基于AWS「组织账号」创建「成员账号」并将其拥有变更成「独立账号」的必要条件 - 实践

 本文作者：许业宝
✍️ 作者信息：
 VSTECS 云解决方案架构师 ｜ AWS APN Ambassador ｜
 AWS Community Builder | 亚马逊云科技技能云博主
⭐ 已获得 11 项 AWS 认证 | CKA、CKS认证 ｜
 CSDN博客专家 | CSDN云计算领域优质创作者

文章目录

• • 一、需求背景
  • 二、AWS账号称呼解释
  • 三、测试概览
  • 四、测试过程
  • • 4.1 基于组织账号创建成员账号
    • 4.2 提交CASE完成转电汇申请
    • 4.3 添加成员账号联系人电话☎️
    • 4.4 检查成员账号是否具有移除条件
    • 4.5 测试解绑成员账号
  • 五、常见问题
  • 六、参考链接

一、需求背景

因客户无visa/万事通等外币信用卡，客户想利用partner现有的「组织账号」创建出「成员账号」，但是组织账号所有者，基于各种风险因素的评估和考量，对使用组织账号创建出来的成员账号在未来某天可能因业务合作终止后出现账号无法解绑的问题，现必须要求客户配合组织账号完成相关操作。通过「客户提供的邮箱地址」注册出来的成员账号，进行转电汇申请（即完善付款方式，这是变更成独立账号的必要条件之一。）以及添加账号联系方式等信息。从而达到将该「成员账号」拥有成为「独立账号」的必要条件，最终提供该成员账号给到客户正常交接使用。

二、AWS账号称呼解释

针对亚马逊云科技账号（简称“AWS账号”），因 AWS厂商、AWS Partner、AWS Customer三者之间存在合作关系，会有如下多种针对AWS账号的不同叫法，现作如下解释说明，方便理解。

1. 组织账号/pay账号/代付账号：

账号角色	账号角色定义说明	备注
组织账号	若要关联或已关联成员账号，那么该AWS账号称之为“组织账号”。
pay 账号	因该账号为组织下 link 账号所产生的资源消耗进行账单代付，所以该AWS账号称之为“pay 账号”。
代付账号	因该账号为组织下 link 账号进行账单代付，所以该AWS账号称之为“代付账号”。

说明：上述三种不同叫法的 AWS 账号本质上属于同一账号

2. 成员账号/link账号/客户账号：

账号角色	账号角色定义说明	备注
成员账号	因该账号关联在组织账号下，所以该 aws 账号称之为“成员账号”。
link 账号	因该账号所产生的账单均出具在 pay 账号上，由 pay 账号进行账单代付，所以该 aws 账号称之为“link 账号”。
客户账号	因该账号为客户正在使用中并关联在 pay 账号上进行账单代付，所以该 aws 账号称之为“客户账号”。

说明：上述三种不同叫法的 AWS账号本质上属于同一账号

3. 独立账号

账号角色	账号角色定义说明	备注
独立账号	因该账号没有与任何账号进行关联，所以该 AWS 账号称之为“独立账号”。

三、测试概览

（1）使用客户提供过来的邮箱地址在「组织账号」中创建「成员账号」;
（2）创建完「成员账号」，并在「组织账号」上提交 CASE 为该成员账号提交【转电汇申请】的CASE；
（3）通过账号注册链接添加账号联系人的【电话号码】；
（4）最后该【成员账号】将拥有成为【独立账号】的必要条件（即该成员账号可正常退出已关联组织，成为独立账号）

‼️注意‼️：该【成员账号】至少在组织中保留 7 天才能移除组织；

四、测试过程

4.1 基于组织账号创建成员账号

使用客户提供的邮箱地址在组织账号(pay账号)中创建【成员账号】;

• AWS 账户名：xxx
• 账户拥有者的电子邮件地址：xxx
• IAM 角色名称：OrganizationAccountAccessRole

4.2 提交CASE完成转电汇申请

提交 CASE 完成【转电汇申请】，以及通过账号注册链接添加账号联系人的【电话号码】；

以下是提交 CASE的操作步骤：

以下是转电汇提交CASE的模板：

【主题】The customer need convert to invoicing instead of credit card
【描述】您好，申请为以下成员账号转电汇，请协助处理，谢谢！
-Account details-
1. AWS Account:
2. Related AWS Accounts:
3. Company Name:
4. Contact Name:
5. Contact Phone: tel:
6. Contact Email:
7. Address:
8. City:
9. State or Province:
10. Zip:
11. Country:
-Use Case-
The customer need convert to invoicing instead of credit card, thanks a lot.

4.3 添加成员账号联系人电话☎️

通过账号注册链接进行添加账号联系人的【电话号码】

4.4 检查成员账号是否具有移除条件

‼️注意‼️：该【成员账号】至少在组织中「保留 7 天」才具备移除组织条件；

通过以下注册链接进行检测，是否完成所有注册操作：
https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True

注册亚马逊云科技海外区&中国区账号教程如下：

⚠️ 注意：需要提供信用卡或营业执照等信息

4.5 测试解绑成员账号

最后该【成员账号】将拥有成为【独立账号】的前提条件（即该成员账号可正常退出关联组织，成为独立账号）

重新发起关联进行账号解绑即可。

五、常见问题

1. 如果“确认离开组织？” 对话框显示消息“您暂时无法离开组织”，请选择“完成帐户注册步骤”链接。如果您没有看到“完成账户注册步骤”链接，请使用此链接。 请前往 AWS 注册页面，完成缺失的注册步骤。

2. 在注册 AWS 页面上，输入成为独立账号所需的所有信息。可能涉及以下类型的信息：
   ▶ 联系人姓名和地址
   ▶ 有效付款方式
   ▶ 电话号码验证
   ▶ 支持计划选项

六、参考链接

[1] https://docs.aws.amazon.com/zh_cn/SetUp/latest/UserGuide/setup-AWSsignup.html

[2] Creating a member account in an organization with AWS Organizations

[3] Leaving an organization from a member account with AWS Organizations

[4] 使用发票配置查看发 AWS 票单元

[5] Configuring your AWS Invoices using Invoice Configuration