本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
邀请一个 Amazon Web Services 账户 人加入你的组织
创建组织并确认自己拥有与管理账户关联的电子邮件地址后,您可以邀请现有人员 Amazon Web Services 账户 加入您的组织。
当您邀请账户时, Amazon Organizations 会向账户所有者发送邀请,由其决定是接受还是拒绝邀请。您可以使用 Amazon Organizations 控制台发起和管理您向其他账户发送的邀请。您只能从组织的管理账户发送邀请到其他账户。
注意
所有账户的账单历史记录和报告都保存在组织中的付款人账户中。在将账户移动到新的组织之前,请下载要保留的任何成员账户的任何账单和报告历史记录。这可能包括成本和使用情况报告、详细账单报告或 Cost Explorer 服务生成的报告。
如果您是的管理员 Amazon Web Services 账户,也可以接受或拒绝组织的邀请。如果接受,您的账户将成为该组织的成员之一。您的账户只能加入一个组织,因此,如果您收到多个加入邀请,则只能接受一个。
当账户接受加入组织的邀请时,该组织的管理账户将承担新成员账户累积的所有费用。成员账户附加的付款方式不再使用。相反,附加到组织管理账户的付款方式支付成员账户应计的所有费用。
当受邀账户加入您的组织,并且您的组织处于 “所有功能” 模式时,该管理账户将拥有对受邀成员账户的完全管理访问权限和控制权。但是,与已创建的账户不同,OrganizationAccountAccessRole
IAM 角色不会在拥有管理账户代入权限的成员账户中自动创建。要在受邀账户成为成员后创建和配置此功能,请按照以下步骤操作 OrganizationAccountAccessRole 在受邀成员账户中创建。
注意
当您在组织中创建账户而不是邀请现有账户加入时, Amazon Organizations 会自动创建一个 IAM 角色(OrganizationAccountAccessRole
默认命名),您可以使用该角色向管理账户中的用户授予对已创建账户的管理员访问权限。
Amazon Organizations 确实会在受邀成员账户中自动创建服务关联角色,以支持与其他 Amazon 服务 Amazon Organizations 之间的集成。有关更多信息,请参阅 Amazon Organizations 和服务相关角色。
有关每天可以发送的邀请数,请参阅最大值和最小值。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。每个邀请必须在 15 天内回复,否则将过期。
向账户发送的邀请也计入组织的账户配额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则还原此计数。
要创建自动属于组织的账户,请参阅在组织中创建成员账户。
重要
由于法律和账单限制,您 Amazon Web Services 账户 只能邀请与管理账户相同的 Amazon 卖家和 Amazon 分区。例如,在 Amazon EMEA 组织中,您只能邀请登记在册的 Amazon EMEA SARL 卖家的账户。
-
如果您的组织的管理账户是由 Amazon Internet Services Pvt. Ltd (AISPL) 创建的,则组织中的所有账户都必须与管理账户来自同一个记录卖家。例如,作为印度的 Amazon 卖家,您只能邀请其他 AISPL 账户加入您的组织。您不能合并来自 AISPL 和 Amazon /或任何其他 Amazon 卖家的账户。
-
组织中的所有账户都必须与管理账户来自同一个 Amazon 分区。商业 Amazon Web Services 区域 分区中的账户不能位于拥有来自中国区域分区的账户或区域分区的账户的 Amazon GovCloud (US) 组织中。
向 Amazon Web Services 账户发送邀请
若要邀请账户加入您的组织,必须首先验证您与管理账户关联的电子邮件地址。有关更多信息,请参阅 电子邮件地址验证。验证电子邮件地址后,请完成以下步骤来邀请账户加入您的组织。
最小权限
Amazon Web Services 账户 要邀请加入您的组织,您必须具有以下权限:
-
organizations:DescribeOrganization
(仅限控制台) -
organizations:InviteAccountToOrganization
管理组织的待处理邀请
登录到管理账户后,您可以查看组织中的所有关联 Amazon Web Services 账户 并取消任何待处理(未结)邀请。为此,请完成以下步骤。
最小权限
要管理组织的待处理邀请,您必须拥有以下权限:
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要 -
organizations:ListHandshakesForOrganization
-
organizations:CancelHandshake
接受或拒绝来自组织的邀请
您 Amazon Web Services 账户 可能会收到加入组织的邀请。您可以接受或拒绝邀请。为此,请完成以下步骤。
注意
组织的账户状态影响可见的成本和使用率数据:
-
如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。
-
如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。
-
如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。
注意
只有成员账户和独立账户可以接受或拒绝加入组织的邀请。如果向成员账户发送了邀请,则该账户应该在接受邀请之前离开当前组织。如果向已经是 Amazon 组织成员的管理账户发送邀请,则该账户将无法接受邀请,除非他们移除组织中的所有成员账户并删除该组织。
最小权限
要接受或拒绝加入 Amazon 组织的邀请,您必须具有以下权限:
-
organizations:ListHandshakesForAccount
— 需要在 Amazon Organizations 控制台中查看邀请列表。 -
organizations:AcceptHandshake
. -
organizations:DeclineHandshake
. -
iam:CreateServiceLinkedRole
— 只有在接受邀请时才需要在成员账户中创建服务相关角色以支持与其他 Amazon 服务的集成时才需要。有关更多信息,请参阅 Amazon Organizations 和服务相关角色。