本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用在组织中创建成员账户 AWS Organizations
本主题介绍如何在您的组织 AWS 账户 中创建 AWS Organizations。有关创建单曲的信息 AWS 账户,请参阅[入门资源中心](https://aws.amazon.com/getting-started/)。
## 创建成员账户前的注意事项
**Organizations 会自动为成员账户创建 IAM 角色 `OrganizationAccountAccessRole`**
当您在组织中创建成员账户时,Organizations 将自动在成员账户中创建一个 IAM角色 `OrganizationAccountAccessRole`,以允许管理账户中的用户和角色对成员账户进行完全管理控制。每次策略更新时,附加到同一托管式策略的任何其他账户都会自动更新。此角色受适用于成员账户的任何[服务控制策略 (SCPs)](orgs_manage_policies_scps.md) 的约束。
**Organizations 会自动为成员账户创建服务关联角色 `AWSServiceRoleForOrganizations`**
当您在组织中创建成员账户时,Organizations 会自动在成员账户`AWSServiceRoleForOrganizations`中创建服务相关角色,以便与所选 AWS 服务集成。您必须配置其他服务来允许集成。有关更多信息,请参阅 [AWS Organizations 和服务相关角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
**只能在组织的根中创建成员账户**
组织中的成员账户只能在组织的根中创建。在创建组织的成员账户根目录后,您可以将其移动 OUs。有关更多信息,请参阅 [将帐户移至组织单位 (OU) 或在根和组织单位之间移 OUs 动 AWS Organizations](move_account_to_ou.md)。
**附加到根的策略会立即生效**
如果您在根上附加了任何策略,这些策略会立即应用于所创建账户中的所有用户和角色。
如果您[为组织中的其他服务启用了 AWS 服务信任](orgs_integrate_services_list.md),则该可信服务可以在组织中的任何成员帐户(包括您创建的帐户)中创建服务相关角色或执行操作。
**成员账户必须选择启用才能接收营销电子邮件**
您作为组织的一员创建的成员帐户不会自动订阅 AWS 营销电子邮件。要为您的账户选择启用接收营销电子邮件,请参阅[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)。
** AWS Control Tower 应在以下位置创建由管理的组织的成员帐户 AWS Control Tower**
如果您的组织由管理 AWS Control Tower,我们建议您使用 AWS Control Tower 控制台中的 AWS Control Tower 账户工厂或使用创建成员账户 AWS Control Tower APIs。
如果您在组织由管理的 Organizations 中创建成员帐户 AWS Control Tower,则该帐户将无法注册到该帐户 AWS Control Tower。有关更多信息,请参阅《AWS Control Tower 用户指南》**中的[引用 AWS Control Tower的外部资源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
## 创建成员账户
登录到组织的管理账户后,您可以创建属于组织的成员账户。
使用以下步骤创建账户时, AWS Organizations 会自动将以下**主要联系人**信息从管理账户复制到新成员账户:
+ Phone number(电话号码)
+ 公司名称
+ 网站 URL
+ 地址
Organizations 还会从管理账户中复制通信语言和 Marketplace 信息(在某些情况下是账户的供应商 AWS 区域)。
**最小权限**
要在组织中创建成员账户,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:CreateAccount`
### AWS 管理控制台
**创建自动成为您组织一部分的 AWS 账户**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,选择 **Add an AWS 账户(添加亚马逊云科技账户)**。
1. 在**[添加 AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**页面上,选择**创建 AWS 账户**(默认已选中)。
1. 在**[创建 AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)**页面上,在 **AWS 账户 名称**中输入您想要为此账户分配的名称。此名称将帮助您区分该账户与组织中的所有其他账户,并且独立于 IAM 别名或拥有者的电子邮件名称。
1. 对于 **Email address of the account's owner (账户拥有者的电子邮件地址)**,输入账户拥有者的电子邮件地址。此电子邮件地址已无法与其他电子邮件地址关联, AWS 账户 因为它已成为该账户根用户的用户名凭证。
1. (可选)指定分配到在新账户中自动创建的 IAM 角色的名称。此角色向组织的管理账户授予访问新创建的成员账户的权限。如果未指定名称,则 AWS Organizations 为角色指定默认名称`OrganizationAccountAccessRole`。建议您对您的所有账户使用默认名称以实现一致性。
**重要**
请记住此角色名称。稍后,您将需要使用此名称向管理账户中的用户和角色的新账户授予访问权。
1. (可选)在**标签**部分中,向新账户添加一个或多个标签,方法是选择**添加标签**,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 `null`。您最多可以向账户附加 50 个标签。
1. 选择**创建 AWS 账户**。
+ 如果您收到错误,指明您超出了组织的账户配额,请参阅[尝试向组织中添加账户时,我收到“quota exceeded (超出限额)”消息](orgs_troubleshoot.md#troubleshoot_general_error-adding-account)。
+ 如果您收到错误,指明由于您的组织仍在进行初始化,所以您无法添加账户,请等待一小时,然后重试。
+ 您也可以查看日 AWS CloudTrail 志,了解账户创建是否成功的信息。有关更多信息,请参阅 [登录和监控 AWS Organizations](orgs_security_incident-response.md)。
+ 如果错误仍然存在,请联系 [AWS 支持](https://console.aws.amazon.com/support/home#/)。
此时将显示**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面,并将您的新账户添加到列表中。
1. 现在,账户已存在,并拥有向管理账户中的用户授予管理员访问权的 IAM 角色,您可以按照[使用访问组织中的成员账户 AWS Organizations](orgs_manage_accounts_access.md)中的步骤访问账户。
### AWS CLI & AWS SDKs
以下代码示例演示如何使用 `CreateAccount`。
------
#### [ .NET ]
**适用于 .NET 的 SDK**
还有更多相关信息 GitHub。在 [AWS 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ 有关 API 的详细信息,请参阅 *适用于 .NET 的 AWS SDK API 参考[CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)*中的。
------
#### [ CLI ]
**AWS CLI**
**创建自动属于组织的成员账户**
以下示例演示如何创建组织的成员账户。为成员账户配置的名称为 Production Account,电子邮件地址为 susan@example.com。 OrganizationAccountAccessRole 由于未指定 roleName 参数,Organizations 会使用默认名称自动创建 IAM 角色。此外,由于未指定 IamUserAccessToBilling 参数,允许具有足够权限的 IAM 用户或角色访问账户账单数据的设置被设置为默认值 ALLOW。Organiations 会自动向 Susan 发送一封 “欢迎来到 AWS” 电子邮件:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
输出包括一个请求对象,以显示状态目前为 `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
稍后,您可以通过向 describe-create-account-status命令提供 Id 响应值作为 create-account-request-id参数值来查询请求的当前状态。
有关更多信息,请参阅《Organi AWS zations *用户指南》中的在AWS 组织*中创建帐户。
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)*中的。
------