创建企业 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建企业

您可以创建一个以您 Amazon Web Services 账户 为管理账户开头的组织。创建组织时,您可以选择组织是支持所有功能(建议使用)还是只支持整合账单功能。

创建组织之后,您可以通过以下方式从管理账户中向您的组织添加账户:

创建组织

您可以使用或使用来自 Amazon Web Services Management Console Amazon CLI 或其中一个 SDK API 的命令来创建组织。

最小权限

要使用当前的组织创建组织 Amazon Web Services 账户,您必须具有以下权限:

  • organizations:CreateOrganization

  • iam:CreateServiceLinkedRole

    您可以将此权限限制为仅服务委托人 organizations.amazonaws.com

创建 组织
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 默认情况下,组织在创建时已启用所有功能。但是,您可以选择以下步骤之一:

    • 要创建已启用所有功能的组织,请在介绍页面上选择 Create an organization (创建组织)

    • 要创建仅具有整合账单功能的组织,请在介绍页面 Create an organization (创建组织) 中,选择 consolidated billing features (整合账单功能),然后在确认对话框中,选择 Create an organization (创建组织)

    如果您意外选择了错误的选项,您可以立即转到 Settings (设置) 页面,然后选择 Delete organization (删除组织) 并重新开始。

  3. 组织已创建,并且会显示Amazon Web Services 账户页面。唯一存在的账户是您的管理账户,它当前存储在根组织部门(OU)中。

    如果需要,Organizations 会自动向与管理账户关联的地址发送验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。在 24 小时内验证您的电子邮件地址。有关更多信息,请参阅 电子邮件地址验证。您可以在不验证管理账户电子邮件地址的情况下创建账户以添加到组织中。但是,要邀请现有账户,您必须先完成电子邮件验证。

    注意

    如果此账户之前验证了其电子邮件地址,则当您使用该账户创建组织时,验证不会再次发生。

以下代码示例演示如何使用 CreateOrganization

.NET
Amazon SDK for .NET
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Creates an organization in AWS Organizations. /// </summary> public class CreateOrganization { /// <summary> /// Creates an Organizations client object and then uses it to create /// a new organization with the default user as the administrator, and /// then displays information about the new organization. /// </summary> public static async Task Main() { IAmazonOrganizations client = new AmazonOrganizationsClient(); var response = await client.CreateOrganizationAsync(new CreateOrganizationRequest { FeatureSet = "ALL", }); Organization newOrg = response.Organization; Console.WriteLine($"Organization: {newOrg.Id} Main Accoount: {newOrg.MasterAccountId}"); } }
  • 有关 API 的详细信息,请参阅 Amazon SDK for .NET API 参考CreateOrganization中的。

CLI
Amazon CLI

示例 1:创建新组织

Bill 想使用账户 111111111111 中的凭证创建一个组织。以下示例显示该账户成为新组织中的主账户。由于他没有指定功能集,因此,新组织默认为在根上启用所有功能并启用服务控制策略。

aws organizations create-organization

输出包括一个组织对象,其中包含有关新组织的详细信息:

{ "Organization": { "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ], "MasterAccountId": "111111111111", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "FeatureSet": "ALL", "Id": "o-exampleorgid", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid" } }

示例 2:创建仅启用整合账单功能的新组织

以下示例创建仅支持整合账单功能的组织:

aws organizations create-organization --feature-set CONSOLIDATED_BILLING

输出包括一个组织对象,其中包含有关新组织的详细信息:

{ "Organization": { "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [], "Id": "o-exampleorgid", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "FeatureSet": "CONSOLIDATED_BILLING" } }

有关更多信息,请参阅《Amazon Organizations 用户指南》中的“创建组织”。

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考CreateOrganization中的。

现在,您可以按以下步骤向组织添加其他账户:

电子邮件地址验证

在创建组织后、邀请账户加入前,您必须验证与组织内的管理账户关联的电子邮件地址。

创建组织时,如果管理账户之前未经过验证,则 Amazon 会自动向指定的电子邮件地址发送一封验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。

在 24 小时内,按照电子邮件中的说明验证您的电子邮件地址。

如果您未在 24 小时内验证自己的电子邮件地址,则可以重新发送验证请求,这样您就可以邀请其他人 Amazon Web Services 账户 加入您的组织。如果您没有收到验证电子邮件,请检查您的电子邮件地址是否正确,如有必要,请对其进行修改。

Amazon Web Services Management Console
若要重新发送验证请求
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 导航到 Settings (设置) 页面,然后选择 Send verification request (发送验证请求)。只有在未验证管理账户时才存在该选项。

  3. 在 24 小时内验证您的电子邮件地址。

    验证您的电子邮件地址后,您可以邀请其他 Amazon Web Services 账户 加入您的组织。有关更多信息,请参阅 邀请一个 Amazon Web Services 账户 人加入你的组织

如果您更改管理账户的电子邮件地址,该账户的状态会恢复为“未验证电子邮件”,并且您必须为新的电子邮件地址完成验证过程。

注意

如果您在更改管理账户的电子邮件地址之前邀请了账户加入组织,并且这些邀请尚未被接受,则在您验证管理账户的新电子邮件地址之前,无法接受这些邀请。使用上一步骤重新发送验证请求。通过回复电子邮件完成此过程后,受邀的账户可以接受邀请。