Criar uma conta-membro na sua organização - AWS Organizations
Considerações antes de criar uma conta de membroCriando um Conta da AWS que faça parte da sua organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma conta-membro na sua organização

Uma organização é uma coleção Contas da AWS que você gerencia centralmente. Esta página descreve como criar Contas da AWS em sua organização em AWS Organizations. Para obter informações sobre como criar um single Conta da AWS, consulte o Centro de recursos de introdução.

Você pode seguir os procedimentos a seguir para gerenciar as contas que fazem parte da sua organização:

Considerações antes de criar uma conta de membro

Organizations cria automaticamente uma função do IAM para a conta do membro.

Quando você cria uma conta de membro em sua organização, a Organizations cria automaticamente uma função AWS Identity and Access Management (IAM) OrganizationAccountAccessRole na conta de membro que permite que usuários e funções na conta de gerenciamento exerçam controle administrativo total sobre a conta membro. Todas as contas adicionais vinculadas à mesma política gerenciada serão atualizadas automaticamente sempre que a política for atualizada. Essa função está sujeita a todas as políticas de controle de serviço (SCPs) aplicáveis à conta-membro.

Organizations cria automaticamente uma função vinculada ao serviço para a conta do membro

Quando você cria uma conta de membro em sua organização, o Organizations cria automaticamente uma função vinculada ao serviço AWSServiceRoleForOrganizations na conta do membro que permite a integração com serviços selecionados. AWS Você deve configurar os outros serviços para permitir a integração. Para ter mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

As contas dos membros podem exigir informações adicionais para operar como uma conta independente.

AWS não coleta automaticamente todas as informações necessárias para que uma conta de membro funcione como uma conta independente. Se você precisar remover a conta-membro da organização e torná-la uma conta autônoma, forneça essas informações da conta antes de removê-la. Para ter mais informações, consulte Sair de uma organização com sua conta-membro.

As contas de membros só podem ser criadas na raiz de uma organização

As contas de membros em uma organização só podem ser criadas na raiz de uma organização e não em outras unidades organizacionais (OUs). Depois de criar uma conta de membro raiz de uma organização, você pode movê-la entre OUs. Para ter mais informações, consulte Movimentação de contas para uma UO ou entre a raiz e as UOs.

As contas de membros de organizações gerenciadas por AWS Control Tower devem ser criadas em AWS Control Tower

Se sua organização for gerenciada por AWS Control Tower, crie suas contas de membros usando a fábrica de AWS Control Tower contas no AWS Control Tower console ou usando as AWS Control Tower APIs. Se você criar uma conta de membro em Organizations quando a organização for gerenciada por AWS Control Tower, a conta não será registrada com AWS Control Tower. Para obter mais informações, consulte Referência a recursos fora do AWS Control Tower no Manual do usuário do AWS Control Tower .

As contas dos membros devem optar por receber e-mails de marketing

As contas de membros que você cria como parte de uma organização não são automaticamente inscritas em e-mails AWS de marketing. Para inscrever suas contas para receber e-mails de marketing, consulte https://pages.awscloud.com/communication-preferences.

Criando um Conta da AWS que faça parte da sua organização

Depois de fazer login na conta de gerenciamento da organização, você pode criar contas-membro que são automaticamente parte de sua organização. Ao criar uma conta usando o procedimento a seguir, copia AWS Organizations automaticamente as seguintes informações de contato principal da conta de gerenciamento para a nova conta de membro:

  • Número de telefone

  • Company name (Nome da empresa)

  • URL do site

  • Endereço

Ele também copia a linguagem de comunicação e as informações do Marketplace (fornecedor da conta em alguns casos Regiões da AWS) da conta de gerenciamento.

Permissões mínimas

Para criar uma conta membro em sua organização, você deve ter as seguintes permissões:

  • organizations:CreateAccount

  • organizations:DescribeOrganization – necessário somente ao usar o console do Organizations

  • iam:CreateServiceLinkedRole (concedido ao principal organizations.amazonaws.com para permitir a criação da função vinculada ao serviço necessária nas contas-membro).

Para criar um Conta da AWS que seja automaticamente parte da sua organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, selecione Adicionar uma Conta da AWS.

  3. Na página Adicionar uma Conta da AWS, selecione Criar uma Conta da AWS (essa opção é escolhida por padrão).

  4. Na página Criar uma Conta da AWS, em Nome da Conta da AWS , insira o nome que deseja atribuir à conta. Esse nome ajuda você a distinguir a conta de todas as outras contas na organização e é distinto do alias do IAM ou do nome do e-mail do proprietário.

  5. Para Email address of the account's owner (Endereço de e-mail do proprietário da conta), insira o endereço de e-mail do proprietário da conta. Esse endereço de e-mail ainda não pode estar associado a outro Conta da AWS porque se torna a credencial do nome de usuário do usuário raiz da conta.

  6. (Opcional) Especifique o nome a ser atribuído à função do IAM que é criada automaticamente na nova conta. Essa função concede a permissão à conta de gerenciamento organização para acessar a conta-membro recém-criada. Se você não especificar um nome, AWS Organizations atribua à função um nome padrão deOrganizationAccountAccessRole. Recomendamos que você use o nome padrão em todas as contas, por consistência.

    Importante

    Lembre-se do nome do perfil. Você precisará dele posteriormente para conceder acesso à nova conta para usuários e perfis na conta de gerenciamento.

  7. (Opcional) Na seção Tags (Tags), adicione uma ou mais tags à nova conta selecionando Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma conta.

  8. Escolha Criar Conta da AWS.

    A página Contas da AWS é exibida, com a nova conta adicionada à lista.

  9. Agora que a conta existe e tem uma função do IAM que concede acesso de administrador aos usuários da conta de gerenciamento, você pode acessar a conta seguindo as etapas em Acessar contas-membro em sua organização.

nota

Quando você cria uma conta, atribui AWS Organizations inicialmente uma senha longa (64 caracteres), complexa e gerada aleatoriamente ao usuário root. Você não pode recuperar essa senha inicial. Para acessar a conta como o usuário raiz pela primeira vez, você precisa passar pelo processo de recuperação de senha. Para ter mais informações, consulte Acessar a conta-membro como usuário-raiz.

Os exemplos de códigos a seguir mostram como usar CreateAccount.

.NET
AWS SDK for .NET
nota

Tem mais sobre GitHub. Encontre o exemplo completo e veja como configurar e executar no AWS Code Examples Repository. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

  • Para obter detalhes da API, consulte CreateAccounta Referência AWS SDK for .NET da API.

CLI
AWS CLI

Como criar uma conta de membro que automaticamente faça parte da organização

O exemplo a seguir mostra como criar uma conta de membro em uma organização. A conta de membro é configurada com o nome Production Account e o endereço de e-mail susan@example.com. Organizations cria automaticamente uma função do IAM usando o nome padrão de OrganizationAccountAccessRole porque o parâmetro roleName não está especificado. Além disso, a configuração que permite que usuários ou funções do IAM com permissões suficientes acessem os dados de faturamento da conta é definida com o valor padrão de ALLOW porque o IamUserAccessToBilling parâmetro não foi especificado. Organizations envia automaticamente a Susan um e-mail de “Bem-vindo a AWS”:

aws organizations create-account --email susan@example.com --account-name "Production Account"

A saída inclui um objeto de solicitação que mostra que o status agora é IN_PROGRESS:

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Posteriormente, você pode consultar o status atual da solicitação fornecendo o valor de resposta Id ao describe-create-account-status comando como o valor do create-account-request-id parâmetro.

Para obter mais informações, consulte Criando uma AWS conta em sua organização no Guia do Usuário do AWS Organizations.

  • Para obter detalhes da API, consulte CreateAccountem Referência de AWS CLI Comandos.