在您的組織中建立成員帳戶

這個頁面會說明如何使用 AWS Organizations 在組織內建立 AWS 帳戶。若要了解 AWS 入門和建立單一 AWS 帳戶，請參閱資源中心入門。

組織是指您集中管理的 AWS 帳戶 集合。您可以執行以下程序來管理屬於您的組織一部分的帳戶：

• 建立屬於您的組織的 AWS 帳戶

• 存取擁有管理帳戶存取角色的成員帳戶

重要

• 在您的組織中建立成員帳戶時，AWS Organizations 會自動在成員帳戶中建立一個 AWS Identity and Access Management (IAM) 角色 OrganizationAccountAccessRole，讓管理帳戶中的使用者和角色能對成員帳戶執行完整的管理控制。這個角色會受限於套用至成員帳戶的任何服務控制政策 (SCP)。

  AWS Organizations 還會自動將受管政策以及 OrganizationAccountAccessRole 角色新增到成員帳戶中。此允許集中控制，以便在政策更新時，自動更新連接至相同受管政策的任何其他帳戶。過去，在組織內建立的新帳戶會得到一個僅適用於該單一帳戶的內嵌政策。如需內嵌和受管政策的詳細資訊，請參閱《IAM 使用者指南》中的受管政策和內嵌政策。

  AWS Organizations 也會自動建立名為 AWSServiceRoleForOrganizations 的服務連結角色，啟用與選取 AWS 服務的整合。您必須設定其他服務以允許整合。如需更多詳細資訊，請參閱 AWS Organizations 和服務連結角色。

• 如果該組織使用 AWS Control Tower 進行管理，則使用 AWS Control Tower 主控台或 API 中的 AWS Control Tower Account Factory 來建立帳戶。如果您在 Organizations 中建立帳戶，則該帳戶未在 AWS Control Tower 註冊。如需詳細資訊，請參閱AWS Control Tower使用者指南中的參照 AWS Control Tower 外部資源。

注意

作為組織一部分而建立的 AWS 帳戶 不會自動訂閱 AWS 行銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件，請參閱https://pages.awscloud.com/communication-preferences。

建立屬於您的組織的 AWS 帳戶

在登入組織的管理帳戶之後，您可以建立會自動成為組織一部分的成員帳戶。使用以下程序建立帳戶時，AWS Organizations 會自動將管理帳戶中的下列主要聯絡資訊複製到新的成員帳戶中：

• 電話號碼

• 公司名稱

• 網站 URL

• Address

它也會從管理帳戶複製通訊語言和 Marketplace 資訊 (部分 AWS 區域 帳戶供應商)。

注意

AWS 不會自動收集帳戶作為獨立帳戶運作所需的所有資訊。如果您曾從組織移除成員帳戶，並且讓它成為獨立帳戶，您必須為帳戶提供該資訊，之後才可以移除它。如需更多詳細資訊，請參閱 從成員帳戶離開組織。

最低許可

若要在您的組織中建立成員帳戶，您必須擁有以下許可：

• organizations:CreateAccount

• organizations:DescribeOrganization – 僅在使用 Organizations 主控台時才需要

• iam:CreateServiceLinkedRole ( 授予委託人 organizations.amazonaws.com，讓其可在成員帳戶中建立必要的服務連結角色)。

AWS Management Console

若要建立自動成為組織一部分的 AWS 帳戶

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在 AWS 帳戶 頁面上，選擇新增 AWS 帳戶。

3. 在新增 AWS 帳戶 頁面上，選擇建立 AWS 帳戶(預設會選擇該項)。

4. 在建立 AWS 帳戶 頁面，針對AWS 帳戶名稱，輸入您要指派給帳戶的名稱。此名稱可協助您區分該帳戶與組織中的所有其他帳戶，並且與 IAM 別名或擁有者的電子郵件名稱不同。

5. 針對帳戶擁有者的電子郵件地址，輸入帳戶擁有者的電子郵件地址。此電子郵件地址不能與其他 AWS 帳戶 關聯，因為它會成為帳戶根使用者的使用者名稱憑證。

6. (選用) 指定要在新帳戶中自動建立、要指派給 IAM 角色的名稱。此角色會授予組織的管理帳戶許可，以存取新建立的成員帳戶。如果您不指定名稱，AWS Organizations 會提供該角色預設的名稱 OrganizationAccountAccessRole。建議您在所有帳戶中使用預設名稱以確保一致性。

   重要

   請記住此角色名稱。稍後您會需要它，以便為管理帳戶中的使用者和角色授予新帳戶的存取權。

7. (選用) 在 Tags (標籤) 區段中，透過選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至新帳戶。將值留空會將其設定為空白字串；而不是 null。您可以在帳戶中連接最多 50 個標籤。

8. 選擇 Create (建立)AWS 帳戶。

   • 如果您收到錯誤，指出您已超出組織的帳戶配額，請參閱當我試著新增帳戶到我的組織時，出現「超過配額」訊息。

   • 如果您收到錯誤，指出因為您的組織仍在初始化，您無法新增帳戶，請等候一小時然後重試。

   • 您也可以查看 AWS CloudTrail 日誌來取得有關帳戶建立是否成功的資訊。如需更多詳細資訊，請參閱 AWS Organizations 中的記錄和監控。

   • 如果錯誤仍存在，請聯絡 AWS Support。

   出現 AWS 帳戶 頁面時，將您的新帳戶新增至清單。

9. 現在帳戶已存在，並且具有的 IAM 角色可授予管理員存取給管理帳戶中的使用者，您可以遵循 存取和組織的成員帳戶 中的步驟來存取帳戶。

注意

建立帳戶時，AWS Organizations 最初會將長 (64 個字元)、複雜且隨機產生的密碼指派給根使用者。您無法擷取此初始密碼。若要第一次以根帳戶使用者的身分存取帳戶，您必須進行密碼復原程序。如需更多詳細資訊，請參閱 以根帳戶使用者身分存取成員帳戶。

AWS CLI & AWS SDKs

建立會自動成為組織一部分的 AWS 帳戶

您可以使用下列其中一項命令來建立帳戶：

• AWS CLI: create-account

  $ aws organizations create-account \
      --email susan@example.com \
      --account-name "Production Account"
  {
          "CreateAccountStatus": {
                  "State": "IN_PROGRESS",
                  "Id": "car-examplecreateaccountrequestid111"
          }
  }

  然後，可以使用以下命令檢查帳戶建立的狀態。

  $ aws organizations describe-create-account-status \
      --create-account-request-id car-examplecreateaccountrequestid111
  {
    "CreateAccountStatus": {
      "State": "SUCCEEDED",
      "AccountId": "555555555555",
      "AccountName": "Production account",
      "RequestedTimestamp": 1470684478.687,
      "CompletedTimestamp": 1470684532.472,
      "Id": "car-examplecreateaccountrequestid111"
    }
  }

• AWS SDKs: CreateAccount