在组织中创建 AWS 账户 - AWS Organizations
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在组织中创建 AWS 账户

此页面介绍如何在 AWS Organizations 中您的组织内创建账户。要了解有关 AWS 和创建单个 AWS 账户的入门级信息,请参阅资源中心入门

组织是您集中管理的 AWS 账户的集合。您可以执行以下过程来管理属于组织的账户:

重要

当您在组织中创建成员账户时,AWS Organizations 将自动在成员账户中创建一个 IAM 角色,以允许主账户中的 IAM 用户对成员账户进行完全管理控制。

创建属于组织的 AWS 账户

登录到组织的主账户时,您可以创建自动属于组织的成员账户。为此,请完成以下步骤。

最小权限

要在组织中创建成员账户,您必须拥有以下权限:

  • organizations:CreateAccount

  • organizations:DescribeOrganization (仅限控制台)

  • iam:CreateServiceLinkedRole(向委托人 organizations.amazonaws.com 授权,使其能够在成员账户中创建所需的服务相关角色)。

重要

使用以下过程创建账户时,AWS 不会自动收集账户作为独立账户运行所需的全部信息。如果您需要从组织中删除账户并使其成为独立账户,则您必须先提供账户的信息,然后才能删除账户。有关更多信息,请参阅作为成员账户退出组织

创建自动属于组织的 AWS 账户(控制台)

  1. 通过 https://console.amazonaws.cn/organizations/ 登录 组织 控制台。您必须以 IAM 用户的身份登录,代入 IAM 角色,或在组织的主账户中以根用户的身份登录(不推荐)。

  2. Accounts 选项卡上,选择 Add account

  3. 选择 Create account (创建账户)

  4. 输入要分配给账户的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。

  5. 输入新账户拥有者的电子邮件地址。此地址对该账户必须唯一,因为它可用于以账户的根用户身份登录。

  6. (可选)指定分配给在新账户中自动创建的 IAM 角色的名称。此角色向组织的主账户授予访问新创建的成员账户的权限。如果您不指定名称,AWS Organizations 将为角色提供默认名称 OrganizationAccountAccessRole

    重要

    请记住此角色名称。稍后,您将需要使用此名称向主账户中的 IAM 用户的新账户授予访问权。

  7. 选择 Create

    重要
    • 如果您收到错误,指明您超出了组织的账户限制,请与 AWS Support 联系。

    • 如果您收到错误,指明由于您的组织仍在进行初始化,所以您无法添加账户,请等待一小时,然后重试。

    • 您还可以检查 AWS CloudTrail 日志以了解有关账户创建是否成功的信息。有关更多信息,请参阅AWS Organizations 中的日志记录和监控

    • 如果错误仍然存在,请联系 AWS Support

  8. 系统会将您重定向到 Accounts (账户)/All accounts (所有账户) 选项卡,在列表的顶部显示您的新账户,其状态设置为 Pending creation (等待创建)。在创建账户时,此状态将更改为 Active (激活)

    注意

    默认情况下,Accounts (账户) 选项卡不显示失败的账户创建请求。要显示此类请求,请选择列表顶部的开关并将其更改为 Show (显示)

  9. 现在,账户已存在,拥有向主账户中的用户授予管理员访问权的 IAM 角色,您可以按照访问和管理组织中的成员账户中的步骤访问账户。

创建自动属于组织的 AWS 账户(AWS CLI、AWS API)

您可以使用以下命令之一创建账户: