Creación de una cuenta miembro en su organización

Una organización es un conjunto de elementos Cuentas de AWS que se administran de forma centralizada. En esta página se describe cómo crear Cuentas de AWS dentro de su organización en AWS Organizations. Para obtener información sobre cómo crear una única Cuenta de AWS, consulta el Centro de recursos de introducción.

Puede realizar los siguientes procedimientos para administrar las cuentas que forman parte de su organización:

• Crear una Cuenta de AWS que forme parte de tu organización

• Acceso a una cuenta miembro con un rol de acceso a la cuenta de administración

Consideraciones antes de crear una cuenta de miembro

Organizations crea automáticamente un IAM rol para la cuenta del miembro

Al crear una cuenta de miembro en su organización, Organizations crea automáticamente un rol AWS Identity and Access Management (IAM) OrganizationAccountAccessRole en la cuenta de miembro que permite a los usuarios y roles de la cuenta de administración ejercer un control administrativo total sobre la cuenta de miembro. Todas las cuentas adicionales asociadas a la misma política gestionada se actualizarán automáticamente cada vez que se actualice la política. Esta función está sujeta a cualquier política de control de servicios (SCPs) que se aplique a la cuenta del miembro.

Organizations crea automáticamente un rol vinculado al servicio para la cuenta del miembro

Al crear una cuenta de miembro en su organización, Organizations crea automáticamente un rol vinculado al servicio AWSServiceRoleForOrganizations en la cuenta de miembro que permite la integración con servicios seleccionados AWS . Debe configurar los demás servicios para permitir la integración. Para obtener más información, consulte AWS Organizations y funciones vinculadas al servicio.

Las cuentas de los miembros pueden requerir información adicional para funcionar como una cuenta independiente

AWS no recopila automáticamente toda la información necesaria para que la cuenta de un miembro funcione como una cuenta independiente. Si alguna vez necesita eliminar la cuenta miembro de la organización y convertirla en cuenta independiente, debe proporcionar la información solicitada para la cuenta antes de poder eliminarla. Para obtener más información, consulte Abandonar una organización desde su cuenta de miembro.

Las cuentas de los miembros solo se crean en la raíz de una organización

Las cuentas de los miembros de una organización solo se pueden crear en la raíz de una organización y no en ninguna otra unidad organizativa (OUs). Después de crear la raíz de una cuenta de miembro de una organización, puedes moverla de una a otraOUs. Para obtener más información, consulte Mover cuentas a una OU o entre la raíz y OUs.

Las cuentas de los miembros de las organizaciones administradas por AWS Control Tower deben crearse en AWS Control Tower

Si su organización está administrada por AWS Control Tower, cree sus cuentas de miembro utilizando la fábrica de AWS Control Tower cuentas de la AWS Control Tower consola o utilizando el AWS Control Tower APIs. Si creas una cuenta de miembro en Organizations cuando la organización está gestionada por la organización AWS Control Tower, la cuenta no se inscribirá en ella AWS Control Tower. Para obtener más información, consulte Referencia del tipo de recurso fuera de AWS Control Tower en la Guía del usuario AWS Control Tower .

Las cuentas de los miembros deben optar por recibir correos electrónicos de marketing

Las cuentas de miembros que cree como parte de una organización no se suscriben automáticamente a los correos electrónicos de AWS marketing. Para suscribir sus cuentas para recibir correos electrónicos de marketing, consulte https://pages.awscloud.com/communication-preferences.

Crear una Cuenta de AWS que forme parte de tu organización

Luego de iniciar sesión en la cuenta de administración de la organización, puede crear cuentas que se conviertan automáticamente en cuentas miembro de su organización. Al crear una cuenta mediante el siguiente procedimiento, copia AWS Organizations automáticamente la siguiente información de contacto principal de la cuenta de administración a la cuenta del nuevo miembro:

• Número de teléfono

• Nombre de la empresa

• Sitio web URL

• Dirección

También copia el idioma de comunicación y la información de Marketplace (en algunos casos, el proveedor de la cuenta Regiones de AWS) de la cuenta de administración.

Permisos mínimos

Para crear una cuenta miembro en su organización, debe contar con los permisos siguientes:

• organizations:CreateAccount

• organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

• iam:CreateServiceLinkedRole ( concedido a la entidad principal organizations.amazonaws.com para permitir la creación del rol vinculado al servicio requerido en las cuentas miembro).

AWS Management Console

Para crear una Cuenta de AWS que forme parte automáticamente de su organización

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Cuentas de AWS, elija Agregar un Cuenta de AWS.

3. En la página Agregar una Cuenta de AWS, elija Crear una Cuenta de AWS (se elige de forma predeterminada).

4. En la página Crear una Cuenta de AWS, para Nombre de Cuenta de AWS ingrese el nombre que desee asignar a la cuenta. Este nombre le ayuda a distinguir la cuenta de todas las demás cuentas de la organización y es independiente del IAM alias o el nombre de correo electrónico del propietario.

5. Para Dirección de correo electrónico del propietario de la cuenta, ingrese la dirección de correo electrónico del propietario de la cuenta. Esta dirección de correo electrónico no puede estar asociada ya Cuenta de AWS a otra porque se convierte en la credencial del nombre de usuario del usuario raíz de la cuenta.

6. (Opcional) Especifique el nombre que desea asignar al IAM rol que se crea automáticamente en la nueva cuenta. Este rol concede a la cuenta de administración de la organización el permiso para tener acceso a la cuenta miembro que acaba de crear. Si no especifica un nombre, AWS Organizations asigna al rol un nombre predeterminado deOrganizationAccountAccessRole. Recomendamos que utilice el nombre predeterminado en todas sus cuentas para mayor coherencia.

   importante

   Recuerde este nombre de rol. Lo necesitará más adelante para conceder acceso a la nueva cuenta a los usuarios y roles de la cuenta de administración.

7. (Opcional) En la sección Etiquetas, agregue una o varias etiquetas con Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede asociar hasta 50 etiquetas a una cuenta.

8. Seleccione Crear Cuenta de AWS.

   • Si aparece un error que indica que ha superado la cuota de cuenta de la organización, consulte Obtengo un mensaje de "cuota superada" cuando intento agregar una cuenta a mi organización.

   • Si obtiene un error que indica que no puede añadir una cuenta porque la organización todavía se está inicializando, espere una hora y vuelva a intentarlo.

   • También puede consultar el AWS CloudTrail registro para obtener información sobre si la creación de la cuenta se ha realizado correctamente. Para obtener más información, consulte Inicio de sesión y supervisión AWS Organizations.

   • Si el error persiste, póngase en contacto con AWS Support.

   La página Cuentas de AWS aparece, con su cuenta nueva agregada a la lista.

9. Ahora que la cuenta existe y tiene un IAM rol que otorga acceso de administrador a los usuarios de la cuenta de administración, puede acceder a la cuenta siguiendo los pasos que se indicanAcceso a las cuentas miembro de la organización.

nota

Al crear una cuenta, AWS Organizations inicialmente asigna al usuario root una contraseña larga (64 caracteres), compleja y generada aleatoriamente. No puede recuperar esta contraseña inicial. Para obtener acceso a la cuenta como usuario raíz por primera vez, debe seguir el proceso de recuperación de contraseña. Para obtener más información, consulte Acceso a una cuenta miembro como usuario raíz.

AWS CLI & AWS SDKs

En los siguientes ejemplos de código, se muestra cómo utilizar CreateAccount.

.NET

AWS SDK for .NET

nota

Hay más información. GitHub Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

• Para API obtener más información, consulte CreateAccountla AWS SDK for .NET APIReferencia.

CLI

AWS CLI

Creación de una cuenta miembro que forme parte automáticamente de la organización

En el siguiente ejemplo se muestra cómo crear una cuenta miembro en una organización. La cuenta miembro se configura con el nombre Production Account y la dirección de correo electrónico susan@example.com. Organizations crea automáticamente un IAM rol con el nombre predeterminado de OrganizationAccountAccessRole porque el roleName parámetro no está especificado. Además, la configuración que permite a IAM los usuarios o roles con permisos suficientes acceder a los datos de facturación de la cuenta se establece en el valor predeterminado de ALLOW porque el IamUserAccessToBilling parámetro no está especificado. Organizations envía automáticamente a Susan un correo electrónico de AWS bienvenida a:

aws organizations create-account --email susan@example.com --account-name "Production Account"

La salida incluye un objeto de solicitud que muestra que el estado ahora es IN_PROGRESS:

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Más adelante, puede consultar el estado actual de la solicitud proporcionando el valor de respuesta Id al describe-create-account-status comando como valor del create-account-request-id parámetro.

Para obtener más información, consulte Crear una AWS cuenta en su organización en la Guía del AWS usuario de Organizations.

• Para API obtener más información, consulte CreateAccountla Referencia de AWS CLI comandos.