Creazione di un account membro nell'organizzazione

Un'organizzazione è un insieme di elementi Account AWS che gestisci centralmente. Questa pagina descrive come creare all' Account AWS interno della propria organizzazione in AWS Organizations. Per informazioni sulla creazione di un singolo Account AWS, consulta il Getting Started Resource Center.

Puoi eseguire le seguenti procedure per gestire gli account che fanno parte della tua organizzazione:

• Creare un account Account AWS che faccia parte della tua organizzazione

• Accesso a un account membro con ruolo di accesso all'account di gestione

Considerazioni prima di creare un account membro

Organizations crea automaticamente un ruolo IAM per l'account membro

Quando crei un account membro nella tua organizzazione, Organizations crea automaticamente un ruolo AWS Identity and Access Management (IAM) OrganizationAccountAccessRole nell'account membro che consente agli utenti e ai ruoli dell'account di gestione di esercitare il pieno controllo amministrativo sull'account membro. Tutti gli account aggiuntivi collegati alla stessa policy gestita verranno aggiornati automaticamente ogni volta che la policy viene aggiornata. Questo ruolo è soggetto a qualsiasi policy di controllo dei servizi (SCP) che si applica all'account membro.

Organizations crea automaticamente un ruolo collegato al servizio per l'account membro

Quando crei un account membro nella tua organizzazione, Organizations crea automaticamente un ruolo collegato ai servizi AWSServiceRoleForOrganizations nell'account membro che consente l'integrazione con servizi selezionati. AWS È necessario configurare gli altri servizi per consentire l'integrazione. Per ulteriori informazioni, consulta AWS Organizations e ruoli collegati ai servizi.

Gli account dei membri possono richiedere informazioni aggiuntive per funzionare come account autonomo

AWS non raccoglie automaticamente tutte le informazioni necessarie affinché un account membro funzioni come account autonomo. Se è necessario rimuovere un account membro da un'organizzazione e renderlo un account standalone, è necessario fornire tali informazioni per l'account prima di poterlo rimuovere. Per ulteriori informazioni, consulta Abbandono di un'organizzazione da un account membro.

Gli account dei membri possono essere creati solo nella sede principale di un'organizzazione

Gli account dei membri di un'organizzazione possono essere creati solo nella radice di un'organizzazione e non in altre unità organizzative (OU). Dopo aver creato un account membro principale di un'organizzazione, è possibile spostarlo tra le unità organizzative. Per ulteriori informazioni, consulta Trasferimento di un account a un'UO o tra root e UO.

Gli account dei membri per le organizzazioni gestite da AWS Control Tower devono essere creati in AWS Control Tower

Se la tua organizzazione è gestita da AWS Control Tower, crea i tuoi account membro utilizzando l' AWS Control Tower account factory nella AWS Control Tower console o utilizzando le AWS Control Tower API. Se crei un account membro in Organizations quando l'organizzazione è gestita da AWS Control Tower, l'account non verrà registrato con AWS Control Tower. Per ulteriori informazioni, consulta Riferimento alle risorse esterne a AWS Control Tower nella Guida per l'utente di AWS Control Tower .

Gli account dei membri devono attivare la ricezione di e-mail di marketing

Gli account dei membri che crei come parte di un'organizzazione non vengono automaticamente iscritti alle e-mail AWS di marketing. Per attivare la ricezione delle e-mail di marketing per gli account, consulta https://pages.awscloud.com/communication-preferences.

Creare un account Account AWS che faccia parte della tua organizzazione

Una volta effettuato l'accesso all'account di gestione dell'organizzazione, è possibile creare account membri che fanno automaticamente parte dell'organizzazione. Quando crei un account utilizzando la procedura seguente, copia AWS Organizations automaticamente le seguenti informazioni di contatto principale dall'account di gestione all'account del nuovo membro:

• Numero di telefono

• Company name (Nome dell'azienda)

• L'URL del sito Web

• Indirizzo

Copia inoltre il linguaggio di comunicazione e le informazioni del Marketplace (in alcuni casi il fornitore dell'account Regioni AWS) dall'account di gestione.

Autorizzazioni minime

Per creare un account membro nell'organizzazione, è necessario disporre delle seguenti autorizzazioni:

• organizations:CreateAccount

• organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations

• iam:CreateServiceLinkedRole (concesso all'entità organizations.amazonaws.com per abilitare la creazione del ruolo collegato al servizio richiesto negli account membro).

AWS Management Console

Per creare un account Account AWS che faccia automaticamente parte della tua organizzazione

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina Account AWS, scegli Add an (Aggiungi un) Account AWS.

3. Nella pagina Add an Account AWS (Aggiungi un), scegli Create an Account AWS (Crea un) (è selezionato per impostazione predefinita).

4. Nella pagina Create an Account AWS (Crea un), per nome Account AWS inserisci il nome che desideri assegnare all'account. Questo nome consente di distinguere l'account da tutti gli altri account nell'organizzazione ed è separato dall'alias IAM o dal nome e-mail del proprietario.

5. Per Email address of the account's owner (Indirizzo e-mail del proprietario dell'account), inserisci l'indirizzo e-mail del proprietario dell'account. Questo indirizzo e-mail non può essere già associato a un altro Account AWS perché diventa la credenziale del nome utente per l'utente root dell'account.

6. (Facoltativo) Specifica il nome da assegnare al ruolo IAM che viene automaticamente creato nel nuovo account. Questo ruolo concede l'autorizzazione dell'account di gestione dell'organizzazione per accedere all'account membro appena creato. Se non si specifica un nome, AWS Organizations assegna al ruolo un nome predefinito diOrganizationAccountAccessRole. Consigliamo di utilizzare il nome predefinito per tutti gli account per garantire coerenza.

   Importante

   Ricordare questo nome di ruolo. Sarà necessario in un secondo momento per concedere l'accesso al nuovo account per utenti e ruoli nell'account di gestione.

7. (Facoltativo) Nella sezione Tag, aggiungi uno o più tag al nuovo account scegliendo Aggiungi tag e inserendo una chiave e facoltativamente un valore. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a un account.

8. Scegli Create (Crea) Account AWS.

   • Se ricevi un messaggio di errore che indica che sono stati superati la quota di account per l'organizzazione, consulta Visualizzo un messaggio di "quota superata" quando cerco di aggiungere un account alla mia organizzazione.

   • Se si riceverà un messaggio di errore che indica che non è possibile aggiungere un account perché l'inizializzazione dell'organizzazione è ancora in corso, attendere un'ora e riprovare.

   • Puoi anche controllare il AWS CloudTrail registro per verificare se la creazione dell'account è avvenuta con successo. Per ulteriori informazioni, consulta Registrazione e monitoraggio AWS Organizations.

   • Se l'errore persiste, contatta AWS Support.

   Viene visualizzata la pagina Account AWS con il nuovo account aggiunto all'elenco.

9. Ora che l'account esiste e ha un ruolo IAM che concede l'accesso di amministratore agli utenti nell'account di gestione, è possibile accedere all'account seguendo le fasi in Accesso agli account membri nell'organizzazione.

Nota

Quando si crea un account, AWS Organizations inizialmente assegna una password lunga (64 caratteri), complessa e generata casualmente all'utente root. Non è possibile recuperare questa password iniziale. Per accedere all'account come utente root per la prima volta, è necessario eseguire il processo di recupero della password. Per ulteriori informazioni, consulta Accesso a un account membro come utente root.

AWS CLI & SDK AWS

I seguenti esempi di codice mostrano come usareCreateAccount.

.NET

AWS SDK for .NET

Nota

C'è altro da fare GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

• Per i dettagli sull'API, CreateAccountconsulta AWS SDK for .NET API Reference.

CLI

AWS CLI

Per creare un account membro che faccia automaticamente parte dell'organizzazione

L'esempio seguente mostra come creare un account membro in un'organizzazione. L'account membro è configurato con il nome Account di produzione e l'indirizzo e-mail susan@example.com. Organizations crea automaticamente un ruolo IAM utilizzando il nome predefinito di OrganizationAccountAccessRole perché il parametro RoleName non è specificato. Inoltre, l'impostazione che consente agli utenti o ai ruoli IAM con autorizzazioni sufficienti di accedere ai dati di fatturazione dell'account viene impostata sul valore predefinito di ALLOW perché il IamUserAccessToBilling parametro non è specificato. Organizations invia automaticamente a Susan un'e-mail di «Benvenuto a AWS»:

aws organizations create-account --email susan@example.com --account-name "Production Account"

L'output include un oggetto di richiesta che mostra che lo stato è oraIN_PROGRESS:

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Successivamente è possibile interrogare lo stato corrente della richiesta fornendo il valore di risposta Id al describe-create-account-status comando come valore per il create-account-request-id parametro.

Per ulteriori informazioni, consulta Creare un AWS account nella tua organizzazione nella AWS Organizations Users Guide.

• Per i dettagli sull'API, consulta CreateAccount AWS CLICommand Reference.