务
](#bp_mgmt-acct_use-mgmt)
+ [
## 避免将工作负载部署到组织的管理账户中
](#bp_mgmt-acct_avoid-deploying)
+ [
## 将责任委托给非管理账户以实现去中心化
](#bp_mgmt-acct_)
## 限制谁有权访问管理账户
管理账户是所有上述管理任务的关键,例如账户管理、政策、与其他 Amazon 服务的集成、整合账单等。因此,您应限定和限制管理账户的访问权限,仅允许那些需要相关权限以对组织进行更改的管理员用户使用。
## 检查并跟踪谁有访问权限
为确保您保持对管理账户的访问权限,请定期检查您企业中有权访问与管理账户关联的电子邮件地址、密码、MFA 和电话号码的人员。使您的审查与现有业务流程保持一致。每月或每季度对这些信息进行一次审查,以确认只有正确的人才能访问。确保恢复或重置对根用户凭证的访问权限的过程不依赖于任何特定个人来完成。所有流程都应能解决人员不可用的可能情况。
## 仅将管理账户用于***需要***管理账户的任务
我们建议您将管理账户及其用户和角色仅用于必须由该账户执行的任务。将所有 Amazon 资源存储在组织 Amazon Web Services 账户 中的其他资源中,并防止它们进入管理账户。将资源保留在其他账户中的一个重要原因是,Organizations 服务控制策略 (SCPs) 无法限制管理账户中的任何用户或角色。将资源与管理账户分离还有助于您了解发票上的费用。
有关必须从管理账户调用的任务列表,请参阅[只能从组织的管理账户调用的操作](https://docs.amazonaws.cn/organizations/latest/APIReference/action-reference.html#actions-management-account)。
## 避免将工作负载部署到组织的管理账户中
特权操作可以在组织的管理账户中执行,但 SCPs 不适用于管理账户。因此,管理账户中包含的云资源和数据应仅限必须在管理账户中管理的云资源和数据。
## 将责任委托给非管理账户以实现去中心化
我们建议尽可能将责任和服务委托给非管理账户。为团队自己的账户提供无需访问管理账户,即可满足组织需求所需的权限。此外,您可以为支持此功能的服务(例如 Amazon Service Catalog 在组织内共享软件或 Amazon CloudFormation StackSets 创作和部署堆栈)注册多个委派管理员。
有关更多信息,请参阅[安全参考架构](https://docs.amazonaws.cn/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)、[使用多个账户组织您的 Amazon 环境](https://docs.amazonaws.cn/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html),以及[Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations](orgs_integrate_services_list.md)有关将成员账户注册为各种 Amazon 服务的委托管理员的建议。
有关设置委托管理员的更多信息,请参阅 [为 Amazon 账户管理启用委托管理员账户](https://docs.amazonaws.cn/accounts/latest/reference/using-orgs-delegated-admin.html) 和 [的委派管理员 Amazon Organizations](orgs_delegate_policies.md)。
# 注销组织的管理账户
注销管理账户
要注销组织的管理账户,必须首先[注销](orgs_manage_accounts_close.md)或[移除](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)该组织中的所有成员账户。注销管理账户的行为还会在[注销后期限](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html#post-closure-period)届满后,删除 Amazon Organizations 实例以及您在该组织内创建的任何策略。
## 注销管理账户
请使用以下过程注销管理账户。
**重要**
在注销管理账户之前,我们强烈建议您查看注意事项并了解注销账户的影响。有关更多信息,请参阅《Amazon 账户管理指南》中的 [What you need to know before closing your account](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) 和 [What to expect after you close your account](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)**。
------
#### [ Amazon Management Console ]
**从“账户”页面注销管理账户**
**注意**
您无法直接从 Amazon Organizations 控制台注销管理账户。
1. 在要注销的管理账户中,以具有所需最低权限 `portal:ModifyAccount` 的用户或角色身份登录。
1. 确认组织中没有剩余的活跃成员账户。要执行此操作,请转至 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations)。如果成员账户仍处于活动状态,您需要先按照[关闭组织中的成员账户 Amazon Organizations](orgs_manage_accounts_close.md)或[从组织中移除成员账户](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)中的指导进行操作,然后才能执行下一步。
1. 在右上角的导航栏中,选择账户名称或账号,然后选择**账户**。
1. 在[**账户**页面](https://console.amazonaws.cn/billing/home#/account)上,选择**关闭账户**按钮。阅读并确保理解账户关闭指南。
1. 选择**关闭账户**按钮,启动账户关闭流程。
1. 几分钟后,您应该会收到一封确认账户已注销的电子邮件。
------
#### [ Amazon CLI & Amazon SDKs ]
Amazon CLI 或其中一个 API 操作不支持此任务 Amazon SDKs。只有使用才能执行此任务 Amazon Web Services 管理控制台。
------
# 使用管理成员账户 Amazon Organizations
成员账户
除管理*账户外 Amazon Web Services 账户,成员*账户是组织的一部分。
本主题介绍如何使用管理成员账户 Amazon Organizations。
**Topics**
+ [
# 成员账户的最佳实践
](orgs_best-practices_member-acct.md)
+ [创建成员账户](orgs_manage_accounts_create.md)
+ [访问成员账户](orgs_manage_accounts_access.md)
+ [关闭成员账户](orgs_manage_accounts_close.md)
+ [保护成员账户免遭关闭](orgs_account_close_policy.md)
+ [删除成员账户](orgs_manage_accounts_remove.md)
+ [作为成员账户退出组织](orgs_manage_accounts_leave-as-member.md)
+ [更新成员账户的账户名称](orgs_manage_accounts_update_name.md)
+ [更新成员账户的Amazon Web Services 电子邮件地址](orgs_manage_accounts_update_primary_email.md)
# 成员账户的最佳实践
请遵循以下建议,以帮助保护组织中成员账户的安全。这些建议假定您还遵守[仅将根用户用于真正需要它的任务的最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/root-user-best-practices.html)。
**Topics**
+ [
## 定义账户名称和属性
](#bp_member-acct_define-acct)
+ [
## 高效扩展环境和使用账户
](#bp_member-acct_efficiently-scale)
+ [
## 启用根访问权限管理,简化成员账户的根用户凭证管理
](#bp_member-acct_root-access-management)
## 定义账户名称和属性
对于成员账户,请使用反映账户使用情况的命名结构和电子邮件地址。例如,`Workloads+fooA+dev@domain.com` 可用于 `WorkloadsFooADev`,`Workloads+fooB+dev@domain.com` 可用于 `WorkloadsFooBDev`。如果您为组织定义了自定义标签,我们建议您根据账户使用情况、成本中心、环境和项目,来为账户分配这些标签。这样可以更轻松地识别、整理和搜索账户。
## 高效扩展环境和使用账户
在扩大规模时,在创建新账户之前,请确保尚不存在满足类似需求的账户,以避免不必要的重复。 Amazon Web Services 账户 应基于共同的访问要求。如果您计划回收利用某些账户(例如沙盒账户或等效账户),我们建议您清理账户中不需要的资源或工作负载,但保存这些账户以备将来使用。
在注销账户之前,请注意账户注销限额限制。有关更多信息,请参阅 [的配额和服务限制 Amazon Organizations](orgs_reference_limits.md)。考虑实施清理流程以回收利用账户,而不是尽可能注销账户和创建新账户。这样,您就可以避免因运行资源和达到 [CloseAccount API](https://docs.amazonaws.cn/organizations/latest/APIReference/API_CloseAccount.html) 限制而产生成本。
## 启用根访问权限管理,简化成员账户的根用户凭证管理
建议您启用根访问权限管理,帮助监控和移除成员账户的根用户凭证。根访问权限管理可防止恢复根用户凭证,从而提高组织中的账户安全性。
+ 移除成员账户的根用户凭证,以防止登录到根用户。这也能防止成员账户恢复根用户。
+ 假设特权会话对成员账户执行以下任务:
+ 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。
+ 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
+ 允许成员账户恢复其根用户凭证。有权访问该成员账户Amazon Web Services 电子邮件收件箱的人可以重置根用户密码,并以成员账户根用户身份登录。
启用根访问管理后,新创建的成员账户将没有根用户证书,这样就无需在配置后提供额外的安全保护,例如MFA。 secure-by-default
有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的[集中成员账户的根用户凭证](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。
### 使用 SCP 限制成员账户中的根用户可以执行的操作
我们建议您在组织中创建服务控制策略(SCP)并将其附加到组织的根,以便将其应用于所有成员账户。有关更多信息,请参阅[保护 Organizations 账户根用户凭证](https://docs.amazonaws.cn/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)。
除必须在成员账户中执行的特定仅限根操作外,您可以拒绝所有根操作。例如,以下 SCP 可防止任何成员账户中的根用户进行任何 Amazon 服务 API 调用,但 “更新配置错误的 S3 存储桶策略并拒绝所有委托人访问权限”(需要根凭证的操作之一)除外。有关更多信息,请参阅《*IAM 用户指南*》中的[需要根用户凭证的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/root-user-tasks.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"NotAction":[
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy"
],
"Resource": "*",
"Condition": {
"ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
}
}
]
}
```
------
在大多数情况下,任何管理任务都可以由成员账户中具有相关管理员权限的 Amazon Identity and Access Management (IAM)角色执行。对于任何此类角色,都应使用适当的控件来限制、记录和监控其活动。
# 使用在组织中创建成员账户 Amazon Organizations
创建成员账户
本主题介绍如何在您的组织 Amazon Web Services 账户 中创建 Amazon Organizations。有关创建单曲的信息 Amazon Web Services 账户,请参阅[入门资源中心](https://www.amazonaws.cn/getting-started/)。
## 创建成员账户前的注意事项
**Organizations 会自动为成员账户创建 IAM 角色 `OrganizationAccountAccessRole`**
当您在组织中创建成员账户时,Organizations 将自动在成员账户中创建一个 IAM角色 `OrganizationAccountAccessRole`,以允许管理账户中的用户和角色对成员账户进行完全管理控制。每次策略更新时,附加到同一托管式策略的任何其他账户都会自动更新。此角色受适用于成员账户的任何[服务控制策略 (SCPs)](orgs_manage_policies_scps.md) 的约束。
**Organizations 会自动为成员账户创建服务关联角色 `AWSServiceRoleForOrganizations`**
当您在组织中创建成员账户时,Organizations 会自动在成员账户`AWSServiceRoleForOrganizations`中创建服务相关角色,以便与所选 Amazon 服务集成。您必须配置其他服务来允许集成。有关更多信息,请参阅 [Amazon Organizations 和服务相关角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
**只能在组织的根中创建成员账户**
组织中的成员账户只能在组织的根中创建。在创建组织的成员账户根目录后,您可以将其移动 OUs。有关更多信息,请参阅 [将帐户移至组织单位 (OU) 或在根和组织单位之间移 OUs 动 Amazon Organizations](move_account_to_ou.md)。
**附加到根的策略会立即生效**
如果您在根上附加了任何策略,这些策略会立即应用于所创建账户中的所有用户和角色。
如果您[为组织中的其他服务启用了 Amazon 服务信任](orgs_integrate_services_list.md),则该可信服务可以在组织中的任何成员帐户(包括您创建的帐户)中创建服务相关角色或执行操作。
**成员账户必须选择启用才能接收营销电子邮件**
您作为组织的一员创建的成员帐户不会自动订阅 Amazon 营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)。
** Amazon Control Tower 应在以下位置创建由管理的组织的成员帐户 Amazon Control Tower**
如果您的组织由管理 Amazon Control Tower,我们建议您使用 Amazon Control Tower 控制台中的 Amazon Control Tower 账户工厂或使用创建成员账户 Amazon Control Tower APIs。
如果您在组织由管理的 Organizations 中创建成员帐户 Amazon Control Tower,则该帐户将无法注册到该帐户 Amazon Control Tower。有关更多信息,请参阅《Amazon Control Tower 用户指南》**中的[引用 Amazon Control Tower的外部资源](https://docs.amazonaws.cn/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
## 创建成员账户
登录到组织的管理账户后,您可以创建属于组织的成员账户。
使用以下步骤创建账户时, Amazon Organizations 会自动将以下**主要联系人**信息从管理账户复制到新成员账户:
+ Phone number(电话号码)
+ 公司名称
+ 网站 URL
+ 地址
Organizations 还会从管理账户中复制通信语言和 Marketplace 信息(在某些情况下是账户的供应商 Amazon Web Services 区域)。
**最小权限**
要在组织中创建成员账户,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:CreateAccount`
### Amazon Web Services 管理控制台
**创建自动成为您组织一部分的 Amazon Web Services 账户**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面上,选择 **Add an Amazon Web Services 账户(添加亚马逊云科技账户)**。
1. 在**[添加 Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts/add/create)**页面上,选择**创建 Amazon Web Services 账户**(默认已选中)。
1. 在**[创建 Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts/add/create)**页面上,在 **Amazon Web Services 账户 名称**中输入您想要为此账户分配的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。
**重要**
请务必验证 Amazon Web Services 账户 名称是否正确。一旦成功创建账户,就无法修改账户名称。
1. 对于 **Email address of the account's owner (账户拥有者的电子邮件地址)**,输入账户拥有者的电子邮件地址。此电子邮件地址已无法与其他电子邮件地址关联, Amazon Web Services 账户 因为它已成为该账户根用户的用户名凭证。
1. (可选)指定分配到在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果未指定名称,则 Amazon Organizations 为角色指定默认名称`OrganizationAccountAccessRole`。建议您对您的所有账户使用默认名称以实现一致性。
**重要**
请记住此角色名称。稍后,您将需要使用此名称向管理账户中的用户和角色的新账户授予访问权。
1. (可选)在**标签**部分中,向新账户添加一个或多个标签,方法是选择**添加标签**,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 `null`。您最多可以向账户附加 50 个标签。
1. 选择**创建 Amazon Web Services 账户**。
+ 如果您收到错误,指明您超出了组织的账户配额,请参阅[尝试向组织中添加账户时,我收到“quota exceeded (超出限额)”消息](orgs_troubleshoot.md#troubleshoot_general_error-adding-account)。
+ 如果您收到错误,指明由于您的组织仍在进行初始化,所以您无法添加账户,请等待一小时,然后重试。
+ 您也可以查看日 Amazon CloudTrail 志,了解账户创建是否成功的信息。有关更多信息,请参阅 [登录和监控 Amazon Organizations](orgs_security_incident-response.md)。
+ 如果错误仍然存在,请联系 [Amazon Web Services 支持](https://console.amazonaws.cn/support/home#/)。
此时将显示**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面,并将您的新账户添加到列表中。
1. 现在,账户已存在,并拥有向管理账户中的用户授予管理员访问权的 IAM 角色,您可以按照[使用访问组织中的成员账户 Amazon Organizations](orgs_manage_accounts_access.md)中的步骤访问账户。
### Amazon CLI & Amazon SDKs
以下代码示例演示如何使用 `CreateAccount`。
------
#### [ .NET ]
**适用于 .NET 的 Amazon SDK**
还有更多相关信息 GitHub。在 [Amazon 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ 有关 API 的详细信息,请参阅 *适用于 .NET 的 Amazon SDK API 参考[CreateAccount](https://docs.amazonaws.cn/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)*中的。
------
#### [ CLI ]
**Amazon CLI**
**创建自动属于组织的成员账户**
以下示例演示如何创建组织的成员账户。为成员账户配置的名称为 Production Account,电子邮件地址为 susan@example.com。 OrganizationAccountAccessRole 由于未指定 roleName 参数,Organizations 会使用默认名称自动创建 IAM 角色。此外,由于未指定 IamUserAccessToBilling 参数,允许具有足够权限的 IAM 用户或角色访问账户账单数据的设置被设置为默认值 ALLOW。Organiations 会自动向 Susan 发送一封 “欢迎来到 Amazon” 电子邮件:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
输出包括一个请求对象,以显示状态目前为 `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
稍后,您可以通过向 describe-create-account-status命令提供 Id 响应值作为 create-account-request-id参数值来查询请求的当前状态。
有关更多信息,请参阅《Organi Amazon zations *用户指南》中的在Amazon 组织*中创建帐户。
+ 有关 API 的详细信息,请参阅*Amazon CLI 命令参考[CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)*中的。
------
# 使用访问组织中的成员账户 Amazon Organizations
访问成员账户
在组织中创建账户时,Amazon Organizations 还会自动创建默认名为 `OrganizationAccountAccessRole` 的 IAM 角色。您可以在创建时指定不同的名称,但我们建议您在所有账户中使用一致的名称。 Amazon Organizations 不会创建任何其他用户或角色。
要访问组织中的账户,您必须使用以下方法之一:
**最小权限**
要 Amazon Web Services 账户 从组织中的任何其他账户访问的,您必须具有以下权限:
`sts:AssumeRole` – `Resource` 元素必须设置为星号(\$1)或账户的账户 ID 号,该账户具有要访问新成员账户的用户。
------
#### [ Using trusted access for IAM Identity Center ]
使用[Amazon IAM Identity Center](https://docs.amazonaws.cn/singlesignon/latest/userguide/what-is.html)并启用 IAM 身份中心的可信访问权限 Amazon Organizations。这允许用户使用其公司凭据登录 Amazon 访问门户,并访问其分配的管理账户或成员账户中的资源。
有关更多信息,请参阅《*Amazon IAM Identity Center 用户指南*》中的[多账户权限](https://docs.amazonaws.cn/singlesignon/latest/userguide/manage-your-accounts.html)。有关为 IAM Identity Center 设置可信访问的信息,请参阅 [Amazon IAM Identity Center 和 Amazon Organizations](services-that-can-integrate-sso.md)。
------
#### [ Using the IAM role OrganizationAccountAccessRole ]
如果您使用中提供的工具创建账户 Amazon Organizations,则可以使用以这种方式创建的所有新账户中都存在的名`OrganizationAccountAccessRole`为的预配置角色来访问该账户。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations](orgs_manage_accounts_access-cross-account-role.md)。
如果您邀请现有账户加入您的组织,并且该账户接受邀请,则您可以选择创建 IAM 角色来允许管理账户访问受邀成员账户。此角色应该与自动添加到使用 Amazon Organizations创建的账户中的角色相同。
如需创建此角色,请参阅[使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations](orgs_manage_accounts_create-cross-account-role.md)。
创建角色之后,您可以使用[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations](orgs_manage_accounts_access-cross-account-role.md)中的步骤访问它。
------
**Topics**
+ [创建 IAM 访问角色](orgs_manage_accounts_create-cross-account-role.md)
+ [使用 IAM 访问角色](orgs_manage_accounts_access-cross-account-role.md)
# 使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations
创建 IAM 访问角色
默认情况下,如果您创建属于组织的成员账户, Amazon 会自动在账户中创建一个角色,将管理员权限授予管理账户中可以担任角色的 IAM 用户。默认情况下,该角色名为 `OrganizationAccountAccessRole`。有关更多信息,请参阅 [访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations](orgs_manage_accounts_access-cross-account-role.md)。
但是,您*邀请* 加入组织中的成员账户***不*** 自动创建管理员角色。您必须手动完成此操作,如以下过程中所示。这实际上是复制自动为所创建账户设置的角色。我们建议您为手动创建的角色使用相同的名称 `OrganizationAccountAccessRole`,以确保一致性和方便记忆。
------
#### [ Amazon Web Services 管理控制台 ]
**在成员账户中创建 Amazon Organizations 管理员角色**
1. 登录 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。您必须以 IAM 用户身份登录,或者在有权创建 IAM 角色和策略的成员账户中担任 IAM 角色。您可以使用在创建成员账户时为您创建的 管理员用户。
1. 在 IAM 控制台中,导航至**角色**,然后选择**创建角色**。
1. 选择 **Amazon Web Services 账户**,然后选择 “其**他**” Amazon Web Services 账户。
1. 输入您希望向其授予管理员访问权限的管理账户的 12 位账户 ID 编号。在**选项**下,请注意以下方面:
+ 对于此角色,由于账户是公司的内部账户,因此,您**不**应选择 **Require external ID (需要外部 ID)**。有关外部 ID 选项的更多信息,请参阅《IAM 用户指南》**中的[我何时应使用外部 ID?](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)。
+ 如果您启用了 MFA 并进行了配置,则可以选择要求使用 MFA 设备进行身份验证。有关 MFA 的更多信息,请参阅《IAM 用户指南》**中的[在 Amazon中使用多重身份验证(MFA)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa.html)。
1. 选择**下一步**。
1. 在**附加权限**页面上,选择名为 `AdministratorAccess` 的 Amazon 托管式策略,然后选择**下一步**。
1. 在**命名、检查和创建**页面上,指定一个角色名称和可选的描述。我们建议您使用 `OrganizationAccountAccessRole`,以便与分配给新账户中角色的默认名称保持一致。要提交您的更改,请选择 **Create role** (创建角色)。
1. 您的新角色将显示在可用角色列表上。选择新角色的名称以查看详细信息,特别注意提供的链接 URL。向成员账户中需要访问该角色的用户提供此 URL。此外,记下 **Role ARN (角色 ARN)**,因为您在步骤 15 中需要它。
1. 登录 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。此时,以管理账户中有权创建策略和将策略分配给用户或组的用户身份登录。
1. 导航到**策略**,然后选择**创建策略**。
1. 对于 **Service**,选择 **STS**。
1. 对于 **Actions (操作)**,在 **Filter (筛选器)** 框中开始键入 **AssumeRole**,然后在该角色显示后选中其旁边的复选框。
1. 在 “**资源**” 下,确保选择 “**特定**”,然后选择 “**添加**” ARNs。
1. 输入 Amazon 成员账户 ID 号,然后输入您之前在步骤 1—8 中创建的角色的名称。选择**添加 ARNs**。
1. 如果您正授予在多个成员账户中代入该角色的权限,请为每个账户重复步骤 14 和 15。
1. 选择**下一步**。
1. 在**检查并创建**页面上,输入新策略的名称,然后选择**创建策略**以保存您的更改。
1. 导航窗格中选择**用户组**,然后选择要用于委派成员账户的管理权限的组的名称(不是复选框)。
1. 选择**权限**选项卡。
1. 选择**添加策略**,选择**附加策略**,然后选择您在步骤 11–18 中创建的策略。
------
属于所选群组成员的用户现在可以使用您在步骤 9 中捕获的来访问每个成员账户的角色。 URLs 他们可以像访问您在组织中创建的账户一样访问这些成员账户。有关使用角色来管理成员账户的更多信息,请参阅[访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations](orgs_manage_accounts_access-cross-account-role.md)。
# 访问具有 OrganizationAccountAccessRole 以下内容的成员账户 Amazon Organizations
使用 IAM 访问角色
使用 Amazon Organizations 控制台创建成员账户时, Amazon Organizations *会自动*创建账户`OrganizationAccountAccessRole`中名为的 IAM 角色。此角色具有成员账户中的完整管理权限。此角色的访问范围包括管理账户中的所有主体,因此该角色将配置为授予对该组织管理账户的访问权限。
您可以按照[使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations](orgs_manage_accounts_create-cross-account-role.md)中的步骤,为受邀成员账户创建相同的角色。
要使用此角色访问成员账户,您必须以有权担任角色的管理账户中用户的身份登录。要配置这些权限,请执行以下过程。我们建议您向组而不是用户授予权限,以便于维护。
------
#### [ Amazon Web Services 管理控制台 ]
**向管理账户中 IAM 组的成员授予权限以访问角色**
1. 以具有管理账户管理员权限的用户[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)身份登录 IAM 控制台。这是向 IAM 组委派权限所必需的,该组的用户将具有成员账户中的角色。
1. 首先,创建您稍后在[Step 14](#step-choose-group)中需要的托管策略。
在导航窗格中选择**策略**,然后选择**创建策略**。
1. 在可视化编辑器选项卡上,选择**选择服务**,在搜索框中输入 **STS** 以筛选列表,然后选择 **STS** 选项。
1. 在 “**操作**” 部分,**assume**在搜索框中输入以筛选列表,然后选择**AssumeRole**选项。
1. 在 “**资源**” 部分中,选择 “**特定**”,选择 “**添加**” ARNs
1. 在**指定 ARN** 部分中,对于资源位置选择**其他账户**。
1. 输入您刚刚创建的成员账户的 ID
1. 对于**资源角色名称及路径**,请输入您在上一节中创建的角色的名称(我们建议将其命名为 `OrganizationAccountAccessRole`)。
1. ARNs当对话框显示正确的 ARN 时,选择**添加**。
1. (可选)如果您要求多重验证 (MFA),或要限制此角色从指定的 IP 地址范围进行访问,请展开 Request conditions (请求条件) 部分,然后选择要强制执行的选项。
1. 选择**下一步**。
1. 在**检查并创建**页面上,输入新策略的名称。例如:**GrantAccessToOrganizationAccountAccessRole**。您还可以添加可选的说明。
1. 选择 **Create policy (创建策略)** 以保存新的托管策略。
1. 现在,您已有策略可用,您可以将其附加到组。
在导航窗格中选择**用户组**,然后选择其成员能够代入成员账户中角色的组的名称(不是复选框)。如果需要,您可以创建新组。
1. 请选择**权限**选项卡,选择**添加权限**,然后选择**附加策略**。
1. (可选)在 **Search (搜索)** 框中,您可以开始键入策略的名称以筛选列表,直到您可以看到刚刚在[Step 2](#step-create-policy)到[Step 13](#step-end-policy)中创建的策略的名称。还可以通过选择**所有类型**,然后选择**客户管理**,从而筛选出所有 Amazon 托管式策略。
1. 选中策略旁边的复选框,然后选择**附加策略**。
------
作为群组成员的 IAM 用户现在有权使用以下步骤在 Amazon Organizations 控制台中切换到新角色。
------
#### [ Amazon Web Services 管理控制台 ]
**切换到成员账户的角色**
使用该角色时,用户具有新成员账户中的管理权限。指示您的作为该组成员的 IAM 用户执行以下操作以切换到新角色。
1. **从 Amazon Organizations 控制台的右上角,选择包含您当前登录名的链接,然后选择 Switch Role。**
1. 输入管理员提供的账户 ID 号和角色名称。
1. 对于 **Display Name (显示名称)**,输入文本;在您使用角色时,该文本将显示在导航栏的右上角用于替换您的用户名。您还可选择颜色。
1. 选择**切换角色**。现在,您执行的所有操作已完成,并且已将权限授予给您切换到的角色。在切换回之前,您不再具有与原始 IAM 用户关联的权限。
1. 完成执行需要角色权限的操作后,您可以切换回普通 IAM 用户。在右上角选择角色名称(无论您指定为 “**显示名称**”),然后选择 “**返回**”。*UserName*
------
# 关闭组织中的成员账户 Amazon Organizations
关闭成员账户
如果您不再需要组织中的某个成员账户,则可以遵循本主题中的说明从 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)将其注销。只有当您的组织处于 “[所有功能](orgs_getting-started_concepts.md#feature-set-all)” 模式时,您才能使用 Amazon Organizations 控制台关闭成员账户。
您也可以在以 root 用户身份登录 Amazon Web Services 管理控制台 后 Amazon Web Services 账户 直接从 “[**帐户**” 页面](https://console.amazonaws.cn/billing/home#/account)关闭。有关 step-by-step说明,请参阅《*Amazon 账户管理指南》 Amazon Web Services 账户中的[关闭](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html)和*。
要注销管理账户,请参阅[注销组织的管理账户](orgs_manage_accounts_close_management.md)。
## 注销成员账户
登录到企业的管理账户时,您可以关闭属于企业的成员账户。为此,请完成以下步骤。
**重要**
在注销会员账户之前,我们强烈建议您查看注意事项并了解注销账户的影响。有关更多信息,请参阅《Amazon 账户管理指南》中的 [What you need to know before closing your account](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html#close-account-considerations) 和 [What to expect after you close your account](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)**。
------
#### [ Amazon Management Console ]
**通过 Amazon Organizations 控制台关闭成员账户**
1. 在 **[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)** 页面上,找到并选择您想要关闭的成员账户的名称。您可以导航 OU 层次结构,或查看没有 OU 结构的账户的平面列表。
1. 选择页面顶部的账户名称旁边的 **Close**(关闭)。仅当 Amazon 组织处于[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式时,此选项才可用。
**注意**
如果您的组织使用[整合账单](orgs_getting-started_concepts.md#feature-set-cb-only)模式,您将无法在控制台中看到**关闭**按钮。要在整合账单模式下关闭账户,请以根用户身份登录要关闭的账户。在**账户**页面上,选择**关闭账户**按钮,输入账户 ID,然后选择**关闭账户**按钮。
1. 阅读并确保理解账户关闭指南。
1. 输入成员账户 ID,然后选择**注销账户**。
**注意**
您注销的任何成员账户将在 Amazon Organizations 控制台中的账户名称旁边显示一个 `CLOSED` 标签,自原始注销日期起最长持续 90 天。90 天后,该成员账户将永久关闭,不再显示在 Amazon Organizations 控制台中。请注意,永久关闭后,该账户可能需要几天时间才能从组织中删除。
**从“账户”页面关闭成员账户**
或者,您可以直接从中的**账户**页面关闭 Amazon 成员账户 Amazon Web Services 管理控制台。如需 step-by-step指导,请按照《*Amazon 账户管理指南》 Amazon Web Services 账户*中[关闭](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-closing.html)和中的说明进行操作。
------
#### [ Amazon CLI & Amazon SDKs ]
**要关闭 Amazon Web Services 账户**
您可以使用以下命令之一关闭 Amazon 账户:
+ Amazon CLI:[close-account](https://docs.amazonaws.cn/cli/latest/reference/organizations/close-account.html)
```
$ aws organizations close-account \
--account-id 123456789012
```
如果成功,此命令不会产生任何输出。
+ Amazon SDKs: [CloseAccount](https://docs.amazonaws.cn/organizations/latest/APIReference/API_CloseAccount.html)
------
# 保护会员账户不被关闭 Amazon Organizations
保护成员账户免遭关闭
要保护成员账户免遭意外关闭,可以创建一个 IAM 策略,指定哪些账户可免于关闭。此策略可防止受保护的成员账户遭到关闭。
使用以下方法之一创建 IAM 策略,拒绝账户关闭:
+ 使用受保护的账户在政策`Resource`元素中明确列出受保护的账户 ARNs。
+ 标记个人账户,并使用 `aws:ResourceTag` 全局条件键来防止已标记账户被关闭。
**注意**
服务控制策略 (SCPs) 不影响管理账户中的 IAM 委托人。
## 防止成员账户关闭的 IAM policy 示例
示例 IAM policies
以下代码示例展示了两种可用来限制成员账户注销账户的不同功能方法。
------
#### [ Prevent member accounts with tags from getting closed ]
您可以将以下策略附加到管理账户中的身份。此策略防止管理账户中的主体关闭任何标记为 `aws:ResourceTag` 标记全局条件键、`AccountType` 键和 `Critical` 标签值的成员账户。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccountForTaggedAccts",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
}
}
]
}
```
------
#### [ Prevent member accounts listed in this policy from getting closed ]
您可以将以下策略附加到管理账户中的身份。此策略可防止管理账户中的主体关闭 `Resource` 元素中明确指定的成员账户。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventCloseAccount",
"Effect": "Deny",
"Action": "organizations:CloseAccount",
"Resource": [
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
"arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
]
}
]
}
```
------
# 通过以下方式从组织中删除成员账户 Amazon Organizations
删除成员账户
移除成员账户不会导致该账户被注销,而只是将成员账户从组织中移除。以前的成员账户变为独立账户 Amazon Web Services 账户 ,不再由其管理 Amazon Organizations。
移除账户后,该账户不再受任何策略约束,并自行支付账单。从组织中移除账户后,该账户应计的任何费用将不再计入该组织的管理账户。
## 注意事项
**管理账户创建的 IAM 访问角色不会被自动删除**
当您从组织中移除成员账户时,为允许该组织的管理账户访问而创建的任何 IAM 角色都不会自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html)。
**仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户**
仅当账户拥有作为独立账户运行所需的信息时,才能从组织中移除此账户。使用 Amazon Organizations 控制台、API 或 Amazon CLI 命令在组织中创建账户时,*不会*自动收集独立账户所需的所有信息。
对于您想要独立创建的每个账户,您都必须选择支持计划,提供并验证所需的联系信息,并提供当前的付款方式。 Amazon 使用付款方式对账户未关联到组织期间发生的任何可计费(非 Amazon 免费套餐) Amazon 活动收费。要移除还没有此信息的账户,请按照 [从成员账户中退出组织 Amazon Organizations](orgs_manage_accounts_leave-as-member.md) 中的步骤操作。
**您必须等到账户创建后至少满四天**
在组织中创建账户后,必须至少要满四天才能移除该账户。邀请的账户不受此等待期限的限制。
**退出组织的账户的所有者将负责所有产生的新成本**
当账户成功离开组织 Amazon Web Services 账户 时,账户的所有者将负责应计的所有新 Amazon 费用,并使用该账户的付款方式。该组织的管理账户不再负责。
**该账户不能是为组织启用的任何 Amazon 服务的委派管理员账户**
要删除的帐户不得是为组织启用的任何 Amazon 服务的委派管理员帐户。如果该账户是委托管理员,则必须首先将委托管理员账户更改为组织中剩余的其他账户。有关如何禁用或更改 Amazon 服务的委派管理员帐户的更多信息,请参阅该服务的文档。
**该账户不再能够访问成本和使用情况数据**
当某个成员账户离开组织后,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。但是,组织的管理账户仍可以访问这些数据。如果该账户重新加入组织,则其将可以再次访问这些数据。
**该账户上附加的标签将被删除**
当成员账户离开组织时,所有附加到该账户的标签都将被删除。
**该账户中的主体不再受任何组织策略的影响**
该账户中的委托人不再受组织内应用的任何[策略](orgs_manage_policies.md)影响。这意味着施加的限制 SCPs 已经消失,账户中的用户和角色可能比以前拥有更多的权限。其他组织策略类型不能再强制执行或处理。
**该账户不再属于组织协议的管辖范围**
如果从组织中删除成员账户,则该成员账户将不再由组织协议所涵盖。管理账户管理员应在从组织中删除成员账户之前将此信息传达给成员账户,以便成员账户可以在必要时添加新协议。可以在 Amazon Artifact 控制台的 “组织协议” 页面上查看有效的[Amazon Artifact 组织协议](https://console.amazonaws.cn/artifact/home?#!/agreements?tab=organizationAgreements)列表。
**与其他服务的集成可能被禁用**
与其他服务的集成可能会被禁用。如果您从启用了与某项 Amazon 服务集成的组织中删除一个帐户,则该账户中的用户将无法再使用该服务。
## 从组织中移除成员账户
登录组织的管理账户后,您可以从组织中移除不再需要的成员账户。为此,请完成以下过程。以下过程仅适用于成员账户。要移除管理账户,您必须[删除组织](orgs_manage_org_delete.md)。
**最小权限**
要从您的组织中移除一个或多个成员账户,您必须以管理账户中的用户或角色身份登录并且必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:RemoveAccountFromOrganization`
如果您选择在第 5 步中以成员账户中的用户或角色身份登录,则该用户或角色必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要。
`organizations:LeaveOrganization` – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。
如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 权限(如果账户尚未迁移到精细权限)或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《Amazon Billing 用户指南》**中的[激活对账单和成本管理控制台的访问权](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ Amazon Web Services 管理控制台 ]
**从组织中删除成员账户**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面上,找到并选中要从组织中删除的每个成员账户旁的复选框 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/checkbox-selected.png)。您可以浏览 OU 层次结构或启用 “** Amazon Web Services 账户 仅查看” 以查看**没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 **Load more accounts in '*ou-name*' (加载使用“OU 名称”的更多账户)** 以查找要移动的所有账户。
在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面上,找到并选中要从组织中删除的成员账户的名称。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的帐户。
1. 选择 **Actions (操作)**,然后在**Amazon Web Services 账户**下,选择 **Remove from organization (从组织中删除)**。
1. 在**从组织中删除账户 “*账户名*” (\$1 *account-id-num*)** 中? 对话框中,选择**删除帐户**。
1. 如果 Amazon Organizations 无法删除一个或多个账户,通常是因为您没有提供该账户作为独立账户运行所需的所有信息。执行以下步骤:
1. 登录失败的账户。建议您通过选择 **Copy link (复制链接)**,然后将它粘贴在新的无痕浏览器窗口的地址栏中来登录成员账户。如果您没有看到**复制链接**,请使用[此链接](https://portal.amazonaws.cn/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)进入**注册 Amazon** 页面,完成缺少的注册步骤。如果您未使用无痕窗口,则您已注销管理账户,并且无法导航回此对话框。
1. 此浏览器会将您转至注册过程以完成此账户缺失的任何步骤。完成显示的所有步骤。步骤可能包括:
+ 提供联系人信息
+ 提供有效的付款方式
+ 验证电话号码
+ 选择支持计划选项
1. 完成最后一个注册步骤后, Amazon 会自动将浏览器重定向到成员账户的 Amazon Organizations 控制台。选择 **Leave organization**,然后在确认对话框中确认您的选择。系统将您重定向到 ** 控制台的 **Getting Started Amazon Organizations 页面,在其中可以查看您的账户加入其他组织的待处理邀请。
1. 从组织中删除授予访问您账户的权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ Amazon CLI & Amazon SDKs ]
**从组织中删除成员账户**
您可以使用以下命令之一删除成员账户:
+ Amazon CLI: [remove-account-from-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/remove-account-from-organization.html)
```
$ aws organizations remove-account-from-organization \
--account-id 123456789012
```
如果成功,此命令不会产生任何输出。
+ Amazon SDKs: [RemoveAccountFromOrganization](https://docs.amazonaws.cn/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)
从组织中删除成员账户后,请确保从组织中删除授予您账户访问权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html)。
成员账户也可以使用 [leave-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/leave-organization.html) 来移除自己。有关更多信息,请参阅 [从成员账户中退出组织 Amazon Organizations](orgs_manage_accounts_leave-as-member.md)。
------
# 从成员账户中退出组织 Amazon Organizations
作为成员账户退出组织
登录成员账户后,您可以退出组织。管理账户不能使用此方法离开组织。要移除管理账户,您必须[删除组织](orgs_manage_org_delete.md)。
## 注意事项
**组织的账户状态会影响可见的成本和使用情况数据**
无论组织成员资格如何变化,账户都可以访问过去交付给他们的所有发票以及由他们生成的所有账单数据。但是,Cost Explorer 的数据可见性与当前组织的成员资格息息相关。下表显示了三种常见的账户转换如何影响数据可见性:
****
| | 发票可用性 | 账单可用性(例如,账单页面) | Cost Explorer 可用性 |
| --- | --- | --- | --- |
| 方案 1成员账户退出组织 A,成为独立账户 | 该账户保留对交付给它的所有历史发票的访问权限。 | 该账户保留对其作为 OrganizaA 成员生成的所有历史账单数据的访问权限。 | 该账户无法访问其作为 OrganizatiA 成员生成的历史成本和使用情况数据。 |
| 方案 2成员账户离开组织 A 并加入组织 B | 该账户保留对交付给它的所有历史发票的访问权限。 | 该账户保留对其作为 OrganizaA 成员生成的所有历史账单数据的访问权限。 | 该账户无法访问其作为 OrganizatiA 成员生成的历史成本和使用情况数据。 |
| 方案三账户重新加入之前所属的组织 | 该账户保留对交付给它的所有历史发票的访问权限。 | 该账户保留对其生成的所有历史账单数据的访问权限(无论是作为独立账户还是作为其他组织成员生成)。 | 该账户可以重新访问其作为组织成员的整个时间段内的成本和使用数据,但无法访问其当前组织之外产生的所有历史成本和使用情况。 |
**该账户不再属于代表其接受的组织协议的管辖范围**
如果您离开一个组织,您将不再被该组织的管理账户代表您接受的组织协议所涵盖。您可以在 Amazon Artifact 控制台的 “组织协议” 页面上查看这些[Amazon Artifact 组织协议](https://console.amazonaws.cn/artifact/home?#!/agreements?tab=organizationAgreements)的列表。在离开组织之前,您应该在您的法律、隐私或合规性团队的协助下确定您是否有必要建立新的协议。
**账户的配额限制可能会发生变化并可能造成影响**
将组织作为成员账户退出可能会影响该账户可用的服务配额限制。如果您的自动化工作负载需要更高的限制,请在离开组织后在服务配额控制台中重新访问您的配额,以确保不间断的体验。离开组织后请联系[Amazon Web Services 支持 中心](https://console.amazonaws.cn/support/home#/)寻求帮助。
## 作为成员账户退出组织
要退出组织,请完成以下过程。
**最小权限**
要退出组织,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要。
`organizations:LeaveOrganization` – 请注意,组织管理员可以将删除此权限的策略应用到您的账户,从而阻止您从组织中删除自己的账户。
如果您以 IAM 用户身份登录并且账户缺少付款信息,则用户必须具有 `aws-portal:ModifyBilling` 和 `aws-portal:ModifyPaymentMethods` 权限(如果账户尚未迁移到精细权限)或 `payments:CreatePaymentInstrument` 和 `payments:UpdatePaymentPreferences` 权限(如果账户已迁移到精细权限)。此外,成员账户必须已启用对账单的 IAM 用户访问权限。如果尚未启用此权限,请参阅《Amazon Billing 用户指南》**中的[激活对账单和成本管理控制台的访问权](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)。
------
#### [ Amazon Web Services 管理控制台 ]
**成员账户离开组织**
1. 在 Amazon Organizations 主机上登录主[Amazon Organizations 机](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
默认情况下,您无权访问使用创建的成员账户中的 root 用户密码 Amazon Organizations。如果需要,请按照[使用访问组织中的成员账户 Amazon Organizations](orgs_manage_accounts_access.md)中**使用根用户(不建议用于日常任务)**中的步骤恢复根用户密码。
1. 在 **[Organizations 控制面板](https://console.amazonaws.cn/organizations/v2/home/dashboard)**页面上,选择**退出组织**。
1. 在**是否要退出组织?**对话框中,选择**退出组织**。当系统提示进行确认时,确认您选择删除账户。确认后,您将被重定向到 Amazon Organizations 控制台的 “**入门**” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。
如果显示**当前无法退出组织**消息,则表示您的账户尚不具备作为独立账户运行所需的所有信息。如果是这样,请继续下一步。
1. 如果**是否要退出组织?**对话框显示**当前无法退出组织**消息,选择**完成账户注册步骤**链接。
如果您没有看到**完成账户注册步骤**链接,请使用[此链接](https://portal.amazonaws.cn/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)进入**注册 Amazon** 页面,完成缺少的注册步骤。
1. 在**注册 Amazon** 页面上,输入成为独立账户所需的所有信息。可能涉及以下类型的信息:
+ 联系人姓名和地址
+ 有效付款方式
+ 电话号码验证
+ 支持计划选项
1. 在出现一个指明注册过程已完成的对话框时,请选择 **Leave organization**。
您将看到确认对话框。确认您选择删除账户。您将被重定向到 Amazon Organizations 控制台的 “**入门**” 页面,您可以在其中查看您的账户加入其他组织的所有待处理邀请。
1. 从组织中删除授予访问您账户的权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html)。
------
#### [ Amazon CLI & Amazon SDKs ]
**作为成员账户退出组织**
您可以使用以下命令之一离开组织:
+ Amazon CLI:[leave-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/leave-organization.html)
以下示例将迫使其凭据被用于运行命令的账户退出组织。
```
$ aws organizations leave-organization
```
如果成功,此命令不会产生任何输出。
+ Amazon SDKs: [LeaveOrganization](https://docs.amazonaws.cn/organizations/latest/APIReference/API_LeaveOrganization.html)
在成员账户离开组织后,请确保从组织中删除授予您账户访问权限的 IAM 角色。
**重要**
如果您的账户是在组织中创建的,Organizations 会在该账户中自动创建一个 IAM 角色,以允许组织的管理账户进行访问。如果该账户被邀请加入,则 Organizations 不会自动创建此类角色,但您或其他管理员可能已经创建了一个角色来获得相同的好处。在任何一种情况下,当您从组织中删除账户时,任何此类角色都不会被自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除此 IAM 角色。有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html)。
管理账户中的用户也可以[remove-account-from-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/remove-account-from-organization.html)改为使用删除成员账户。有关更多信息,请参阅 [从组织中移除成员账户](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)。
------
# 使用更新成员账户的账户名 Amazon Organizations
更新成员账户的账户名称
登录到组织的管理账户后,您可以更新成员账户的账户名称。要了解如何更新成员账户名称,请按照《*Amazon 账户管理 参考指南*[》中更新组织 Amazon Web Services 账户 中任何成员的账户名称](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)中的步骤操作。
# 更新成员账户的 Amazon Web Services 电子邮件地址 Amazon Organizations
更新成员账户的Amazon Web Services 电子邮件地址
为了提高安全性和管理韧性,管理账户中的 IAM 主体(拥有必要的 IAM 权限)可以集中更新其任何成员账户的Amazon Web Services 电子邮件地址(也称为主电子邮件地址),而无需分别登录每个账户。这让管理账户中的管理员(或委派管理员账户)能够更好地控制其成员账户。它还可确保您的 Amazon Organizations 任何成员账户中的 Amazon Web Services 电子邮件地址保持最新,即使您可能无法访问原始 Amazon Web Services 电子邮件地址或管理凭证。
当管理账户管理员集中更改Amazon Web Services 电子邮件地址时,密码和 MFA 配置将与更改前相同。请注意,能够控制账户Amazon Web Services 电子邮件地址和主要联系人电话号码的用户可以绕过 MFA。
要更新组织中成员账户的 Amazon Web Services 电子邮件地址,您的组织必须事先启用[所有功能](orgs_getting-started_concepts.md#feature-set-all)模式。 Amazon Organizations 在整合账单模式或不属于组织的账户中,无法集中更新其 Amazon Web Services 电子邮件地址。如果用户想要更改不受 API 支持的账户的Amazon Web Services 电子邮件地址,则应继续使用 Billing Console 来管理其Amazon Web Services 电子邮件地址。
有关如何更新成员账户的 Amazon Web Services 电子邮件地址的 step-by-step说明,请参阅*Amazon 账户管理 参考指南 Amazon Web Services 账户 *[中的更新组织中任何成员的Amazon Web Services 电子邮件](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs)。
# 使用管理账户邀请 Amazon Organizations
账户邀请
[创建组织](orgs_manage_org_create.md)并[确认自己拥有与管理账户关联的电子邮件地址](about-email-verification.md)后,您可以邀请现有人员 Amazon Web Services 账户 加入您的组织。使用 Amazon Organizations 控制台发起和管理您向其他账户发送的邀请。您只能从组织的管理账户向其他账户发送邀请。
当你邀请一个账户时, Amazon Organizations 会向账户所有者发送邀请,账户所有者可以决定接受还是拒绝邀请。
如果您是的管理员 Amazon Web Services 账户,也可以接受或拒绝组织的邀请。如果接受,您的账户将成为该组织的成员之一。
要创建自动属于组织的账户,请参阅[使用在组织中创建成员账户 Amazon Organizations](orgs_manage_accounts_create.md)。
**重要**
组织中的所有账户都必须与管理账户来自同一个 Amazon 分区。商业 Amazon Web Services 区域 分区中的账户不能位于拥有来自中国区域分区的账户或位于区域分区的账户 Amazon GovCloud (US) 的组织中。
**Topics**
+ [
## 注意事项
](#impact_of_join)
+ [发送邀请](orgs_manage_accounts_invite-account.md)
+ [管理待处理的邀请](orgs_manage_accounts_manage-invites.md)
+ [接受或拒绝邀请](orgs_manage_accounts_accept-decline-invite.md)
## 注意事项
**每天可以发送的邀请数量限制**
有关每天可以发送的邀请数量限制,请参阅[最大值和最小值](orgs_reference_limits.md#min-max-values)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。每个邀请必须在 15 天内回复,否则将过期。
向账户发送的邀请也计入组织的账户配额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,该计数将会重置。
**一个账户只能加入一个组织**
一个账户只能加入一个组织。如果您收到多个邀请,则只能接受一个邀请。
**账单历史记录和报告保留在管理账户中**
所有账户的账单历史记录和报告都保存在组织中的管理账户中。在将账户移动到新的组织之前,请导出或备份要保留的任何成员账户的任何账单和报告历史记录。这可能包括[成本和使用情况报告](https://docs.amazonaws.cn/cur/latest/userguide/what-is-cur.html)、[Cost Explorer 报告](https://docs.amazonaws.cn/cost-management/latest/userguide/ce-reports.html)、[节省计划报告](https://docs.amazonaws.cn/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr)以及[预留实例(RI)利用率和覆盖范围](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer)。
**管理账户负责支付成员账户产生的所有费用**
当账户接受加入组织的邀请时,该组织的管理账户将承担新成员账户产生的所有费用。成员账户附加的付款方式不再使用。相反,附加到组织管理账户的付款方式支付成员账户应计的所有费用。
**Organizations 会自动创建服务相关角色 `AWSServiceRoleForOrganizations`**
Amazon Organizations 创建名为的服务关联角色`AWSServiceRoleForOrganizations`,以支持与其他 Amazon 服务 Amazon Organizations 之间的集成。有关更多信息,请参阅 [Amazon Organizations 和服务相关角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。如果您的组织支持[所有功能](orgs_getting-started_concepts.md#feature-set-all),则受邀账户必须具有此角色。如果组织仅支持[整合账单](orgs_getting-started_concepts.md#feature-set-cb-only)功能集,则可以删除该角色。如果您删除了此角色,之后又启用了组织中的所有功能,则会为该账户 Amazon Organizations 重新创建此角色。
**Organizations 不会自动创建 IAM 角色 `OrganizationAccountAccessRole`**
对于受邀成员账户, Amazon Organizations 不会自动创建 IAM 角色[`OrganizationAccountAccessRole`](orgs_manage_accounts_access-cross-account-role.md)。此角色授予管理账户中的用户对成员账户的管理访问权限。如果您希望对受邀账户启用该级别的管理控制权,可以手动将该角色添加到受邀账户。有关更多信息,请参阅 [使用 OrganizationAccountAccessRole 创建受邀账号 Amazon Organizations](orgs_manage_accounts_create-cross-account-role.md)。
**注意**
当您在组织中创建账户而不是邀请现有账户加入时,`OrganizationAccountAccessRole`默认情况下 Amazon Organizations 会自动创建 IAM 角色。
**附加到根或包含该账户的 OU 的策略会立即生效**
如果您将任何策略附加到根或包含受邀账户的组织单位(OU),这些策略会立即应用于受邀账户中的所有用户和角色。
您可以[为组织中的其他服务启用 Amazon 服务信任](orgs_integrate_services_list.md)。在您这样做时,该可信服务可以在组织的任何成员账户(包括受邀账户)中创建服务相关角色或执行操作。
**只有整合账单功能集的组织仍然可以邀请账户**
您可以邀请账户加入仅启用整合账单功能的组织。如果您以后希望为组织启用所有功能,则受邀账户必须批准更改。
# 使用发送账户邀请 Amazon Organizations
发送邀请
若要邀请账户加入您的组织,必须首先验证您与管理账户关联的电子邮件地址。有关更多信息,请参阅 [使用电子邮件地址验证 Amazon Organizations](about-email-verification.md)。验证电子邮件地址后,请完成以下步骤来邀请账户加入您的组织。
**最小权限**
Amazon Web Services 账户 要邀请加入您的组织,您必须具有以下权限:
`organizations:DescribeOrganization`(仅限控制台)
`organizations:InviteAccountToOrganization`
------
#### [ Amazon Web Services 管理控制台 ]
**邀请其他账户加入组织**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 如果您已经使用验证了电子邮件地址 Amazon,请跳过此步骤。
如果您的电子邮件地址还未验证,请在创建组织后的 24 小时内按照[验证电子邮件](about-email-verification.md)中的说明进行验证。在您接收到验证电子邮件消息之前可能会有一段延迟。未完成电子邮件地址验证前,您无法邀请其他账户加入您的组织。
1. 导航到**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面,然后选择 **Add an Amazon account (添加亚马逊云科技账户)**。
1. 在 **[Add an Amazon Web Services 账户(添加亚马逊云科技账户)](https://console.amazonaws.cn/organizations/v2/home/accounts/add/create)** 页面上,选择 **Invite an existing Amazon account (邀请现有亚马逊云科技账户)**。
1. 在**[邀请现有 Amazon](https://console.amazonaws.cn/organizations/v2/home/accounts/add/invite)**页面上,在要邀请**的电子邮件地址或账户 ID 中,输入与 Amazon Web Services 账户 要邀请**的账户关联的电子邮件地址或其账户 ID 号。
1. (可选)对于 **Message to include in the invitation email message (要包含在邀请电子邮件中的消息)**,输入您要包括在发送受邀请账户拥有者的电子邮件邀请中的任意文本。
1. (可选)在 **Add tags (添加标签)** 部分中,指定在账户管理员接受邀请后自动应用到账户的一个或多个标签。为此,请选择 **Add tag (添加标签)**,然后输入键和可选值。将值留空,设置为空字符串;它并非 `null`。您最多可以将 50 个标签附加到 Amazon Web Services 账户。
1. 选择 **Send invitation** (发送邀请)。
**重要**
如果您收到一条消息,它指示您超出了组织的账户配额或因组织仍在初始化而无法添加账户,请联系 [Amazon Web Services 支持](https://console.amazonaws.cn/support/home#/)。
1. 控制台会将您重定向到 **[Invitations (邀请)](https://console.amazonaws.cn/organizations/v2/home/accounts/invitations)** 页面,您可以在此查看所有待接受和已接受的邀请。您刚刚创建的邀请将显示在列表的顶部,其状态设置为 **OPEN**。
Amazon Organizations 向您邀请加入该组织的账户所有者的电子邮件地址发送邀请。此电子邮件包含指向 Amazon Organizations 控制台的链接,账户所有者可以在其中查看详细信息并选择接受或拒绝邀请。或者,受邀账户的所有者可以绕过电子邮件,直接进入 Amazon Organizations 控制台,查看邀请,然后接受或拒绝邀请。
对此账户的邀请立即计入组织的最大账户数; Amazon Organizations 不会等待账户接受邀请。如果受邀账户拒绝,则管理账户会取消邀请。如果受邀账户在指定的时间段内未做出响应,则邀请过期。在任一情况下,邀请均不再计入您的配额。
------
#### [ Amazon CLI & Amazon SDKs ]
**邀请其他账户加入组织**
您可以使用以下命令之一来邀请其他账户加入您的组织:
+ Amazon CLI: [invite-account-to-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/invite-account-to-organization.html)
```
$ aws organizations invite-account-to-organization \
--target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
--notes "This is a request for Juan's account to join Bill's organization."
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "OPEN"
}
}
```
+ Amazon SDKs: [InviteAccountToOrganization](https://docs.amazonaws.cn/organizations/latest/APIReference/API_InviteAccountToOrganization.html)
------
# 使用管理待处理账户邀请 Amazon Organizations
管理待处理的邀请
登录到管理账户后,您可以查看组织中的所有关联 Amazon Web Services 账户 并取消任何待处理(未结)邀请。为此,请完成以下步骤。
**最小权限**
要管理组织的待处理邀请,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:ListHandshakesForOrganization`
`organizations:CancelHandshake`
------
#### [ Amazon Web Services 管理控制台 ]
**查看或取消从您的组织发送到其他账户的邀请**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 导航到 **[Invitations (邀请)](https://console.amazonaws.cn/organizations/v2/home/accounts/invitations)** 页面。
此页面显示从您的组织发送的所有邀请及其当前状态。
如果看不到邀请,请检查受邀账户是否为其他组织的管理账户。只有成员账户和独立账户才能收到邀请。管理账户无法收到邀请。
如果您想邀请的账户是其他组织中的管理账户,建议您将该账户设为独立账户。
**注意**
已接受、已取消和已拒绝的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。
1. 选择要取消的邀请旁边的单选按钮 ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/radio-button-selected.png),然后选择 **Cancel invitation (取消邀请)**。如果单选按钮呈灰色,则无法取消该邀请。
邀请的状态将从 **Open (待接受)** 更改为 **Canceled (已取消)**。
Amazon 向账户所有者发送一封电子邮件,说明您取消了邀请。除非您发送新邀请,否则账户无法再加入组织。
------
#### [ Amazon CLI & Amazon SDKs ]
**查看或取消从您的组织发送到其他账户的邀请**
您可以使用以下命令来查看或取消邀请:
+ Amazon CLI: [list-handshakes-for-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-handshakes-for-organization.html),[取消握手](https://docs.amazonaws.cn/cli/latest/reference/organizations/cancel-handshake.html)
+ 以下示例显示了此组织向其他账户发送的邀请。
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1481656459.257,
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "FULL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Juan's account to join Bill's organization."
}
],
"State": "OPEN"
},
{
"Action": "INVITE",
"State":"ACCEPTED",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"ExpirationTimestamp": 1.471797437427E9,
"Id": "h-examplehandshakeid222",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "anika@example.com",
"Type": "EMAIL"
}
],
"RequestedTimestamp": 1.469205437427E9,
"Resources": [
{
"Resources": [
{
"Type":"MASTER_EMAIL",
"Value":"bill@example.com"
},
{
"Type":"MASTER_NAME",
"Value":"Management Account"
}
],
"Type":"ORGANIZATION",
"Value":"o-exampleorgid"
},
{
"Type":"EMAIL",
"Value":"anika@example.com"
},
{
"Type":"NOTES",
"Value":"This is an invitation to Anika's account to join Bill's organization."
}
]
}
]
}
```
以下示例说明如何取消对账户的邀请。
```
$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Id": "h-examplehandshakeid111",
"State":"CANCELED",
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "susan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Type": "ORGANIZATION",
"Value": "o-exampleorgid",
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@example.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "CONSOLIDATED_BILLING"
}
]
},
{
"Type": "EMAIL",
"Value": "anika@example.com"
},
{
"Type": "NOTES",
"Value": "This is a request for Susan's account to join Bob's organization."
}
],
"RequestedTimestamp": 1.47008383521E9,
"ExpirationTimestamp": 1.47137983521E9
}
}
```
+ Amazon SDKs: [ListHandshakesForOrganization](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListHandshakesForOrganization.html), [CancelHandshake](https://docs.amazonaws.cn/organizations/latest/APIReference/API_CancelHandshake.html)
------
# 接受或拒绝账户邀请 Amazon Organizations
接受或拒绝邀请
如果您收到加入某个组织的邀请,可以接受或拒绝该邀请。
## 注意事项
**组织的账户状态会影响可见的成本和使用情况数据**
如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。
如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。
如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。
**只有成员账户和独立账户可以接受或拒绝邀请**
只有成员账户和独立账户可以接受或拒绝加入组织的邀请。如果向已经是某个组织的成员的管理账户发送邀请,则在[移除组织中的所有成员账户](orgs_manage_accounts_remove.md)并[删除该组织](orgs_manage_org_delete.md)之前,该账户将无法查看邀请。
**CloudTrail 记录发生在执行操作的账户中**
如果成员账户或独立账户接受或拒绝账户邀请,则该操作将记录在代理账户的 CloudTrail 日志中。如果代理账户是成员账户,则该操作不会记录在管理账户的 CloudTrail 日志中。这与在相关场景中 CloudTrail 登录一致(例如 退出组织的成员账户将登录到成员账户追踪中,移除成员账号的管理账号将登录到管理账号追踪中)。
## 接受或拒绝账户邀请
接受或拒绝
要接受或拒绝邀请,请完成以下步骤。
**最小权限**
要接受或拒绝加入 组织的邀请,您必须拥有以下权限:
`organizations:ListHandshakesForAccount`— 需要在 Amazon Organizations 控制台中查看邀请列表。
`organizations:AcceptHandshake`.
`organizations:DeclineHandshake`.
`organizations:LeaveOrganization`— 仅当您的账户已经是组织成员时接受邀请时才需要填写。
`iam:CreateServiceLinkedRole` – 仅在接受邀请需要在成员账户中创建服务相关角色,以支持与其他 Amazon Web Services 服务的集成时为必填项。有关更多信息,请参阅 [Amazon Organizations 和服务相关角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
------
#### [ Amazon Web Services 管理控制台 ]
**接受或拒绝邀请**
1. 加入组织的邀请发送到账户所有者电子邮件地址。如果您是账户拥有者,并且收到了邀请电子邮件消息,请按照电子邮件邀请中的说明操作,或者在浏览器中转至 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2),然后选择**邀请**,或直接转至**[成员账户的邀请](https://console.amazonaws.cn/organizations/v2/home/invitations)**页面。
1. 根据提示以 IAM 用户的身份登录受邀账户,担任 IAM 角色;或作为该账户的根用户登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. **[member account's Invitation (成员账户的邀请)](https://console.amazonaws.cn/organizations/v2/home/invitations)** 页面显示您的账户加入组织的待接受邀请。
根据需要选择 **Accept invitation (接受邀请)** 或 **Decline invitation (拒绝邀请)**。
+ 如果您在前面的步骤中选择 **Accept invitation (接受邀请)**,控制台会将您重定向到 [Organization overview (Organization 概览)](https://console.amazonaws.cn/organizations/v2/home/dashboard) 页面,其中提供了有关您账户现在所属的组织的详细信息。您可以查看组织的 ID 和所有者的电子邮件地址。
**注意**
已接受的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。
Amazon Organizations 在新成员账户中自动创建服务相关角色以支持与其他 Amazon Web Services 服务成员 Amazon Organizations 之间的集成。有关更多信息,请参阅 [Amazon Organizations 和服务相关角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
Amazon 向组织管理账户的所有者发送一封电子邮件,说明您已接受邀请。它还会发送电子邮件消息到成员账户拥有者,说明该账户现已是组织的成员。
+ 如果您在前面的步骤中选择了 **Decline (拒绝)**,则您的账户仍在 **[member account's Invitation (成员账户的邀请)](https://console.amazonaws.cn/organizations/v2/home/invitations)** 页面上,其中列出了任何其他待处理邀请。
Amazon 向组织的管理账户所有者发送一封电子邮件,说明您拒绝了邀请。
**注意**
已拒绝的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。
------
#### [ Amazon CLI & Amazon SDKs ]
**接受或拒绝邀请**
您可以使用以下命令来接受或拒绝邀请:
+ Amazon CLI:[accept-handshake](https://docs.amazonaws.cn/cli/latest/reference/organizations/accept-handshake.html)、[decline-handshake](https://docs.amazonaws.cn/cli/latest/reference/organizations/decline-handshake.html)
以下示例说明如何接受加入组织的邀请。
```
$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
```
以下示例说明如何拒绝加入组织的邀请。
+ Amazon SDKs: [AcceptHandshake](https://docs.amazonaws.cn/organizations/latest/APIReference/API_AcceptHandshake.html), [DeclineHandshake](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DeclineHandshake.html)
------
# 使用以下方式将账户迁移到其他组织 Amazon Organizations
迁移账户
您可以随时将一个组织 Amazon Web Services 账户 从一个组织迁移到另一个组织。例如,当您需要将多个组织中的一个或多个 Amazon Web Services 账户 组织合并为一个组织时,在合并和收购的情况下,迁移账户可能会很有帮助。
无论您的用例如何,在组织之间迁移账户都需要您从新组织的管理账户发送邀请,并使用受邀账户接受加入新组织的邀请。
**注意**
**无法迁移已关闭或暂停的账户。**
您无法迁移已注销或暂停的账户。要重新激活账户,请联系 [Amazon Web Services 支持](https://www.amazonaws.cn/contact-us/)。
**四天龄期要求**
在组织中创建账户后,必须至少要满四天才能迁移该账户。邀请的账户不受此等待期限的限制。
**在账户之间复制数据**
以下 Amazon 规范性指南提供了有关在以下位置之间复制数据的策略的信息 Amazon Web Services 账户:[资源复制或在资源之间迁移](https://docs.amazonaws.cn/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/resource-migration.html)。 Amazon Web Services 账户
## 迁移账户之前需要完成的操作
迁移前
在将您的组织 Amazon Web Services 账户 从一个组织迁移到另一个组织之前,请确保您已完成以下步骤。
### 步骤 1:检查您是否具有迁移账户所需的 IAM 权限
#### 步骤 1
确保您已应用了将账户迁移到相关组织所需的权限。
**要退出组织,您必须拥有以下权限:**
+ `organizations:DescribeOrganization`(仅限控制台)
+ `organizations:LeaveOrganization`
有关更多信息,请参阅[从成员账户退出组织](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html)。
** Amazon Web Services 账户 要邀请加入组织,您必须具有以下权限:**
+ `organizations:DescribeOrganization`(仅限控制台)
+ `organizations:InviteAccountToOrganization`
有关更多信息,请参阅[邀请 Amazon Web Services 账户 加入您的组织](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
**要迁移账户,不能存在会阻止迁移的 IAM 策略或服务控制策略**
如果您是管理账户或委托管理员,则可以通过向组织内的 IAM 身份(用户、群组和角色)附加权限策略来控制对 Amazon 资源的访问权限。有关更多信息,请参阅[适用于 Amazon Organizations的 IAM 策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_permissions_iam-policies.html)。
迁移账户之前的准备:
+ 检查是否没有阻止您迁移账户的 IAM 策略或服务控制策略 (SCPs)。
+ 确定您需要在迁移账户的组织中复制的现有 IAM 策略和服务控制策略 (SCPs)。
+ 确定会指定您的组织 ID 的现有 IAM 策略。例如 [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid)。
有关更多信息,请参阅 [IAM *用户指南中的管理 IAM* 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage.html)和[服务控制策略 (SCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。
### 步骤 2:检查您是否已移除了会允许访问旧管理账户的 IAM 权限
#### 步骤 2
确保您已移除了会允许访问旧管理账户的 IAM 权限,例如 `OrganizationAccountAccessRole`。
当您从组织中移除成员账户时,为允许该组织的管理账户访问而创建的任何 IAM 角色都不会自动删除。如果要终止以前组织的管理账户的此访问权限,则必须手动删除 IAM 角色。
有关如何删除角色的信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage_delete.html)。
### 步骤 3:备份所有报告
#### 步骤 3
请务必从管理账户导出或备份报告,尤其是账单报告。迁移账户时不会存储组织级别的报告和历史记录。建议您将所有账单历史记录完整导出。您仍然能访问成员账户的报告,例如 Amazon CloudTrail 事件历史记录和账户账单历史记录。
**重要**
将账户从组织中移除后,所有组织级别的报告和历史记录(例如管理账户中的组织账单信息)都将被删除。
有关更多信息,请参阅[成本和使用情况报告](https://docs.amazonaws.cn/cur/latest/userguide/what-is-cur.html)、[Cost Explorer 报告](https://docs.amazonaws.cn/cost-management/latest/userguide/ce-reports.html)、[节省计划报告](https://docs.amazonaws.cn/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr)以及[预留实例(RI)利用率和覆盖范围](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer)。
### 步骤 4:检查组织依赖关系
#### 步骤 4
确保要迁移的账户不存在任何与组织相关的依赖项。
**要检查的依赖项:**
+ 如果该账户是委派管理员,则必须先将委派管理员权限取消注册,然后才能迁移账户。有关更多信息,请参阅[可与之配合使用的服务 Amazon Organizations](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_integrate_services_list.html)。
+ 如果该账户是管理账户,则迁移前必须从组织中移除所有成员账户并删除组织。删除组织后,您的管理账户将作为独立账户运行。迁移后,管理账户将成为新组织的成员账户。有关更多信息,请参阅[删除组织](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_org_delete.html)。
+ 如果有任何 IAM 权限依赖该账户,则在将账户迁移到新组织后,您需要调整旧组织的权限,以便旧组织能够像以前一样运行。有关更多信息,请参阅[管理组织的访问权限](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_permissions_overview.html)。
+ 如果您使用任何账户或组织单位(OU)标签,则需要在新组织中重新创建这些标签。
### (可选)第 5 步:如果您使用,请查看指南 Amazon Control Tower
#### (可选)步骤 5
如果您要将账户迁入或迁出由管理的组织 Amazon Control Tower,请查看以下 Amazon 规范性指南:[将 Amazon 成员账户从 Amazon Organizations 迁移到](https://docs.amazonaws.cn/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)。 Amazon Control Tower
## 迁移账户时需要完成的操作
迁移
迁移过程要求新组织向迁移账户发送邀请,迁移账户需要接受新组织发出的加入新组织的邀请。
**迁移账户**
1. 从新组织的管理账户向要迁移的账户发送邀请。有关邀请账户的信息,请参阅[邀请 Amazon Web Services 账户 加入您的组织](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 接受加入新组织的邀请。有关更多信息,请参阅[接受来自组织的邀请](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite)。从一个组织迁移到另一个组织的账户将自动添加到新组织的根目录中。在将账户移至新组织中的组织单位 (OU) 之前,建议您检查要迁移的账户是否具有相应的组织策略和 OU 权限。
1. 要迁移管理账户,必须首先从组织中移除[所有成员账户](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts_remove.html)并[删除组织](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_org_delete.html),然后才能将管理账户迁移到新组织。删除旧组织后,您的管理账户将作为独立账户运行,并且可以接受新组织发出的加入新组织的邀请。如果您接受邀请,该管理账户将成为新组织的成员账户。
## 迁移账户之后需要完成的操作
迁移后
在将账户从一个组织迁移到另一个组织之后,务必要完成以下步骤。
**迁移后检查**
1. 评估迁移后账户的所有[账单工具配置](https://docs.amazonaws.cn/whitepapers/latest/cost-optimization-laying-the-foundation/reporting-cost-optimization-tools.html),例如成本类别、预算和账单警报等。
1. 对于您从一个组织迁移到另一个组织的所有账户,检查并更新以下货币信息:
1. 必要时[更新账户的税务设置](https://repost.aws/knowledge-center/update-tax-registration-number)。
1. 确保要迁移的账户的 [Amazon Web Services 支持 计划](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/consolidatedbilling-support.html)与新组织的付款人账户相匹配。
1. 检查您可能想应用到迁移后账户的任何可能[免税待遇](https://www.amazonaws.cn/tax-help/united-states/)。
1. 验证并确认已迁移账户的现有 IAM 策略和服务控制策略 (SCPs)。例如,您可能需要更新某些 IAM 策略的组织 ID 以反映新组织。
1. 更新您迁移了账户的新组织的[成本分配标签](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。您需要更新您迁移的账户之前收集的所有成本分配标签。
1. 任何[预留实例](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/ri-behavior.html)和[节省计划](https://docs.amazonaws.cn/savingsplans/latest/userguide/what-is-savings-plans.html)都将随账户一起迁移,而不会保留在旧组织中。 Amazon Web Services 支持 如果需要将这些文件转移到旧组织,请联系。
# 在中查看账户的详细信息 Amazon Organizations
查看账户详细信息
在 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)中登录组织的管理账户时,您可以查看成员账户的相关详细信息。
**最小权限**
要查看的详细信息 Amazon Web Services 账户,您必须具有以下权限:
`organizations:DescribeAccount`
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:ListAccounts` – 仅当使用 Organizations 控制台时才需要
------
#### [ Amazon Web Services 管理控制台 ]
**查看 a 的详细信息 Amazon Web Services 账户**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 导航到**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面,然后选择要检查的账户名称(而不是单选按钮)。如果您需要的账户是 OU 的子级,则可能需要选择 OU 旁边的三角形图标 ![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png),以展开 OU 并查看其子级。重复操作,直到找到账户。
**Account details (账户详细信息)** 框显示有关该账户的信息。
------
#### [ Amazon CLI & Amazon SDKs ]
**查看 a 的详细信息 Amazon Web Services 账户**
您可以使用以下命令查看账户的详细信息:
+ Amazon CLI:
+ [list-accounts](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-accounts.html) – 列出组织中*全部*账户的详细信息
+ [describe-account](https://docs.amazonaws.cn/cli/latest/reference/organizations/describe-account.html) – 仅列出指定账户的详细信息
这两个命令为响应中包含的每个账户返回相同的详细信息。
以下示例说明如何检索有关指定账户的详细信息。
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"Status": "ACTIVE",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ Amazon SDKs:
+ [ListAccounts](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListAccounts.html)
+ [DescribeAccount](https://docs.amazonaws.cn/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# 导出所有账户的详细信息 Amazon Organizations
导出账户详细信息
使用 Amazon Organizations,组织的管理账户用户和授权管理员可以导出包含组织内所有账户详细信息的.csv 文件。因此,组织管理员能够轻松查看账户并按状态进行筛选:`PENDING_ACTIVATION`、`ACTIVE`、`SUSPENDED`、`PENDING_CLOSURE` 或 `CLOSED`。如果您的组织有许多账户,.csv 文件下载选项可让您轻松通过电子表格查看和筛选账户详细信息。建议生成新的 CSV 导出文件,而不是使用之前保存的版本来维护当前账户信息。
**重要**
我们于 2025 年 9 月 9 日从 Amazon Organizations 控制台中停用了`Accounts`对象中的账户`Status`参数。账户导出文件现在将显示 `State` 参数而不是 `Status` 参数。任何使用导出文件 `Organization_accounts_information.csv` 的下游进程都应更新为使用 `State` 参数而不是 `Status`。
**注意**
只有管理账户中的主体才能下载账户列表。
## 导出组织 Amazon Web Services 账户 中所有人的清单
登录到组织的管理账户后,您可以将组织中所有账户的列表下载到一个 .csv 文件。该列表包含每个账户的详细信息,但没有列出账户所属的组织部门(OU)。
该 .csv 文件包含每个账户的以下信息:
+ **Account ID**(账户 ID)– 数值形式的账户标识符。例如:123456789012
+ **ARN** –账户的 Amazon Resource Name。例如:`arn:aws:organizations::123456789012account/o-o1gb0d1234/123456789012`
+ **Email**(电子邮件地址)–与账户关联的电子邮件地址。例如:marymajor@example.com
+ **Name**(名称)–账户创建者提供的账户名称。例如:stage testing account
+ **Status**(状态)–组织内的账户状态。值可以是 `PENDING`(待处理)、`ACTIVE`(活动)或 `SUSPENDED`(已暂停)。
+ **状态**:组织内正常运行的账户状态。值可以是 `PENDING_ACTIVATION`、`ACTIVE`、`SUSPENDED`、`PENDING_CLOSURE` 或 `CLOSED`。
+ **Joined method**(加入方法)–指定账户的创建方式。值可以是 `INVITED` 或 `CREATED`。
+ **Joined timestamp**(加入时间戳)–账户加入组织的日期和时间。
**最小权限**
要导出包含组织中所有成员账户的 .csv 文件,您必须拥有以下权限:
`organizations:DescribeOrganization`
`organizations:ListAccounts`
------
#### [ Amazon Web Services 管理控制台 ]
**为组织 Amazon Web Services 账户 中的所有人导出.csv 文件**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 选择 **Actions**(操作),然后对于 **Amazon Web Services 账户**,选择 **Export account list**(导出账户列表)。页面顶部的蓝色横幅将显示 Export is in progress\$1(正在导出!)
1. 文件准备就绪后,横幅变为绿色并显示:Download is ready\$1(下载准备就绪!) 选择**下载 CSV**。将文件 `Organization_accounts_information.csv` 下载到您的设备。
------
#### [ Amazon CLI & Amazon SDKs ]
导出包含账户详细信息的 .csv 文件的唯一方法是使用 Amazon Web Services 管理控制台。您不能使用 Amazon CLI来到处账户列表 .csv 文件。
------
# 监视你的状态 Amazon Web Services 账户
监控账户状态
Amazon Organizations 提供了一种快速评估组织中所有账户的运行状况和运营状态的方法。您可以使用 Amazon Organizations 控制台中的 “**状态**” 列或通过 Amazon Organizations APIs编程方式查看此信息。这使您能够跟踪每个元素 Amazon Web Services 账户 在其生命周期中的位置,从创建到关闭。
持续跟踪账户状态具有以下好处:
+ 快速识别需要关注或采取行动的账户
+ 简化账户管理流程
+ 就资源分配和访问控制作出明智的决策
+ 在整个组织内保持更高的整体安全性与合规性
下表描述了五种可能的账户状态及其对 Amazon Web Services 账户的影响:
**账户状态**
| 州 | 说明 |
| --- | --- |
| 待激活 | 在此状态下,账户无法使用,因为账户注册过程已启动但从未完成。账户持有人必须完成剩余的注册步骤,例如提供电话验证或付款信息。完成这些步骤后,账户将变为“活动”状态。 |
| ACTIVE | 此状态表示账户已完全正常运行且可供使用。根据账户的权限和组织政策,用户可以正常访问 Amazon 服务和资源。在此状态下,可能会发生诸如启动资源、管理服务和产生费用之类的常规 Amazon 活动。 |
| SUSPENDED | 在此状态下,该账户无法使用,因为访问 Amazon 受限。账户持有人仍然可以查看账单信息和联系人 Amazon Web Services 支持,他们可以解释账户被暂停的原因。 |
| 待关闭 | 这种临时状态表示有处于活动状态的账户关闭请求,但关闭过程尚未完成。在处理关闭请求期间,该账户仍然可以正常运行,并且仍然可以用来访问 Amazon 服务。 Amazon 处理关闭请求后,账户将转换为 “已关闭” 状态。 |
| 已关闭 | 此状态表示账户是应账户持有人的要求关闭的,或者是账户持有人的要求关闭的, Amazon 并且在启动关闭后的 90 天内显示在 Amazon Organizations 控制台中的账户名称旁边。在此期间,您无法访问 Amazon 服务,但您可以联系 Amazon Web Services 支持 以恢复帐户或恢复重要数据。在 90 天关闭期过后,该账户将被永久关闭,并且将不再显示在控制台中。 Amazon Organizations |
## 查看 a 的状态 Amazon Web Services 账户
您可以使用 Amazon Organizations 控制台查看账户状态信息,也可以使用`DescribeAccount``ListAccounts`、和`ListAccountsForParent` APIs以编程方式查看账户状态信息。
**重要**
中的账户`Status`参数 Amazon Organizations 将于 2026 年 9 月 9 日停用。尽管账户`State`和账户`Status`参数目前都在 Amazon Organizations APIs (`DescribeAccount`、、`ListAccountsForParent`) 中可用`ListAccounts`,但我们建议您更新脚本或其他代码以使用该`State`参数,而不是在 2026 年 9 月 9 日`Status`之前。
------
#### [ Amazon Web Services 管理控制台 ]
**查看的状态 Amazon Web Services 账户**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 导航到 **[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面,注意要检查的成员账户旁的**状态**列中的值。如果您想要查看的账户是 OU 的子级,则可能需要选择 OU 旁的三角形图标 ![\[alt text not found\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png),以展开 OU 并查看其子级。重复操作,直到找到账户。
**注意**
您还可以在 Amazon Organizations 控制台的**账户详情**页面中查看**状态**字段的值。
------
#### [ Amazon CLI & Amazon SDKs ]
**查看的状态 Amazon Web Services 账户**
您可以使用以下命令查看账户的状态:
**注意**
要查看 API 响应中的账户状态值,请使用 2.29.0 或更高 Amazon CLI 版本,或者使用 2025 年 9 月 9 日之后发布的 SDK 版本。我们建议使用最新版本 Amazon CLI 或 SDK 版本作为最佳实践。有关更多信息,请参阅《工具参考指南》[Amazon SDKs 和《工具*参考指南》Amazon SDKs 中的工具*版本生命周期](https://docs.amazonaws.cn/sdkref/latest/guide/version-support-matrix.html)。
+ Amazon CLI:
+ [list-accounts](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-accounts.html) – 列出组织中*全部*账户的详细信息
+ [list-accounts-for-parent](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-accounts-for-parent.html)— 列出组织中由指定目标根或组织单位 (OU) 包含*的所有*帐户的详细信息
+ [describe-account](https://docs.amazonaws.cn/cli/latest/reference/organizations/describe-account.html) – 仅列出指定账户的详细信息
这些命令为响应中包含的每个账户返回相同的详细信息。
以下示例说明如何检索有关指定账户的详细信息,包括其 `State` 值。
```
$ aws organizations describe-account --account-id 123456789012
{
"Account": {
"Id": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Email": "admin@example.com",
"Name": "Example.com Organization's Management Account",
"State": "CLOSED",
"Status": "SUSPENDED",
"JoinedMethod": "INVITED",
"JoinedTimestamp": "2020-11-20T09:04:20.346000-08:00",
"Paths": [
"o-aa111bb222/r-a1b2/123456789012/"
]
}
}
```
+ Amazon SDKs:
+ [ListAccounts](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListAccounts.html)
+ [ListAccountsForParent](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListAccountsForParent.html)
+ [DescribeAccount](https://docs.amazonaws.cn/organizations/latest/APIReference/PI_DescribeAccount.html)
------
# 更新账户的备用联系人 Amazon Organizations
更新账户的备用联系人
您可以使用 Organizations 控制台更新组织内账户的备用联系人,也可以使用 Amazon CLI 或 Amazon SDKs以编程方式更新 Amazon 组织内账户的备用联系人。要了解如何更新备用联系人,请参阅* Amazon 账户管理参考*[中的更新组织 Amazon Web Services 账户 中任何备用联系人的备](https://docs.amazonaws.cn//accounts/latest/reference/manage-acct-update-contact-alternate.html#manage-acct-update-contact-alternate-orgs.html)用联系人。
# 更新账户的主要联系人信息 Amazon Organizations
更新账户的主要联系人
您可以使用 Organizations 控制台更新组织内账户的主要联系人信息,也可以使用 Amazon CLI 或 Amazon SDKs以编程方式更新 Amazon 组织内账户的主要联系信息。要了解如何更新主要联系人信息,请参阅* Amazon 账户管理参考 Amazon Web Services 账户 *[中的更新组织中任何联系人的主要](https://docs.amazonaws.cn//accounts/latest/reference/manage-acct-update-contact-primary.html#manage-acct-update-contact-primary-orgs)联系人。
# 更新 Amazon Web Services 区域 中的账户 Amazon Organizations
更新 Amazon Web Services 区域 账号
您可以使用 Amazon Organizations 控制台 Amazon Web Services 区域 为组织内的账户启用更新。要了解如何启用更新 Amazon Web Services 区域,请参阅《账户*管理参考*》[Amazon Web Services 区域 中的 “ Amazon 在账户中启用或禁](https://docs.amazonaws.cn//accounts/latest/reference/manage-acct-regions.html)用”。