Création d'un compte membre dans votre organisation

Une organisation est un ensemble d'organisations Comptes AWS que vous gérez de manière centralisée. Cette page décrit comment créer au Comptes AWS sein de votre organisation dans AWS Organizations. Pour plus d'informations sur la création d'un single Compte AWS, consultez le Centre de ressources pour la mise en route.

Vous pouvez suivre les procédures suivantes pour gérer les comptes qui font partie de votre organisation :

• Création d' Compte AWS une annonce intégrée à votre organisation

• Accès à un compte membre possédant un rôle d'accès au compte de gestion

Considérations à prendre en compte avant de créer un compte membre

Organizations crée automatiquement un rôle IAM pour le compte membre

Lorsque vous créez un compte membre dans votre organisation, Organizations crée automatiquement un rôle AWS Identity and Access Management (IAM) OrganizationAccountAccessRole dans le compte membre qui permet aux utilisateurs et aux rôles du compte de gestion d'exercer un contrôle administratif total sur le compte membre. Tous les comptes supplémentaires attachés à la même politique gérée seront automatiquement mis à jour chaque fois que la politique sera mise à jour. Ce rôle est soumis à toutes les politiques de contrôle des services qui s'appliquent au compte membre.

Organizations crée automatiquement un rôle lié à un service pour le compte du membre

Lorsque vous créez un compte membre dans votre organisation, Organizations crée automatiquement un rôle lié à un service AWSServiceRoleForOrganizations dans le compte membre qui permet l'intégration à certains services. AWS Vous devez configurer les autres services pour permettre l'intégration. Pour plus d’informations, consultez AWS Organizations et rôles liés à un service.

Les comptes membres peuvent nécessiter des informations supplémentaires pour fonctionner en tant que compte autonome

AWS ne collecte pas automatiquement toutes les informations requises pour qu'un compte membre fonctionne comme un compte autonome. Si vous souhaitez supprimer un compte membre d'une organisation et en faire un compte autonome, vous devez fournir ces informations pour le compte avant de pouvoir le supprimer. Pour plus d’informations, consultez Quitter une organisation depuis votre compte membre.

Les comptes membres ne peuvent être créés qu'à la racine d'une organisation

Les comptes membres d'une organisation ne peuvent être créés qu'à la racine d'une organisation, et non dans aucune autre unité organisationnelle (UO). Après avoir créé le compte de membre racine d'une organisation, vous pouvez le déplacer entre les unités d'organisation. Pour plus d’informations, consultez Déplacement de comptes vers une unité d'organisation ou entre la racine et des unités d'organisation.

Les comptes membres des organisations gérées par AWS Control Tower doivent être créés dans AWS Control Tower

Si votre organisation est gérée par AWS Control Tower, créez vos comptes membres à l'aide de la fabrique de AWS Control Tower comptes de la AWS Control Tower console ou à l'aide AWS Control Tower des API. Si vous créez un compte membre dans Organizations alors que l'organisation est gérée par AWS Control Tower, le compte ne sera pas inscrit auprès de ce compte AWS Control Tower. Pour de plus amples informations, consultez Référence à des ressources en dehors de AWS Control Tower dans le Guide de l'utilisateur de AWS Control Tower .

Les comptes membres doivent s'inscrire pour recevoir des e-mails marketing

Les comptes de membres que vous créez dans le cadre d'une organisation ne sont pas automatiquement abonnés aux e-mails AWS marketing. Pour inscrire vos comptes à la réception d'e-mails de marketing, consultez https://pages.awscloud.com/communication-preferences.

Création d' Compte AWS une annonce intégrée à votre organisation

Après vous être connecté au compte de gestion de l'organisation, vous pouvez créer des comptes membres qui font automatiquement partie de votre organisation. Lorsque vous créez un compte à l'aide de la procédure suivante, copie AWS Organizations automatiquement les informations de contact principal suivantes du compte de gestion vers le nouveau compte membre :

• Phone number (Numéro de téléphone)

• Nom de la société

• URL du site Web

• Address

Il copie également le langage de communication et les informations Marketplace (fournisseur du compte dans certains cas Régions AWS) à partir du compte de gestion.

Autorisations minimales

Pour créer un compte membre dans votre organisation, vous devez disposer des autorisations suivantes :

• organizations:CreateAccount

• organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

• iam:CreateServiceLinkedRole (accordé au principal organizations.amazonaws.com pour permettre la création du rôle lié à un service requis dans les comptes membres).

AWS Management Console

Pour créer une Compte AWS annonce intégrée automatiquement à votre organisation

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Comptes AWS, choisissez Ajouter un Compte AWS.

3. Sur la page Ajouter un Compte AWS, choisissez Créer un Compte AWS (cette option est choisie par défaut).

4. Sur la page Créer un Compte AWS, pour Compte AWS Nom saisissez le nom que vous souhaitez attribuer au compte. Ce nom vous aide à distinguer le compte de tous les autres comptes de l'organisation et il est différent de l'alias IAM ou de l'e-mail du propriétaire.

5. Pour Adresse e-mail du propriétaire du compte, saisissez l'adresse e-mail du propriétaire du compte. Cette adresse e-mail ne peut pas déjà être associée à une autre Compte AWS car elle devient le nom d'utilisateur de l'utilisateur root du compte.

6. (Facultatif) Spécifiez le nom à attribuer au rôle IAM qui est automatiquement créé dans le nouveau compte. Ce rôle accorde au compte de gestion de l'organisation l'autorisation d'accéder au compte membre nouvellement créé. Si vous ne spécifiez pas de nom, AWS Organizations donne au rôle le nom par défaut deOrganizationAccountAccessRole. Nous vous recommandons d'utiliser le nom par défaut sur tous vos comptes pour assurer la cohérence.

   Important

   N'oubliez pas ce nom de rôle. Vous en aurez besoin ultérieurement pour accorder l'accès au nouveau compte aux utilisateurs et rôles du compte de gestion.

7. (Facultatif) Dans la section Balises, ajoutez une ou plusieurs balises au nouveau compte en choisissant Ajouter une balise, puis en saisissant une clé et une valeur facultative. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null. Vous pouvez attacher jusqu'à 50 balises à un compte.

8. Choisissez Créer un Compte AWS.

   • Si vous obtenez une erreur qui indique que vous avez dépassé votre quota de comptes pour l'organisation, consultez J'obtiens un message « Quota dépassé » lorsque j'essaie d'ajouter un compte à mon organisation..

   • Si vous obtenez une erreur qui indique que vous ne pouvez pas ajouter un compte parce que votre organisation est toujours en cours d'initialisation, attendez une heure, puis réessayez.

   • Vous pouvez également consulter le AWS CloudTrail journal pour savoir si la création du compte a été réussie. Pour plus d’informations, consultez Connexion et surveillance AWS Organizations.

   • Si vous obtenez toujours la même erreur, contactez AWS Support.

   La page Comptes AWS apparaît ; votre nouveau compte a été ajouté à la liste.

9. Maintenant que le compte existe et qu'il dispose d'un rôle IAM qui accorde l'accès administrateur aux utilisateurs du compte de gestion, vous pouvez y accéder en suivant les étapes indiquées dans Accès et administration des comptes membres de votre organisation.

Note

Lorsque vous créez un compte, un mot de passe long (64 caractères), complexe et généré aléatoirement est AWS Organizations initialement attribué à l'utilisateur root. Vous ne pouvez pas récupérer ce mot de passe initial. Pour accéder au compte en tant qu'utilisateur racine pour la première fois, vous devez suivre le processus de récupération du mot de passe. Pour plus d’informations, consultez Accès à un compte membre en tant qu'utilisateur racine.

AWS CLI et AWS kits de développement logiciel

Les exemples de code suivants montrent comment utiliserCreateAccount.

.NET

AWS SDK for .NET

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

• Pour plus de détails sur l'API, reportez-vous CreateAccountà la section Référence des AWS SDK for .NET API.

CLI

AWS CLI

Pour créer un compte membre qui fait automatiquement partie de l'organisation

L'exemple suivant montre comment créer un compte membre dans une organisation. Le compte membre est configuré avec le nom Compte de production et l'adresse e-mail susan@example.com. Organizations crée automatiquement un rôle IAM en utilisant le nom par défaut, OrganizationAccountAccessRole car le paramètre RoleName n'est pas spécifié. En outre, le paramètre qui permet aux utilisateurs ou aux rôles IAM disposant d'autorisations suffisantes d'accéder aux données de facturation du compte est défini sur la valeur par défaut ALLOW car le IamUserAccessToBilling paramètre n'est pas spécifié. Organizations envoie automatiquement à Susan un e-mail « Bienvenue à AWS » :

aws organizations create-account --email susan@example.com --account-name "Production Account"

La sortie inclut un objet de demande qui indique que le statut est désormais le suivant IN_PROGRESS :

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Vous pouvez ultérieurement demander l'état actuel de la demande en fournissant la valeur de réponse Id à la describe-create-account-status commande comme valeur du create-account-request-id paramètre.

Pour plus d'informations, consultez la section Création d'un AWS compte dans votre organisation dans le Guide de l'utilisateur AWS des Organizations.

• Pour plus de détails sur l'API, reportez-vous CreateAccountà la section Référence des AWS CLI commandes.