Creazione di un account membro nell'organizzazione - AWS Organizations
Creazione di un Account AWS che fa parte dell'organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un account membro nell'organizzazione

In questa pagina viene descritto come creare Account AWS all'interno dell'organizzazione in AWS Organizations. Per ulteriori informazioni sulle nozioni di base su AWS e sulla creazione di un singolo Account AWS, consulta il Centro risorse per le nozioni di base.

Un'organizzazione è una raccolta di Account AWS che è possibile gestire centralmente. È possibile eseguire le seguenti procedure per gestire gli account che fanno parte dell'organizzazione:

Importante

  • Quando crei un account membro nell'organizzazione, AWS Organizations crea automaticamente un ruolo AWS Identity and Access Management (IAM) OrganizationAccountAccessRole nell'account membro che consente agli utenti e ai ruoli nell'account di gestione di esercitare il pieno controllo amministrativo sull'account membro. Questo ruolo è soggetto a qualsiasi policy di controllo dei servizi (SCP) che si applica all'account membro.

    AWS Organizations inoltre aggiunge automaticamente una policy gestita con il ruolo OrganizationAccountAccessRole dell'account membro. Ciò consente il controllo centralizzato, in modo che tutti gli account aggiuntivi collegati alla stessa policy gestita vengano aggiornati automaticamente ogni volta che la policy viene aggiornata. In precedenza, i nuovi account creati all'interno di un'organizzazione hanno aggiunto una policy in linea applicato solo a quel singolo account. Per ulteriori informazioni sulle policy inline, consulta Policy gestite e policy inline nella Guida per l'utente di IAM.

    Inoltre, AWS Organizations crea automaticamente anche un ruolo collegato al servizio denominato AWSServiceRoleForOrganizations che consente l'integrazione con determinati servizi AWS. È necessario configurare gli altri servizi per consentire l'integrazione. Per ulteriori informazioni, consulta AWS Organizations e ruoli collegati ai servizi.

  • Se questa organizzazione è gestita con AWS Control Tower, crea gli account utilizzando l'account factory AWS Control Tower nella console AWS Control Tower o con le API. Se crei un account in Organizations, tale account non viene registrato a AWS Control Tower. Per ulteriori informazioni, consulta Riferimento alle risorse esterne a AWS Control Tower nella Guida per l'utente di AWS Control Tower.

Nota

Gli Account AWS creati come parte di un'organizzazione non vengono automaticamente iscritti alle e-mail di marketing di AWS. Per attivare la ricezione delle e-mail di marketing per gli account, consulta https://pages.awscloud.com/communication-preferences.

Creazione di un Account AWS che fa parte dell'organizzazione

Una volta effettuato l'accesso all'account di gestione dell'organizzazione, è possibile creare account membri che fanno automaticamente parte dell'organizzazione. Quando crei un account utilizzando la seguente procedura, AWS Organizations copia automaticamente le seguenti informazioni relative al Contatto principale dall'account di gestione al nuovo account membro:

  • Numero di telefono

  • Company name (Nome dell'azienda)

  • L'URL del sito Web

  • Indirizzo

Copia inoltre il linguaggio di comunicazione e le informazioni del Marketplace (in alcuni casi il fornitore dell'account Regioni AWS) dall'account di gestione.

Nota

AWS non raccoglie automaticamente tutte le informazioni necessarie affinché un account membro funzioni come account standalone. Se è necessario rimuovere un account membro da un'organizzazione e renderlo un account standalone, è necessario fornire tali informazioni per l'account prima di poterlo rimuovere. Per ulteriori informazioni, consulta Abbandono di un'organizzazione da un account membro.

Autorizzazioni minime

Per creare un account membro nell'organizzazione, è necessario disporre delle seguenti autorizzazioni:

  • organizations:CreateAccount

  • organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations

  • iam:CreateServiceLinkedRole (concesso all'entità organizations.amazonaws.com per abilitare la creazione del ruolo collegato al servizio richiesto negli account membro).

AWS Management Console
Per creare un Account AWS che faccia automaticamente parte dell'organizzazione

  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nella pagina Account AWS, scegli Add an (Aggiungi un) Account AWS.

  3. Nella pagina Add an Account AWS (Aggiungi un), scegli Create an Account AWS (Crea un) (è selezionato per impostazione predefinita).

  4. Nella pagina Create an Account AWS (Crea un), per nomeAccount AWS inserisci il nome che desideri assegnare all'account. Questo nome consente di distinguere l'account da tutti gli altri account nell'organizzazione ed è separato dall'alias IAM o dal nome e-mail del proprietario.

  5. Per Email address of the account's owner (Indirizzo e-mail del proprietario dell'account), inserisci l'indirizzo e-mail del proprietario dell'account. Questo indirizzo e- mail non può essere già associato a un altro Account AWS perché diventa la credenziale del nome utente per l'utente root dell'account.

  6. (Facoltativo) Specifica il nome da assegnare al ruolo IAM che viene automaticamente creato nel nuovo account. Questo ruolo concede l'autorizzazione dell'account di gestione dell'organizzazione per accedere all'account membro appena creato. Se non specifichi un nome, AWS Organizations offre al ruolo un nome predefinito di OrganizationAccountAccessRole. Consigliamo di utilizzare il nome predefinito per tutti gli account per garantire coerenza.

    Importante

    Ricordare questo nome di ruolo. Sarà necessario in un secondo momento per concedere l'accesso al nuovo account per utenti e ruoli nell'account di gestione.

  7. (Facoltativo) Nella sezione Tag, aggiungi uno o più tag al nuovo account scegliendo Aggiungi tag e inserendo una chiave e facoltativamente un valore. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a un account.

  8. Scegli Create (Crea) Account AWS.

    Viene visualizzata la pagina Account AWS con il nuovo account aggiunto all'elenco.

  9. Ora che l'account esiste e ha un ruolo IAM che concede l'accesso di amministratore agli utenti nell'account di gestione, è possibile accedere all'account seguendo le fasi in Accesso agli account membri nell'organizzazione.

Nota

Quando crei un account, AWS Organizations assegna inizialmente all'utente root una password lunga (64 caratteri) e complessa, generata casualmente. Non è possibile recuperare questa password iniziale. Per accedere all'account come utente root per la prima volta, è necessario eseguire il processo di recupero della password. Per ulteriori informazioni, consulta Accesso a un account membro come utente root.

AWS CLI & AWS SDKs
Per creare un Account AWS che faccia automaticamente parte dell'organizzazione

È possibile utilizzare uno dei seguenti comandi per creare un account:

  • AWS CLI: create-account

    $ aws organizations create-account \
    --email susan@example.com \
    --account-name "Production Account"
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

    Puoi quindi verificare lo stato della creazione dell'account con il seguente comando.

    $ aws organizations describe-create-account-status \
    --create-account-request-id car-examplecreateaccountrequestid111
{
  "CreateAccountStatus": {
    "State": "SUCCEEDED",
    "AccountId": "555555555555",
    "AccountName": "Production account",
    "RequestedTimestamp": 1470684478.687,
    "CompletedTimestamp": 1470684532.472,
    "Id": "car-examplecreateaccountrequestid111"
  }
}

  • SDK AWS: CreateAccount