Convidar uma Conta da AWS a ingressar na sua organização - AWS Organizations

Convidar uma Conta da AWS a ingressar na sua organização

Depois de criar uma organização e confirmar que é proprietário do endereço de e-mail associado à conta de gerenciamento, você pode convidar Contas da AWS existentes a ingressar na sua organização.

Quando você convida uma conta, o AWS Organizations envia um convite ao proprietário dela, que decide aceitar ou recusar o convite. Use o console do AWS Organizations para iniciar e gerenciar convites que você envia para outras contas. Só é possível enviar um convite para outra conta a partir da conta de gerenciamento de sua organização.

nota

O histórico de faturamento e os relatórios de todas as contas permanecem com a conta pagante em uma organização. Antes de mover a conta para uma nova organização, baixe todos os históricos de faturamento e relatório relativos a todas as contas de membro que você queira manter. Isso pode incluir relatórios de custo e uso, relatórios de faturamento detalhados ou relatórios gerados pelo Cost Explorer Service.

Se você for o administrador de uma Conta da AWS, poderá também aceitar ou recusar um convite de uma organização. Se você aceitar, sua conta passará a ser membro da tal organização. Sua conta somente poderá ingressar em uma organização, portanto, se receber vários convites para ingressar, você só poderá aceitar um.

No momento em que uma conta aceita o convite para ingressar em uma organização, a conta de gerenciamento da organização torna-se responsável por todos os encargos acumulados pela nova conta-membro. O método de pagamento anexado à conta-membro deixa de ser usado. Em vez disso, o método de pagamento anexado à conta de gerenciamento da organização paga por todos os encargos acumulados pela conta-membro.

Quando uma conta convidada ingressa em sua organização, você não assume controle total e automático de administrador sobre ela, diferentemente das contas criadas. Se você quiser que a conta de gerenciamento tenha controle administrativo total sobre uma conta-membro convidada, crie a função OrganizationAccountAccessRole do IAM na conta-membro e conceda permissão à conta de gerenciamento para assumir a função. Para configurar isso, depois que a conta convidada se tornar um membro, siga as etapas em Criar OrganizationAccountAccessRole na conta-membro convidada.

nota

Quando você cria uma conta na organização, em vez de convidar uma conta existente para participar, o AWS Organizations cria automaticamente uma função do IAM (denominada OrganizationAccountAccessRole, por padrão) que você pode usar para conceder aos usuários na conta de gerenciamento acesso de administrador à conta criada.

O AWS Organizations cria automaticamente uma função vinculada ao serviço nas contas-membro convidadas para oferecer suporte à integração entre o AWS Organizations e outros serviços da AWS. Para obter mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

Para saber o número de convites que você pode enviar por dia, consulte Valores máximo e mínimo. Os convites aceitos não são considerados nessa cota. Assim que um convite é aceito, você pode enviar outro convite no mesmo dia. Cada convite precisa ser respondido dentro de 15 dias, senão ele expira.

Um convite que é enviado a uma conta figura na cota de contas da sua organização. A contagem será restaurada se a conta convidada recusar, a conta de gerenciamento cancelar o convite ou o convite expirar.

Para criar uma conta que faça parte da sua organização automaticamente, consulte Criação de uma Conta da AWS em sua organização.

Importante

Devido a restrições de faturamento e legais, você só pode convidar Contas da AWS de vendedor da AWS e partição da AWS iguais aos da conta de gerenciamento. Por exemplo, em uma organização EMEA da AWS, você pode ter uma conta da AWS Inc. e uma conta da AWS Canadá.

  • Todas as contas de uma organização deverão vir do mesmo vendedor registrado da conta de gerenciamento se a conta de gerenciamento da sua organização tiver sido criada pela Amazon Internet Services Pvt. Ltd (AISPL). Por exemplo, como um vendedor da AWS na Índia, você poderá convidar apenas outras contas da AISPL para a sua organização. Você não pode combinar contas da AISPL e da AWS ou de qualquer outro vendedor da AWS.

  • Todas as contas em uma organização precisam vir da mesma partição da AWS que a conta de gerenciamento. Contas na partição da Regiões da AWS comercial não podem estar em uma organização com contas da partição Regiões da China ou contas da partição Regiões da AWS GovCloud (EUA).

Enviar de convites para Contas da AWS

Para convidar contas para a sua organização, primeiro é preciso confirmar que é o proprietário do endereço de e-mail associado à conta de gerenciamento. Para mais informações, consulte Verificação do endereço de e-mail. Depois que você tiver verificado o seu endereço de e-mail, conclua as etapas a seguir para convidar contas para a sua organização.

Permissões mínimas

Para convidar uma Conta da AWS para participar de sua organização, você deve ter as seguintes permissões:

  • organizations:DescribeOrganization (somente console)

  • organizations:InviteAccountToOrganization

AWS Management Console

Para convidar outra conta a ingressar na sua organização

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Se o seu endereço de e-mail já tiver sido confirmado na AWS, ignore esta etapa.

    Se o seu endereço de e-mail ainda não tiver sido confirmado, siga as instruções no e-mail de verificação em até 24 horas após criar a organização.. Talvez haja um atraso até você receber o e-mail de verificação. Você não poderá convidar uma conta para ingressar na sua organização até verificar o seu endereço de e-mail.

  3. Acesse a página Contas da AWS e escolha Add an AWS account (Adicionar uma conta da AWS).

  4. Na página Add an Conta da AWS (Adicionar uma Conta da AWS), escolha Invite an existing AWS account (Convidar uma conta AWS existente).

  5. Na página Invite an existing AWS (Convidar uma AWS existente), em Email address or account ID of the Conta da AWS to invite (Endereço de e-mail ou ID da conta da Conta da AWS a ser convidada), insira o endereço de e-mail associado à conta a ser convidada ou o número de ID dessa conta.

  6. (Opcional) Em Message to include in the invitation email message (Mensagem a ser incluída na mensagem de e-mail do convite), insira qualquer texto que você queira incluir no convite por e-mail para o proprietário da conta convidada.

  7. (Opcional) Na seção Add tags (Adicionar tags), especifique uma ou mais tags que são aplicadas automaticamente à conta depois que seu administrador aceita o convite. Para fazer isso, escolha Add tag (Adicionar tag) e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma Conta da AWS.

  8. Selecione Send invitation (Enviar convite).

    Importante

    Se você receber uma mensagem de que excedeu as cotas da sua conta da organização ou que não pode adicionar uma conta porque a organização ainda está em inicialização, entre em contato com o AWS Support.

  9. O console redireciona você para a página Invitations (Convites), onde você pode ver todos os convites abertos e aceitos aqui. O convite que você acabou de criar aparecerá no topo da lista com o status definido como OPEN (ABERTO).

    O AWS Organizations envia um convite para o endereço de e-mail do proprietário da conta que você convidou para a organização. Essa mensagem de e-mail inclui um link para o console do AWS Organizations, no qual o proprietário da conta pode visualizar os detalhes e aceitar ou recusar o convite. Como alternativa, o proprietário da conta convidada pode ignorar o e-mail, ir diretamente para o console do AWS Organizations, visualizar o convite e aceitá-lo ou recusá-lo.

    O convite para essa conta é imediatamente considerado na contagem do número máximo de contas que você pode ter em sua organização; o AWS Organizations não aguarda até que a conta aceite o convite. Se a conta convidada negar, a conta de gerenciamento cancelará o convite. Se a conta convidada não responder dentro do período especificado, o convite vai expirar. Em ambos os casos, o convite deixa de ser considerado em sua cota.

AWS CLI & AWS SDKs

Para convidar outra conta a ingressar na sua organização

Você pode usar um dos seguintes comandos para convidar outra conta a ingressar em sua organização:

  • AWS CLI: invite-account-to-organization

    $ aws organizations invite-account-to-organization \ --target '{"Type": "EMAIL", "Id": "juan@example.com"}' \ --notes "This is a request for Juan's account to join Bill's organization." { "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Management Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }
  • AWS SDKs: InviteAccountToOrganization

Gerenciar convites pendentes para a sua organização

Quando faz login na sua conta de gerenciamento, você pode visualizar todas as Contas da AWS vinculadas em sua organização e cancelar convites pendentes (abertos). Para fazer isso, conclua as seguintes etapas.

Permissões mínimas

Para gerenciar convites pendentes para a sua organização, você precisa ter as seguintes permissões:

  • organizations:DescribeOrganization – necessária somente ao usar o console do Organizations

  • organizations:ListHandshakesForOrganization

  • organizations:CancelHandshake

AWS Management Console

Para visualizar ou cancelar convites que são enviados de sua organização para outras contas

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Navegue até a página Invitations (Convites).

    Esta página mostra todos os convites que são enviados de sua organização e seu status atual.

    nota

    Convites aceitos, cancelados e recusados continuam aparecendo na lista por 30 dias. Depois disso, elas serão excluídas e não aparecerão mais na lista.

  3. Escolha o botão de opção ao lado do convite que você deseja cancelar e selecione Cancel invitation (Cancelar convite). Se o botão de opção estiver acinzentado, esse convite não pode ser cancelado.

    O status do convite muda de OPEN (Aberto) para CANCELED (Cancelado).

    A AWS envia um e-mail para o proprietário da conta informando que você cancelou o convite. A conta não pode mais participar da organização, a menos que você envie um novo convite.

AWS CLI & AWS SDKs

Para visualizar ou cancelar convites que são enviados de sua organização para outras contas

Você pode usar os seguintes comandos para visualizar ou cancelar convites:

  • AWS CLI: list-handshakes-for-organization, cancel-handshake

  • O exemplo a seguir mostra os convites enviados por esta organização para outras contas.

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Management Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Juan's account to join Bill's organization." } ], "State": "OPEN" }, { "Action": "INVITE", "State":"ACCEPTED", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1.471797437427E9, "Id": "h-examplehandshakeid222", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "anika@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1.469205437427E9, "Resources": [ { "Resources": [ { "Type":"MASTER_EMAIL", "Value":"bill@example.com" }, { "Type":"MASTER_NAME", "Value":"Management Account" } ], "Type":"ORGANIZATION", "Value":"o-exampleorgid" }, { "Type":"EMAIL", "Value":"anika@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Anika's account to join Bill's organization." } ] } ] }

    O exemplo a seguir mostra como cancelar um convite a uma conta.

    $ aws organizations cancel-handshake --handshake-id h-examplehandshakeid111 { "Handshake": { "Id": "h-examplehandshakeid111", "State":"CANCELED", "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "susan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Management Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "CONSOLIDATED_BILLING" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" }, { "Type": "NOTES", "Value": "This is a request for Susan's account to join Bob's organization." } ], "RequestedTimestamp": 1.47008383521E9, "ExpirationTimestamp": 1.47137983521E9 } }
  • AWS SDKs: ListHandshakesForOrganization, CancelHandshake

Aceitar ou rejeitar um convite de uma organização

Sua Conta da AWS pode receber um convite para participar de uma organização. Você pode aceitar ou recusar o convite. Para fazer isso, conclua as seguintes etapas.

nota

O status de uma conta com uma organização afeta quais dados de custo e uso permanecem visíveis:

  • Se uma conta-membro deixar uma organização e se tornar uma conta autônoma, a conta deixará de ter acesso aos dados de custo e uso no período em que a conta era membro da organização. A conta tem acesso apenas aos dados gerados como uma conta autônoma.

  • Se uma conta-membro deixar a organização A para entrar na organização B, a conta deixará de ter acesso aos dados de custo e uso do período quando a conta era um membro da organização A. A conta terá acesso apenas aos dados gerados como membro da organização B.

  • Se uma conta for associada novamente a uma organização à qual pertencia anteriormente, a conta voltará a ter acesso aos dados de custos e uso históricos.

Permissões mínimas

Para aceitar ou recusar um convite para participar de uma organização da AWS, você precisa ter as seguintes permissões:

  • organizations:ListHandshakesForAccount – necessária para ver a lista de convites no console do AWS Organizations.

  • organizations:AcceptHandshake.

  • organizations:DeclineHandshake.

  • iam:CreateServiceLinkedRole – necessária apenas quando a aceitação do convite requer a criação de uma função vinculada ao serviço para dar suporte à integração com outros serviços da AWS. Para mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

AWS Management Console

Para aceitar ou recusar um convite

  1. Um convite para participar de uma organização é enviado para o endereço de e-mail do proprietário da conta. Se você for proprietário de uma conta e receber um e-mail de convite, siga as instruções no convite ou acesse o console do AWS Organizations no seu navegador e escolha Invitations (Convites), ou vá direto para a página member account's Invitation (Convite de conta-membro).

  2. Se solicitado, faça login na conta de convidado como um usuário IAM, assuma uma função do IAM ou faça login como usuário raiz da conta (não recomendado).

  3. A página member account's Invitation (Convite de conta-membro) exibe os convites abertos da sua conta para ingressar em organizações.

    Escolha Accept invitation (Aceitar convite) ou Decline invitation (Recusar convite), conforme apropriado.

    • Se escolher Accept invitation (Aceitar convite) na etapa anterior, o console redirecionará você para a página Organization overview ( Visão geral da organização,) com detalhes sobre a organização da qual sua conta agora é um membro. Você pode visualizar o ID da organização e o endereço de e-mail do proprietário.

      nota

      Convites aceitos continuam aparecendo na lista por 30 dias. Depois disso, eles serão excluídos e não aparecerão mais na lista.

      O AWS Organizations cria automaticamente uma função vinculada ao serviço na conta do novo membro para oferecer suporte à integração entre o AWS Organizations e outros serviços da AWS. Para mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

      A AWS envia um e-mail para o proprietário da conta de gerenciamento da organização informando que você aceitou o convite. Ela também envia um e-mail para o proprietário da conta-membro informando que a conta agora é um membro da organização.

    • Se você escolher Decline (Recusar) na etapa anterior, sua conta permanecerá na página member account's Invitation (Convite de conta-membro), que lista todos os outros convites pendentes.

      A AWS envia um e-mail para o proprietário da conta de gerenciamento da organização informando que você recusou o convite.

      nota

      Convites recusados continuam aparecendo na lista por 30 dias. Depois disso, eles serão excluídos e não aparecerão mais na lista.

AWS CLI & AWS SDKs

Para aceitar ou recusar um convite

Você pode usar os seguintes comandos para aceitar ou recusar um convite:

  • AWS CLI: accept-handshake, decline-handshake

    O exemplo a seguir mostra como aceitar um convite para participar de uma organização.

    $ aws organizations accept-handshake --handshake-id h-examplehandshakeid111 { "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "RequestedTimestamp": 1481656459.257, "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Management Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "ALL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "ACCEPTED" } }

    O exemplo a seguir mostra como recusar um convite para participar de uma organização.

  • AWS SDKs: AcceptHandshake, DeclineHandshake