本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理成員帳戶
<a name="manage-member-accounts"></a>

在本節中，邀請先前存在的帳戶加入組織，並開始在組織內建立新帳戶。此過程的一個重要部分是定義條件，用於確定是否需要佈建新帳戶。

**Topics**
+ [邀請先前存在的帳戶](#invite-account)
+ [在 中自訂 VPC 設定 AWS Control Tower](#customize-vpc-settings)
+ [定義範圍標準](#define-scoping-criteria)

## 邀請先前存在的帳戶
<a name="invite-account"></a>

在其中 AWS Organizations，您可以邀請貴公司的既有帳戶加入您的新組織。只有組織中的管理帳戶可以邀請其他帳戶加入。當受邀帳戶的管理員接受邀請時，帳戶可立即加入組織，並且組織的管理帳戶將負責新成員帳戶累積的所有費用。如需詳細資訊，請參閱[邀請 AWS 帳戶 加入組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)和[接受或拒絕來自組織的邀請](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite) (AWS Organizations 文件)。

**注意**  
只有當該帳戶目前不在其他組織時，您才可以邀請該帳戶加入組織。如果帳戶是現有組織的成員，必須將其從組織中移除。如果帳戶是錯誤建立的其他組織的管理帳戶，則必須刪除該組織。

**重要**  
如果您需要從既有帳戶存取任何歷史成本或使用資訊，您可以使用 AWS Cost and Usage Report 將該資訊匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。在接受邀請加入組織之前執行此操作。當帳戶加入組織時，您將無法存取該帳戶的此歷史資料。如需詳細資訊，請參閱[設定成本和用量報告的 Amazon S3 儲存貯體](https://docs.aws.amazon.com/cur/latest/userguide/cur-s3.html) (AWS Cost and Usage Report 文件)。

*最佳實務*
+ 建議您將先前存在的帳戶 (它可能包含生產工作負載) 新增至您在 [新增組織單位](add-organizational-units.md) 中建立的**工作負載** > **生產**組織單位。
+ 依預設，組織的管理帳戶沒有對受邀加入組織之成員帳戶的管理存取權。如果您希望管理帳戶擁有管理控制權，則必須在成員帳戶中建立 **OrganizationAccountAccessRole** IAM 角色，並對管理帳戶授予擔任該角色的許可。如需詳細資訊，請參閱[在受邀成員帳戶中建立 OrganizationAccountAccessRole ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_create-cross-account-role)(AWS Organizations 文件）。
+ 對於您邀請加入組織的既有帳戶，請檢閱[成員帳戶的最佳實務 ](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)(AWS Organizations 文件），並確認帳戶遵守這些建議。

## 在 中自訂 VPC 設定 AWS Control Tower
<a name="customize-vpc-settings"></a>

我們建議您 AWS 帳戶 透過 中的 [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) 佈建新的 AWS Control Tower。透過使用 Account Factory，您可以使用與 Amazon EventBridge 的 AWS Control Tower 整合，在帳戶建立 AWS 帳戶 後立即在新的 中佈建資源。

當您設定新的 時 AWS 帳戶，會自動佈建[預設虛擬私有雲端 (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)。但是，當您透過 Account Factory 設定新帳戶時， AWS Control Tower 會自動佈建額外的 VPC。如需詳細資訊，請參閱 [AWS Control Tower 和 VPCs](https://docs.aws.amazon.com/controltower/latest/userguide/vpc-concepts.html)(AWS Control Tower 文件）。這意味著，預設情況下， AWS Control Tower 會在每個新帳戶中佈建兩個預設 VPC。

公司通常希望對其帳戶中的 VPC 進行更多控制。許多人偏好使用其他 服務 AWS CloudFormation，例如 Hashicorp Terraform 或 Pulumi，來設定和管理其 VPCs。您應該自訂 Account Factory 設定，以防止建立由 AWS Control Tower佈建的其他 VPC。如需說明，請參閱[設定 Amazon VPC 設定](https://docs.aws.amazon.com/controltower/latest/userguide/configuring-account-factory-with-VPC-settings.html) (AWS Control Tower 文件），並套用下列設定：

1. 停用**網際網路可存取的子網路**選項。

1. 在**私有子網路上限**中，選擇 **0**。

1. 在 **VPC 建立的區域**中，清除所有區域。

1. 在**可用區域**中，選擇 **3**。

*最佳實務*
+ 刪除在每個新帳戶中自動佈建的預設 VPC。這可防止使用者在未明確建立專用 VPC 的情況下，在帳戶中啟動公有 EC2 執行個體。如需詳細資訊，請參閱[刪除您的預設子網路和預設 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#deleting-default-vpc) (Amazon Virtual Private Cloud 文件)。您也可以設定 [AWS Control Tower Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) (AFT) 以自動刪除新建立帳戶中的預設 VPC。
+ 在**工作負載** > NonProd 組織單位中佈建 AWS 帳戶 稱為 dev-nonprod 的新 。 **** **NonProd** 在開發環境中使用此帳戶。如需說明，請參閱[使用 佈建帳戶工廠帳戶 AWS Service Catalog](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html) (AWS Control Tower 文件）。

## 定義範圍標準
<a name="define-scoping-criteria"></a>

您需要選取貴公司在決定是否佈建新 時將使用的條件 AWS 帳戶。您可以決定為每個業務單位佈建帳戶，或者決定根據環境來佈建帳戶，例如生產、測試或 QA。每個公司都有自己的需求，要求其 AWS 帳戶 大小應為多少。通常，在決定如何調整帳戶大小時，會評估以下三個因素：
+ **平衡服務配額** – *服務配額*是 AWS 服務 中每個資源、動作和項目數量的最大值 AWS 帳戶。如果許多工作負載共用相同帳戶，而一個工作負載取用了大部分或全部服務配額，則可能會對同一帳戶中的另一個工作負載產生負面影響。如果這樣，則您可能需要將這些工作負載分隔到不同的帳戶中。如需詳細資訊，請參閱 [AWS 服務 配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) (AWS 一般參考)。
+ **成本報告** – 將工作負載隔離到單獨的帳戶中，可讓您在成本和用量報告中查看帳戶層級的成本。當您將相同帳戶用於多個工作負載時，可以使用標籤來協助您管理和識別資源。如需標記的詳細資訊，請參閱[標記 AWS 資源](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) (AWS 一般參考)。
+ **控制存取** – 當工作負載共用帳戶時，需要考慮如何設定 IAM 政策以限制對帳戶資源的存取，以便使用者無法存取不需要的工作負載。作為替代方案，您可以在 IAM Identity Center 中使用多個帳戶和[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)來管理對個別帳戶的存取。

*最佳實務*
+ 遵守[AWSAWS Control Tower 登陸區域的多帳戶策略最佳實務 ](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)(AWS Control Tower 文件）。
+ 建立有效的標記策略，協助您識別和管理 AWS 資源。可使用標籤依照用途、業務單位、環境或其他條件對資源進行分類。如需詳細資訊，請參閱[標記的最佳實務 ](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-best-practices)(AWS 一般參考 文件）。
+ 不要因過多的工作負載讓帳戶不堪重負。如果工作負載的需求超過服務配額，則可能會造成效能問題。您可以將競爭的工作負載分成不同的工作負載， AWS 帳戶 也可以請求提高服務配額。如需詳細資訊，請參閱[請求增加配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Service Quotas 文件)。