Criação de uma Conta da AWS em sua organização - AWS Organizations

Criação de uma Conta da AWS em sua organização

Esta página descreve como criar contas dentro da sua organização no AWS Organizations. Para saber mais sobre como começar a usar a AWS e como criar uma única Conta da AWS, consulte a Central de recursos de conceitos básicos.

Uma organização é uma coleção de Contas da AWS que você gerencia de forma centralizada. Você pode executar os procedimentos a seguir para gerenciar as contas que fazem parte da sua organização:

Importante
  • Quando você cria uma conta-membro em sua organização, o AWS Organizations cria automaticamente uma função OrganizationAccountAccessRole do AWS Identity and Access Management (IAM) na conta-membro, permitindo que os usuários do IAM na conta de gerenciamento exerçam controle administrativo completo sobre a conta-membro. Essa função está sujeita a todas as políticas de controle de serviço (SCPs) aplicáveis à conta-membro.

    O AWS Organizations também adiciona automaticamente uma política gerenciada com a função OrganizationAccountAccessRole à conta-membro. Isso permite o controle centralizado, para que todas as contas adicionais anexadas à mesma política gerenciada sejam atualizadas automaticamente sempre que a política for atualizada. Anteriormente, novas contas criadas em uma organização receberam uma política em linha adicionada que era aplicável somente a essa única conta. Para mais informações sobre políticas em linha e gerenciadas, consulte Managed policies and inline policies (Políticas gerenciadas e políticas em linha) no Guia do usuário do IAM.

    O AWS Organizations também cria automaticamente uma função vinculada ao serviço chamada AWSServiceRoleForOrganizations que permite a integração com serviços selecionados da AWS. Você deve configurar os outros serviços para permitir a integração. Para mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

  • Se esta organização for gerenciada com o AWS Control Tower e criar suas contas usando o Account Factory do AWS Control Tower no console do AWS Control Tower ou APIs. Se você criar uma conta em Organizations (Organizações), essa conta não é inscrita no AWS Control Tower. Para obter mais informações, consulte Referência a recursos fora do AWS Control Tower no Manual do usuário do AWS Control Tower.

nota

As Contas da AWS que você cria como parte de uma organização não são inscritar automaticamente para receber e-mails de marketing da AWS. Para inscrever suas contas para receber e-mails de marketing, consulte https://pages.awscloud.com/communication-preferences.

Criação de uma Conta da AWS que seja parte de sua organização

Quando faz login na conta de gerenciamento da organização, você pode criar contas-membro que são automaticamente parte de sua organização. Para fazer isso, conclua as seguintes etapas.

Quando você cria uma conta usando o procedimento a seguir, o Organizações copia automaticamente as seguintes informações da conta de gerenciamento para a nova conta-membro:

  • Nome da conta

  • Número de telefone

  • Company name (Nome da empresa)

  • URL do cliente

  • E-mail do contato da empresa

  • Idioma da comunicação

  • Marketplace (fornecedor da conta em algumas Regiões da AWS)

O AWS não coleta automaticamente todas as informações necessárias para uma conta operar como conta independente. Se você precisar remover a conta da organização e torná-la uma conta autônoma, forneça essas informações da conta antes de removê-la. Para mais informações, consulte Deixar uma organização como uma conta-membro.

Permissões mínimas

Para criar uma conta membro em sua organização, você deve ter as seguintes permissões:

  • organizations:CreateAccount

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

  • iam:CreateServiceLinkedRole (concedido ao principal organizations.amazonaws.com para permitir a criação da função vinculada ao serviço necessária nas contas-membro).

AWS Management Console

Para criar uma Conta da AWS que automaticamente faça parte de sua organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, selecione Add an Conta da AWS (Adicionar uma Conta da AWS).

  3. Na página Add an Conta da AWS (Adicionar uma Conta da AWS), selecione Create an Conta da AWS (Criar uma Conta da AWS) (essa opção é escolhida por padrão).

  4. Na página Create an Conta da AWS (Criar uma Conta da AWS), em Conta da AWS name (Nome da Conta da AWS), insira o nome que deseja atribuir à conta. Esse nome ajuda você a distinguir a conta de todas as outras contas na organização e é distinto do alias do IAM ou do nome do e-mail do proprietário.

  5. Para Email address of the account's owner (Endereço de e-mail do proprietário da conta), insira o endereço de e-mail do proprietário da conta. Este endereço de e-mail não pode estar associado a outro Conta da AWS porque se torna a credencial de nome de usuário para o usuário-raiz da conta.

  6. (Opcional) Especifique o nome a ser atribuído à função do IAM que é criada automaticamente na nova conta. Essa função concede a permissão à conta de gerenciamento organização para acessar a conta-membro recém-criada. Se você não especificar um nome, o AWS Organizations dará à função o nome padrão de OrganizationAccountAccessRole. Recomendamos que você use o nome padrão em todas as contas, por consistência.

    Importante

    Lembre-se do nome da função. Você precisará dele posteriormente para conceder acesso à nova conta para usuários do IAM na conta de gerenciamento.

  7. (Opcional) Na seção Add tags (Adicionar tags), adicione uma ou mais tags à nova conta selecionando Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma conta.

  8. Escolha CreateConta da AWS (Criar OpsItem).

    A página Contas da AWS é exibida, com a nova conta adicionada à lista.

  9. Agora que a conta existe e tem uma função do IAM que concede acesso de administrador aos usuários da conta de gerenciamento, você pode acessar a conta seguindo as etapas em Acessar e administrar as contas-membro em sua organização.

nota

Quando você cria uma conta, o AWS Organizations inicialmente atribui uma senha longa (64 caracteres), complexa e aleatória para o usuário-raiz. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha. Para mais informações, consulte Acessar a conta-membro como usuário-raiz.

AWS CLI & AWS SDKs

Para criar uma Conta da AWS que automaticamente faça parte de sua organização

Você pode usar um dos seguintes comandos para criar uma conta:

  • AWS CLI: create-account

    $ aws organizations create-account \ --email susan@example.com \ --account-name "Production Account" { "CreateAccountStatus": { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111" } }

    Você pode verificar o status da criação da conta com o seguinte comando.

    $ aws organizations describe-create-account-status \ --create-account-request-id car-examplecreateaccountrequestid111 { "CreateAccountStatus": { "State": "SUCCEEDED", "AccountId": "555555555555", "AccountName": "Production account", "RequestedTimestamp": 1470684478.687, "CompletedTimestamp": 1470684532.472, "Id": "car-examplecreateaccountrequestid111" } }
  • AWS SDKs: CreateAccount