本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在您的組織中建立成員帳戶
這個頁面會說明如何使用 AWS Organizations 在組織內建立 AWS 帳戶。若要了解 AWS 入門和建立單一 AWS 帳戶,請參閱資源中心入門
組織是指您集中管理的 AWS 帳戶 集合。您可以執行以下程序來管理屬於您的組織一部分的帳戶:
重要
-
在您的組織中建立成員帳戶時,AWS Organizations 會自動在成員帳戶中建立一個 AWS Identity and Access Management (IAM) 角色
OrganizationAccountAccessRole
,讓管理帳戶中的使用者和角色能對成員帳戶執行完整的管理控制。這個角色會受限於套用至成員帳戶的任何服務控制政策 (SCP)。AWS Organizations 還會自動將受管政策以及
OrganizationAccountAccessRole
角色新增到成員帳戶中。此允許集中控制,以便在政策更新時,自動更新連接至相同受管政策的任何其他帳戶。過去,在組織內建立的新帳戶會得到一個僅適用於該單一帳戶的內嵌政策。如需內嵌和受管政策的詳細資訊,請參閱《IAM 使用者指南》中的受管政策和內嵌政策。AWS Organizations 也會自動建立名為
AWSServiceRoleForOrganizations
的服務連結角色,啟用與選取 AWS 服務的整合。您必須設定其他服務以允許整合。如需更多詳細資訊,請參閱 AWS Organizations 和服務連結角色。 -
如果該組織使用 AWS Control Tower 進行管理,則使用 AWS Control Tower 主控台或 API 中的 AWS Control Tower Account Factory 來建立帳戶。如果您在 Organizations 中建立帳戶,則該帳戶未在 AWS Control Tower 註冊。如需詳細資訊,請參閱AWS Control Tower使用者指南中的參照 AWS Control Tower 外部資源。
注意
作為組織一部分而建立的 AWS 帳戶 不會自動訂閱 AWS 行銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件,請參閱https://pages.awscloud.com/communication-preferences
建立屬於您的組織的 AWS 帳戶
在登入組織的管理帳戶之後,您可以建立會自動成為組織一部分的成員帳戶。使用以下程序建立帳戶時,AWS Organizations 會自動將管理帳戶中的下列主要聯絡資訊複製到新的成員帳戶中:
-
電話號碼
-
公司名稱
-
網站 URL
-
Address
它也會從管理帳戶複製通訊語言和 Marketplace 資訊 (部分 AWS 區域 帳戶供應商)。
注意
AWS 不會自動收集帳戶作為獨立帳戶運作所需的所有資訊。如果您曾從組織移除成員帳戶,並且讓它成為獨立帳戶,您必須為帳戶提供該資訊,之後才可以移除它。如需更多詳細資訊,請參閱 從成員帳戶離開組織。
最低許可
若要在您的組織中建立成員帳戶,您必須擁有以下許可:
-
organizations:CreateAccount
-
organizations:DescribeOrganization
– 僅在使用 Organizations 主控台時才需要 -
iam:CreateServiceLinkedRole
( 授予委託人organizations.amazonaws.com
,讓其可在成員帳戶中建立必要的服務連結角色)。