Criar uma conta-membro na sua organização - AWS Organizations
Criação de uma Conta da AWS que seja parte de sua organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma conta-membro na sua organização

Esta página descreve como criar Contas da AWS dentro da sua organização no AWS Organizations. Para saber mais sobre como começar a usar a AWS e como criar uma única Conta da AWS, consulte a Central de recursos de conceitos básicos.

Uma organização é uma coleção de Contas da AWS que você gerencia de forma centralizada. Você pode executar os procedimentos a seguir para gerenciar as contas que fazem parte da sua organização:

Importante

  • Quando você cria uma conta-membro em sua organização, o AWS Organizations cria automaticamente um perfil do AWS Identity and Access Management (IAM) OrganizationAccountAccessRole na conta-membro, permitindo que os usuários e perfis na conta de gerenciamento exerçam controle administrativo completo sobre a conta-membro. Essa função está sujeita a todas as políticas de controle de serviço (SCPs) aplicáveis à conta-membro.

    O AWS Organizations também adiciona automaticamente uma política gerenciada com a função OrganizationAccountAccessRole à conta-membro. Isso permite o controle centralizado, para que todas as contas adicionais anexadas à mesma política gerenciada sejam atualizadas automaticamente sempre que a política for atualizada. Anteriormente, novas contas criadas em uma organização receberam uma política em linha adicionada que era aplicável somente a essa única conta. Para mais informações sobre políticas em linha e gerenciadas, consulte Managed policies and inline policies (Políticas gerenciadas e políticas em linha) no Guia do usuário do IAM.

    O AWS Organizations também cria automaticamente uma função vinculada ao serviço chamada AWSServiceRoleForOrganizations que permite a integração com serviços selecionados da AWS. Você deve configurar os outros serviços para permitir a integração. Para obter mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

  • Se esta organização for gerenciada com o AWS Control Tower e criar suas contas usando o Account Factory do AWS Control Tower no console do AWS Control Tower ou APIs. Se você criar uma conta em Organizations (Organizações), essa conta não é inscrita no AWS Control Tower. Para obter mais informações, consulte Referência a recursos fora do AWS Control Tower no Manual do usuário do AWS Control Tower.

nota

As Contas da AWS que você cria como parte de uma organização não são inscritar automaticamente para receber e-mails de marketing da AWS. Para inscrever suas contas para receber e-mails de marketing, consulte https://pages.awscloud.com/communication-preferences.

Criação de uma Conta da AWS que seja parte de sua organização

Depois de fazer login na conta de gerenciamento da organização, você pode criar contas-membro que são automaticamente parte de sua organização. Ao criar uma conta usando o procedimento a seguir, o AWS Organizations copia automaticamente as seguintes informações de Contato principal da conta de gerenciamento para a nova conta-membro:

  • Número de telefone

  • Company name (Nome da empresa)

  • URL do site

  • Endereço

Ele também copia a linguagem de comunicação e as informações do Marketplace (fornecedor da conta em algumas Regiões da AWS) da conta de gerenciamento.

nota

O AWS não coleta automaticamente todas as informações necessárias para uma conta-membro operar como conta independente. Se você precisar remover a conta-membro da organização e torná-la uma conta autônoma, forneça essas informações da conta antes de removê-la. Para obter mais informações, consulte Sair de uma organização com sua conta-membro.

Permissões mínimas

Para criar uma conta membro em sua organização, você deve ter as seguintes permissões:

  • organizations:CreateAccount

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

  • iam:CreateServiceLinkedRole (concedido ao principal organizations.amazonaws.com para permitir a criação da função vinculada ao serviço necessária nas contas-membro).

AWS Management Console
Para criar uma Conta da AWS que automaticamente faça parte de sua organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, selecione Adicionar uma Conta da AWS.

  3. Na página Adicionar uma Conta da AWS, selecione Criar uma Conta da AWS (essa opção é escolhida por padrão).

  4. Na página Criar uma Conta da AWS, em Nome da Conta da AWS, insira o nome que deseja atribuir à conta. Esse nome ajuda você a distinguir a conta de todas as outras contas na organização e é distinto do alias do IAM ou do nome do e-mail do proprietário.

  5. Para Email address of the account's owner (Endereço de e-mail do proprietário da conta), insira o endereço de e-mail do proprietário da conta. Este endereço de e-mail não pode estar associado a outro Conta da AWS porque se torna a credencial de nome de usuário para o usuário-raiz da conta.

  6. (Opcional) Especifique o nome a ser atribuído à função do IAM que é criada automaticamente na nova conta. Essa função concede a permissão à conta de gerenciamento organização para acessar a conta-membro recém-criada. Se você não especificar um nome, o AWS Organizations dará à função o nome padrão de OrganizationAccountAccessRole. Recomendamos que você use o nome padrão em todas as contas, por consistência.

    Importante

    Lembre-se do nome do perfil. Você precisará dele posteriormente para conceder acesso à nova conta para usuários e perfis na conta de gerenciamento.

  7. (Opcional) Na seção Tags (Tags), adicione uma ou mais tags à nova conta selecionando Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma conta.

  8. Escolha CreateConta da AWS (Criar).

    A página Contas da AWS é exibida, com a nova conta adicionada à lista.

  9. Agora que a conta existe e tem uma função do IAM que concede acesso de administrador aos usuários da conta de gerenciamento, você pode acessar a conta seguindo as etapas em Acessar contas-membro em sua organização.

nota

Quando você cria uma conta, o AWS Organizations inicialmente atribui uma senha longa (64 caracteres), complexa e aleatória para o usuário-raiz. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha. Para obter mais informações, consulte Acessar a conta-membro como usuário-raiz.

AWS CLI & AWS SDKs
Para criar uma Conta da AWS que automaticamente faça parte de sua organização

Você pode usar um dos seguintes comandos para criar uma conta:

  • AWS CLI: create-account

    $ aws organizations create-account \
    --email susan@example.com \
    --account-name "Production Account"
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

    Você pode verificar o status da criação da conta com o seguinte comando.

    $ aws organizations describe-create-account-status \
    --create-account-request-id car-examplecreateaccountrequestid111
{
  "CreateAccountStatus": {
    "State": "SUCCEEDED",
    "AccountId": "555555555555",
    "AccountName": "Production account",
    "RequestedTimestamp": 1470684478.687,
    "CompletedTimestamp": 1470684532.472,
    "Id": "car-examplecreateaccountrequestid111"
  }
}

  • AWS SDKs: CreateAccount