创建组织 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

创建组织

您可以从使用Amazon Web Services 账户作为管理账户开始来创建组织。创建组织时,您可以选择组织是支持所有功能(建议使用)还是只支持整合账单功能。

创建组织之后,您可以通过以下方式从管理账户中向您的组织添加账户:

创建组织

可通过以下两种方式创建组织:使用Amazon Web Services Management Console或者通过使用 Amazon CLI 或其中一个 SDK API。

最小权限

要使用您当前的Amazon Web Services 账户创建组织,您必须具有以下权限:

  • organizations:CreateOrganization

  • iam:CreateServiceLinkedRole

    您可以将此权限限制为仅服务委托人 organizations.amazonaws.com

Amazon Web Services Management Console

创建 组织

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或担任组织管理账户中的 IAM 角色登录。

  2. 默认情况下,组织在创建时已启用所有功能。但是,您可以选择以下步骤之一:

    • 要创建已启用所有功能的组织,请在介绍页面上选择 Create an organization (创建组织)

    • 要创建仅具有整合账单功能的组织,请在介绍页面 Create an organization (创建组织) 中,选择 consolidated billing features (整合账单功能),然后在确认对话框中,选择 Create an organization (创建组织)

    如果您意外选择了错误的选项,您可以立即转到 Settings (设置) 页面,然后选择 Delete organization (删除组织) 并重新开始。

  3. 组织已创建,并且会显示Amazon Web Services 账户页面。唯一存在的账户是您的管理账户,它当前存储在根组织部门(OU)中。

    如果需要,Organizations 会自动向与管理账户关联的地址发送验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。在 24 小时内验证您的电子邮件地址。有关更多信息,请参阅 电子邮件地址验证。您可以在不验证管理账户电子邮件地址的情况下创建账户以添加到组织中。但是,要邀请现有账户,您必须先完成电子邮件验证。

    注意

    如果此账户之前验证了其电子邮件地址,则当您使用该账户创建组织时,验证不会再次发生。

Amazon CLI & Amazon SDKs

创建 组织

您可以使用以下命令之一创建组织:

  • Amazon CLI:create-organization

    以下示例创建组织,并使当前已登录的Amazon Web Services 账户成为组织的管理账户。

    $ aws organizations create-organization { "Organization": { "Id": "o-aa111bb222", "Arn": "arn:aws:organizations::123456789012:organization/o-aa111bb222", "FeatureSet": "ALL", "MasterAccountArn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012", "MasterAccountId": "123456789012", "MasterAccountEmail": "admin@example.com", "AvailablePolicyTypes": [ ...DEPRECATED - DO NOT USE ... ] } }
    重要

    AvailablePolicyTypes 字段已弃用,并且不包含有关在组织中启用的策略的准确信息。要查看组织实际启用的策略类型的准确且完整的列表,请使用 ListRoots 命令,如以下部分的 Amazon CLI 中所述。

  • Amazon SDK:CreateOrganization

现在,您可以按以下步骤向组织添加其他账户:

电子邮件地址验证

在创建组织后、邀请账户加入前,您必须验证与组织内的管理账户关联的电子邮件地址。

创建组织时,如果以前未验证管理账户,Amazon会自动向指定的电子邮件地址发送验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。

在 24 小时内,按照电子邮件中的说明验证您的电子邮件地址。

如果未在 24 小时内验证您的电子邮件地址,您可以重新发送验证请求,以便邀请其他Amazon Web Services 账户加入您的组织。如果您没有收到验证电子邮件,请检查您的电子邮件地址是否正确,如有必要,请对其进行修改。

Amazon Web Services Management Console

若要重新发送验证请求

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或担任组织管理账户中的 IAM 角色登录。

  2. 导航到 Settings (设置) 页面,然后选择 Send verification request (发送验证请求)。只有在未验证管理账户时才存在该选项。

  3. 在 24 小时内验证您的电子邮件地址。

    验证您的电子邮件地址后,您可以邀请其他Amazon Web Services 账户加入您的组织。有关更多信息,请参阅 邀请Amazon Web Services 账户加入组织

如果您更改管理账户的电子邮件地址,该账户的状态会恢复为“未验证电子邮件”,并且您必须为新的电子邮件地址完成验证过程。

注意

如果您在更改管理账户的电子邮件地址之前邀请了账户加入组织,并且这些邀请尚未被接受,则在您验证管理账户的新电子邮件地址之前,无法接受这些邀请。使用上一步骤重新发送验证请求。通过回复电子邮件完成此过程后,受邀的账户可以接受邀请。