Consideraciones antes de crear una cuenta de miembro Creación de una cuenta de miembro

Crear una cuenta de miembro en una organización con AWS Organizations

En este tema se describe cómo crear Cuentas de AWS dentro de su organización en AWS Organizations. Para obtener información sobre la creación de un single Cuenta de AWS, consulte el Centro de recursos de introducción.

Consideraciones antes de crear una cuenta de miembro

Organizations crea automáticamente el IAM rol OrganizationAccountAccessRole para la cuenta del miembro

Al crear una cuenta de miembro en su organización, Organizations crea automáticamente el IAM rol OrganizationAccountAccessRole en la cuenta de miembro que permite a los usuarios y roles de la cuenta de administración ejercer un control administrativo total sobre la cuenta de miembro. Toda cuenta adicional asociada a la misma política administrada se actualizará automáticamente cada vez que se actualice la política. Este rol está sujeto a cualquier política de control de servicios (SCPs) que se aplique a la cuenta del miembro.

Organizations crea automáticamente el rol vinculado al servicio AWSServiceRoleForOrganizations para la cuenta del miembro

Cuando crea una cuenta de miembro en su organización, Organizations crea automáticamente un rol vinculado al servicio AWSServiceRoleForOrganizations en la cuenta de miembro que permite la integración con servicios de AWS seleccionados. Debe configurar los demás servicios para permitir la integración. Para obtener más información, consulte AWS Organizations y funciones vinculadas al servicio.

Las cuentas de miembro pueden requerir información adicional para funcionar como una cuenta independiente

AWS no recopila automáticamente toda la información necesaria para que la cuenta de un miembro funcione como una cuenta independiente. Si alguna vez necesita eliminar la cuenta de miembro de la organización y convertirla en cuenta independiente, debe proporcionar la información solicitada para la cuenta antes de poder eliminarla. Para obtener más información, consulte Salir de una organización desde una cuenta de miembro con AWS Organizations.

Las cuentas de miembro solo se pueden crear en la raíz de una organización

Las cuentas de los miembros de una organización solo se pueden crear en la raíz de la organización y no en ninguna otra unidad organizativa (OUs). Después de crear la raíz de una cuenta de miembro de una organización, puedes moverla de una organización a otraOUs. Para obtener más información, consulte Mover cuentas a una unidad organizativa (OU) o entre la raíz y las unidades organizativas con AWS Organizations.

Las políticas asociadas al nodo raíz se aplican inmediatamente

Si tiene política asociadas al nodo raíz del árbol de la OU, dichas políticas se aplican inmediatamente a todos los usuarios y roles de la cuenta creada.

Si has activado la confianza de servicio para otro AWS servicio de tu organización, ese servicio de confianza puede crear funciones vinculadas al servicio o realizar acciones en cualquier cuenta de miembro de la organización, incluida la cuenta que hayas creado.

Las cuentas de los miembros de las organizaciones administradas por AWS Control Tower deben crearse en AWS Control Tower

Si su organización está administrada por AWS Control Tower, cree sus cuentas de miembro utilizando la fábrica de AWS Control Tower cuentas de la AWS Control Tower consola o utilizando el AWS Control Tower APIs. Si creas una cuenta de miembro en Organizations cuando la organización está gestionada por la organización AWS Control Tower, la cuenta no se inscribirá en ella AWS Control Tower. Para obtener más información, consulte Referencia del tipo de recurso fuera de AWS Control Tower en la Guía del usuario AWS Control Tower .

Las cuentas de miembro deben optar por recibir correos electrónicos de marketing

Las cuentas de miembros que crees como parte de una organización no se suscriben automáticamente a los correos electrónicos de AWS marketing. Para suscribir sus cuentas para recibir correos electrónicos de marketing, consulte https://pages.awscloud.com/communication-preferences.

Creación de una cuenta de miembro

Luego de iniciar sesión en la cuenta de administración de la organización, puede crear cuentas que se conviertan en cuentas de miembro de su organización.

Al crear una cuenta mediante el siguiente procedimiento, copia AWS Organizations automáticamente la siguiente información de contacto principal de la cuenta de administración a la nueva cuenta de miembro:

Número de teléfono
Nombre de la empresa
Sitio web URL
Dirección

Organizations también copia el idioma de comunicación y la información de Marketplace (en algunos casos, el proveedor de la cuenta Regiones de AWS) de la cuenta de administración.

Permisos mínimos

Para crear una cuenta de miembro en su organización, debe contar con los permisos siguientes:

organizations:CreateAccount
organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations
iam:CreateServiceLinkedRole ( concedido a la entidad principal organizations.amazonaws.com para permitir la creación del rol vinculado al servicio requerido en las cuentas de miembro).

Para crear una Cuenta de AWS que forme parte automáticamente de su organización

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En la página Cuentas de AWS, elija Agregar un Cuenta de AWS.
En la página Agregar una Cuenta de AWS, elija Crear una Cuenta de AWS (se elige de forma predeterminada).
En la página Crear una Cuenta de AWS, para Nombre de Cuenta de AWS ingrese el nombre que desee asignar a la cuenta. Este nombre le ayuda a distinguir la cuenta de todas las demás de la organización y es independiente del alias de IAM o del nombre de correo electrónico del propietario.
Para Dirección de correo electrónico del propietario de la cuenta, ingrese la dirección de correo electrónico del propietario de la cuenta. Esta dirección de correo electrónico no puede estar asociada ya Cuenta de AWS a otra porque se convierte en la credencial del nombre de usuario del usuario raíz de la cuenta.
(Opcional) Especifique el nombre que va a asignar a la función de IAM que se crea automáticamente en la nueva cuenta. Este rol concede a la cuenta de administración de la organización el permiso para tener acceso a la cuenta de miembro que acaba de crear. Si no especifica un nombre, AWS Organizations asigna al rol un nombre predeterminado deOrganizationAccountAccessRole. Recomendamos que utilice el nombre predeterminado en todas sus cuentas para mayor coherencia.

importante
Recuerde este nombre de rol. Lo necesitará más adelante para conceder acceso a la nueva cuenta a los usuarios y roles de la cuenta de administración.
(Opcional) En la sección Etiquetas, agregue una o varias etiquetas con Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede asociar hasta 50 etiquetas a una cuenta.
Seleccione Crear Cuenta de AWS.
- Si aparece un error que indica que ha superado la cuota de cuenta de la organización, consulte Obtengo un mensaje de "cuota superada" cuando intento agregar una cuenta a mi organización.
- Si obtiene un error que indica que no puede añadir una cuenta porque la organización todavía se está inicializando, espere una hora y vuelva a intentarlo.
- También puede consultar el AWS CloudTrail registro para obtener información sobre si la creación de la cuenta se ha realizado correctamente. Para obtener más información, consulte Registro y monitorización en AWS Organizations.
- Si el error persiste, póngase en contacto con AWS Support.
La página Cuentas de AWS aparece, con su cuenta nueva agregada a la lista.
Ahora que la cuenta existe y tiene un IAM rol que otorga acceso de administrador a los usuarios de la cuenta de administración, puede acceder a la cuenta siguiendo los pasos que se indicanAcceder a las cuentas de los miembros de una organización con AWS Organizations.

En los siguientes ejemplos de código, se muestra cómo utilizar CreateAccount.

.NET

AWS SDK for .NET

nota

Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

Para API obtener más información, consulte CreateAccountla AWS SDK for .NET APIReferencia.

CLI

AWS CLI

Creación de una cuenta de miembro que forme parte automáticamente de la organización

En el siguiente ejemplo se muestra cómo crear una cuenta de miembro en una organización. La cuenta de miembro se configura con el nombre Production Account y la dirección de correo electrónico susan@example.com. Organizations crea automáticamente un IAM rol con el nombre predeterminado de OrganizationAccountAccessRole porque el roleName parámetro no está especificado. Además, la configuración que permite a IAM los usuarios o roles con permisos suficientes acceder a los datos de facturación de la cuenta se establece en el valor predeterminado de ALLOW porque el IamUserAccessToBilling parámetro no está especificado. Organizations envía automáticamente a Susan un correo electrónico de AWS bienvenida a:


aws organizations create-account --email susan@example.com --account-name "Production Account"

La salida incluye un objeto de solicitud que muestra que el estado ahora es IN_PROGRESS:


{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Más adelante, puede consultar el estado actual de la solicitud proporcionando el valor de respuesta Id al describe-create-account-status comando como valor del create-account-request-id parámetro.

Para obtener más información, consulte Crear una AWS cuenta en su organización en la Guía del AWS usuario de Organizations.

Para API obtener más información, consulte CreateAccountla Referencia de AWS CLI comandos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas para cuentas de miembros

Acceso a las cuentas de miembro