邀请一个 Amazon Web Services 账户 人加入你的组织 - Amazon Organizations
向 Amazon Web Services 账户发送邀请管理组织的待处理邀请接受或拒绝来自组织的邀请
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

邀请一个 Amazon Web Services 账户 人加入你的组织

创建组织并确认自己拥有与管理账户关联的电子邮件地址后,您可以邀请现有人员 Amazon Web Services 账户 加入您的组织。

当您邀请账户时, Amazon Organizations 会向账户所有者发送邀请,由其决定是接受还是拒绝邀请。您可以使用 Amazon Organizations 控制台发起和管理您向其他账户发送的邀请。您只能从组织的管理账户发送邀请到其他账户。

注意

所有账户的账单历史记录和报告都保存在组织中的付款人账户中。在将账户移动到新的组织之前,请下载要保留的任何成员账户的任何账单和报告历史记录。这可能包括成本和使用情况报告、详细账单报告或 Cost Explorer 服务生成的报告。

如果您是的管理员 Amazon Web Services 账户,也可以接受或拒绝组织的邀请。如果接受,您的账户将成为该组织的成员之一。您的账户只能加入一个组织,因此,如果您收到多个加入邀请,则只能接受一个。

当账户接受加入组织的邀请时,该组织的管理账户将承担新成员账户累积的所有费用。成员账户附加的付款方式不再使用。相反,附加到组织管理账户的付款方式支付成员账户应计的所有费用。

当受邀账户加入您的组织,并且您的组织处于 “所有功能” 模式时,该管理账户将拥有对受邀成员账户的完全管理访问权限和控制权。但是,与已创建的账户不同,OrganizationAccountAccessRoleIAM 角色不会在拥有管理账户代入权限的成员账户中自动创建。要在受邀账户成为成员后创建和配置此功能,请按照以下步骤操作 OrganizationAccountAccessRole 在受邀成员账户中创建

注意

当您在组织中创建账户而不是邀请现有账户加入时, Amazon Organizations 会自动创建一个 IAM 角色(OrganizationAccountAccessRole默认命名),您可以使用该角色向管理账户中的用户授予对已创建账户的管理员访问权限。

Amazon Organizations 确实会在受邀成员账户中自动创建服务关联角色,以支持与其他 Amazon 服务 Amazon Organizations 之间的集成。有关更多信息,请参阅 Amazon Organizations 和服务相关角色

有关每天可以发送的邀请数,请参阅最大值和最小值。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。每个邀请必须在 15 天内回复,否则将过期。

向账户发送的邀请也计入组织的账户配额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则还原此计数。

要创建自动属于组织的账户,请参阅在组织中创建成员账户

重要

由于法律和账单限制,您 Amazon Web Services 账户 只能邀请与管理账户相同的 Amazon 卖家和 Amazon 分区。例如,在 Amazon EMEA 组织中,您只能邀请登记在册的 Amazon EMEA SARL 卖家的账户。

  • 如果您的组织的管理账户是由 Amazon Internet Services Pvt. Ltd (AISPL) 创建的,则组织中的所有账户都必须与管理账户来自同一个记录卖家。例如,作为印度的 Amazon 卖家,您只能邀请其他 AISPL 账户加入您的组织。您不能合并来自 AISPL 和 Amazon /或任何其他 Amazon 卖家的账户。

  • 组织中的所有账户都必须与管理账户来自同一个 Amazon 分区。商业 Amazon Web Services 区域 分区中的账户不能位于拥有来自中国区域分区的账户或区域分区的账户的 Amazon GovCloud (US) 组织中。

向 Amazon Web Services 账户发送邀请

若要邀请账户加入您的组织,必须首先验证您与管理账户关联的电子邮件地址。有关更多信息,请参阅 电子邮件地址验证。验证电子邮件地址后,请完成以下步骤来邀请账户加入您的组织。

最小权限

Amazon Web Services 账户 要邀请加入您的组织,您必须具有以下权限:

  • organizations:DescribeOrganization (仅限控制台)

  • organizations:InviteAccountToOrganization

Amazon Web Services Management Console
邀请其他账户加入组织

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 如果您已经使用验证了电子邮件地址 Amazon,请跳过此步骤。

    如果您的电子邮件地址还未验证,请在创建组织后的 24 小时内按照验证电子邮件中的说明进行验证。在您接收到验证电子邮件消息之前可能会有一段延迟。未完成电子邮件地址验证前,您无法邀请其他账户加入您的组织。

  3. 导航到Amazon Web Services 账户页面,然后选择 Add an Amazon account (添加亚马逊云科技账户)

  4. Add an Amazon Web Services 账户(添加亚马逊云科技账户) 页面上,选择 Invite an existing Amazon account (邀请现有亚马逊云科技账户)

  5. 邀请现有 Amazon页面上,在要邀请的电子邮件地址或账户 ID 中,输入与 Amazon Web Services 账户 要邀请的账户关联的电子邮件地址或其账户 ID 号。

  6. (可选)对于 Message to include in the invitation email message (要包含在邀请电子邮件中的消息),输入您要包括在发送受邀请账户拥有者的电子邮件邀请中的任意文本。

  7. (可选)在 Add tags (添加标签) 部分中,指定在账户管理员接受邀请后自动应用到账户的一个或多个标签。为此,请选择 Add tag (添加标签),然后输入键和可选值。将值留空,设置为空字符串;它并非 null。您最多可以将 50 个标签附加到 Amazon Web Services 账户。

  8. 选择 Send invitation (发送邀请)。

    重要

    如果您收到一条消息,它指示您超出了组织的账户配额或因组织仍在初始化而无法添加账户,请联系 Amazon Web Services Support

  9. 控制台会将您重定向到 Invitations (邀请) 页面,您可以在此查看所有待接受和已接受的邀请。您刚刚创建的邀请将显示在列表的顶部,其状态设置为 OPEN

    Amazon Organizations 向您邀请加入该组织的账户所有者的电子邮件地址发送邀请。此电子邮件包含指向 Amazon Organizations 控制台的链接,账户所有者可以在其中查看详细信息并选择接受或拒绝邀请。或者,受邀账户的所有者可以绕过电子邮件,直接进入 Amazon Organizations 控制台,查看邀请,然后接受或拒绝邀请。

    对此账户的邀请立即计入组织的最大账户数; Amazon Organizations 不会等待账户接受邀请。如果受邀账户拒绝,则管理账户会取消邀请。如果受邀账户在指定的时间段内未做出响应,则邀请过期。在任一情况下,邀请均不再计入您的配额。

Amazon CLI & Amazon SDKs
邀请其他账户加入组织

您可以使用以下命令之一来邀请其他账户加入您的组织:

  • Amazon CLI: invite-account-to-organization 

    $ aws organizations invite-account-to-organization \
    --target '{"Type": "EMAIL", "Id": "juan@example.com"}' \
    --notes "This is a request for Juan's account to join Bill's organization."
{
    "Handshake": {
        "Action": "INVITE",
        "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
        "ExpirationTimestamp": 1482952459.257,
        "Id": "h-examplehandshakeid111",
        "Parties": [
            {
                "Id": "o-exampleorgid",
                 "Type": "ORGANIZATION"
            },
            {
                 "Id": "juan@example.com",
                 "Type": "EMAIL"
            }
        ],
        "RequestedTimestamp": 1481656459.257,
        "Resources": [
            {
                "Resources": [
                    {
                        "Type": "MASTER_EMAIL",
                        "Value": "bill@amazon.com"
                    },
                    {
                         "Type": "MASTER_NAME",
                         "Value": "Management Account"
                    },
                    {
                         "Type": "ORGANIZATION_FEATURE_SET",
                         "Value": "FULL"
                    }
                ],
                "Type": "ORGANIZATION",
                "Value": "o-exampleorgid"
            },
            {
                "Type": "EMAIL",
                "Value": "juan@example.com"
            }
        ],
        "State": "OPEN"
    }
}

  • Amazon 软件开发工具包:InviteAccountToOrganization

管理组织的待处理邀请

登录到管理账户后,您可以查看组织中的所有关联 Amazon Web Services 账户 并取消任何待处理(未结)邀请。为此,请完成以下步骤。

最小权限

要管理组织的待处理邀请,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:ListHandshakesForOrganization

  • organizations:CancelHandshake

Amazon Web Services Management Console
查看或取消从您的组织发送到其他账户的邀请

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 导航到 Invitations (邀请) 页面。

    此页面显示从您的组织发送的所有邀请及其当前状态。

    注意

    已接受、已取消和已拒绝的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。

  3. 选择要取消的邀请旁边的单选按钮 ,然后选择 Cancel invitation (取消邀请)。如果单选按钮呈灰色,则无法取消该邀请。

    邀请的状态将从 Open (待接受) 更改为 Canceled (已取消)

    Amazon 向账户所有者发送一封电子邮件,说明您取消了邀请。除非您发送新邀请,否则账户无法再加入组织。

Amazon CLI & Amazon SDKs
查看或取消从您的组织发送到其他账户的邀请

您可以使用以下命令来查看或取消邀请:

  • Amazon CLI: list-handshakes-for-organization取消握手

  • 以下示例显示了此组织向其他账户发送的邀请。

    $ aws organizations list-handshakes-for-organization
{
    "Handshakes": [
        {
            "Action": "INVITE",
            "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
            "ExpirationTimestamp": 1482952459.257,
            "Id": "h-examplehandshakeid111",
            "Parties": [
                {
                    "Id": "o-exampleorgid",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "juan@example.com",
                    "Type": "EMAIL"
                }
            ],
            "RequestedTimestamp": 1481656459.257,
            "Resources": [
                {
                    "Resources": [
                        {
                            "Type": "MASTER_EMAIL",
                            "Value": "bill@amazon.com"
                        },
                        {
                            "Type": "MASTER_NAME",
                            "Value": "Management Account"
                        },
                        {
                            "Type": "ORGANIZATION_FEATURE_SET",
                            "Value": "FULL"
                        }
                    ],
                    "Type": "ORGANIZATION",
                    "Value": "o-exampleorgid"
                },
                {
                    "Type": "EMAIL",
                    "Value": "juan@example.com"
                },
                {
                    "Type":"NOTES",
                    "Value":"This is an invitation to Juan's account to join Bill's organization."
                }
            ],
            "State": "OPEN"
        },
        {
            "Action": "INVITE",
            "State":"ACCEPTED",
            "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
            "ExpirationTimestamp": 1.471797437427E9,
            "Id": "h-examplehandshakeid222",
            "Parties": [
                {
                    "Id": "o-exampleorgid",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "anika@example.com",
                    "Type": "EMAIL"
                }
            ],
            "RequestedTimestamp": 1.469205437427E9,
            "Resources": [
                {
                    "Resources": [
                        {
                            "Type":"MASTER_EMAIL",
                             "Value":"bill@example.com"
                        },
                        {
                            "Type":"MASTER_NAME",
                            "Value":"Management Account"
                        }
                    ],
                    "Type":"ORGANIZATION",
                    "Value":"o-exampleorgid"
                },
                {
                    "Type":"EMAIL",
                    "Value":"anika@example.com"
                },
                {
                    "Type":"NOTES",
                    "Value":"This is an invitation to Anika's account to join Bill's organization."
                }
            ]
        }
    ]
}

    以下示例说明如何取消对账户的邀请。

    $ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111
{
    "Handshake": {
        "Id": "h-examplehandshakeid111",
        "State":"CANCELED",
        "Action": "INVITE",
        "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
        "Parties": [
            {
                "Id": "o-exampleorgid",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "susan@example.com",
                "Type": "EMAIL"
            }
        ],
        "Resources": [
            {
                "Type": "ORGANIZATION",
                "Value": "o-exampleorgid",
                "Resources": [
                    {
                        "Type": "MASTER_EMAIL",
                        "Value": "bill@example.com"
                    },
                    {
                        "Type": "MASTER_NAME",
                        "Value": "Management Account"
                    },
                    {
                        "Type": "ORGANIZATION_FEATURE_SET",
                        "Value": "CONSOLIDATED_BILLING"
                    }
                ]
            },
            {
                "Type": "EMAIL",
                "Value": "anika@example.com"
            },
            {
                "Type": "NOTES",
                "Value": "This is a request for Susan's account to join Bob's organization."
            }
        ],
        "RequestedTimestamp": 1.47008383521E9,
        "ExpirationTimestamp": 1.47137983521E9
    }
}

  • Amazon 软件开发工具包:ListHandshakesForOrganizationCancelHandshake

接受或拒绝来自组织的邀请

您 Amazon Web Services 账户 可能会收到加入组织的邀请。您可以接受或拒绝邀请。为此,请完成以下步骤。

注意

组织的账户状态影响可见的成本和使用率数据:

  • 如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

注意

只有成员账户和独立账户可以接受或拒绝加入组织的邀请。如果向成员账户发送了邀请,则该账户应该在接受邀请之前离开当前组织。如果向已经是 Amazon 组织成员的管理账户发送邀请,则该账户将无法接受邀请,除非他们移除组织中的所有成员账户删除该组织

最小权限

要接受或拒绝加入 Amazon 组织的邀请,您必须具有以下权限:

  • organizations:ListHandshakesForAccount— 需要在 Amazon Organizations 控制台中查看邀请列表。

  • organizations:AcceptHandshake.

  • organizations:DeclineHandshake.

  • iam:CreateServiceLinkedRole— 只有在接受邀请时才需要在成员账户中创建服务相关角色以支持与其他 Amazon 服务的集成时才需要。有关更多信息,请参阅 Amazon Organizations 和服务相关角色

Amazon Web Services Management Console
接受或拒绝邀请

  1. 加入组织的邀请发送到账户所有者电子邮件地址。如果您是账户拥有者,并且收到了邀请电子邮件消息,请按照电子邮件邀请中的说明操作或者在浏览器中转到 Amazon Organizations 控制台,然后选择 Invitations(邀请),或直接转到 member account's Invitation(成员账户的邀请)页面。

  2. 根据提示以 IAM 用户的身份登录受邀账户,担任 IAM 角色;或作为该账户的根用户登录(不推荐)。

  3. member account's Invitation (成员账户的邀请) 页面显示您的账户加入组织的待接受邀请。

    根据需要选择 Accept invitation (接受邀请)Decline invitation (拒绝邀请)

    • 如果您在前面的步骤中选择 Accept invitation (接受邀请),控制台会将您重定向到 Organization overview (Organization 概览) 页面,其中提供了有关您账户现在所属的组织的详细信息。您可以查看组织的 ID 和所有者的电子邮件地址。

      注意

      已接受的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。

      Amazon Organizations 在新成员账户中自动创建服务关联角色,以支持与其他 Amazon 服务 Amazon Organizations 之间的集成。有关更多信息,请参阅 Amazon Organizations 和服务相关角色

      Amazon 向组织管理账户的所有者发送一封电子邮件,说明您已接受邀请。它还会发送电子邮件消息到成员账户拥有者,说明该账户现已是组织的成员。

    • 如果您在前面的步骤中选择了 Decline (拒绝),则您的账户仍在 member account's Invitation (成员账户的邀请) 页面上,其中列出了任何其他待处理邀请。

      Amazon 向组织的管理账户所有者发送一封电子邮件,说明您拒绝了邀请。

      注意

      已拒绝的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。

Amazon CLI & Amazon SDKs
接受或拒绝邀请

您可以使用以下命令来接受或拒绝邀请:

  • Amazon CLI:accept-handshakedecline-handshake

    以下示例说明如何接受加入组织的邀请。

    $ aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
    "Handshake": {
        "Action": "INVITE",
        "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
        "RequestedTimestamp": 1481656459.257,
        "ExpirationTimestamp": 1482952459.257,
        "Id": "h-examplehandshakeid111",
        "Parties": [
            {
                "Id": "o-exampleorgid",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "juan@example.com",
                "Type": "EMAIL"
            }
        ],
        "Resources": [
            {
                "Resources": [
                    {
                        "Type": "MASTER_EMAIL",
                        "Value": "bill@amazon.com"
                    },
                    {
                        "Type": "MASTER_NAME",
                        "Value": "Management Account"
                    },
                    {
                        "Type": "ORGANIZATION_FEATURE_SET",
                         "Value": "ALL"
                    }
                ],
                "Type": "ORGANIZATION",
                "Value": "o-exampleorgid"
            },
            {
                "Type": "EMAIL",
                "Value": "juan@example.com"
            }
        ],
        "State": "ACCEPTED"
    }
}

    以下示例说明如何拒绝加入组织的邀请。

  • Amazon 软件开发工具包:AcceptHandshakeDeclineHandshake