Membuat akun anggota di organisasi dengan AWS Organizations - AWS Organizations
Pertimbangan sebelum membuat akun anggotaBuat sebuah akun anggota

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat akun anggota di organisasi dengan AWS Organizations

Topik ini menjelaskan cara membuat Akun AWS dalam organisasi Anda di AWS Organizations. Untuk informasi tentang membuat satu Akun AWS, lihat Pusat Sumber Daya Memulai.

Pertimbangan sebelum membuat akun anggota

Organizations secara otomatis membuat IAM peran OrganizationAccountAccessRole untuk akun anggota

Saat Anda membuat akun anggota di organisasi Anda, Organizations secara otomatis membuat IAM peran OrganizationAccountAccessRole di akun anggota yang memungkinkan pengguna dan peran dalam akun manajemen untuk melakukan kontrol administratif penuh atas akun anggota. Setiap akun tambahan yang dilampirkan pada kebijakan terkelola yang sama akan diperbarui secara otomatis setiap kali kebijakan diperbarui. Peran ini tunduk pada kebijakan kontrol layanan apa pun (SCPs) yang berlaku untuk akun anggota.

Organizations secara otomatis membuat peran terkait layanan AWSServiceRoleForOrganizations untuk akun anggota

Saat Anda membuat akun anggota di organisasi Anda, Organizations secara otomatis membuat peran terkait layanan AWSServiceRoleForOrganizations di akun anggota yang memungkinkan integrasi dengan pilih AWS layanan. Anda harus mengkonfigurasi layanan lain untuk memungkinkan integrasi. Untuk informasi selengkapnya, lihat AWS Organizations dan peran terkait layanan.

Akun anggota dapat memerlukan informasi tambahan untuk beroperasi sebagai akun mandiri

AWS tidak secara otomatis mengumpulkan semua informasi yang diperlukan untuk akun anggota untuk beroperasi sebagai akun mandiri. Jika Anda perlu menghapus akun anggota dari organisasi dan menjadikannya akun mandiri, Anda harus memberikan informasi tersebut untuk akun tersebut sebelum Anda dapat menghapusnya. Untuk informasi selengkapnya, lihat Tinggalkan organisasi dari akun anggota dengan AWS Organizations.

Akun anggota hanya dibuat di akar organisasi

Akun anggota dalam suatu organisasi hanya dapat dibuat di akar organisasi, dan tidak di unit organisasi lainnya (OUs). Setelah Anda membuat root akun anggota organisasi, Anda dapat memindahkannya di antaraOUs. Untuk informasi selengkapnya, lihat Memindahkan akun ke unit organisasi (OU) atau antara root dan OUs dengan AWS Organizations.

Kebijakan yang dilampirkan ke root segera berlaku

Jika Anda memiliki kebijakan yang dilampirkan ke root, kebijakan tersebut segera berlaku untuk semua pengguna dan peran di akun yang dibuat.

Jika Anda telah mengaktifkan kepercayaan layanan untuk yang lain AWS layanan untuk organisasi Anda, bahwa layanan tepercaya dapat membuat peran terkait layanan atau melakukan tindakan di akun anggota mana pun di organisasi, termasuk akun yang Anda buat.

Akun anggota untuk organisasi yang dikelola oleh AWS Control Tower harus dibuat di AWS Control Tower

Jika organisasi Anda dikelola oleh AWS Control Tower, kemudian buat akun anggota Anda menggunakan AWS Control Tower akun pabrik di AWS Control Tower konsol atau menggunakan AWS Control Tower APIs. Jika Anda membuat akun anggota di Organizations saat organisasi dikelola oleh AWS Control Tower, akun tidak akan terdaftar AWS Control Tower. Untuk informasi selengkapnya, lihat Mengacu pada Sumber Daya Di Luar AWS Control Towerdi AWS Control Tower Panduan Pengguna.

Akun anggota harus ikut serta untuk menerima email pemasaran

Akun anggota yang Anda buat sebagai bagian dari organisasi tidak berlangganan secara otomatis AWS email pemasaran. Untuk mengikutsertakan akun Anda sehingga menerima email pemasaran, lihat https://pages.awscloud.com/communication-preferences.

Buat sebuah akun anggota

Setelah masuk ke akun manajemen organisasi, Anda dapat membuat akun anggota yang merupakan bagian dari organisasi Anda.

Saat Anda membuat akun menggunakan prosedur berikut, AWS Organizations secara otomatis menyalin informasi kontak Primer berikut dari akun manajemen ke akun anggota baru:

  • nomor telepon

  • Nama perusahaan

  • Website URL

  • Alamat

Organizations juga menyalin bahasa komunikasi dan informasi Marketplace (vendor akun di beberapa Wilayah AWS) dari akun manajemen.

Izin minimum

Untuk membuat akun anggota di organisasi Anda, Anda harus memiliki izin berikut:

  • organizations:CreateAccount

  • organizations:DescribeOrganization — hanya diperlukan saat menggunakan konsol Organizations

  • iam:CreateServiceLinkedRole (diberikan kepada prinsipal organizations.amazonaws.com untuk mengaktifkan pembuatan peran tertaut layanan yang diperlukan di akun anggota).

Untuk membuat sebuah Akun AWS yang secara otomatis menjadi bagian dari organisasi Anda

  1. Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada Akun AWShalaman, pilih Tambahkan Akun AWS.

  3. Pada Tambahkan sebuah Akun AWShalaman, pilih Buat Akun AWS(dipilih secara default).

  4. Pada Buat sebuah Akun AWShalaman, untuk Akun AWS nama masukkan nama yang ingin Anda tetapkan ke akun. Nama ini membantu Anda membedakan akun dari semua akun lain di organisasi dan terpisah dari IAM alias atau nama email pemilik.

  5. Untuk Alamat email pemilik akun, masukkan alamat email pemilik akun. Alamat email ini belum dapat dikaitkan dengan yang lain Akun AWS karena itu menjadi kredensi nama pengguna untuk pengguna root akun.

  6. (Opsional) Tentukan nama yang akan ditetapkan ke IAM peran yang dibuat secara otomatis di akun baru. Peran ini memberikan akun pengelolaan organisasi izin untuk mengakses akun anggota yang baru dibuat. Jika Anda tidak menentukan nama, AWS Organizations memberikan peran nama defaultOrganizationAccountAccessRole. Kami sarankan Anda menggunakan nama default di semua akun Anda agar konsisten.

    penting

    Ingat nama peran ini. Anda memerlukannya nanti untuk memberikan akses ke akun baru untuk pengguna dan peran di akun manajemen.

  7. (Opsional) Di bagian Tag, tambahkan satu atau beberapa tag ke akun baru dengan memilih Tambahkan tag lalu masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke akun.

  8. Pilih Buat Akun AWS.

    Sebuah Akun AWShalaman muncul, dengan akun baru Anda ditambahkan ke daftar.

  9. Sekarang setelah akun ada dan memiliki IAM peran yang memberikan akses administrator ke pengguna di akun manajemen, Anda dapat mengakses akun dengan mengikuti langkah-langkah diMengakses akun anggota dalam organisasi dengan AWS Organizations.

catatan

Saat Anda membuat akun, AWS Organizations awalnya memberikan kata sandi yang panjang (64 karakter), kompleks, dibuat secara acak ke pengguna root. Anda tidak dapat mengambil kata sandi awal ini. Untuk mengakses akun sebagai pengguna akar untuk pertama kalinya, Anda harus melalui proses pemulihan kata sandi. Untuk informasi selengkapnya, lihat Mengakses akun anggota sebagai pengguna root dengan AWS Organizations.

Contoh kode berikut menunjukkan cara menggunakanCreateAccount.

.NET
AWS SDK for .NET
catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankan di AWS Repositori Contoh Kode. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

  • Untuk API detailnya, lihat CreateAccountdi AWS SDK for .NET APIReferensi.

CLI
AWS CLI

Untuk membuat akun anggota yang secara otomatis menjadi bagian dari organisasi

Contoh berikut menunjukkan cara membuat akun anggota dalam suatu organisasi. Akun anggota dikonfigurasi dengan nama Akun Produksi dan alamat email susan@example.com. Organizations secara otomatis membuat IAM peran menggunakan nama default OrganizationAccountAccessRole karena roleName parameter tidak ditentukan. Selain itu, pengaturan yang memungkinkan IAM pengguna atau peran dengan izin yang cukup untuk mengakses data penagihan akun diatur ke nilai default ALLOW karena IamUserAccessToBilling parameter tidak ditentukan. Organizations secara otomatis mengirimkan Susan “Selamat Datang di AWS“Email:

aws organizations create-account --email susan@example.com --account-name "Production Account"

Outputnya mencakup objek permintaan yang menunjukkan bahwa statusnya sekarangIN_PROGRESS:

{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Anda nantinya dapat menanyakan status permintaan saat ini dengan memberikan nilai respons Id ke describe-create-account-status perintah sebagai nilai untuk create-account-request-id parameter.

Untuk informasi selengkapnya, lihat Membuat AWS Akun di Organisasi Anda di AWS Panduan Pengguna Organizations.

  • Untuk API detailnya, lihat CreateAccountdi AWS CLI Referensi Perintah.