Considerazioni prima di creare un account membro Creazione di un account membro

Creazione di un account membro in un'organizzazione con AWS Organizations

Questo argomento descrive come creare Account AWS all'interno dell'organizzazione in AWS Organizations. Per informazioni sulla creazione di un singolo Account AWS, consulta il Getting Started Resource Center.

Considerazioni prima di creare un account membro

Organizations crea automaticamente il IAM ruolo OrganizationAccountAccessRole per l'account membro

Quando crei un account membro nella tua organizzazione, Organizations crea automaticamente il IAM ruolo OrganizationAccountAccessRole nell'account membro che consente agli utenti e ai ruoli dell'account di gestione di esercitare il pieno controllo amministrativo sull'account membro. Tutti gli account aggiuntivi collegati alla stessa politica gestita verranno aggiornati automaticamente ogni volta che la politica viene aggiornata. Questo ruolo è soggetto a qualsiasi politica di controllo del servizio (SCPs) che si applica all'account membro.

Organizations crea automaticamente un ruolo collegato al servizio AWSServiceRoleForOrganizations per l'account membro

Quando crei un account membro nella tua organizzazione, Organizations crea automaticamente un ruolo collegato al servizio AWSServiceRoleForOrganizations nell'account membro che consente l'integrazione con servizi selezionati AWS . È necessario configurare gli altri servizi per consentire l'integrazione. Per ulteriori informazioni, consulta AWS Organizations e ruoli collegati ai servizi.

Gli account dei membri possono richiedere informazioni aggiuntive per funzionare come account autonomo

AWS non raccoglie automaticamente tutte le informazioni necessarie affinché un account membro funzioni come account autonomo. Se è necessario rimuovere un account membro da un'organizzazione e renderlo un account standalone, è necessario fornire tali informazioni per l'account prima di poterlo rimuovere. Per ulteriori informazioni, consulta Abbandona un'organizzazione da un account membro con AWS Organizations.

Gli account dei membri possono essere creati solo nella radice di un'organizzazione

Gli account dei membri di un'organizzazione possono essere creati solo nella radice di un'organizzazione e non in altre unità organizzative (OUs). Dopo aver creato un account membro principale di un'organizzazione, è possibile spostarlo da un account all'altroOUs. Per ulteriori informazioni, consulta Spostamento degli account in un'unità organizzativa (OU) o tra la radice e OUs con AWS Organizations.

Le politiche allegate alla radice vengono applicate immediatamente

Se hai delle politiche collegate alla directory principale, tali politiche si applicano immediatamente a tutti gli utenti e i ruoli dell'account creato.

Se hai abilitato il service trust per un altro AWS servizio per la tua organizzazione, quel servizio affidabile può creare ruoli collegati al servizio o eseguire azioni in qualsiasi account membro dell'organizzazione, incluso l'account creato.

Gli account dei membri per le organizzazioni gestite da AWS Control Tower devono essere creati in AWS Control Tower

Se la tua organizzazione è gestita da AWS Control Tower, crea i tuoi account membro utilizzando AWS Control Tower Account Factory nella AWS Control Tower console o utilizzando il AWS Control Tower APIs. Se crei un account membro in Organizations quando l'organizzazione è gestita da AWS Control Tower, l'account non verrà registrato con AWS Control Tower. Per ulteriori informazioni, consulta Riferimento alle risorse esterne a AWS Control Tower nella Guida per l'utente di AWS Control Tower .

Gli account dei membri devono attivare la ricezione di e-mail di marketing

Gli account dei membri che crei come parte di un'organizzazione non vengono automaticamente iscritti alle e-mail AWS di marketing. Per attivare la ricezione delle e-mail di marketing per gli account, consulta https://pages.awscloud.com/communication-preferences.

Creazione di un account membro

Dopo aver effettuato l'accesso all'account di gestione dell'organizzazione, puoi creare account membro che fanno parte della tua organizzazione.

Quando crei un account utilizzando la procedura seguente, copia AWS Organizations automaticamente le seguenti informazioni di contatto principale dall'account di gestione all'account del nuovo membro:

Numero di telefono
Company name (Nome dell'azienda)
Sito Web URL
Indirizzo

Organizations copia anche il linguaggio di comunicazione e le informazioni di Marketplace (in alcuni casi il fornitore dell'account Regioni AWS) dall'account di gestione.

Autorizzazioni minime

Per creare un account membro nell'organizzazione, è necessario disporre delle seguenti autorizzazioni:

organizations:CreateAccount
organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations
iam:CreateServiceLinkedRole (concesso all'entità organizations.amazonaws.com per abilitare la creazione del ruolo collegato al servizio richiesto negli account membro).

Per creare un Account AWS account che faccia automaticamente parte dell'organizzazione

Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.
Nella pagina Account AWS, scegli Add an (Aggiungi un) Account AWS.
Nella pagina Add an Account AWS (Aggiungi un), scegli Create an Account AWS (Crea un) (è selezionato per impostazione predefinita).
Nella pagina Create an Account AWS (Crea un), per nome Account AWS inserisci il nome che desideri assegnare all'account. Questo nome consente di distinguere l'account da tutti gli altri account dell'organizzazione ed è separato dall'IAMalias o dal nome e-mail del proprietario.
Per Email address of the account's owner (Indirizzo e-mail del proprietario dell'account), inserisci l'indirizzo e-mail del proprietario dell'account. Questo indirizzo e-mail non può essere già associato a un altro Account AWS perché diventa la credenziale del nome utente per l'utente root dell'account.
(Facoltativo) Specificate il nome da assegnare al IAM ruolo che viene creato automaticamente nel nuovo account. Questo ruolo concede l'autorizzazione dell'account di gestione dell'organizzazione per accedere all'account membro appena creato. Se non specificate un nome, AWS Organizations assegna al ruolo un nome predefinito diOrganizationAccountAccessRole. Consigliamo di utilizzare il nome predefinito per tutti gli account per garantire coerenza.

Importante
Ricordare questo nome di ruolo. Sarà necessario in un secondo momento per concedere l'accesso al nuovo account per utenti e ruoli nell'account di gestione.
(Facoltativo) Nella sezione Tag, aggiungi uno o più tag al nuovo account scegliendo Aggiungi tag e inserendo una chiave e facoltativamente un valore. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a un account.
Scegli Create (Crea) Account AWS.
- Se ricevi un messaggio di errore che indica che sono stati superati la quota di account per l'organizzazione, consulta Visualizzo un messaggio di "quota superata" quando cerco di aggiungere un account alla mia organizzazione.
- Se si riceverà un messaggio di errore che indica che non è possibile aggiungere un account perché l'inizializzazione dell'organizzazione è ancora in corso, attendere un'ora e riprovare.
- Puoi anche controllare il AWS CloudTrail registro per verificare se la creazione dell'account è avvenuta con successo. Per ulteriori informazioni, consulta Registrazione e monitoraggio AWS Organizations.
- Se l'errore persiste, contatta AWS Support.
Viene visualizzata la pagina Account AWS con il nuovo account aggiunto all'elenco.
Ora che l'account esiste e ha un IAM ruolo che consente l'accesso di amministratore agli utenti dell'account di gestione, puoi accedere all'account seguendo la procedura riportata di seguito. Accesso agli account dei membri in un'organizzazione con AWS Organizations

Nota

Quando si crea un account, AWS Organizations inizialmente assegna una password lunga (64 caratteri), complessa e generata casualmente all'utente root. Non è possibile recuperare questa password iniziale. Per accedere all'account come utente root per la prima volta, è necessario eseguire il processo di recupero della password. Per ulteriori informazioni, consulta Accedere a un account membro come utente root con AWS Organizations.

I seguenti esempi di codice mostrano come usare. CreateAccount

.NET

AWS SDK for .NET

Nota

C'è altro da fare GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }

Per API i dettagli, vedi CreateAccount AWS SDK for .NETAPIReference.

CLI

AWS CLI

Per creare un account membro che faccia automaticamente parte dell'organizzazione

L'esempio seguente mostra come creare un account membro in un'organizzazione. L'account membro è configurato con il nome Account di produzione e l'indirizzo e-mail susan@example.com. Organizations crea automaticamente un IAM ruolo utilizzando il nome predefinito di OrganizationAccountAccessRole perché il roleName parametro non è specificato. Inoltre, l'impostazione che consente IAM agli utenti o ai ruoli con autorizzazioni sufficienti di accedere ai dati di fatturazione dell'account viene impostata sul valore predefinito di ALLOW perché il IamUserAccessToBilling parametro non è specificato. Organizations invia automaticamente a Susan un'e-mail di «Benvenuto a AWS»:


aws organizations create-account --email susan@example.com --account-name "Production Account"

L'output include un oggetto di richiesta che mostra che lo stato è oraIN_PROGRESS:


{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}

Successivamente è possibile interrogare lo stato corrente della richiesta fornendo il valore di risposta Id al describe-create-account-status comando come valore per il create-account-request-id parametro.

Per ulteriori informazioni, consulta Creare un AWS account nella tua organizzazione nella AWS Organizations Users Guide.

Per API i dettagli, vedere CreateAccountin AWS CLI Command Reference.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice per gli account membri

Accesso agli account membri

Creazione di un account membro in un'organizzazione con AWS Organizations

Considerazioni prima di creare un account membro

Creazione di un account membro

Autorizzazioni minime

Per creare un Account AWS account che faccia automaticamente parte dell'organizzazione

Importante

Nota

Nota