创建企业

您可以创建一个以您 AWS 账户 为管理账户开头的组织。创建组织时，您可以选择组织是支持所有功能（建议使用）还是只支持整合账单功能。

创建组织之后，您可以通过以下方式从管理账户中向您的组织添加账户：

• 创建可作为成员账户自动加入您的组织的其他 AWS 账户。

• 验证您的电子邮件地址后，邀请现有 AWS 账户作为会员账户加入您的组织。

创建组织

您可以使用或中的命令来创建组织，也可以使用 AWS Management Console AWS CLI 或中的一个命令来创建组织SDKAPIs。

最小权限

要使用当前的组织创建组织 AWS 账户，您必须具有以下权限：

• organizations:CreateOrganization

• iam:CreateServiceLinkedRole

  您可以将此权限限制为仅服务委托人 organizations.amazonaws.com。

AWS Management Console

创建 组织

1. 登录 AWS Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）。

2. 默认情况下，组织在创建时已启用所有功能。但是，您可以选择以下步骤之一：

   • 要创建已启用所有功能的组织，请在介绍页面上选择 Create an organization (创建组织)。

   • 要创建仅具有整合账单功能的组织，请在介绍页面 Create an organization (创建组织) 中，选择 consolidated billing features (整合账单功能)，然后在确认对话框中，选择 Create an organization (创建组织)。

   如果您意外选择了错误的选项，您可以立即转到 Settings (设置) 页面，然后选择 Delete organization (删除组织) 并重新开始。

3. 组织已创建，并且会显示AWS 账户页面。唯一存在的账户是您的管理账户，它当前存储在根组织部门（OU）中。

   如果需要，Organizations 会自动向与管理账户关联的地址发送验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。在 24 小时内验证您的电子邮件地址。有关更多信息，请参阅 电子邮件地址验证。您可以在不验证管理账户电子邮件地址的情况下创建账户以添加到组织中。但是，要邀请现有账户，您必须先完成电子邮件验证。

   注意

   如果此账户之前验证了其电子邮件地址，则当您使用该账户创建组织时，验证不会再次发生。

AWS CLI & AWS SDKs

以下代码示例演示如何使用 CreateOrganization。

.NET

AWS SDK for .NET

注意

还有更多相关信息 GitHub。在 AWS 代码示例存储库中查找完整实例，了解如何进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates an organization in AWS Organizations.
    /// </summary>
    public class CreateOrganization
    {
        /// <summary>
        /// Creates an Organizations client object and then uses it to create
        /// a new organization with the default user as the administrator, and
        /// then displays information about the new organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var response = await client.CreateOrganizationAsync(new CreateOrganizationRequest
            {
                FeatureSet = "ALL",
            });

            Organization newOrg = response.Organization;

            Console.WriteLine($"Organization: {newOrg.Id} Main Accoount: {newOrg.MasterAccountId}");
        }
    }

• 有关API详细信息，请参阅 “AWS SDK for .NET API参考 CreateOrganization” 中的。

CLI

AWS CLI

示例 1：创建新组织

Bill 想使用账户 111111111111 中的凭证创建一个组织。以下示例显示该账户成为新组织中的主账户。由于他没有指定功能集，因此，新组织默认为在根上启用所有功能并启用服务控制策略。

aws organizations create-organization

输出包括一个组织对象，其中包含有关新组织的详细信息：

{
        "Organization": {
                "AvailablePolicyTypes": [
                        {
                                "Status": "ENABLED",
                                "Type": "SERVICE_CONTROL_POLICY"
                        }
                ],
                "MasterAccountId": "111111111111",
                "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
                "MasterAccountEmail": "bill@example.com",
                "FeatureSet": "ALL",
                "Id": "o-exampleorgid",
                "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid"
        }
}

示例 2：创建仅启用整合账单功能的新组织

以下示例创建仅支持整合账单功能的组织：

aws organizations create-organization --feature-set CONSOLIDATED_BILLING

输出包括一个组织对象，其中包含有关新组织的详细信息：

{
        "Organization": {
                "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
                "AvailablePolicyTypes": [],
                "Id": "o-exampleorgid",
                "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
                "MasterAccountEmail": "bill@example.com",
                "MasterAccountId": "111111111111",
                "FeatureSet": "CONSOLIDATED_BILLING"
        }
}

有关更多信息，请参阅《AWS Organizations 用户指南》中的“创建组织”。

• 有关API详细信息，请参阅 “CreateOrganization AWS CLI命令参考”。

现在，您可以按以下步骤向组织添加其他账户：

• 要创建自动成为您 AWS 组织一部分的，请参阅在组织中创建成员账户。 AWS 账户

• 若要邀请现有账户加入您的组织，请参阅邀请一个 AWS 账户 人加入你的组织​。

电子邮件地址验证

在创建组织后、邀请账户加入前，您必须验证与组织内的管理账户关联的电子邮件地址。

创建组织时，如果管理账户之前未经过验证，则 AWS 会自动向指定的电子邮件地址发送一封验证电子邮件。在您接收到验证电子邮件之前可能会有一段延迟。

在 24 小时内，按照电子邮件中的说明验证您的电子邮件地址。

如果您未在 24 小时内验证自己的电子邮件地址，则可以重新发送验证请求，这样您就可以邀请其他人 AWS 账户 加入您的组织。如果您没有收到验证电子邮件，请检查您的电子邮件地址是否正确，如有必要，请对其进行修改。

• 要查看与您的管理账户关联的电子邮件地址是什么，请参阅从管理账户查看组织的详细信息。

• 若要更改与管理账户关联的电子邮件地址，请参阅《AWS Billing 用户指南》中的管理 AWS 账户。

AWS Management Console

若要重新发送验证请求

1. 登录 AWS Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录（不推荐）。

2. 导航到 Settings (设置) 页面，然后选择 Send verification request (发送验证请求)。只有在未验证管理账户时才存在该选项。

3. 在 24 小时内验证您的电子邮件地址。

   验证您的电子邮件地址后，您可以邀请其他 AWS 账户 加入您的组织。有关更多信息，请参阅 邀请一个 AWS 账户 人加入你的组织。

如果您更改管理账户的电子邮件地址，该账户的状态会恢复为“未验证电子邮件”，并且您必须为新的电子邮件地址完成验证过程。

注意

如果您在更改管理账户的电子邮件地址之前邀请了账户加入组织，并且这些邀请尚未被接受，则在您验证管理账户的新电子邮件地址之前，无法接受这些邀请。使用上一步骤重新发送验证请求。通过回复电子邮件完成此过程后，受邀的账户可以接受邀请。