Pertimbangan sebelum membuat akun anggota Buat sebuah akun anggota

Membuat akun anggota di organisasi dengan AWS Organizations

Topik ini menjelaskan cara membuat Akun AWS dalam organisasi Anda di AWS Organizations. Untuk informasi tentang membuat single Akun AWS, lihat Pusat Sumber Daya Memulai.

Pertimbangan sebelum membuat akun anggota

Organizations secara otomatis membuat IAM peran OrganizationAccountAccessRole untuk akun anggota

Saat Anda membuat akun anggota di organisasi Anda, Organizations secara otomatis membuat IAM peran OrganizationAccountAccessRole di akun anggota yang memungkinkan pengguna dan peran dalam akun manajemen untuk melakukan kontrol administratif penuh atas akun anggota. Setiap akun tambahan yang dilampirkan pada kebijakan terkelola yang sama akan diperbarui secara otomatis setiap kali kebijakan diperbarui. Peran ini tunduk pada kebijakan kontrol layanan apa pun (SCPs) yang berlaku untuk akun anggota.

Organizations secara otomatis membuat peran terkait layanan AWSServiceRoleForOrganizations untuk akun anggota

Saat Anda membuat akun anggota di organisasi Anda, Organizations secara otomatis membuat peran terkait layanan AWSServiceRoleForOrganizations di akun anggota yang memungkinkan integrasi dengan layanan tertentu AWS . Anda harus mengkonfigurasi layanan lain untuk memungkinkan integrasi. Untuk informasi selengkapnya, lihat AWS Organizations dan peran terkait layanan.

Akun anggota dapat memerlukan informasi tambahan untuk beroperasi sebagai akun mandiri

AWS tidak secara otomatis mengumpulkan semua informasi yang diperlukan untuk akun anggota untuk beroperasi sebagai akun mandiri. Jika Anda perlu menghapus akun anggota dari organisasi dan menjadikannya akun mandiri, Anda harus memberikan informasi tersebut untuk akun tersebut sebelum Anda dapat menghapusnya. Untuk informasi selengkapnya, lihat Tinggalkan organisasi dari akun anggota dengan AWS Organizations.

Akun anggota hanya dapat dibuat di root organisasi

Akun anggota dalam suatu organisasi hanya dapat dibuat di akar organisasi, dan tidak di unit organisasi lainnya (OUs). Setelah Anda membuat root akun anggota organisasi, Anda dapat memindahkannya di antaraOUs. Untuk informasi selengkapnya, lihat Memindahkan akun ke unit organisasi (OU) atau antara root dan OUs dengan AWS Organizations.

Kebijakan yang dilampirkan ke root segera berlaku

Jika Anda memiliki kebijakan yang melekat pada root, kebijakan tersebut segera berlaku untuk semua pengguna dan peran di akun yang dibuat.

Jika Anda telah mengaktifkan kepercayaan layanan untuk AWS layanan lain untuk organisasi Anda, layanan tepercaya tersebut dapat membuat peran terkait layanan atau melakukan tindakan di akun anggota mana pun di organisasi, termasuk akun yang Anda buat.

Akun anggota untuk organisasi yang dikelola oleh AWS Control Tower harus dibuat di AWS Control Tower

Jika organisasi Anda dikelola oleh AWS Control Tower, maka buat akun anggota Anda menggunakan pabrik AWS Control Tower akun di AWS Control Tower konsol atau gunakan AWS Control Tower APIs. Jika Anda membuat akun anggota di Organizations saat organisasi dikelola AWS Control Tower, akun tersebut tidak akan terdaftar. AWS Control Tower Untuk informasi lebih lanjut, lihat Mengacu pada Sumber Daya di luar AWS Control Tower di Panduan Pengguna AWS Control Tower .

Akun anggota harus ikut serta untuk menerima email pemasaran

Akun anggota yang Anda buat sebagai bagian dari organisasi tidak secara otomatis berlangganan email AWS pemasaran. Untuk mengikutsertakan akun Anda sehingga menerima email pemasaran, lihat https://pages.awscloud.com/communication-preferences.

Buat sebuah akun anggota

Setelah masuk ke akun manajemen organisasi, Anda dapat membuat akun anggota yang merupakan bagian dari organisasi Anda.

Saat Anda membuat akun menggunakan prosedur berikut, AWS Organizations secara otomatis menyalin informasi kontak utama berikut dari akun manajemen ke akun anggota baru:

nomor telepon
Nama perusahaan
Website URL
Alamat

Organizations juga menyalin bahasa komunikasi dan informasi Marketplace (vendor akun di beberapa Wilayah AWS) dari akun manajemen.

Izin minimum

Untuk membuat akun anggota di organisasi Anda, Anda harus memiliki izin berikut:

organizations:CreateAccount
organizations:DescribeOrganization — hanya diperlukan saat menggunakan konsol Organizations
iam:CreateServiceLinkedRole (diberikan kepada prinsipal organizations.amazonaws.com untuk mengaktifkan pembuatan peran tertaut layanan yang diperlukan di akun anggota).

Untuk membuat Akun AWS yang secara otomatis menjadi bagian dari organisasi Anda

Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Akun AWS, pilih Tambahkan Akun AWS.
Pada halaman Tambahkan Akun AWS, pilih Buat Akun AWS (dipilih secara default).
Pada halaman Buat Akun AWS, untuk nama Akun AWS , masukkan nama yang ingin Anda tetapkan untuk akun. Nama ini membantu Anda membedakan akun dari semua akun lain di organisasi dan terpisah dari IAM alias atau nama email pemilik.
Untuk Alamat email pemilik akun, masukkan alamat email pemilik akun. Alamat email ini belum dapat dikaitkan dengan yang lain Akun AWS karena menjadi kredensi nama pengguna untuk pengguna root akun.
(Opsional) Tentukan nama yang akan ditetapkan ke IAM peran yang dibuat secara otomatis di akun baru. Peran ini memberikan akun pengelolaan organisasi izin untuk mengakses akun anggota yang baru dibuat. Jika Anda tidak menentukan nama, AWS Organizations berikan peran nama defaultOrganizationAccountAccessRole. Kami sarankan Anda menggunakan nama default di semua akun Anda agar konsisten.

penting
Ingat nama peran ini. Anda memerlukannya nanti untuk memberikan akses ke akun baru untuk pengguna dan peran di akun manajemen.
(Opsional) Di bagian Tag, tambahkan satu atau beberapa tag ke akun baru dengan memilih Tambahkan tag lalu masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke akun.
Pilih Buat Akun AWS.
- Jika Anda mendapatkan kesalahan yang menunjukkan bahwa Anda melampaui kuota akun untuk organisasi, lihat Saya menerima pesan "kuota terlampaui" saat mencoba menambahkan akun ke organisasi saya.
- Jika Anda mengalami kesalahan yang menunjukkan bahwa Anda tidak dapat menambahkan akun karena organisasi Anda masih menginisialisasi, tunggu satu jam dan coba lagi.
- Anda juga dapat memeriksa AWS CloudTrail log untuk informasi tentang apakah pembuatan akun berhasil. Untuk informasi selengkapnya, lihat Penebangan dan pemantauan di AWS Organizations.
- Jika kesalahan berlanjut, kontak AWS Support.
Halaman Akun AWS akan muncul, dengan akun baru Anda ditambahkan ke daftar.
Sekarang setelah akun ada dan memiliki IAM peran yang memberikan akses administrator ke pengguna di akun manajemen, Anda dapat mengakses akun dengan mengikuti langkah-langkah diMengakses akun anggota dalam organisasi dengan AWS Organizations.

Contoh kode berikut menunjukkan cara menggunakanCreateAccount.

.NET

AWS SDK for .NET

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara pengaturan dan menjalankannya di Repositori Contoh Kode AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

Untuk API detailnya, lihat CreateAccountdi AWS SDK for .NET APIReferensi.

CLI

AWS CLI

Untuk membuat akun anggota yang secara otomatis menjadi bagian dari organisasi

Contoh berikut menunjukkan cara membuat akun anggota dalam suatu organisasi. Akun anggota dikonfigurasi dengan nama Akun Produksi dan alamat email susan@example.com. Organizations secara otomatis membuat IAM peran menggunakan nama default OrganizationAccountAccessRole karena roleName parameter tidak ditentukan. Selain itu, pengaturan yang memungkinkan IAM pengguna atau peran dengan izin yang cukup untuk mengakses data penagihan akun diatur ke nilai default ALLOW karena IamUserAccessToBilling parameter tidak ditentukan. Organizations secara otomatis mengirimkan email “Selamat Datang di AWS” kepada Susan:


aws organizations create-account --email susan@example.com --account-name "Production Account"

Outputnya mencakup objek permintaan yang menunjukkan bahwa statusnya sekarangIN_PROGRESS:


{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Anda nantinya dapat menanyakan status permintaan saat ini dengan memberikan nilai respons Id ke describe-create-account-status perintah sebagai nilai untuk create-account-request-id parameter.

Untuk informasi selengkapnya, lihat Membuat AWS Akun di Organisasi Anda di Panduan Pengguna AWS Organizations.

Untuk API detailnya, lihat CreateAccountdi Referensi AWS CLI Perintah.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik terbaik untuk akun anggota

Mengakses akun anggota