Erstellen eines Mitgliedskontos in einer Organisation mit AWS Organizations - AWS Organizations
Überlegungen vor der Erstellung eines MitgliedskontosErstellen eines Mitgliedskontos

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines Mitgliedskontos in einer Organisation mit AWS Organizations

In diesem Thema wird beschrieben, wie Sie AWS-Konten innerhalb Ihrer Organisation in erstellen AWS Organizations. Informationen zum Erstellen einer Single AWS-Konto finden Sie im Ressourcencenter Erste Schritte.

Überlegungen vor der Erstellung eines Mitgliedskontos

Organizations erstellt automatisch die IAM Rolle OrganizationAccountAccessRole für das Mitgliedskonto

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch die IAM Rolle OrganizationAccountAccessRole im Mitgliedskonto, die es Benutzern und Rollen im Verwaltungskonto ermöglicht, die volle administrative Kontrolle über das Mitgliedskonto auszuüben. Alle zusätzlichen Konten, die derselben verwalteten Richtlinie zugeordnet sind, werden bei jeder Aktualisierung der Richtlinie automatisch aktualisiert. Diese Rolle unterliegt allen Dienstkontrollrichtlinien (SCPs), die für das Mitgliedskonto gelten.

Organizations erstellt automatisch eine mit dem Service verknüpfte Rolle AWSServiceRoleForOrganizations für das Mitgliedskonto

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch eine dienstbezogene Rolle AWSServiceRoleForOrganizations im Mitgliedskonto, die die Integration mit ausgewählten AWS Diensten ermöglicht. Um die Integration zu ermöglichen, müssen Sie die anderen Services konfigurieren. Weitere Informationen finden Sie unter AWS Organizations und dienstbezogene Rollen.

Für Mitgliedskonten können zusätzliche Informationen erforderlich sein, um als eigenständiges Konto zu funktionieren

AWS sammelt nicht automatisch alle Informationen, die erforderlich sind, damit ein Mitgliedskonto als eigenständiges Konto betrieben werden kann. Wenn Sie jemals ein Mitgliedskonto aus einer Organisation entfernen und es in ein eigenständiges Konto umwandeln müssen, müssen Sie diese Informationen für das Konto bereitstellen, bevor Sie es entfernen können. Weitere Informationen finden Sie unter Verlassen Sie eine Organisation von einem Mitgliedskonto aus mit AWS Organizations.

Mitgliedskonten können nur im Stammverzeichnis einer Organisation erstellt werden

Mitgliedskonten in einer Organisation können nur im Stammverzeichnis einer Organisation und nicht in anderen Organisationseinheiten (OUs) erstellt werden. Nachdem Sie ein Stammkonto für ein Mitgliedskonto einer Organisation erstellt haben, können Sie es zwischen diesen verschiebenOUs. Weitere Informationen finden Sie unter Konten in eine Organisationseinheit (OU) oder zwischen Stamm- und OUs mit verschieben AWS Organizations.

Richtlinien, die an das Stammverzeichnis angehängt sind, gelten sofort

Wenn Sie Richtlinien an das Stammkonto angehängt haben, gelten diese Richtlinien sofort für alle Benutzer und Rollen im erstellten Konto.

Wenn Sie Service Trust für einen anderen AWS Dienst Ihrer Organisation aktiviert haben, kann dieser vertrauenswürdige Dienst dienstbezogene Rollen erstellen oder Aktionen für jedes Mitgliedskonto in der Organisation ausführen, einschließlich Ihres erstellten Kontos.

Mitgliedskonten für Organisationen, die von verwaltet werden, AWS Control Tower sollten in erstellt werden AWS Control Tower

Wenn Ihre Organisation von verwaltet wird AWS Control Tower, erstellen Sie Ihre Mitgliedskonten mithilfe der AWS Control Tower Konto-Factory-Funktion in der AWS Control Tower Konsole oder mithilfe von AWS Control Tower APIs. Wenn Sie in Organizations ein Mitgliedskonto erstellen, obwohl die Organisation von verwaltet wird AWS Control Tower, wird das Konto nicht registriert. AWS Control Tower Weitere Informationen finden Sie unter Verweisen auf Ressourcen außerhalb von AWS Control Tower im AWS Control Tower -Benutzerhandbuch.

Mitgliedskonten müssen sich für den Erhalt von Marketing-E-Mails anmelden

Mitgliedskonten, die Sie als Teil einer Organisation erstellen, abonnieren nicht automatisch AWS Marketing-E-Mails. Um Ihre Konten für den Erhalt von Marketing-E-Mails anzumelden, siehe https://pages.awscloud.com/communication-preferences.

Erstellen eines Mitgliedskontos

Nachdem Sie sich beim Verwaltungskonto der Organisation angemeldet haben, können Sie Mitgliedskonten erstellen, die Teil Ihrer Organisation sind.

Wenn Sie mit dem folgenden Verfahren ein Konto erstellen, AWS Organizations werden die folgenden primären Kontaktinformationen automatisch aus dem Verwaltungskonto in das neue Mitgliedskonto kopiert:

  • Phone number (Telefonnummer)

  • Unternehmensname

  • Website URL

  • Adresse

Organizations kopieren auch die Kommunikationssprache und die Marketplace-Informationen (in einigen Fällen Anbieter des Kontos AWS-Regionen) aus dem Verwaltungskonto.

Mindestberechtigungen

Um ein Mitgliedskonto in Ihrer Organisation zu erstellen, müssen Sie über die folgenden Berechtigungen verfügen:

  • organizations:CreateAccount

  • organizations:DescribeOrganization – nur erforderlich, wenn Sie die Organizations-Konsole verwenden

  • iam:CreateServiceLinkedRole (wird dem Prinzipal organizations.amazonaws.com gewährt, um die erforderliche serviceverknüpfte Rolle in den Mitgliedskonten zu erstellen).

Um ein Konto zu erstellen AWS-Konto , das automatisch Teil Ihrer Organisation ist

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

  2. Klicken Sie auf der AWS-Konten-Seite auf Hinzufügen eines AWS-Konto.

  3. Klicken Sie auf der Seite Hinzufügen eines AWS-Konto auf Erstellen eines AWS-Konto (wird standardmäßig ausgewählt).

  4. Geben Sie auf der Seite Erstellen eines AWS-Konto unter AWS-Konto -Name den Namen ein, den Sie dem Konto zuweisen möchten. Dieser Name hilft Ihnen, das Konto von allen anderen Konten in der Organisation zu unterscheiden, und ist unabhängig vom IAM Alias oder dem E-Mail-Namen des Besitzers.

  5. Geben Sie für E-Mail-Adresse des Kontoinhabers die E-Mail-Adresse des Kontoinhabers ein. Diese E-Mail-Adresse kann nicht bereits mit einer anderen verknüpft sein AWS-Konto , da sie als Anmeldedaten für den Root-Benutzer des Kontos dient.

  6. (Optional) Geben Sie den Namen an, der der IAM Rolle zugewiesen werden soll, die automatisch im neuen Konto erstellt wird. Diese Rolle gewährt dem Verwaltungskonto der Organisation die Kontoberechtigung zum Zugriff auf das neu erstellte Mitgliedskonto. Wenn Sie keinen Namen angeben, wird AWS Organizations der Rolle der Standardname zugewiesenOrganizationAccountAccessRole. Wir empfehlen, den Standardnamen für alle Konten zu verwenden, um Konsistenz zu gewährleisten.

    Wichtig

    Notieren Sie sich diesen Rollennamen. Sie benötigen ihn später, um Benutzern und Rollen im Verwaltungskonto Zugriff auf das neue Konto zu gewähren.

  7. (Optional) Fügen Sie im Abschnitt Tags ein oder mehrere Tags zum neuen Konto hinzu, indem Sie Tag hinzufügen auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einem Konto bis zu 50 Tags hinzufügen.

  8. Wählen Sie Create (Erstellen) AWS-Konto aus.

    Die AWS-Konten-Seite wird angezeigt und Ihr neues Konto wird der Liste hinzugefügt.

  9. Da das Konto nun vorhanden ist und über eine IAM Rolle verfügt, die Benutzern im Verwaltungskonto Administratorzugriff gewährt, können Sie auf das Konto zugreifen, indem Sie die unter beschriebenen Schritte ausführenZugreifen auf Mitgliedskonten in einer Organisation mit AWS Organizations.

Anmerkung

Wenn Sie ein Konto erstellen, weist Sie dem Root-Benutzer AWS Organizations zunächst ein langes (64 Zeichen), komplexes, zufällig generiertes Passwort zu. Sie können dieses anfängliche Passwort nicht abrufen. Um als Stammbenutzer erstmals auf das Konto zugreifen zu können, müssen Sie den Prozess für die Passwortwiederherstellung ausführen. Weitere Informationen finden Sie unter Zugriff auf ein Mitgliedskonto als Root-Benutzer mit AWS Organizations.

Die folgenden Codebeispiele zeigen, wie Sie es verwendenCreateAccount.

.NET
AWS SDK for .NET
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

  • APIEinzelheiten finden Sie CreateAccountunter AWS SDK for .NET APIReferenz.

CLI
AWS CLI

Um ein Mitgliedskonto zu erstellen, das automatisch Teil der Organisation ist

Das folgende Beispiel zeigt, wie Sie ein Mitgliedskonto in einer Organisation erstellen. Das Mitgliedskonto ist mit dem Namen Production Account und der E-Mail-Adresse susan@example.com konfiguriert. Organizations erstellt automatisch eine IAM Rolle mit dem Standardnamen von OrganizationAccountAccessRole , weil der roleName Parameter nicht angegeben ist. Außerdem ist die Einstellung, die IAM Benutzern oder Rollen mit ausreichenden Berechtigungen den Zugriff auf Kontoabrechnungsdaten ermöglicht, auf den Standardwert von gesetztALLOW, da der IamUserAccessToBilling Parameter nicht angegeben ist. Organizations sendet Susan automatisch eine „Willkommen bei AWS“ -E-Mail:

aws organizations create-account --email susan@example.com --account-name "Production Account"

Die Ausgabe enthält ein Anforderungsobjekt, aus dem hervorgeht, dass der Status jetzt wie folgt lautetIN_PROGRESS:

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Sie können später den aktuellen Status der Anforderung abfragen, indem Sie den Antwortwert ID für den describe-create-account-status Befehl als Wert für den create-account-request-id Parameter angeben.

Weitere Informationen finden Sie unter Erstellen eines AWS Kontos in Ihrer Organisation im Benutzerhandbuch für AWS Organizations.

  • APIEinzelheiten finden Sie CreateAccountin der AWS CLI Befehlsreferenz.