本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理成员账户
<a name="manage-member-accounts"></a>

在本节中，您需要邀请您先前存在的账户加入组织，并开始在组织中创建新账户。此过程的一个重要部分是定义用于确定是否需要配置新账户的标准。

**Topics**
+ [邀请您先前存在的账户](#invite-account)
+ [在中自定义 VPC 设置 AWS Control Tower](#customize-vpc-settings)
+ [定义范围界定标准](#define-scoping-criteria)

## 邀请您先前存在的账户
<a name="invite-account"></a>

在内部 AWS Organizations，您可以邀请贵公司先前存在的账户加入您的新组织。只有组织中的管理账户可以邀请其他账户加入。当受邀账户的管理员接受时，该账户会立即加入组织，组织的管理账户将承担新成员账户产生的所有费用。有关更多信息，请参阅[邀请 AWS 账户 加入您的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)和[接受或拒绝来自组织的邀请](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite)（AWS Organizations 文档）。

**注意**  
只有当某个账户当前不在其他组织中时，您才能邀请该账户加入组织。如果某个账户是现有组织的成员，则您必须将其从组织中删除。如果某个账户是错误创建的另一个组织的管理账户，则必须删除该组织。

**重要**  
如果您需要访问先前存在的账户中的任何历史成本或使用量信息，则可以使用 AWS 成本和使用情况报告 将这些信息导出到亚马逊简单存储服务 (Amazon S3) 存储桶。请在接受加入组织的邀请之前执行此操作。在账户加入组织后，您将无法访问该账户的历史数据。有关更多信息，请参阅[为成本和使用情况报告设置 Amazon S3 存储桶](https://docs.aws.amazon.com/cur/latest/userguide/cur-s3.html)（AWS 成本和使用情况报告 文档）。

*最佳实践*
+ 我们建议您将先前存在的账户（可能包含生产工作负载）添加到您在 [添加组织单位](add-organizational-units.md) 中创建的**工作负载** > **Prod** 组织单位。
+ 默认情况下，组织的管理账户对受邀加入该组织的成员账户没有管理访问权限。如果您希望管理账户拥有管理控制权，则必须在成员账户中创建 **OrganizationAccountAccessRole**IAM 角色并向管理账户授予代入该角色的权限。有关更多信息，请参阅[在受邀成员账户 OrganizationAccountAccessRole 中创建](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_create-cross-account-role)（AWS Organizations 文档）。
+ 对于您邀请加入该组织的先前存在的账户，请查看[成员账户的最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)（AWS Organizations 文档），并确认该账户符合这些建议。

## 在中自定义 VPC 设置 AWS Control Tower
<a name="customize-vpc-settings"></a>

我们建议您 AWS 账户 通过中的 Account F [actory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) 进行新配置 AWS Control Tower。通过使用 Account Factory，您可以在创建账户后立即使用与亚马逊的 AWS Control Tower 集成 EventBridge 来配置新 AWS 账户 资源。

当您设置新的虚拟私有云 (VPC) 时 AWS 账户，系统会自动配置[默认的虚拟私有云 (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)。但是，当您通过 Account Factory 设置新账户时， AWS Control Tower 会自动配置额外的 VPC。有关更多信息，请参阅[AWS Control Tower 和概述 VPCs](https://docs.aws.amazon.com/controltower/latest/userguide/vpc-concepts.html)（AWS Control Tower 文档）。这意味着，默认情况下， AWS Control Tower 每个新账户 VPCs 中都会预置两个默认值。

公司通常希望加强对账户 VPCs 内部的控制权。许多人更喜欢使用其他服务 AWS CloudFormation，例如Hashicorp Terraform或Pulumi，来设置和管理他们的。 VPCs您应自定义 Account Factory 设置，以防止创建由 AWS Control Tower配置的其他 VPC。有关说明，请参阅[配置 Amazon VPC 设置](https://docs.aws.amazon.com/controltower/latest/userguide/configuring-account-factory-with-VPC-settings.html)（AWS Control Tower 文档），然后应用以下设置：

1. 禁用**可通过互联网访问的子网**选项。

1. 对于**私有子网的最大数量**，选择 **0**。

1. 在**创建 VPC 的区域**，清除所有区域。

1. 在**可用区**，选择 **3**。

*最佳实践*
+ 删除每个新账户中自动配置的默认 VPC。这可以防止用户在未明确创建专用 VPC 的情况下在账户中启动公有 EC2 实例。有关更多信息，请参阅[删除默认子网和默认 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#deleting-default-vpc)（Amazon Virtual Private Cloud 文档）。您也可以配置[适用于 Terraform 的AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html)（AFT），自动删除新创建账户中的默认 VPC。
+ 在 “**工作负载**” > “组织部门” 中配置一个 AWS 账户 名为 d **ev-nonprod** 的新版本。**NonProd**在您的开发环境中使用此账户。有关说明，请参阅 Provisi [on Account Factory 账户](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html)AWS Control Tower 和 AWS Service Catalog（文档）。

## 定义范围界定标准
<a name="define-scoping-criteria"></a>

您需要选择贵公司在决定是否配置新产品时将使用的标准 AWS 账户。您可以决定为每个业务部门配置账户，也可以决定根据环境（例如生产、测试或 QA）配置账户。每家公司对自己的规模或规模都有自己的要求。 AWS 账户 通常，在决定如何调整账户规模时，您需要评估以下三个因素：
+ **平衡服务配***额 — 服务配额*是其中每 AWS 服务 项资源、操作和项目数量的最大值 AWS 账户。如果许多工作负载共享同一个账户，而一个工作负载占用了大部分或全部服务限额，则可能会对同一账户中的另一个工作负载产生负面影响。如果是这样，您可能需要将这些工作负载分到不同的账户中。有关更多信息，请参阅 [AWS 服务 限额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)（AWS 一般参考）。
+ **成本报告**：将工作负载隔离到单独的账户中，方便您在成本和使用情况报告中查看账户级别的成本。当为多个工作负载使用同一个账户时，可以使用标签来帮助管理和识别资源。有关标记的更多信息，请参阅为[AWS 资源添加标签](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) ()AWS 一般参考。
+ **控制访问权限**：当工作负载共享账户时，您需要考虑如何配置 IAM policy，以限制对账户资源的访问权限，确保用户无法访问不需要的工作负载。作为替代方案，您可以在 IAM Identity Center 中使用多个账户和[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)，管理对个人账户的访问权限。

*最佳实践*
+ 遵循您的 landing [zone AWS 多账户策略的最佳 AWS Control Tower 实](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)践（AWS Control Tower 文档）。
+ 制定有效的标记策略，帮助您识别和管理 AWS 资源。您可使用标签，按用途、业务部门、环境或其他标准对资源进行分类。有关更多信息，请参阅[标记的最佳实践](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-best-practices)（AWS 一般参考 文档）。
+ 不要让账户负载过多的工作负载。如果工作负载的需求超过服务限额，则可能导致出现性能问题。您可以将相互竞争的工作负载分成不同的工作负载， AWS 账户 也可以申请增加服务配额。有关更多信息，请参阅[请求增加限额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)（《服务限额》文档）。