在组织中创建成员账户

组织是您集中管理 AWS 账户 的组织集合。本页介绍如何在您的组织 AWS 账户 中创建 AWS Organizations。有关创建单曲的信息 AWS 账户，请参阅入门资源中心。

您可以按照以下步骤来管理属于您的组织的账户：

• 创建 AWS 账户 属于您组织的一部分的

• 访问具有管理账户访问权角色的成员账户

创建成员账户之前的注意事项

Organizations 会自动为成员账户创建 IAM 角色

当您在组织中创建成员账户时，Organizations 会自动在成员账户OrganizationAccountAccessRole中创建一个 AWS Identity and Access Management (IAM) 角色，使管理账户中的用户和角色能够对成员账户行使完全的管理控制。每当策略更新时，关联到同一托管策略的任何其他账户都将自动更新。此角色受应用于成员账户的任何服务控制策略 (SCP) 的限制。

Organizations 会自动为成员账户创建服务相关角色

当您在组织中创建成员帐户时，Organizations 会自动在成员账户AWSServiceRoleForOrganizations中创建服务相关角色，以便与所选 AWS 服务集成。您必须配置其他服务来允许集成。有关更多信息，请参阅 AWS Organizations 和服务相关角色。

成员账户可能需要其他信息才能作为独立账户运行

AWS 不会自动收集成员账户作为独立账户运行所需的所有信息。如果您需要从组织中删除成员账户并使其成为独立账户，则您必须先提供账户的信息，然后才能删除账户。有关更多信息，请参阅 成员账户离开组织。

成员账户只能在组织的根目录中创建

组织中的成员帐户只能在组织的根目录中创建，不能在任何其他组织单位 (OU) 中创建。创建组织的成员账户根目录后，您可以将其在 OU 之间移动。有关更多信息，请参阅 将账户移动到 OU 或者在根和 OU 之间移动。

AWS Control Tower 应在以下位置创建由管理的组织的成员帐户 AWS Control Tower

如果您的组织由管理 AWS Control Tower，请使用 AWS Control Tower 控制台中的 AWS Control Tower 账户工厂或使用 AWS Control Tower API 创建您的成员账户。如果您在组织由管理的 Organizations 中创建成员帐户 AWS Control Tower，则该帐户将无法注册到该帐户 AWS Control Tower。有关更多信息，请参阅《AWS Control Tower 用户指南》中的引用 AWS Control Tower的外部资源。

会员账号必须选择加入才能接收营销电子邮件

您作为组织的一员创建的成员帐户不会自动订阅 AWS 营销电子邮件。要为您的账户选择启用接收营销电子邮件，请参阅https://pages.awscloud.com/communication-preferences。

创建 AWS 账户 属于您组织的一部分的

登录到组织的管理账户之后，您可以创建自动属于组织的成员账户。使用以下步骤创建账户时， AWS Organizations 会自动将以下主要联系人信息从管理账户复制到新成员账户：

• 电话号码

• 公司名称

• 网站 URL

• 地址

它还会从管理账户中复制通信语言和 Marketplace 信息（在某些情况下是账户的供应商 AWS 区域）。

最小权限

要在组织中创建成员账户，您必须拥有以下权限：

• organizations:CreateAccount

• organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

• iam:CreateServiceLinkedRole（向委托人 organizations.amazonaws.com 授权，使其能够在成员账户中创建所需的服务相关角色）。

AWS Management Console

创建自动成为您组织一部分的 AWS 账户

1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在AWS 账户页面上，选择 Add an AWS 账户(添加亚马逊云科技账户)。

3. 在 Add an AWS 账户(添加亚马逊云科技账户) 页面上，选择 Create an AWS 账户(创建亚马逊云科技账户)（默认情况下选择该选项）。

4. 在 Create an AWS 账户(创建亚马逊云科技账户) 页面上，为 AWS 账户 name (亚马逊云科技账户名称) 输入要分配给账户的名称。此名称将帮助您区分该账户与组织中的所有其他账户，并且独立于 IAM 别名或拥有者的电子邮件名称。

5. 对于 Email address of the account's owner (账户拥有者的电子邮件地址)，输入账户拥有者的电子邮件地址。此电子邮件地址已无法与其他电子邮件地址关联， AWS 账户 因为它已成为该账户根用户的用户名凭证。

6. （可选）指定分配到在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果未指定名称，则 AWS Organizations 为角色指定默认名称OrganizationAccountAccessRole。建议您对您的所有账户使用默认名称以实现一致性。

   重要

   请记住此角色名称。稍后，您将需要使用此名称向管理账户中的用户和角色的新账户授予访问权。

7. （可选）在标签部分中，向新账户添加一个或多个标签，方法是选择添加标签，然后输入一个键和可选的值。将值留空，设置为空字符串；它并非 null。您最多可以向账户附加 50 个标签。

8. 选择 Create AWS 账户(创建亚马逊云科技账户)。

   • 如果您收到错误，指明您超出了组织的账户配额，请参阅尝试向组织中添加账户时，我收到“quota exceeded (超出限额)”消息。

   • 如果您收到错误，指明由于您的组织仍在进行初始化，所以您无法添加账户，请等待一小时，然后重试。

   • 您也可以查看日 AWS CloudTrail 志，了解账户创建是否成功的信息。有关更多信息，请参阅 登录和监控 AWS Organizations。

   • 如果错误仍然存在，请联系 AWS Support。

   此时将显示AWS 账户页面，并将您的新账户添加到列表中。

9. 现在，账户已存在，并拥有向管理账户中的用户授予管理员访问权的 IAM 角色，您可以按照访问组织中的成员账户中的步骤访问账户。

注意

创建帐户时， AWS Organizations 最初会向 root 用户分配一个长的（64 个字符）、复杂的、随机生成的密码。您无法检索此初始密码。要首次以根用户身份访问该账户，您必须完成密码恢复过程。有关更多信息，请参阅 以根用户身份访问成员账户。

AWS CLI 和 AWS SDK

以下代码示例演示如何使用 CreateAccount。

.NET

AWS SDK for .NET

注意

还有更多相关信息 GitHub。在 AWS 代码示例存储库中查找完整示例，了解如何进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

• 有关 API 的详细信息，请参阅 AWS SDK for .NET API 参考CreateAccount中的。

CLI

AWS CLI

创建自动属于组织的成员账户

以下示例演示如何创建组织的成员账户。为成员账户配置的名称为 Production Account，电子邮件地址为 susan@example.com。 OrganizationAccountAccessRole 由于未指定 roleName 参数，Organizations 会使用默认名称自动创建 IAM 角色。此外，由于未指定 IamUserAccessToBilling 参数，允许具有足够权限的 IAM 用户或角色访问账户账单数据的设置被设置为默认值 ALLOW。Organiations 会自动向 Susan 发送一封 “欢迎来到 AWS” 电子邮件：

aws organizations create-account --email susan@example.com --account-name "Production Account"

输出包括一个请求对象，以显示状态目前为 IN_PROGRESS：

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

稍后，您可以通过向 describe-create-account-status 命令提供 Id 响应值作为 create-account-request-id 参数值来查询请求的当前状态。

有关更多信息，请参阅《Organi AWS zations 用户指南》中的在AWS 组织中创建帐户。

• 有关 API 的详细信息，请参阅AWS CLI 命令参考CreateAccount中的。