Überlegungen vor der Erstellung eines Mitgliedskontos Erstellen eines AWS-Konto , das Teil Ihrer Organisation ist

Erstellen eines Mitliedskontos Ihrer Organisation

Eine Organisation ist eine Sammlung von Elementen AWS-Konten , die Sie zentral verwalten. Auf dieser Seite wird beschrieben, wie Sie AWS-Konten innerhalb Ihrer Organisation in erstellen können AWS Organizations. Informationen zum Erstellen einer Single AWS-Konto finden Sie im Resource Center für die ersten Schritte.

Sie können die Konten, die Teil Ihrer Organisation sind, wie folgt verwalten:

Überlegungen vor der Erstellung eines Mitgliedskontos

Organizations erstellt automatisch eine IAM-Rolle für das Mitgliedskonto

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch eine AWS Identity and Access Management (IAM-) Rolle OrganizationAccountAccessRole im Mitgliedskonto, die es Benutzern und Rollen im Verwaltungskonto ermöglicht, die volle administrative Kontrolle über das Mitgliedskonto auszuüben. Alle zusätzlichen Konten, die derselben verwalteten Richtlinie zugeordnet sind, werden bei jeder Aktualisierung der Richtlinie automatisch aktualisiert. Diese Rolle ist von allen für das Mitgliedskonto geltenden Service-Kontrollrichtlinien (Service Control Policies, SCPs) betroffen.

Organizations erstellt automatisch eine dienstbezogene Rolle für das Mitgliedskonto

Wenn Sie in Ihrer Organisation ein Mitgliedskonto erstellen, erstellt Organizations automatisch eine serviceverknüpfte Rolle AWSServiceRoleForOrganizations im Mitgliedskonto, die die Integration mit ausgewählten AWS Diensten ermöglicht. Um die Integration zu ermöglichen, müssen Sie die anderen Services konfigurieren. Weitere Informationen finden Sie unter AWS Organizations und serviceverknüpfte Rollen.

Für Mitgliedskonten können zusätzliche Informationen erforderlich sein, um als eigenständiges Konto zu funktionieren

AWS sammelt nicht automatisch alle Informationen, die erforderlich sind, damit ein Mitgliedskonto als eigenständiges Konto betrieben werden kann. Wenn Sie jemals ein Mitgliedskonto aus einer Organisation entfernen und es in ein eigenständiges Konto umwandeln müssen, müssen Sie diese Informationen für das Konto bereitstellen, bevor Sie es entfernen können. Weitere Informationen finden Sie unter Verlassen einer Organisation in Ihrem Mitgliedskonto.

Mitgliedskonten können nur im Stammverzeichnis einer Organisation erstellt werden

Mitgliedskonten in einer Organisation können nur im Stammverzeichnis einer Organisation und nicht in anderen Organisationseinheiten (OUs) erstellt werden. Nachdem Sie ein Stammkonto für ein Mitgliedskonto einer Organisation erstellt haben, können Sie es zwischen Organisationseinheiten verschieben. Weitere Informationen finden Sie unter Verschieben der Konten in eine OU oder zwischen Stamm und OUs.

Mitgliedskonten für Organisationen, die von verwaltet werden, AWS Control Tower sollten in erstellt werden AWS Control Tower

Wenn Ihre Organisation von verwaltet wird AWS Control Tower, erstellen Sie Ihre Mitgliedskonten mithilfe der AWS Control Tower Konto-Factory-Funktion in der AWS Control Tower Konsole oder mithilfe der AWS Control Tower APIs. Wenn Sie in Organizations ein Mitgliedskonto erstellen, obwohl die Organisation von verwaltet wird AWS Control Tower, wird das Konto nicht registriert. AWS Control Tower Weitere Informationen finden Sie unter Verweisen auf Ressourcen außerhalb von AWS Control Tower im AWS Control Tower -Benutzerhandbuch.

Mitgliedskonten müssen sich für den Erhalt von Marketing-E-Mails anmelden

Mitgliedskonten, die Sie als Teil einer Organisation erstellen, abonnieren nicht automatisch AWS Marketing-E-Mails. Um Ihre Konten für den Erhalt von Marketing-E-Mails anzumelden, siehe https://pages.awscloud.com/communication-preferences.

Erstellen eines AWS-Konto , das Teil Ihrer Organisation ist

Nachdem Sie sich beim Verwaltungskonto der Organisation angemeldet haben, können Sie Mitgliedskonten erstellen, die automatisch Teil Ihrer Organisation sind. Wenn Sie mit dem folgenden Verfahren ein Konto erstellen, AWS Organizations werden automatisch die folgenden primären Kontaktinformationen aus dem Verwaltungskonto in das neue Mitgliedskonto kopiert:

Phone number (Telefonnummer)
Unternehmensname
Website-URL
Adresse

Außerdem werden die Kommunikationssprache und die Marketplace-Informationen (in einigen Fällen der Anbieter des Kontos AWS-Regionen) aus dem Verwaltungskonto kopiert.

Mindestberechtigungen

Um ein Mitgliedskonto in Ihrer Organisation zu erstellen, müssen Sie über die folgenden Berechtigungen verfügen:

organizations:CreateAccount
organizations:DescribeOrganization – nur erforderlich, wenn Sie die Organizations-Konsole verwenden
iam:CreateServiceLinkedRole (wird dem Prinzipal organizations.amazonaws.com gewährt, um die erforderliche serviceverknüpfte Rolle in den Mitgliedskonten zu erstellen).

Um eine zu erstellen AWS-Konto , die automatisch Teil Ihrer Organisation ist

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).
Klicken Sie auf der AWS-Konten-Seite auf Hinzufügen eines AWS-Konto.
Klicken Sie auf der Seite Hinzufügen eines AWS-Konto auf Erstellen eines AWS-Konto (wird standardmäßig ausgewählt).
Geben Sie auf der Seite Erstellen eines AWS-Konto unter AWS-Konto -Name den Namen ein, den Sie dem Konto zuweisen möchten. Dieser Name hilft Ihnen, das Konto von anderen Konten der Organisation zu unterscheiden. Es handelt sich nicht um den IAM-Alias oder den E-Mail-Namen des Besitzers.
Geben Sie für E-Mail-Adresse des Kontoinhabers die E-Mail-Adresse des Kontoinhabers ein. Diese E-Mail-Adresse kann nicht bereits mit einer anderen verknüpft sein AWS-Konto , da sie als Anmeldedaten für den Root-Benutzer des Kontos dient.
(Optional) Geben Sie den Namen ein, der der IAM-Rolle zugewiesen wird, die automatisch in dem neuen Konto erstellt wird. Diese Rolle gewährt dem Verwaltungskonto der Organisation die Kontoberechtigung zum Zugriff auf das neu erstellte Mitgliedskonto. Wenn Sie keinen Namen angeben, wird AWS Organizations der Rolle der Standardname zugewiesen. OrganizationAccountAccessRole Wir empfehlen, den Standardnamen für alle Konten zu verwenden, um Konsistenz zu gewährleisten.

Wichtig
Notieren Sie sich diesen Rollennamen. Sie benötigen ihn später, um Benutzern und Rollen im Verwaltungskonto Zugriff auf das neue Konto zu gewähren.
(Optional) Fügen Sie im Abschnitt Tags ein oder mehrere Tags zum neuen Konto hinzu, indem Sie Tag hinzufügen auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einem Konto bis zu 50 Tags hinzufügen.
Wählen Sie Create (Erstellen) AWS-Konto aus.
- Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie Ihr Kontokontingent für die Organisation überschritten haben, lesen Sie Ich erhalte eine Meldung „Kontingent überschritten“, wenn ich versuche, meiner Organisation ein Konto hinzuzufügen..
- Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass Sie ein Konto nicht hinzufügen können, weil Ihre Organisation noch initialisiert wird, warten Sie eine Stunde, und versuchen Sie es dann erneut.
- Sie können auch im AWS CloudTrail Protokoll nach Informationen darüber suchen, ob die Kontoerstellung erfolgreich war. Weitere Informationen finden Sie unter Einloggen und Überwachen AWS Organizations.
- Wenn das Problem weiterhin besteht, wenden Sie sich bitte an AWS Support.
Die AWS-Konten-Seite wird angezeigt und Ihr neues Konto wird der Liste hinzugefügt.
Da das Konto nun vorhanden ist und eine IAM-Rolle hat, die einen administrativen Zugriff für Benutzer im Verwaltungskonto zulässt, können Sie dem Konto über die Schritte unter Zugriff auf Mitgliedskonten in Ihrer Organisation Zugriff gewähren.

Anmerkung

Wenn Sie ein Konto erstellen, weist es dem Root-Benutzer AWS Organizations zunächst ein langes (64 Zeichen), komplexes, zufällig generiertes Passwort zu. Sie können dieses anfängliche Passwort nicht abrufen. Um als Stammbenutzer erstmals auf das Konto zugreifen zu können, müssen Sie den Prozess für die Passwortwiederherstellung ausführen. Weitere Informationen finden Sie unter Zugreifen auf ein Mitgliedskonto als Root-Benutzer.

Die folgenden Codebeispiele zeigen, wie man es benutztCreateAccount.

.NET

AWS SDK for .NET

Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

Einzelheiten zur API finden Sie CreateAccountin der AWS SDK for .NET API-Referenz.

CLI

AWS CLI

Um ein Mitgliedskonto zu erstellen, das automatisch Teil der Organisation ist

Das folgende Beispiel zeigt, wie Sie ein Mitgliedskonto in einer Organisation erstellen. Das Mitgliedskonto ist mit dem Namen Production Account und der E-Mail-Adresse susan@example.com konfiguriert. Organizations erstellt automatisch eine IAM-Rolle mit dem Standardnamen von, OrganizationAccountAccessRole da der RoleName-Parameter nicht angegeben ist. Außerdem ist die Einstellung, die IAM-Benutzern oder -Rollen mit ausreichenden Berechtigungen den Zugriff auf Kontoabrechnungsdaten ermöglicht, auf den Standardwert ALLOW gesetzt, da der IamUserAccessToBilling Parameter nicht angegeben ist. Organizations sendet Susan automatisch eine „Willkommen bei AWS“ -E-Mail:


aws organizations create-account --email susan@example.com --account-name "Production Account"

Die Ausgabe enthält ein Anforderungsobjekt, aus dem hervorgeht, dass der Status jetzt wie folgt lautetIN_PROGRESS:


{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Sie können später den aktuellen Status der Anforderung abfragen, indem Sie den Antwortwert ID für den describe-create-account-status Befehl als Wert für den create-account-request-id Parameter angeben.

Weitere Informationen finden Sie unter Erstellen eines AWS Kontos in Ihrer Organisation im Benutzerhandbuch für AWS Organizations.

Einzelheiten zur API finden Sie CreateAccountunter AWS CLI Befehlsreferenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einladen eines Kontos zu Ihrer Organisation

Zugreifen auf Mitgliedskonten

Erstellen eines Mitliedskontos Ihrer Organisation

Überlegungen vor der Erstellung eines Mitgliedskontos

Erstellen eines AWS-Konto , das Teil Ihrer Organisation ist

Mindestberechtigungen

Um eine zu erstellen AWS-Konto , die automatisch Teil Ihrer Organisation ist

Wichtig

Anmerkung

Anmerkung