使用在组织中创建成员账户 Amazon Organizations - Amazon Organizations
创建成员账户前的注意事项创建成员账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用在组织中创建成员账户 Amazon Organizations

本主题介绍如何在您的组织 Amazon Web Services 账户 中创建 Amazon Organizations。有关创建单曲的信息 Amazon Web Services 账户,请参阅入门资源中心

创建成员账户前的注意事项

Organizations 会自动OrganizationAccountAccessRole为成员账户创建IAM角色

当您在组织中创建成员账户时,Organizations 会自动OrganizationAccountAccessRole在成员账户中创建角色,使管理账户中的用户和角色能够对成员账户行使完全的管理控制。IAM每次策略更新时,附加到同一托管式策略的任何其他账户都会自动更新。此角色受适用于成员账户的任何服务控制策略 (SCPs) 的约束。

Organizations 会自动AWSServiceRoleForOrganizations为成员账户创建服务相关角色

当您在组织中创建成员账户时,Organizations 会自动在成员账户中创建服务相关角色 AWSServiceRoleForOrganizations,以确保能与选定的 Amazon 服务集成。您必须配置其他服务来允许集成。有关更多信息,请参阅 Amazon Organizations 和服务相关角色

成员账户可能需要额外的信息才能作为独立账户运行

Amazon 不会自动收集成员账户作为独立账户运行所需的所有信息。如果您需要从组织中删除成员账户并使其成为独立账户,则您必须先提供账户的信息,然后才能删除账户。有关更多信息,请参阅 使用成员账户退出组织 Amazon Organizations

只能在组织的根中创建成员账户

组织中的成员帐户只能在组织的根目录中创建,不能在任何其他组织单位中创建 (OUs)。在创建组织的成员账户根目录后,您可以将其移动OUs。有关更多信息,请参阅 使用 Amazon Organizations 将账户移动到 OU 或者在根和 OU 之间移动

附加到根的策略会立即生效

如果您在根上附加了任何策略,这些策略会立即应用于所创建账户中的所有用户和角色。

如果您为组织中的其他服务启用了 Amazon 服务信任,则该可信服务可以在组织中的任何成员帐户(包括您创建的帐户)中创建服务相关角色或执行操作。

Amazon Control Tower 应在以下位置创建由管理的组织的成员帐户 Amazon Control Tower

如果您的组织由管理 Amazon Control Tower,则使用 Amazon Control Tower 控制台中的 Amazon Control Tower 账户工厂或使用创建您的成员账户 Amazon Control Tower APIs。如果您在组织由管理的 Organizations 中创建成员帐户 Amazon Control Tower,则该帐户将无法注册到该帐户 Amazon Control Tower。有关更多信息,请参阅《Amazon Control Tower 用户指南》中的引用 Amazon Control Tower的外部资源

成员账户必须选择启用才能接收营销电子邮件

您作为组织的一员创建的成员帐户不会自动订阅 Amazon 营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅https://pages.awscloud.com/communication-preferences

创建成员账户

登录到组织的管理账户后,您可以创建属于组织的成员账户。

使用以下步骤创建账户时, Amazon Organizations 会自动将以下主要联系人信息从管理账户复制到新成员账户:

  • 电话号码

  • 公司名称

  • 网站 URL

  • 地址

Organizations 还会从管理账户中复制通信语言和 Marketplace 信息(在某些情况下是账户的供应商 Amazon Web Services 区域)。

最小权限

要在组织中创建成员账户,您必须拥有以下权限:

  • organizations:CreateAccount

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • iam:CreateServiceLinkedRole(向委托人 organizations.amazonaws.com 授权,使其能够在成员账户中创建所需的服务相关角色)。

创建自动成为您组织一部分的 Amazon Web Services 账户

  1. 登录 Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Amazon Web Services 账户页面上,选择 Add an Amazon Web Services 账户(添加亚马逊云科技账户)

  3. Add an Amazon Web Services 账户(添加亚马逊云科技账户) 页面上,选择 Create an Amazon Web Services 账户(创建亚马逊云科技账户)(默认情况下选择该选项)。

  4. Create an Amazon Web Services 账户(创建亚马逊云科技账户) 页面上,为 Amazon Web Services 账户 name (亚马逊云科技账户名称) 输入要分配给账户的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。

    重要

    请务必验证 Amazon Web Services 账户 名称是否正确。一旦成功创建账户,就无法修改账户名称。

  5. 对于 Email address of the account's owner (账户拥有者的电子邮件地址),输入账户拥有者的电子邮件地址。此电子邮件地址已无法与其他电子邮件地址关联, Amazon Web Services 账户 因为它已成为该账户根用户的用户名凭证。

  6. (可选)指定分配给在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果未指定名称,则 Amazon Organizations 为角色指定默认名称OrganizationAccountAccessRole。建议您对您的所有账户使用默认名称以实现一致性。

    重要

    请记住此角色名称。稍后,您将需要使用此名称向管理账户中的用户和角色的新账户授予访问权。

  7. (可选)在标签部分中,向新账户添加一个或多个标签,方法是选择添加标签,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 null。您最多可以向账户附加 50 个标签。

  8. 选择创建 Amazon Web Services 账户

    此时将显示Amazon Web Services 账户页面,并将您的新账户添加到列表中。

  9. 现在,该账户已存在,并且具有向管理账户中的用户授予管理员访问权限的IAM角色,您可以按照中的步骤访问该账户使用访问组织中的成员账户 Amazon Organizations

以下代码示例演示如何使用 CreateAccount

.NET
适用于 .NET 的 Amazon SDK
注意

还有更多相关信息 GitHub。查找完整示例,学习如何在 Amazon 代码示例存储库中进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

  • 有关API详细信息,请参阅 “适用于 .NET 的 Amazon SDK API参考 CreateAccount” 中的。

CLI
Amazon CLI

创建自动属于组织的成员账户

以下示例演示如何创建组织的成员账户。为成员账户配置的名称为 Production Account,电子邮件地址为 susan@example.com。 OrganizationAccountAccessRole 由于未指定 roleName 参数,Organizations 会使用默认名称自动创建IAM角色。此外,ALLOW由于未指定 IamUserAccessToBilling 参数,因此允许具有足够权限的IAM用户或角色访问账户账单数据的设置被设置为默认值。Organiations 会自动向 Susan 发送一封 “欢迎来到 Amazon” 电子邮件:

aws organizations create-account --email susan@example.com --account-name "Production Account"

输出包括一个请求对象,以显示状态目前为 IN_PROGRESS

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

稍后,您可以通过向 describe-create-account-status命令提供 Id 响应值作为 create-account-request-id参数值来查询请求的当前状态。

有关更多信息,请参阅《Organi Amazon zations 用户指南》中的在Amazon 组织中创建帐户。