邀请 AWS 账户加入组织
在创建组织并验证您与主账户关联的电子邮件地址后,才能邀请现有 AWS 账户加入您的组织。
您邀请账户时,AWS Organizations 将向账户所有者发送邀请,该所有者确定接受还是拒绝邀请。您可以使用 AWS Organizations 控制台启动和管理您发送到其他账户的邀请。您只能从组织的主账户发送邀请到其他账户。
如果您是 AWS 账户的管理员,则还可以接受或拒绝来自组织的邀请。如果接受,您的账户将成为该组织的成员之一。您的账户只能加入一个组织,因此,如果您收到多个加入邀请,则只能接受一个。
当某个受邀账户加入您的组织时,您不会 自动拥有对该账户的完全管理员控制权限,这不同于已创建的账户。如果您希望主账户具有对受邀成员账户的完全管理控制权,您必须在成员账户中创建 OrganizationAccountAccessRole IAM 角色并将权限授予主账户以代入该角色。要进行此配置,请在受邀账户成为成员之后,按照在受邀成员账户中创建 OrganizationAccountAccessRole中的步骤操作。
当您在您组织中创建账户而不是邀请现有账户加入时,AWS Organizations 将自动创建一个 IAM 角色(默认情况下,名为 OrganizationAccountAccessRole),您可使用该角色为主账户中的用户授予对已创建账户的管理员访问权限。
每个组织每天最多可以发送 20 个邀请。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。每个邀请必须在 15 天内回复,否则将过期。
向账户发送的邀请也计入组织的账户配额。如果受邀账户拒绝邀请、主账户取消邀请或邀请过期,则还原此计数。
要创建自动属于组织的账户,请参阅在组织中创建 AWS 账户。
出于法律和账单限制,您只能邀请主账户所属的 AWS 销售商的 AWS 账户。您不得在同一组织内混用 AWS、Amazon Internet Services Pvt.Ltd(AISPL,印度的一家 AWS 销售商)或亚马逊通技术服务(北京)有限公司(ACTS,中国的一家 AWS 销售商)的账户。您只能将来自某个 AWS 销售商的账户添加到具有同一 AWS 销售商账户的组织。
向 AWS 账户发送邀请
若要邀请账户加入您的组织,必须首先验证您与主账户关联的电子邮件地址。验证电子邮件地址后,请完成以下步骤来邀请账户加入您的组织。
要邀请 AWS 账户加入您的组织,您必须拥有以下权限:
-
organizations:DescribeOrganization(仅限控制台) -
organizations:InviteAccountToOrganization
邀请其他账户加入组织 (控制台)
-
通过 https://console.amazonaws.cn/organizations/
登录 组织 控制台。您必须以 IAM 用户的身份登录,代入 IAM 角色,或在组织的主账户中以根用户的身份登录(不推荐)。 -
如果您的电子邮件地址已完整验证,请跳过此步骤。
如果您的电子邮件地址还未验证,请在 24 小时内按照验证电子邮件中的说明进行验证。在您接收到验证电子邮件之前可能会有一段延迟。在验证电子邮件地址前无法邀请账户。
-
在 Accounts 选项卡上,选择 Add account。
-
选择 Invite account。
-
输入要邀请加入您的组织的 AWS 账户的电子邮件地址或账户 ID 号。如果您希望邀请多个账户,请使用逗号分隔。
-
(可选)对于 备注 (Notes),输入您要包括在发送给其他账户所有者的电子邮件邀请中的任意消息。
-
选择 Invite。
重要 如果您收到一条消息,它指示您超出了组织的账户配额或因组织仍在初始化而无法添加账户,请联系 AWS Support
。 -
控制台会将您重定向到 Invitations 选项卡。在此查看所有待接受和已接受邀请。您刚刚创建的邀请将显示在列表的顶部,其状态设置为 OPEN。
AWS Organizations 会发送邀请到您邀请加入组织的账户所有者的电子邮件地址。此电子邮件包括指向 AWS Organizations 控制台的链接,账户所有者在此控制台中可以查看详细信息并选择接受或拒绝邀请。此外,受邀账户的所有者可以绕过此电子邮件,直接转到 AWS Organizations 控制台,查看邀请并接受或拒绝它。
对此账户的邀请立即计入组织的最大账户数;AWS Organizations 不会等待账户接受邀请。如果受邀账户拒绝,则主账户会取消邀请。如果受邀账户在指定的时间段内未做出响应,则邀请过期。在任一情况下,邀请均不再计入您的配额。
邀请其他账户加入组织(AWS CLI、AWS API)
您可以使用以下命令之一来邀请其他账户加入您的组织:
管理组织的待处理邀请
登录到主账户后,您可以查看组织中的所有关联 AWS 账户并取消任何待处理(未结)邀请。为此,请完成以下步骤。
要管理组织的待处理邀请,您必须拥有以下权限:
-
organizations:DescribeOrganization(仅限控制台) -
organizations:ListHandshakesForOrganization -
organizations:CancelHandshake
查看或取消从您的组织发送到其他账户的邀请 (控制台)
-
通过 https://console.amazonaws.cn/organizations/
登录 组织 控制台。您必须以 IAM 用户的身份登录,代入 IAM 角色,或在组织的主账户中以根用户的身份登录(不推荐)。 -
选择 Invitations 选项卡。此处列出从您的组织发送的所有邀请及其当前状态。
注意 已接受、已取消和已拒绝的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。
-
对于任何您要取消的待接受邀请,请在 Actions 列下选择 Cancel。
邀请的状态将从 Open 更改为 Canceled。
AWS 会发送电子邮件到账户所有者,说明您已取消邀请。除非您发送新邀请,否则账户无法再加入组织。
查看或取消从您的组织发送到其他账户的邀请(AWS CLI、AWS API)
您可以使用以下命令来查看或取消邀请:
接受或拒绝来自组织的邀请
您的 AWS 账户可能会收到加入某个组织的邀请。您可以接受或拒绝邀请。为此,请完成以下步骤。
要接受或拒绝加入 AWS 组织的邀请,您必须拥有以下权限:
-
organizations:ListHandshakesForAccount– 在 AWS Organizations 控制台中查看邀请列表时需要。 -
organizations:AcceptHandshake。 -
organizations:DeclineHandshake。
组织的账户状态影响可见的成本和使用率数据:
-
当某个独立账户加入组织时,该账户不再有权访问其属于独立账户时的时间范围内的成本和使用率数据。
-
如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于该组织成员时的时间范围内的成本和使用率数据。该账户只能访问作为独立账户生成的数据。
-
如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成员时的时间范围内的成本和使用率数据。该账户只能访问作为组织 B 的成员生成的数据。
-
如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。
接受或拒绝邀请 (控制台)
-
加入组织的邀请发送到账户所有者电子邮件地址。如果您是账户所有者并且收到了邀请电子邮件,请按照电子邮件邀请中的说明操作或者在浏览器中转到 https://console.amazonaws.cn/organizations/
,然后选择 Respond to invitations(响应邀请)。 -
根据提示以 IAM 用户身份登录受邀账户,代入 IAM 角色;或以该账户的根用户身份登录(不推荐)。
-
在控制台中的 Invitations 页上,您可以看到加入组织的待接受邀请。根据需要选择 Accept (接受) 或 Decline (觉)。
-
如果在上一步中选择了 Accept,则请在 Confirm joining the organization 确认窗口中选择 Confirm。
控制台会将您重定向到 Organization overview 页面,其中提供了有关您账户现在所属的组织的详细信息。您可以查看组织的 ID 和所有者的电子邮件地址。
注意 已接受的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。
AWS 将发送电子邮件到组织主账户的所有者,说明您接受了邀请。它还会发送电子邮件到成员账户所有者,说明该账户现已是组织的成员。
-
如果您在前面的步骤中选择了 Decline,则您的账户仍在 Invitations 页面上,其中列出了任何其他待处理邀请。
AWS 将发送电子邮件到组织主账户的所有者,说明您拒绝了邀请。
注意 已拒绝的邀请将继续在列表中显示 30 天。之后,这些邀请将被删除,不再在列表中显示。
-
接受或拒绝邀请(AWS CLI、AWS API)
您可以使用以下命令来接受或拒绝邀请: