As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar uma conta-membro na sua organização
Uma organização é uma coleção Contas da AWS que você gerencia centralmente. Esta página descreve como criar Contas da AWS em sua organização em AWS Organizations. Para obter informações sobre como criar um single Conta da AWS, consulte o Centro de recursos de introdução
Você pode seguir os procedimentos a seguir para gerenciar as contas que fazem parte da sua organização:
Considerações antes de criar uma conta de membro
Organizations cria automaticamente uma função do IAM para a conta do membro.
Quando você cria uma conta de membro em sua organização, a Organizations cria automaticamente uma função AWS Identity and Access Management (IAM) OrganizationAccountAccessRole
na conta de membro que permite que usuários e funções na conta de gerenciamento exerçam controle administrativo total sobre a conta membro. Todas as contas adicionais vinculadas à mesma política gerenciada serão atualizadas automaticamente sempre que a política for atualizada. Essa função está sujeita a todas as políticas de controle de serviço (SCPs) aplicáveis à conta-membro.
Organizations cria automaticamente uma função vinculada ao serviço para a conta do membro
Quando você cria uma conta de membro em sua organização, o Organizations cria automaticamente uma função vinculada ao serviço AWSServiceRoleForOrganizations
na conta do membro que permite a integração com serviços selecionados. AWS
Você deve configurar os outros serviços para permitir a integração. Para ter mais informações, consulte AWS Organizations e funções vinculadas ao serviço.
As contas dos membros podem exigir informações adicionais para operar como uma conta independente.
AWS não coleta automaticamente todas as informações necessárias para que uma conta de membro funcione como uma conta independente. Se você precisar remover a conta-membro da organização e torná-la uma conta autônoma, forneça essas informações da conta antes de removê-la. Para ter mais informações, consulte Sair de uma organização com sua conta-membro.
As contas de membros só podem ser criadas na raiz de uma organização
As contas de membros em uma organização só podem ser criadas na raiz de uma organização e não em outras unidades organizacionais (OUs). Depois de criar uma conta de membro raiz de uma organização, você pode movê-la entre OUs. Para ter mais informações, consulte Movimentação de contas para uma UO ou entre a raiz e as UOs.
As contas de membros de organizações gerenciadas por AWS Control Tower devem ser criadas em AWS Control Tower
Se sua organização for gerenciada por AWS Control Tower, crie suas contas de membros usando a fábrica de AWS Control Tower contas no AWS Control Tower console ou usando as AWS Control Tower APIs. Se você criar uma conta de membro em Organizations quando a organização for gerenciada por AWS Control Tower, a conta não será registrada com AWS Control Tower. Para obter mais informações, consulte Referência a recursos fora do AWS Control Tower no Manual do usuário do AWS Control Tower .
As contas dos membros devem optar por receber e-mails de marketing
As contas de membros que você cria como parte de uma organização não são automaticamente inscritas em e-mails AWS de marketing. Para inscrever suas contas para receber e-mails de marketing, consulte https://pages.awscloud.com/communication-preferences
Criando um Conta da AWS que faça parte da sua organização
Depois de fazer login na conta de gerenciamento da organização, você pode criar contas-membro que são automaticamente parte de sua organização. Ao criar uma conta usando o procedimento a seguir, copia AWS Organizations automaticamente as seguintes informações de contato principal da conta de gerenciamento para a nova conta de membro:
-
Número de telefone
-
Company name (Nome da empresa)
-
URL do site
-
Endereço
Ele também copia a linguagem de comunicação e as informações do Marketplace (fornecedor da conta em alguns casos Regiões da AWS) da conta de gerenciamento.
Permissões mínimas
Para criar uma conta membro em sua organização, você deve ter as seguintes permissões:
-
organizations:CreateAccount
-
organizations:DescribeOrganization
– necessário somente ao usar o console do Organizations -
iam:CreateServiceLinkedRole
(concedido ao principalorganizations.amazonaws.com
para permitir a criação da função vinculada ao serviço necessária nas contas-membro).
Para criar um Conta da AWS que seja automaticamente parte da sua organização
-
Faça login no console do AWS Organizations
. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização. -
Na página Contas da AWS
, selecione Adicionar uma Conta da AWS. -
Na página Adicionar uma Conta da AWS
, selecione Criar uma Conta da AWS (essa opção é escolhida por padrão). -
Na página Criar uma Conta da AWS
, em Nome da Conta da AWS , insira o nome que deseja atribuir à conta. Esse nome ajuda você a distinguir a conta de todas as outras contas na organização e é distinto do alias do IAM ou do nome do e-mail do proprietário. -
Para Email address of the account's owner (Endereço de e-mail do proprietário da conta), insira o endereço de e-mail do proprietário da conta. Esse endereço de e-mail ainda não pode estar associado a outro Conta da AWS porque se torna a credencial do nome de usuário do usuário raiz da conta.
-
(Opcional) Especifique o nome a ser atribuído à função do IAM que é criada automaticamente na nova conta. Essa função concede a permissão à conta de gerenciamento organização para acessar a conta-membro recém-criada. Se você não especificar um nome, AWS Organizations atribua à função um nome padrão de
OrganizationAccountAccessRole
. Recomendamos que você use o nome padrão em todas as contas, por consistência.Importante
Lembre-se do nome do perfil. Você precisará dele posteriormente para conceder acesso à nova conta para usuários e perfis na conta de gerenciamento.
-
(Opcional) Na seção Tags (Tags), adicione uma ou mais tags à nova conta selecionando Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não
null
. É possível anexar até 50 tags a uma conta. -
Escolha Criar Conta da AWS.
-
Se você receber um erro indicando que excedeu a cota de conta da organização, consulte Recebo uma mensagem "cota excedida" ao tentar adicionar uma conta à minha organização.
-
Se você receber um erro que indica que você não pode adicionar uma conta porque sua organização ainda está inicializando, aguarde uma hora e tente novamente.
-
Você também pode verificar o AWS CloudTrail registro para obter informações sobre se a criação da conta foi bem-sucedida. Para ter mais informações, consulte Registro e monitoramento em AWS Organizations.
-
Se o erro persistir, entre em contato com o AWS Support
.
A página Contas da AWS
é exibida, com a nova conta adicionada à lista. -
-
Agora que a conta existe e tem uma função do IAM que concede acesso de administrador aos usuários da conta de gerenciamento, você pode acessar a conta seguindo as etapas em Acessar contas-membro em sua organização.
nota
Quando você cria uma conta, atribui AWS Organizations inicialmente uma senha longa (64 caracteres), complexa e gerada aleatoriamente ao usuário root. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha. Para ter mais informações, consulte Acessar a conta-membro como usuário-raiz.
Os exemplos de códigos a seguir mostram como usar CreateAccount
.