本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用管理账户邀请 Amazon Organizations
创建组织并确认自己拥有与管理账户关联的电子邮件地址后,您可以邀请现有人员 Amazon Web Services 账户 加入您的组织。使用 Amazon Organizations 控制台发起和管理您向其他账户发送的邀请。您只能从组织的管理账户向其他账户发送邀请。
当你邀请一个账户时, Amazon Organizations 会向账户所有者发送邀请,账户所有者可以决定接受还是拒绝邀请。
如果您是的管理员 Amazon Web Services 账户,也可以接受或拒绝来自组织的邀请。如果接受,您的账户将成为该组织的成员之一。
要创建自动属于组织的账户,请参阅通过以下方式在组织中创建成员账户 Amazon Organizations。
重要
组织中的所有账户都必须与管理账户来自同一个 Amazon 分区。商业 Amazon Web Services 区域 分区中的账户不能位于拥有来自中国区域分区的账户或位于区域分区的账户 Amazon GovCloud (US) 的组织中。
注意事项
每天可以发送的邀请数量限制
有关每天可以发送的邀请数量限制,请参阅最大值和最小值。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。每个邀请必须在 15 天内回复,否则将过期。
向账户发送的邀请也计入组织的账户配额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,该计数将会重置。
一个账户只能加入一个组织
一个账户只能加入一个组织。如果您收到多个邀请,则只能接受一个邀请。
账单历史记录和报告保留在管理账户中
所有账户的账单历史记录和报告都保存在组织中的管理账户中。在将账户移动到新的组织之前,请导出或备份要保留的任何成员账户的任何账单和报告历史记录。这可能包括成本和使用情况报告、Cost Explorer 报告、节省计划报告以及预留实例(RI)利用率和覆盖范围
管理账户负责支付成员账户产生的所有费用
当账户接受加入组织的邀请时,该组织的管理账户将承担新成员账户产生的所有费用。成员账户附加的付款方式不再使用。相反,附加到组织管理账户的付款方式支付成员账户应计的所有费用。
Organizations 会自动创建服务相关角色 AWSServiceRoleForOrganizations
Amazon Organizations 创建名为的服务关联角色AWSServiceRoleForOrganizations,以支持与其他 Amazon
服务 Amazon Organizations 之间的集成。有关更多信息,请参阅 Amazon Organizations 和服务相关角色。如果您的组织支持所有功能,则受邀账户必须具有此角色。如果组织仅支持整合账单功能集,则可以删除该角色。如果您删除了此角色,之后又启用了组织中的所有功能,则会为该账户 Amazon Organizations 重新创建此角色。
Organizations 不会自动创建 IAM 角色 OrganizationAccountAccessRole
对于受邀成员账户, Amazon Organizations 不会自动创建 IAM 角色OrganizationAccountAccessRole。此角色授予管理账户中的用户对成员账户的管理访问权限。如果您希望对受邀账户启用该级别的管理控制权,可以手动将该角色添加到受邀账户。有关更多信息,请参阅 使用 Amazon Organizations 为受邀账户创建 OrganizationAccountAccessRole。
注意
当您在组织中创建账户而不是邀请现有账户加入时,OrganizationAccountAccessRole默认情况下 Amazon Organizations 会自动创建 IAM 角色。
附加到根或包含该账户的 OU 的策略会立即生效
如果您将任何策略附加到根或包含受邀账户的组织单位(OU),这些策略会立即应用于受邀账户中的所有用户和角色。
您可以为组织中的其他服务启用 Amazon 服务信任。在您这样做时,该可信服务可以在组织的任何成员账户(包括受邀账户)中创建服务相关角色或执行操作。
只有整合账单功能集的组织仍然可以邀请账户
您可以邀请账户加入仅启用整合账单功能的组织。如果您以后希望为组织启用所有功能,则受邀账户必须批准更改。