在您的組織中建立成員帳戶

組織是您集中管理 AWS 帳戶 的集合。本頁說明如何在中的組織 AWS 帳戶 內建立 AWS Organizations。如需有關建立單一項目的資訊 AWS 帳戶，請參閱入門資源中心。

您可以執行下列程序來管理屬於組織的帳戶：

• 建立屬 AWS 帳戶 於您組織一部分的

• 存取擁有管理帳戶存取角色的成員帳戶

建立成員帳戶前的注意事項

Organizations 會自動為成員帳戶建立 IAM 角色

當您在組 Organizations 中建立成員帳戶時，Organization 會自動在成員帳戶OrganizationAccountAccessRole中建立 AWS Identity and Access Management (IAM) 角色，讓管理帳戶中的使用者和角色對成員帳戶執行完整的管理控制。每當策略更新時，附加到相同受管策略的任何其他帳戶都會自動更新。這個角色會受限於套用至成員帳戶的任何服務控制政策 (SCP)。

Organizations 會自動為成員帳戶建立服務連結角色

當您在組織中建立成員帳戶時，組織會自動在成員帳戶AWSServiceRoleForOrganizations中建立服務連結角色，Organizations 便與特定 AWS 服務整合。您必須設定其他服務以允許整合。如需詳細資訊，請參閱 AWS Organizations 和服務連結角色。

會員帳戶可能需要額外資訊才能作為獨立帳戶運作

AWS 不會自動收集會員帳戶作為獨立帳戶操作所需的所有資訊。如果您曾從組織移除成員帳戶，並且讓它成為獨立帳戶，您必須為帳戶提供該資訊，之後才可以移除它。如需詳細資訊，請參閱 從成員帳戶離開組織。

成員帳戶只能在組織的根目錄中建立

組織中的成員帳戶只能在組織的根目錄中建立，而不能在任何其他組織單位 (OU) 中建立。在您建立組織的成員帳號根目錄之後，您可以在 OU 之間移動它。如需詳細資訊，請參閱 將帳戶移動到 OU 或在根與 OU 之間移動。

所管理之組織的成員帳戶 AWS Control Tower 應建立於 AWS Control Tower

如果您的組織由管理 AWS Control Tower，請使用 AWS Control Tower 主控台中的帳 AWS Control Tower 戶工廠或使用 AWS Control Tower API 建立您的成員帳戶。如果您在組織由管理時在「組織」中建立成員帳戶 AWS Control Tower，則不會註冊該帳戶 AWS Control Tower。如需詳細資訊，請參閱AWS Control Tower 使用者指南中的參照 AWS Control Tower外部資源。

會員帳戶必須選擇加入以接收行銷電子郵件

您作為組織一部分建立的會員帳戶不會自動訂閱行 AWS 銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件，請參閱https://pages.awscloud.com/communication-preferences。

建立屬 AWS 帳戶 於您組織一部分的

在登入組織的管理帳戶之後，您可以建立會自動成為組織一部分的成員帳戶。當您使用下列程序建立帳戶時，會 AWS Organizations 自動將下列主要聯絡人資訊從管理帳戶複製到新的成員帳戶：

• 電話號碼

• 公司名稱

• 網站 URL

• Address

它也會從管理帳戶複製通訊語言和 Marketplace 資訊 (部分帳戶供應商 AWS 區域)。

最低許可

若要在您的組織中建立成員帳戶，您必須擁有以下許可：

• organizations:CreateAccount

• organizations:DescribeOrganization – 僅在使用 Organizations 主控台時才需要

• iam:CreateServiceLinkedRole ( 授予委託人 organizations.amazonaws.com，讓其可在成員帳戶中建立必要的服務連結角色)。

AWS Management Console

若要建立 AWS 帳戶 自動成為您組織一部分的

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在 AWS 帳戶 頁面上，選擇新增 AWS 帳戶。

3. 在新增 AWS 帳戶 頁面上，選擇建立 AWS 帳戶(預設會選擇該項)。

4. 在建立 AWS 帳戶 頁面，針對AWS 帳戶 名稱，輸入您要指派給帳戶的名稱。此名稱可協助您區分該帳戶與組織中的所有其他帳戶，並且與 IAM 別名或擁有者的電子郵件名稱不同。

5. 針對帳戶擁有者的電子郵件地址，輸入帳戶擁有者的電子郵件地址。此電子郵件地址無法與其他電子郵件地址建立關聯， AWS 帳戶 因為它會成為帳戶 root 使用者的使用者名稱認證。

6. (選用) 指定要在新帳戶中自動建立、要指派給 IAM 角色的名稱。此角色會授予組織的管理帳戶許可，以存取新建立的成員帳戶。如果您未指定名稱，請 AWS Organizations 為該角色指定預設名稱OrganizationAccountAccessRole。建議您在所有帳戶中使用預設名稱以確保一致性。

   重要

   請記住此角色名稱。稍後您會需要它，以便為管理帳戶中的使用者和角色授予新帳戶的存取權。

7. (選用) 在 Tags (標籤) 區段中，透過選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至新帳戶。將值留空會將其設定為空白字串；而不是 null。您可以在帳戶中連接最多 50 個標籤。

8. 選擇建立 AWS 帳戶。

   • 如果您收到錯誤，指出您已超出組織的帳戶配額，請參閱當我試著新增帳戶到我的組織時，出現「超過配額」訊息。

   • 如果您收到錯誤，指出因為您的組織仍在初始化，您無法新增帳戶，請等候一小時然後重試。

   • 您還可以檢查 AWS CloudTrail 日誌以獲取有關帳戶創建是否成功的信息。如需詳細資訊，請參閱 登錄和監控 AWS Organizations。

   • 如果錯誤仍存在，請聯絡 AWS Support。

   出現 AWS 帳戶 頁面時，將您的新帳戶新增至清單。

9. 現在帳戶已存在，並且具有的 IAM 角色可授予管理員存取給管理帳戶中的使用者，您可以遵循 存取和組織的成員帳戶 中的步驟來存取帳戶。

注意

當您建立帳號時，一 AWS Organizations 開始會指派一個長 (64 個字元)、複雜且隨機產生的密碼給 root 使用者。您無法擷取此初始密碼。若要第一次以根帳戶使用者的身分存取帳戶，您必須進行密碼復原程序。如需詳細資訊，請參閱 以根帳戶使用者身分存取成員帳戶。

AWS CLI 與 AWS 軟體開發套件

下列程式碼範例會示範如何使用CreateAccount。

.NET

AWS SDK for .NET

注意

還有更多關於 GitHub。尋找完整範例，並了解如何在AWS 設定和執行程式碼範例儲存庫。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

• 如需 API 詳細資訊，請參閱 AWS SDK for .NET API 參考CreateAccount中的。

CLI

AWS CLI

若要建立自動成為組織一部分的成員帳戶

下列範例顯示如何在組織中建立成員帳戶。成員帳戶設定為「生產帳戶」名稱和電子郵件地址為 susan@example.com。Organizations 會使用預設名稱自動建立 IAM 角色， OrganizationAccountAccessRole 因為未指定 rolenName 參數。此外，由於未指定 IamUserAccessToBilling 參數，允許 IAM 使用者或具有足夠權限存取帳戶帳單資料的角色的設定會設為預設值 ALLOW。Organizations 會自動傳送「歡迎使用 AWS」電子郵件給 Susan：

aws organizations create-account --email susan@example.com --account-name "Production Account"

輸出包括一個請求對象，該對象顯示狀態為現在IN_PROGRESS：

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

您可以稍後透過將 Id 回應值提供給 describe-create-account-status 命令作為 create-account-request-id 參數的值，來查詢要求的目前狀態。

如需詳細資訊，請參閱《組織使用者指南》中的在您的組織中建立 AWS 帳戶。AWS

• 如需 API 詳細資訊，請參閱AWS CLI 命令參考CreateAccount中的。