在组织中创建Amazon Web Services 账户 - Amazon Organizations
创建属于组织的Amazon Web Services 账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在组织中创建Amazon Web Services 账户

此页面介绍如何在 Amazon Organizations 中您的组织内创建账户。要了解有关Amazon和创建单个Amazon Web Services 账户的入门级信息,请参阅资源中心入门

组织是您集中管理的Amazon Web Services 账户的集合。您可以执行以下过程来管理属于组织的账户:

重要

  • 当您在组织中创建成员账户时,Amazon Organizations 将自动在成员账户中创建一个 Amazon Identity and Access Management (IAM) 角色 OrganizationAccountAccessRole,以允许管理账户中的 IAM 用户对成员账户进行完全管理控制。此角色受应用于成员账户的任何服务控制策略 (SCP) 的限制。

    此外,Amazon Organizations 还会通过 OrganizationAccountAccessRole 角色自动向成员账户添加托管策略。这使得能够实现集中控制,以便在策略更新时,附加到相同托管策略的任何其他帐户都会自动更新。以前,在组织内创建的新账户已添加仅适用于该单个账户的内联策略。有关内联和托管策略的更多信息,请参阅 IAM 用户指南中的托管策略与内联策略

    Amazon Organizations 还将自动创建一个名为 AWSServiceRoleForOrganizations 的服务相关角色,该角色支持与选定 Amazon 服务的集成。您必须配置其他服务来允许集成。有关更多信息,请参阅Amazon Organizations 和服务相关角色

  • 如果此组织使用 Amazon Control Tower 进行管理,则稍后使用 Amazon Control Tower 控制台或 API 中的 Amazon Control Tower Account Factory 创建账户。如果您在 Organizations 中创建账户,则该账户不会使用 Amazon Control Tower 注册。有关更多信息,请参阅《Amazon Control Tower 用户指南》中的引用 Amazon Control Tower 的外部资源

注意

Amazon Web Services 账户作为组织的一部分创建,不会自动订阅Amazon营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅https://pages.awscloud.com/communication-preferences

创建属于组织的Amazon Web Services 账户

登录到组织的管理账户时,您可以创建自动属于组织的成员账户。为此,请完成以下步骤。

使用以下过程创建账户时,Organizations 会自动将管理账户中的以下信息复制到新成员账户中:

  • 账户名称

  • Phone number(电话号码)

  • 公司名称

  • 自定义 URL

  • 公司联系电子邮件

  • 沟通语言

  • Marketplace(某些Amazon Web Services 区域内账户的供应商)

Amazon不会为账户自动收集作为独立账户使用所需的全部信息。如果您需要从组织中删除账户并使其成为独立账户,则您必须先提供账户的信息,然后才能删除账户。有关更多信息,请参阅作为成员账户退出组织

最小权限

要在组织中创建成员账户,您必须拥有以下权限:

  • organizations:CreateAccount

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • iam:CreateServiceLinkedRole(向委托人 organizations.amazonaws.com 授权,使其能够在成员账户中创建所需的服务相关角色)。

Amazon Web Services Management Console
创建自动属于组织的Amazon Web Services 账户

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,选择 Add an Amazon Web Services 账户 (添加亚马逊云科技账户)

  3. Add an Amazon Web Services 账户 (添加亚马逊云科技账户) 页面上,选择 Create an Amazon Web Services 账户 (创建亚马逊云科技账户)(默认情况下选择该选项)。

  4. Create an Amazon Web Services 账户 (创建亚马逊云科技账户) 页面上,为 Amazon Web Services 账户 name (亚马逊云科技账户名称) 输入要分配给账户的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。

  5. 对于 Email address of the account's owner (账户拥有者的电子邮件地址),输入账户拥有者的电子邮件地址。此电子邮件地址不能与其他Amazon Web Services 账户关联,因为它将成为账户的根用户的用户名凭据。

  6. (可选)指定分配到在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果您不指定名称,Amazon Organizations 将为角色提供默认名称 OrganizationAccountAccessRole。建议您对您的所有账户使用默认名称以实现一致性。

    重要

    请记住此角色名称。稍后,您将需要使用此名称向管理账户中的 IAM 用户的新账户授予访问权。

  7. (可选)在 Add tags (添加标签) 部分中,向新账户添加一个或多个标签,方法是选择 Add tag (添加标签),然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 null。您最多可以向账户附加 50 个标签。

  8. 选择 Create Amazon Web Services 账户 (创建亚马逊云科技账户)

    此时将显示Amazon Web Services 账户页面,并将您的新账户添加到列表中。

  9. 现在,账户已存在,并拥有向管理账户中的用户授予管理员访问权的 IAM 角色,您可以按照访问和管理组织中的成员账户中的步骤访问账户。

注意

创建账户时,Amazon Organizations 最初为根用户分配一个长(64 个字符)而复杂的随机生成的密码。您无法检索此初始密码。要首次以根用户身份访问该账户,您必须完成密码恢复过程。有关更多信息,请参阅以根用户身份访问成员账户

Amazon CLI & Amazon SDKs
创建自动属于组织的Amazon Web Services 账户

您可以使用以下命令之一创建账户:

  • Amazon CLI:create-account

    $ aws organizations create-account \
    --email susan@example.com \
    --account-name "Production Account"
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

    然后,您可以使用以下命令查看账户创建的状态。

    $ aws organizations describe-create-account-status \
    --create-account-request-id car-examplecreateaccountrequestid111
{
  "CreateAccountStatus": {
    "State": "SUCCEEDED",
    "AccountId": "555555555555",
    "AccountName": "Production account",
    "RequestedTimestamp": 1470684478.687,
    "CompletedTimestamp": 1470684532.472,
    "Id": "car-examplecreateaccountrequestid111"
  }
}

  • Amazon SDK:CreateAccount