本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 在組織中建立成員帳戶 AWS Organizations
本主題說明如何 AWS 帳戶 在組織中建立 AWS Organizations。如需建立單一 的相關資訊 AWS 帳戶,請參閱 [入門資源中心](https://aws.amazon.com/getting-started/)。
## 建立成員帳戶之前的考量事項
**Organizations 會自動`OrganizationAccountAccessRole`為成員帳戶建立 IAM 角色**
當您在組織中建立成員帳戶時,Organizations 會自動`OrganizationAccountAccessRole`在成員帳戶中建立 IAM 角色,讓管理帳戶中的使用者和角色能夠對成員帳戶執行完整的管理控制。每當政策更新時,連接到相同受管政策的任何其他帳戶都會自動更新。這個角色會受限於套用至成員帳戶的任何[服務控制政策 (SCP)](orgs_manage_policies_scps.md)。
**Organizations 會自動`AWSServiceRoleForOrganizations`為成員帳戶建立服務連結角色**
當您在組織中建立成員帳戶時,Organizations 會自動`AWSServiceRoleForOrganizations`在成員帳戶中建立服務連結角色,以啟用與特定 AWS 服務的整合。您必須設定其他服務以允許整合。如需詳細資訊,請參閱[AWS Organizations 和服務連結角色](orgs_integrate_services.md#orgs_integrate_services-using_slrs)。
**成員帳戶只能在組織的根目錄中建立**
組織中的成員帳戶只能在組織的根目錄中建立。建立組織的成員帳戶根之後,您可以在 OUs 之間移動它。如需詳細資訊,請參閱[使用 將帳戶移至組織單位 (OU) 或根帳戶和 OUs 之間 AWS Organizations](move_account_to_ou.md)。
**連接到根的政策會立即套用**
如果您有任何政策連接到根目錄,這些政策會立即套用到所建立帳戶中的所有使用者和角色。
如果您已[AWS 為組織啟用其他服務的服務信任](orgs_integrate_services_list.md),則該信任的服務可以建立服務連結角色,或在組織中的任何成員帳戶中執行動作,包括您建立的帳戶。
**成員帳戶必須選擇接收行銷電子郵件**
您作為組織一部分建立的成員帳戶不會自動訂閱 AWS 行銷電子郵件。若要選擇加入您的帳戶以接收行銷電子郵件,請參閱[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences)。
**由 管理的組織成員帳戶 AWS Control Tower 應在 中建立 AWS Control Tower**
如果您的組織由 管理 AWS Control Tower,我們建議您使用 AWS Control Tower 主控台中的帳戶工廠或使用 AWS Control Tower APIs來建立您的成員 AWS Control Tower 帳戶。
如果您在組織受管時於 Organizations 中建立成員帳戶 AWS Control Tower,則該帳戶將不會註冊 AWS Control Tower。如需詳細資訊,請參閱*AWS Control Tower 使用者指南*中的[參照 AWS Control Tower外部資源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
## 建立成員帳戶
登入組織的管理帳戶後,您可以建立屬於組織一部分的成員帳戶。
當您使用下列程序建立帳戶時, AWS Organizations 會自動將下列**主要聯絡資訊**從管理帳戶複製到新成員帳戶:
+ 電話號碼
+ 公司名稱
+ 網站 URL
+ 地址
Organizations 也會從管理帳戶複製通訊語言和 Marketplace 資訊 (某些帳戶的供應商 AWS 區域)。
**最低許可**
若要在您的組織中建立成員帳戶,您必須擁有以下許可:
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:CreateAccount`
### AWS 管理主控台
**建立自動 AWS 帳戶 成為您組織一部分的**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上,選擇**新增 AWS 帳戶**。
1. 在**[新增 AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 頁面上,選擇**建立 AWS 帳戶**(預設會選擇該項)。
1. 在**[建立 AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** 頁面,針對**AWS 帳戶 名稱**,輸入您要指派給帳戶的名稱。此名稱可協助您區分該帳戶與組織中的所有其他帳戶,並且與 IAM 別名或擁有者的電子郵件名稱不同。
1. 針對**帳戶擁有者的電子郵件地址**,輸入帳戶擁有者的電子郵件地址。此電子郵件地址無法與另一個電子郵件地址建立關聯, AWS 帳戶 因為它會成為帳戶的根使用者的使用者名稱登入資料。
1. (選用) 指定要在新帳戶中自動建立、要指派給 IAM 角色的名稱。此角色會授予組織的管理帳戶許可,以存取新建立的成員帳戶。如果您未指定名稱, 會將預設名稱 AWS Organizations 提供給角色`OrganizationAccountAccessRole`。建議您在所有帳戶中使用預設名稱以確保一致性。
**重要**
請記住此角色名稱。稍後您會需要它,以便為管理帳戶中的使用者和角色授予新帳戶的存取權。
1. (選用) 在 **Tags** (標籤) 區段中,透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至新帳戶。將值留空會將其設定為空白字串;而不是 `null`。您可以在帳戶中連接最多 50 個標籤。
1. 選擇**建立 AWS 帳戶**。
+ 如果您收到錯誤,指出您已超出組織的帳戶配額,請參閱[當我試著新增帳戶到我的組織時,出現「超過配額」訊息](orgs_troubleshoot.md#troubleshoot_general_error-adding-account)。
+ 如果您收到錯誤,指出因為您的組織仍在初始化,您無法新增帳戶,請等候一小時然後重試。
+ 您也可以檢查 AWS CloudTrail 日誌,以取得帳戶建立是否成功的相關資訊。如需詳細資訊,請參閱[在 中記錄和監控 AWS Organizations](orgs_security_incident-response.md)。
+ 如果錯誤仍存在,請聯絡 [AWS 支援](https://console.aws.amazon.com/support/home#/)。
出現 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面時,將您的新帳戶新增至清單。
1. 現在帳戶已存在,並且具有的 IAM 角色可授予管理員存取給管理帳戶中的使用者,您可以遵循 [使用 存取組織中的成員帳戶 AWS Organizations](orgs_manage_accounts_access.md) 中的步驟來存取帳戶。
### AWS CLI & AWS SDKs
下列程式碼範例示範如何使用 `CreateAccount`。
------
#### [ .NET ]
**適用於 .NET 的 SDK**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new AWS Organizations account.
///
public class CreateAccount
{
///
/// Initializes an Organizations client object and uses it to create
/// the new account with the name specified in accountName.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var accountName = "ExampleAccount";
var email = "someone@example.com";
var request = new CreateAccountRequest
{
AccountName = accountName,
Email = email,
};
var response = await client.CreateAccountAsync(request);
var status = response.CreateAccountStatus;
Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
}
}
```
+ 如需 API 詳細資訊,請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)。
------
#### [ CLI ]
**AWS CLI**
**建立會自動成為組織一部分的成員帳戶**
下列範例示範如何在組織中建立成員帳戶。成員帳戶是以生產帳戶名稱和 susan@example.com 的電子郵件地址來設定。Organizations 會使用 OrganizationAccountAccessRole 的預設名稱自動建立 IAM 角色,因為未指定 roleName 參數。此外,由於未指定 IamUserAccessToBilling 參數,因此允許具有足夠許可存取帳戶帳單資料的 IAM 使用者或角色的設定會設定為預設值 ALLOW。Organizations 會自動傳送「歡迎 AWS」電子郵件給 Susan:
```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
輸出包含一個請求物件,顯示狀態現在為 `IN_PROGRESS`:
```
{
"CreateAccountStatus": {
"State": "IN_PROGRESS",
"Id": "car-examplecreateaccountrequestid111"
}
}
```
您稍後可以將 Id 回應值作為 create-account-request-id 參數的值提供給 describe-create-account-status 命令,以查詢請求的目前狀態。
如需詳細資訊,請參閱《 *AWS Organizations 使用者指南*》中的在您的組織中建立 AWS 帳戶。
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)。
------