在组织中创建Amazon Web Services 账户
此页面介绍如何在 Amazon Organizations 中您的组织内创建账户。要了解有关Amazon和创建单个Amazon Web Services 账户的入门级信息,请参阅资源中心入门
组织是您集中管理的Amazon Web Services 账户的集合。您可以执行以下过程来管理属于组织的账户:
重要
-
当您在组织中创建成员账户时,Amazon Organizations 将自动在成员账户中创建一个 Amazon Identity and Access Management (IAM) 角色
OrganizationAccountAccessRole
,以允许管理账户中的 IAM 用户对成员账户进行完全管理控制。此角色受应用于成员账户的任何服务控制策略 (SCP) 的限制。此外,Amazon Organizations 还会通过
OrganizationAccountAccessRole
角色自动向成员账户添加托管策略。这使得能够实现集中控制,以便在策略更新时,附加到相同托管策略的任何其他帐户都会自动更新。以前,在组织内创建的新账户已添加仅适用于该单个账户的内联策略。有关内联和托管策略的更多信息,请参阅 IAM 用户指南中的托管策略与内联策略。Amazon Organizations 还将自动创建一个名为
AWSServiceRoleForOrganizations
的服务相关角色,该角色支持与选定 Amazon 服务的集成。您必须配置其他服务来允许集成。有关更多信息,请参阅Amazon Organizations 和服务相关角色。 -
如果此组织使用 Amazon Control Tower 进行管理,则稍后使用 Amazon Control Tower 控制台或 API 中的 Amazon Control Tower Account Factory 创建账户。如果您在 Organizations 中创建账户,则该账户不会使用 Amazon Control Tower 注册。有关更多信息,请参阅《Amazon Control Tower 用户指南》中的引用 Amazon Control Tower 的外部资源。
注意
Amazon Web Services 账户作为组织的一部分创建,不会自动订阅Amazon营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅https://pages.awscloud.com/communication-preferences
创建属于组织的Amazon Web Services 账户
登录到组织的管理账户时,您可以创建自动属于组织的成员账户。为此,请完成以下步骤。
使用以下过程创建账户时,Organizations 会自动将管理账户中的以下信息复制到新成员账户中:
-
账户名称
-
Phone number(电话号码)
-
公司名称
-
自定义 URL
-
公司联系电子邮件
-
沟通语言
-
Marketplace(某些Amazon Web Services 区域内账户的供应商)
Amazon不会为账户自动收集作为独立账户使用所需的全部信息。如果您需要从组织中删除账户并使其成为独立账户,则您必须先提供账户的信息,然后才能删除账户。有关更多信息,请参阅作为成员账户退出组织。
最小权限
要在组织中创建成员账户,您必须拥有以下权限:
-
organizations:CreateAccount
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要 -
iam:CreateServiceLinkedRole
(向委托人organizations.amazonaws.com
授权,使其能够在成员账户中创建所需的服务相关角色)。