创建组织 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建组织

您可以从使用 Amazon Web Services 账户 作为管理帐户。创建组织时,您可以选择组织是支持所有功能(建议使用)还是只支持整合账单功能。

创建组织后,您可以通过以下方式从管理账户中向组织添加账户:

创建组织

可通过使用Amazon Web Services Management Console或者通过使用Amazon CLI或其中一个开发工具包 API。

最小权限

创建组织,使用您的当前 Amazon Web Services 账户 ,您必须拥有以下权限:

  • organizations:CreateOrganization

  • iam:CreateServiceLinkedRole

    您可以将此权限限制为仅服务委托人 organizations.amazonaws.com

Amazon Web Services Management Console

创建 组织

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或代入组织管理账户中的 IAM 角色登录。

  2. 默认情况下,组织在创建时已启用所有功能。但是,您可以选择以下任一步骤:

    • 要创建已启用所有功能的组织,请在介绍页面上选择创建组织

    • 要创建仅具有整合账单功能的组织,请在介绍页面和创建组织中,选择整合账单功能,然后在确认对话框中,选择创建组织

    如果您意外选择了错误的选项,您可以立即转到设置页面,然后选择删除组织并重新开始。

  3. 组织已创建,并且 Amazon Web Services 账户 页面。唯一存在的帐户是您的管理帐户,它当前存储在根组织部门 (OU)

    如果需要,Organizations 会自动向与管理账户关联的地址发送验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。在 24 小时内验证您的电子邮件地址。有关更多信息,请参阅 电子邮件地址验证。您可以在不验证管理账户电子邮件地址的情况下创建账户来发展组织。但是,要邀请现有账户,您必须先完成电子邮件验证。

    注意

    如果此帐户之前验证了其电子邮件地址,则当您使用该帐户创建组织时,它不会再次发生。

Amazon CLI & Amazon SDKs

创建 组织

您可以使用以下命令之一创建组织:

  • Amazon CLI:创建组织

    以下示例创建组织,并使当前已登录的 Amazon Web Services 账户 组织的管理帐户。

    $ aws organizations create-organization { "Organization": { "Id": "o-aa111bb222", "Arn": "arn:aws:organizations::123456789012:organization/o-aa111bb222", "FeatureSet": "ALL", "MasterAccountArn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012", "MasterAccountId": "123456789012", "MasterAccountEmail": "admin@example.com", "AvailablePolicyTypes": [ ...DEPRECATED - DO NOT USE ... ] } }
    重要

    这些区域有:AvailablePolicyTypes字段已弃用,并且不包含有关在组织中启用的策略的准确信息。要查看为组织实际启用的策略类型的准确且完整的列表,请使用ListRoots命令,如Amazon CLI部分。

  • Amazon开发工具包:CreateOrganization

现在,您可以向组织添加其他账户,如下所示:

电子邮件地址验证

创建组织后,并邀请账户加入前,您必须验证您拥有为组织中的管理账户提供的电子邮件地址。

创建组织时,如果以前未验证管理帐户,Amazon会自动向指定的电子邮件地址发送验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。

在 24 小时内,按照电子邮件中的说明验证您的电子邮件地址。

如果您未在 24 小时内验证您的电子邮件地址,您可以重新发送验证请求,以便邀请其他 Amazon Web Services 账户 对于您的组织。如果您没有收到验证电子邮件,请检查您的电子邮件地址是否正确,如有必要,请对其进行修改。

Amazon Web Services Management Console

若要重新发送验证请求

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或代入组织管理账户中的 IAM 角色登录。

  2. 导航到设置页面,然后选择发送验证请求。只有在未验证管理帐户时才存在该选项。

  3. 在 24 小时内验证您的电子邮件地址。

    验证您的电子邮件地址后,您可以邀请其他 Amazon Web Services 账户 对于您的组织。有关更多信息,请参阅 邀请 Amazon Web Services 账户 加入您的组织

如果您更改管理账户的电子邮件地址,该账户的状态会恢复为 “未验证电子邮件”,并且您必须为新的电子邮件地址完成验证过程。

注意

如果您在更改管理帐户的电子邮件地址之前邀请了帐户加入组织,并且这些邀请尚未被接受,则在您验证管理帐户的新电子邮件地址之前,无法接受这些邀请。使用上一步骤重新发送验证请求。通过回复电子邮件完成此过程后,受邀的帐户可以接受邀请。