使用 Amazon Organizations 在组织中创建成员账户
此主题介绍如何在 Amazon Organizations 中创建组织内的 Amazon Web Services 账户。有关创建单个 Amazon Web Services 账户的信息,请访问入门资源中心
创建成员账户前的注意事项
Organizations 会自动为成员账户创建 IAM 角色 OrganizationAccountAccessRole
当您在组织中创建成员账户时,Organizations 将自动在成员账户中创建一个 IAM角色 OrganizationAccountAccessRole
,以允许管理账户中的用户和角色对成员账户进行完全管理控制。每次策略更新时,附加到同一托管式策略的任何其他账户都会自动更新。此角色受应用于成员账户的任何服务控制策略 (SCP) 的限制。
Organizations 会自动为成员账户创建服务相关角色 AWSServiceRoleForOrganizations
当您在组织中创建成员账户时,Organizations 会自动在成员账户中创建服务相关角色 AWSServiceRoleForOrganizations
,以确保能与选定的 Amazon 服务集成。您必须配置其他服务来允许集成。有关更多信息,请参阅 Amazon Organizations 和服务相关角色。
成员账户可能需要额外的信息才能作为独立账户运行
Amazon 不会为账户自动收集作为独立成员账户使用所需的全部信息。如果您需要从组织中删除成员账户并使其成为独立账户,则您必须先提供账户的信息,然后才能删除账户。有关更多信息,请参阅 使用 Amazon Organizations 使成员账户退出组织。
只能在组织的根中创建成员账户
组织中的成员账户只能在组织的根中创建,不能在任何其他组织单位(OU)中创建。在创建组织的成员账户根后,您可以将其在 OU 之间移动。有关更多信息,请参阅 使用 Amazon Organizations 将账户移动到 OU 或者在根和 OU 之间移动。
附加到根的策略会立即生效
如果您在根上附加了任何策略,这些策略会立即应用于所创建账户中的所有用户和角色。
如果您为组织启用了对其他 Amazon 服务的服务信任,则该可信服务可以在组织中的任何成员账户(包括您创建的账户)中创建服务相关角色或执行操作。
由 Amazon Control Tower 托管的组织的成员账户应在 Amazon Control Tower 中创建
如果组织由 Amazon Control Tower 托管,则可使用 Amazon Control Tower 控制台中的 Amazon Control Tower 账户工厂或 Amazon Control Tower API 创建账户。如果组织是由 Amazon Control Tower 托管的,则当您在 Organizations 中创建成员账户时,该账户将不会注册到 Amazon Control Tower。有关更多信息,请参阅《Amazon Control Tower 用户指南》中的引用 Amazon Control Tower 的外部资源。
成员账户必须选择启用才能接收营销电子邮件
作为组织的一部分创建的成员账户不会自动订阅 Amazon 营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅https://pages.awscloud.com/communication-preferences
创建成员账户
登录到组织的管理账户后,您可以创建属于组织的成员账户。
使用以下过程创建账户时,Amazon Organizations 会自动将管理账户中的以下主要联系人信息复制到新成员账户中:
-
电话号码
-
公司名称
-
网站 URL
-
地址
Organizations 还会复制管理账户的通信语言和 Marketplace 信息(在某些 Amazon Web Services 区域是账户的供应商)。
最小权限
要在组织中创建成员账户,您必须拥有以下权限:
-
organizations:CreateAccount
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要 -
iam:CreateServiceLinkedRole
(向委托人organizations.amazonaws.com
授权,使其能够在成员账户中创建所需的服务相关角色)。
创建自动属于组织的Amazon Web Services 账户
-
登录 Amazon Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在Amazon Web Services 账户
页面上,选择 Add an Amazon Web Services 账户 (添加亚马逊云科技账户)。 -
在 Add an Amazon Web Services 账户 (添加亚马逊云科技账户)
页面上,选择 Create an Amazon Web Services 账户 (创建亚马逊云科技账户)(默认情况下选择该选项)。 -
在 Create an Amazon Web Services 账户 (创建亚马逊云科技账户)
页面上,为 Amazon Web Services 账户 name (亚马逊云科技账户名称) 输入要分配给账户的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。 重要
务必验证 Amazon Web Services 账户 名称是否正确。一旦成功创建账户,就无法修改账户名称。
-
对于 Email address of the account's owner (账户拥有者的电子邮件地址),输入账户拥有者的电子邮件地址。此电子邮件地址不能与其他Amazon Web Services 账户关联,因为它将成为账户的根用户的用户名凭据。
-
(可选)指定分配到在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果您不指定名称,Amazon Organizations 将为角色提供默认名称
OrganizationAccountAccessRole
。建议您对您的所有账户使用默认名称以实现一致性。重要
请记住此角色名称。稍后,您将需要使用此名称向管理账户中的用户和角色的新账户授予访问权。
-
(可选)在标签部分中,向新账户添加一个或多个标签,方法是选择添加标签,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非
null
。您最多可以向账户附加 50 个标签。 -
选择 Create Amazon Web Services 账户 (创建亚马逊云科技账户)。
-
如果您收到错误,指明您超出了组织的账户配额,请参阅尝试向组织中添加账户时,我收到“quota exceeded (超出限额)”消息。
-
如果您收到错误,指明由于您的组织仍在进行初始化,所以您无法添加账户,请等待一小时,然后重试。
-
您还可以检查 Amazon CloudTrail 日志以了解有关账户创建是否成功的信息。有关更多信息,请参阅 Amazon Organizations 中的日志记录和监控。
-
如果错误仍然存在,请联系 Amazon Web Services Support
。
此时将显示Amazon Web Services 账户
页面,并将您的新账户添加到列表中。 -
-
现在,账户已存在,并拥有向管理账户中的用户授予管理员访问权的 IAM 角色,您可以按照使用 Amazon Organizations 访问组织中的成员账户中的步骤访问账户。
注意
创建账户时,Amazon Organizations 最初为根用户分配一个长(64 个字符)而复杂的随机生成的密码。您无法检索此初始密码。要首次以根用户身份访问该账户,您必须完成密码恢复过程。有关更多信息,请参阅 使用 Amazon Organizations 以根用户身份访问成员账户。
以下代码示例演示如何使用 CreateAccount
。