向Amazon Web Services 账户发送邀请管理组织的待处理邀请接受或拒绝来自组织的邀请

邀请Amazon Web Services 账户加入组织

在创建组织并验证您与管理账户关联的电子邮件地址后，才能邀请现有Amazon Web Services 账户加入您的组织。

您邀请账户时，Amazon Organizations 将向账户所有者发送邀请，该所有者确定接受还是拒绝邀请。您可以使用 Amazon Organizations 控制台启动和管理您发送到其他账户的邀请。您只能从组织的管理账户发送邀请到其他账户。

注意

所有账户的账单历史记录和报告都保存在组织中的付款人账户中。在将账户移动到新的组织之前，请下载要保留的任何成员账户的任何账单和报告历史记录。这可能包括成本和使用情况报告、详细账单报告或 Cost Explorer 服务生成的报告。

如果您是Amazon Web Services 账户的管理员，则还可以接受或拒绝来自组织的邀请。如果接受，您的账户将成为该组织的成员之一。您的账户只能加入一个组织，因此，如果您收到多个加入邀请，则只能接受一个。

当账户接受加入组织的邀请时，该组织的管理账户将承担新成员账户累积的所有费用。成员账户附加的付款方式不再使用。相反，附加到组织管理账户的付款方式支付成员账户应计的所有费用。

当某个受邀账户加入您的组织时，您不会自动拥有对该账户的完全管理员控制权限，这不同于已创建的账户。如果您希望管理账户具有对受邀成员账户的完全管理控制权，您必须在成员账户中创建 OrganizationAccountAccessRole IAM 角色并将权限授予管理账户以担任该角色。要进行此配置，请在受邀账户成为成员之后，按照在受邀成员账户中创建 OrganizationAccountAccessRole中的步骤操作。

注意

当您在您组织中创建账户而不是邀请现有账户加入时，Amazon Organizations 将自动创建一个 IAM 角色（默认情况下，名为 OrganizationAccountAccessRole），您可使用该角色为管理账户中的用户授予对已创建账户的管理员访问权限。

Amazon Organizations 会在受邀成员账户中创建一个服务相关角色以支持 Amazon Organizations 与其他 Amazon 服务之间的集成。有关更多信息，请参阅 Amazon Organizations 和服务相关角色。

有关每天可以发送的邀请数，请参阅最大值和最小值。已接受的邀请不计入此配额。一旦某个邀请被接受，您就可以发送另一个同一天的邀请。每个邀请必须在 15 天内回复，否则将过期。

向账户发送的邀请也计入组织的账户配额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期，则还原此计数。

要创建自动属于组织的账户，请参阅在组织中创建Amazon Web Services 账户。

重要

出于法律和账单限制，您只能邀请管理账户所属的Amazon销售商和Amazon分区的Amazon Web Services 账户。例如，在 Amazon EMEA 组织中，你可以同时拥有 Amazon Inc. 和 Amazon Canada 账户。

如果您的组织的管理账户是由 Amazon Internet Services Pvt. Ltd (AISPL) 创建的，则组织中的所有账户都必须与管理账户来自同一个记录卖家。例如，作为印度的 Amazon 卖家，您只能邀请其他 AISPL 账户加入您的组织。您不能合并来自 AISPL 和 Amazon 或者来自任何其他 Amazon 卖家的账户。
组织中的所有账户都必须与管理账户来自同一Amazon分区。位于商业Amazon Web Services 区域分区的账户不能位于具有来自中国地区分区或 Amazon GovCloud（US）区域分区的账户的组织中。

向Amazon Web Services 账户发送邀请

若要邀请账户加入您的组织，必须首先验证您与管理账户关联的电子邮件地址。有关更多信息，请参阅电子邮件地址验证。验证电子邮件地址后，请完成以下步骤来邀请账户加入您的组织。

最小权限

要邀请Amazon Web Services 账户加入您的组织，您必须拥有以下权限：

organizations:DescribeOrganization (仅限控制台)
organizations:InviteAccountToOrganization

Amazon Web Services Management Console

邀请其他账户加入组织

登录到 Amazon Organizations 控制台。您必须以 IAM 用户身份或担任组织管理账户中的 IAM 角色登录。
如果您的电子邮件地址已经过Amazon验证，请跳过此步骤。

如果您的电子邮件地址还未验证，请在创建组织后的 24 小时内按照验证电子邮件中的说明进行验证。在您接收到验证电子邮件消息之前可能会有一段延迟。未完成电子邮件地址验证前，您无法邀请其他账户加入您的组织。
导航到Amazon Web Services 账户页面，然后选择 Add an Amazon account (添加亚马逊云科技账户)。
在 Add an Amazon Web Services 账户 (添加亚马逊云科技账户) 页面上，选择 Invite an existing Amazon account (邀请现有亚马逊云科技账户)。
在 Invite an existing Amazon（邀请现有亚马逊云科技账户）页面，为 Email address or account ID of the Amazon Web Services 账户 to invite（待邀请的亚马逊云科技账户的电子邮件地址或账户 ID）输入与待邀请账户关联的电子邮件地址或其账户 ID。
（可选）对于 Message to include in the invitation email message (要包含在邀请电子邮件中的消息)，输入您要包括在发送受邀请账户拥有者的电子邮件邀请中的任意文本。
（可选）在 Add tags (添加标签) 部分中，指定在账户管理员接受邀请后自动应用到账户的一个或多个标签。为此，请选择 Add tag (添加标签)，然后输入键和可选值。将值留空，设置为空字符串；它并非 null。您最多可以将 50 个标签附加到Amazon Web Services 账户。
选择 Send invitation (发送邀请)。

重要
如果您收到一条消息，它指示您超出了组织的账户配额或因组织仍在初始化而无法添加账户，请联系 Amazon Web Services Support。
控制台会将您重定向到 Invitations (邀请) 页面，您可以在此查看所有待接受和已接受的邀请。您刚刚创建的邀请将显示在列表的顶部，其状态设置为 OPEN。

Amazon Organizations 会发送邀请到您邀请加入组织的账户所有者的电子邮件地址。此电子邮件消息包括指向 Amazon Organizations 控制台的链接，账户拥有者在此控制台中可以查看详细信息并选择接受或拒绝邀请。此外，受邀账户的拥有者可以绕过此电子邮件消息，直接转到 Amazon Organizations 控制台，查看邀请并接受或拒绝它。

对此账户的邀请立即计入组织的最大账户数；Amazon Organizations 不会等待账户接受邀请。如果受邀账户拒绝，则管理账户会取消邀请。如果受邀账户在指定的时间段内未做出响应，则邀请过期。在任一情况下，邀请均不再计入您的配额。

Amazon CLI & Amazon SDKs

邀请其他账户加入组织

您可以使用以下命令之一来邀请其他账户加入您的组织：

Amazon CLI：invite-account-to-organization


$ aws organizations invite-account-to-organization \
    --target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
    --notes "This is a request for Juan's account to join Bill's organization."
{
    "Handshake": {
        "Action": "INVITE",
        "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
        "ExpirationTimestamp": 1482952459.257,
        "Id": "h-examplehandshakeid111",
        "Parties": [
            {
                "Id": "o-exampleorgid",
                 "Type": "ORGANIZATION"
            },
            {
                 "Id": "juan@example.com",
                 "Type": "EMAIL"
            }
        ],
        "RequestedTimestamp": 1481656459.257,
        "Resources": [
            {
                "Resources": [
                    {
                        "Type": "MASTER_EMAIL",
                        "Value": "bill@amazon.com"
                    },
                    {
                         "Type": "MASTER_NAME",
                         "Value": "Management Account"
                    },
                    {
                         "Type": "ORGANIZATION_FEATURE_SET",
                         "Value": "FULL"
                    }
                ],
                "Type": "ORGANIZATION",
                "Value": "o-exampleorgid"
            },
            {
                "Type": "EMAIL",
                "Value": "juan@example.com"
            }
        ],
        "State": "OPEN"
    }
}

Amazon SDK：InviteAccountToOrganization

管理组织的待处理邀请

登录到管理账户后，您可以查看组织中的所有关联Amazon Web Services 账户并取消任何待处理（未结）邀请。为此，请完成以下步骤。

最小权限

要管理组织的待处理邀请，您必须拥有以下权限：

organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要
organizations:ListHandshakesForOrganization
organizations:CancelHandshake

Amazon Web Services Management Console

查看或取消从您的组织发送到其他账户的邀请

登录到 Amazon Organizations 控制台。您必须以 IAM 用户身份或担任组织管理账户中的 IAM 角色登录。
导航到 Invitations (邀请) 页面。

此页面显示从您的组织发送的所有邀请及其当前状态。

注意
已接受、已取消和已拒绝的邀请将继续在列表中显示 30 天。之后，这些邀请将被删除，不再在列表中显示。
选择要取消的邀请旁边的单选按钮，然后选择 Cancel invitation (取消邀请)。如果单选按钮呈灰色，则无法取消该邀请。

邀请的状态将从 Open (待接受) 更改为 Canceled (已取消)。

Amazon 会发送电子邮件消息到账户拥有者，说明您已取消邀请。除非您发送新邀请，否则账户无法再加入组织。

Amazon CLI & Amazon SDKs

查看或取消从您的组织发送到其他账户的邀请

您可以使用以下命令来查看或取消邀请：

Amazon CLI：list-handshakes-for-organization、cancel-handshake

以下示例显示了此组织向其他账户发送的邀请。


$ aws organizations list-handshakes-for-organization
{
    "Handshakes": [
        {
            "Action": "INVITE",
            "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
            "ExpirationTimestamp": 1482952459.257,
            "Id": "h-examplehandshakeid111",
            "Parties": [
                {
                    "Id": "o-exampleorgid",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "juan@example.com",
                    "Type": "EMAIL"
                }
            ],
            "RequestedTimestamp": 1481656459.257,
            "Resources": [
                {
                    "Resources": [
                        {
                            "Type": "MASTER_EMAIL",
                            "Value": "bill@amazon.com"
                        },
                        {
                            "Type": "MASTER_NAME",
                            "Value": "Management Account"
                        },
                        {
                            "Type": "ORGANIZATION_FEATURE_SET",
                            "Value": "FULL"
                        }
                    ],
                    "Type": "ORGANIZATION",
                    "Value": "o-exampleorgid"
                },
                {
                    "Type": "EMAIL",
                    "Value": "juan@example.com"
                },
                {
                    "Type":"NOTES",
                    "Value":"This is an invitation to Juan's account to join Bill's organization."
                }
            ],
            "State": "OPEN"
        },
        {
            "Action": "INVITE",
            "State":"ACCEPTED",
            "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
            "ExpirationTimestamp": 1.471797437427E9,
            "Id": "h-examplehandshakeid222",
            "Parties": [
                {
                    "Id": "o-exampleorgid",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "anika@example.com",
                    "Type": "EMAIL"
                }
            ],
            "RequestedTimestamp": 1.469205437427E9,
            "Resources": [
                {
                    "Resources": [
                        {
                            "Type":"MASTER_EMAIL",
                             "Value":"bill@example.com"
                        },
                        {
                            "Type":"MASTER_NAME",
                            "Value":"Management Account"
                        }
                    ],
                    "Type":"ORGANIZATION",
                    "Value":"o-exampleorgid"
                },
                {
                    "Type":"EMAIL",
                    "Value":"anika@example.com"
                },
                {
                    "Type":"NOTES",
                    "Value":"This is an invitation to Anika's account to join Bill's organization."
                }
            ]
        }
    ]
}

以下示例说明如何取消对账户的邀请。


$ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
    "Handshake": {
        "Id": "h-examplehandshakeid111",
        "State":"CANCELED",
        "Action": "INVITE",
        "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
        "Parties": [
            {
                "Id": "o-exampleorgid",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "susan@example.com",
                "Type": "EMAIL"
            }
        ],
        "Resources": [
            {
                "Type": "ORGANIZATION",
                "Value": "o-exampleorgid",
                "Resources": [
                    {
                        "Type": "MASTER_EMAIL",
                        "Value": "bill@example.com"
                    },
                    {
                        "Type": "MASTER_NAME",
                        "Value": "Management Account"
                    },
                    {
                        "Type": "ORGANIZATION_FEATURE_SET",
                        "Value": "CONSOLIDATED_BILLING"
                    }
                ]
            },
            {
                "Type": "EMAIL",
                "Value": "anika@example.com"
            },
            {
                "Type": "NOTES",
                "Value": "This is a request for Susan's account to join Bob's organization."
            }
        ],
        "RequestedTimestamp": 1.47008383521E9,
        "ExpirationTimestamp": 1.47137983521E9
    }
}

Amazon SDK：ListHandshakesForOrganization、CancelHandshake

接受或拒绝来自组织的邀请

您的Amazon Web Services 账户可能会收到加入某个组织的邀请。您可以接受或拒绝邀请。为此，请完成以下步骤。

注意

组织的账户状态影响可见的成本和使用率数据：

如果某个成员账户离开组织并且成为独立账户，该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。
如果某个成员账户离开组织 A 而加入组织 B，该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。
如果某个账户重新加入其以前所属的组织，该账户将重新获得对其成本和使用情况历史数据的访问权限。

最小权限

要接受或拒绝加入 Amazon 组织的邀请，您必须拥有以下权限：

organizations:ListHandshakesForAccount – 在 Amazon Organizations 控制台中查看邀请列表时需要。
organizations:AcceptHandshake.
organizations:DeclineHandshake.

Amazon Web Services Management Console

接受或拒绝邀请

加入组织的邀请发送到账户所有者电子邮件地址。如果您是账户拥有者，并且收到了邀请电子邮件消息，请按照电子邮件邀请中的说明操作或者在浏览器中转到 Amazon Organizations 控制台，然后选择 Invitations（邀请），或直接转到 member account's Invitation（成员账户的邀请）页面。
根据提示以 IAM 用户身份登录受邀账户，或担任 IAM 角色。
member account's Invitation (成员账户的邀请) 页面显示您的账户加入组织的待接受邀请。

根据需要选择 Accept invitation (接受邀请) 或 Decline invitation (拒绝邀请)。
- 如果您在前面的步骤中选择 Accept invitation (接受邀请)，控制台会将您重定向到 Organization overview (Organization 概览) 页面，其中提供了有关您账户现在所属的组织的详细信息。您可以查看组织的 ID 和所有者的电子邮件地址。
  
  注意
  已接受的邀请将继续在列表中显示 30 天。之后，这些邀请将被删除，不再在列表中显示。
  
  Amazon将发送电子邮件消息到组织概览账户的拥有者，说明您接受了邀请。它还会发送电子邮件消息到成员账户拥有者，说明该账户现已是组织的成员。
- 如果您在前面的步骤中选择了 Decline (拒绝)，则您的账户仍在 member account's Invitation (成员账户的邀请) 页面上，其中列出了任何其他待处理邀请。
  
  Amazon将发送电子邮件消息到组织概览账户的拥有者，说明您拒绝了邀请。
  
  注意
  已拒绝的邀请将继续在列表中显示 30 天。之后，这些邀请将被删除，不再在列表中显示。

Amazon CLI & Amazon SDKs

接受或拒绝邀请

您可以使用以下命令来接受或拒绝邀请：

Amazon CLI：accept-handshake、decline-handshake

以下示例说明如何接受加入组织的邀请。


$ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
    "Handshake": {
        "Action": "INVITE",
        "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
        "RequestedTimestamp": 1481656459.257,
        "ExpirationTimestamp": 1482952459.257,
        "Id": "h-examplehandshakeid111",
        "Parties": [
            {
                "Id": "o-exampleorgid",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "juan@example.com",
                "Type": "EMAIL"
            }
        ],
        "Resources": [
            {
                "Resources": [
                    {
                        "Type": "MASTER_EMAIL",
                        "Value": "bill@amazon.com"
                    },
                    {
                        "Type": "MASTER_NAME",
                        "Value": "Management Account"
                    },
                    {
                        "Type": "ORGANIZATION_FEATURE_SET",
                         "Value": "ALL"
                    }
                ],
                "Type": "ORGANIZATION",
                "Value": "o-exampleorgid"
            },
            {
                "Type": "EMAIL",
                "Value": "juan@example.com"
            }
        ],
        "State": "ACCEPTED"
    }
}

以下示例说明如何拒绝加入组织的邀请。

Amazon SDK：AcceptHandshake、DeclineHandshake

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

管理账户

创建账户