Considérations à prendre en compte avant de créer un compte membre Création d'un compte membre

Création d'un compte membre dans une organisation avec AWS Organizations

Cette rubrique décrit comment créer au Comptes AWS sein de votre organisation dans AWS Organizations. Pour plus d'informations sur la création d'un single Compte AWS, consultez le Centre de ressources pour la mise en route.

Considérations à prendre en compte avant de créer un compte membre

Organizations crée automatiquement le IAM rôle OrganizationAccountAccessRole du compte membre

Lorsque vous créez un compte membre dans votre organisation, Organizations crée automatiquement le IAM rôle OrganizationAccountAccessRole dans le compte membre qui permet aux utilisateurs et aux rôles du compte de gestion d'exercer un contrôle administratif total sur le compte membre. Tous les comptes supplémentaires attachés à la même politique gérée seront automatiquement mis à jour chaque fois que la politique sera mise à jour. Ce rôle est soumis à toutes les politiques de contrôle des services (SCPs) qui s'appliquent au compte du membre.

Organizations crée automatiquement le rôle lié au service AWSServiceRoleForOrganizations pour le compte membre

Lorsque vous créez un compte membre dans votre organisation, Organizations crée automatiquement un rôle lié au service AWSServiceRoleForOrganizations dans le compte membre qui permet l'intégration à certains AWS services. Vous devez configurer les autres services pour permettre l'intégration. Pour de plus amples informations, veuillez consulter AWS Organizations et rôles liés aux services.

Les comptes membres peuvent nécessiter des informations supplémentaires pour fonctionner en tant que compte autonome.

AWS ne collecte pas automatiquement toutes les informations requises pour qu'un compte membre fonctionne comme un compte autonome. Si vous souhaitez supprimer un compte membre d'une organisation et en faire un compte autonome, vous devez fournir ces informations pour le compte avant de pouvoir le supprimer. Pour de plus amples informations, veuillez consulter Quitter une organisation depuis un compte membre avec AWS Organizations.

Les comptes membres ne peuvent être créés qu'à la racine d'une organisation

Les comptes de membres d'une organisation ne peuvent être créés qu'à la racine d'une organisation, et non dans aucune autre unité organisationnelle (OUs). Après avoir créé un compte membre racine d'une organisation, vous pouvez le déplacer entre les deuxOUs. Pour de plus amples informations, veuillez consulter Déplacement de comptes vers une unité organisationnelle (UO) ou entre la racine et OUs avec AWS Organizations.

Les politiques associées à la racine s'appliquent immédiatement

Si des politiques sont associées à la racine, elles s'appliquent immédiatement à tous les utilisateurs et rôles du compte créé.

Si vous avez activé le service Trust pour un autre AWS service de votre organisation, ce service fiable peut créer des rôles liés au service ou effectuer des actions sur n'importe quel compte membre de l'organisation, y compris le compte que vous avez créé.

Les comptes membres des organisations gérées par AWS Control Tower doivent être créés dans AWS Control Tower

Si votre organisation est gérée par AWS Control Tower, créez vos comptes membres à l'aide de la AWS Control Tower fabrique de comptes de la AWS Control Tower console ou à l'aide du AWS Control Tower APIs. Si vous créez un compte membre dans Organizations alors que l'organisation est gérée par AWS Control Tower, le compte ne sera pas inscrit AWS Control Tower. Pour de plus amples informations, consultez Référence à des ressources en dehors de AWS Control Tower dans le Guide de l'utilisateur de AWS Control Tower .

Les comptes membres doivent s'inscrire pour recevoir des e-mails marketing

Les comptes de membres que vous créez dans le cadre d'une organisation ne sont pas automatiquement abonnés aux e-mails AWS marketing. Pour inscrire vos comptes à la réception d'e-mails de marketing, consultez https://pages.awscloud.com/communication-preferences.

Création d'un compte membre

Une fois connecté au compte de gestion de l'organisation, vous pouvez créer des comptes de membres qui font partie de votre organisation.

Lorsque vous créez un compte à l'aide de la procédure suivante, copie AWS Organizations automatiquement les coordonnées principales suivantes du compte de gestion vers le nouveau compte membre :

Phone number (Numéro de téléphone)
Nom de la société
Site Web URL
Address

Organizations copie également le langage de communication et les informations Marketplace (fournisseur du compte dans certains cas Régions AWS) à partir du compte de gestion.

Autorisations minimales

Pour créer un compte membre dans votre organisation, vous devez disposer des autorisations suivantes :

organizations:CreateAccount
organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations
iam:CreateServiceLinkedRole (accordé au principal organizations.amazonaws.com pour permettre la création du rôle lié à un service requis dans les comptes membres).

Pour créer une Compte AWS annonce intégrée automatiquement à votre organisation

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, choisissez Ajouter un Compte AWS.
Sur la page Ajouter un Compte AWS, choisissez Créer un Compte AWS (cette option est choisie par défaut).
Sur la page Créer un Compte AWS, pour Compte AWS Nom saisissez le nom que vous souhaitez attribuer au compte. Ce nom vous aide à distinguer le compte de tous les autres comptes de l'organisation et il est différent de l'alias IAM ou de l'e-mail du propriétaire.
Pour Adresse e-mail du propriétaire du compte, saisissez l'adresse e-mail du propriétaire du compte. Cette adresse e-mail ne peut pas déjà être associée à une autre Compte AWS car elle devient le nom d'utilisateur de l'utilisateur root du compte.
(Facultatif) Spécifiez le nom à attribuer au rôle IAM qui est automatiquement créé dans le nouveau compte. Ce rôle accorde au compte de gestion de l'organisation l'autorisation d'accéder au compte membre nouvellement créé. Si vous ne spécifiez pas de nom, AWS Organizations donne au rôle le nom par défaut deOrganizationAccountAccessRole. Nous vous recommandons d'utiliser le nom par défaut sur tous vos comptes pour assurer la cohérence.

Important
N'oubliez pas ce nom de rôle. Vous en aurez besoin ultérieurement pour accorder l'accès au nouveau compte aux utilisateurs et rôles du compte de gestion.
(Facultatif) Dans la section Balises, ajoutez une ou plusieurs balises au nouveau compte en choisissant Ajouter une balise, puis en saisissant une clé et une valeur facultative. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null. Vous pouvez attacher jusqu'à 50 balises à un compte.
Sélectionnez Create Compte AWS (Créer).
- Si vous obtenez une erreur qui indique que vous avez dépassé votre quota de comptes pour l'organisation, consultez J'obtiens un message « Quota dépassé » lorsque j'essaie d'ajouter un compte à mon organisation..
- Si vous obtenez une erreur qui indique que vous ne pouvez pas ajouter un compte parce que votre organisation est toujours en cours d'initialisation, attendez une heure, puis réessayez.
- Vous pouvez également consulter le AWS CloudTrail journal pour savoir si la création du compte a été réussie. Pour de plus amples informations, veuillez consulter Connexion et surveillance AWS Organizations.
- Si vous obtenez toujours la même erreur, contactez AWS Support.
La page Comptes AWS apparaît ; votre nouveau compte a été ajouté à la liste.
Maintenant que le compte existe et possède un IAM rôle qui accorde un accès administrateur aux utilisateurs du compte de gestion, vous pouvez accéder au compte en suivant les étapes décrites dansAccès aux comptes des membres d'une organisation avec AWS Organizations.

Les exemples de code suivants montrent comment utiliserCreateAccount.

.NET

AWS SDK for .NET

Note

Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le référentiel d’exemples de code AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

Pour API plus de détails, voir CreateAccountla section AWS SDK for .NET APIRéférence.

CLI

AWS CLI

Pour créer un compte membre qui fait automatiquement partie de l'organisation

L'exemple suivant montre comment créer un compte membre dans une organisation. Le compte membre est configuré avec le nom Compte de production et l'adresse e-mail susan@example.com. Organizations crée automatiquement un IAM rôle en utilisant le nom par défaut OrganizationAccountAccessRole car le roleName paramètre n'est pas spécifié. En outre, le paramètre qui permet aux IAM utilisateurs ou aux rôles disposant d'autorisations suffisantes d'accéder aux données de facturation du compte est défini sur la valeur par défaut, ALLOW car le IamUserAccessToBilling paramètre n'est pas spécifié. Organizations envoie automatiquement à Susan un e-mail « Bienvenue à AWS » :


aws organizations create-account --email susan@example.com --account-name "Production Account"

La sortie inclut un objet de demande qui indique que le statut est désormais le suivant IN_PROGRESS :


{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Vous pouvez ultérieurement demander l'état actuel de la demande en fournissant la valeur de réponse Id à la describe-create-account-status commande comme valeur du create-account-request-id paramètre.

Pour plus d'informations, consultez la section Création d'un AWS compte dans votre organisation dans le Guide de l'utilisateur AWS des Organizations.

Pour API plus de détails, voir CreateAccountla section Référence des AWS CLI commandes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques relatives aux comptes membres

Accès aux comptes membres