使用 在組織中建立成員帳戶 AWS Organizations - AWS Organizations
建立成員帳戶之前的考量事項建立成員帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 在組織中建立成員帳戶 AWS Organizations

本主題說明如何 AWS 帳戶 在組織中建立 AWS Organizations。如需建立單一 的相關資訊 AWS 帳戶,請參閱 入門資源中心

建立成員帳戶之前的考量事項

Organizations 會自動OrganizationAccountAccessRole為成員帳戶建立 IAM 角色

當您在組織中建立成員帳戶時,Organizations 會自動OrganizationAccountAccessRole在成員帳戶中建立 IAM 角色,讓管理帳戶中的使用者和角色能夠對成員帳戶執行完整的管理控制。每當政策更新時,連接到相同受管政策的任何其他帳戶都會自動更新。這個角色會受限於套用至成員帳戶的任何服務控制政策 (SCP)

Organizations 會自動AWSServiceRoleForOrganizations為成員帳戶建立服務連結角色

當您在組織中建立成員帳戶時,Organizations 會自動AWSServiceRoleForOrganizations在成員帳戶中建立服務連結角色,以啟用與特定 AWS 服務的整合。您必須設定其他服務以允許整合。如需詳細資訊,請參閱AWS Organizations 和服務連結角色

成員帳戶只能在組織的根目錄中建立

組織中的成員帳戶只能在組織的根目錄中建立。建立組織的成員帳戶根之後,您可以在 OUs 之間移動它。如需詳細資訊,請參閱使用 將帳戶移至組織單位 (OU) 或根和 OUs 之間 AWS Organizations

連接到根的政策會立即套用

如果您有任何連接到根的政策,這些政策會立即套用到所建立帳戶中的所有使用者和角色。

如果您已為 AWS 組織啟用其他服務的服務信任,則該信任的服務可以建立服務連結角色,或在組織中任何成員帳戶中執行動作,包括您建立的帳戶。

成員帳戶必須選擇接收行銷電子郵件

您建立做為組織一部分的成員帳戶不會自動訂閱 AWS 行銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件,請參閱https://pages.awscloud.com/communication-preferences

由 管理的組織成員帳戶 AWS Control Tower 應在 中建立 AWS Control Tower

如果您的組織由 管理 AWS Control Tower,我們建議您使用 AWS Control Tower 主控台中的帳戶工廠或使用 AWS Control Tower APIs來建立您的成員 AWS Control Tower 帳戶。

如果您在 Organizations 中於組織管理組織時建立成員帳戶 AWS Control Tower,該帳戶將不會向 註冊 AWS Control Tower。如需詳細資訊,請參閱AWS Control Tower 使用者指南中的參照 AWS Control Tower外部資源

建立成員帳戶

登入組織的管理帳戶後,您可以建立屬於組織一部分的成員帳戶。

當您使用下列程序建立帳戶時, AWS Organizations 會自動將下列主要聯絡資訊從管理帳戶複製到新成員帳戶:

  • 電話號碼

  • 公司名稱

  • 網站 URL

  • Address

Organizations 也會從管理帳戶複製通訊語言和 Marketplace 資訊 (某些帳戶的供應商 AWS 區域)。

最低許可

若要在您的組織中建立成員帳戶,您必須擁有以下許可:

  • organizations:DescribeOrganization – 僅在使用 Organizations 主控台時才需要

  • organizations:CreateAccount

  • iam:CreateServiceLinkedRole

建立自動 AWS 帳戶 成為您組織一部分的

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. AWS 帳戶 頁面上,選擇新增 AWS 帳戶

  3. 新增 AWS 帳戶 頁面上,選擇建立 AWS 帳戶(預設會選擇該項)。

  4. 建立 AWS 帳戶 頁面,針對AWS 帳戶 名稱,輸入您要指派給帳戶的名稱。此名稱可協助您區分該帳戶與組織中的所有其他帳戶,並且與 IAM 別名或擁有者的電子郵件名稱不同。

  5. 針對帳戶擁有者的電子郵件地址,輸入帳戶擁有者的電子郵件地址。此電子郵件地址無法與另一個電子郵件地址建立關聯, AWS 帳戶 因為它會成為帳戶根使用者的使用者名稱憑證。

  6. (選用) 指定要在新帳戶中自動建立、要指派給 IAM 角色的名稱。此角色會授予組織的管理帳戶許可,以存取新建立的成員帳戶。如果您未指定名稱, 會將預設名稱 AWS Organizations 提供給角色OrganizationAccountAccessRole。建議您在所有帳戶中使用預設名稱以確保一致性。

    重要

    請記住此角色名稱。稍後您會需要它,以便為管理帳戶中的使用者和角色授予新帳戶的存取權。

  7. (選用) 在 Tags (標籤) 區段中,透過選擇 Add tag (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至新帳戶。將值留空會將其設定為空白字串;而不是 null。您可以在帳戶中連接最多 50 個標籤。

  8. 選擇建立 AWS 帳戶

    出現 AWS 帳戶 頁面時,將您的新帳戶新增至清單。

  9. 現在帳戶已存在,並且具有的 IAM 角色可授予管理員存取給管理帳戶中的使用者,您可以遵循 使用 存取組織中的成員帳戶 AWS Organizations 中的步驟來存取帳戶。

下列程式碼範例示範如何使用 CreateAccount

.NET
適用於 .NET 的 SDK
注意

GitHub 上提供更多範例。尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫中設定和執行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

  • 如需 API 詳細資訊,請參閱適用於 .NET 的 AWS SDK 《 API 參考》中的 CreateAccount

CLI
AWS CLI

建立自動成為組織一部分的成員帳戶

下列範例顯示如何在 組織中建立成員帳戶。成員帳戶是以生產帳戶名稱和 susan@example.com 的電子郵件地址設定。Organizations 會使用 OrganizationAccountAccessRole 的預設名稱自動建立 IAM 角色,因為未指定 roleName 參數。此外,由於未指定 IamUserAccessToBilling 參數,因此允許具有足夠許可存取帳戶帳單資料的 IAM 使用者或角色的設定會設定為預設值 ALLOW。Organizations 會自動傳送「歡迎 AWS」電子郵件給 Susan:

aws organizations create-account --email susan@example.com --account-name "Production Account"

輸出包含一個請求物件,顯示狀態現在為 IN_PROGRESS

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

您稍後可以透過將 Id 回應值作為 create-account-request-id 參數的值提供給 describe-create-account-status 命令來查詢請求的目前狀態。

如需詳細資訊,請參閱《 AWS Organizations 使用者指南》中的在您的組織中建立 AWS 帳戶。

  • 如需 API 詳細資訊,請參閱《 AWS CLI 命令參考》中的 CreateAccount