Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Organizations 启用所有功能的标准迁移流程
本主题介绍如何使用标准迁移过程启用所有功能。
步骤 1:请求受邀账号批准迁移(管理账号)
当登录到组织的管理账户时,您可以开始启用所有功能的流程。为此,请完成以下步骤。
- Amazon Web Services Management Console
-
邀请受邀成员账户同意启用组织中的所有功能
-
登录 。Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。
-
在设置页面上,选择开始流程以启用所有功能。
-
在启用所有功能页面上,确认您了解在选择开始流程以启用所有功能进行切换之后便无法再恢复到仅整合账单功能。
Amazon Organizations 向组织中每个受邀的(未创建的)账户发送请求,请求批准启用组织中的所有功能。如果您有任何账户是使用创建的 Amazon Organizations 成员账户管理员删除了名AWSServiceRoleForOrganizations
为的服务相关角色, Amazon Organizations 向该账户发送重新创建角色的请求。
控制台会显示被邀请账户的 Request approval status (请求审批状态) 列表。
若要稍后返回此页面,请打开 Settings (设置) 页面,并在 Request sent date (请求发送日期) 部分中选择 View status (查看状态)。
-
Enable all features (启用所有功能) 页面显示了组织中各账户的当前请求状态。已同意请求的账户的状态显示为ACCEPTED。尚未达成协议的账户的状态显示为OPEN。
- Amazon CLI & Amazon SDKs
-
邀请受邀成员账户同意启用组织中的所有功能
可以使用以下命令之一在组织中启用所有功能:
-
Amazon CLI: enable-all-features
以下命令将开始启用组织中所有功能的流程。
$
aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
输出显示受邀成员账户必须同意的握手详细信息。
-
Amazon SDKs: EnableAllFeatures
-
向成员账户发送请求之后,将开始 90 天倒计时。所有账户必须在该时段内批准请求,否则请求将过期。如果请求过期,所有与此尝试相关的请求将被取消,您必须从步骤 2 从头开始。
-
请求启用所有功能后,将取消所有未接受的现有账户邀请。
-
在所有功能迁移期间,您仍然可以发起新账户邀请并创建新账户。
组织中的所有受邀账户批准请求之后,您可以完成流程并启用所有功能。如果您的组织中没有任何受邀成员账户,也可以立即完成流程。要最终完成该过程,请继续根据步骤 3:完成迁移过程以启用所有功能(管理账户)中的内容操作。
步骤 2:批准启用所有功能或重新创建服务相关角色的请求(受邀账号)
在登录到组织的受邀成员账户之一后,您可以从管理账户批准请求。如果您的账户最初受邀加入组织,则该邀请将启用所有功能并隐式包含对重新创建 AWSServiceRoleForOrganizations
角色的批准(如果需要)。如果您的账户是使用创建的 Amazon Organizations 并且您删除了AWSServiceRoleForOrganizations
服务相关角色,则只会收到重新创建该角色的邀请。为此,请完成以下步骤。
如果启用所有功能,组织中的管理账户可以对您的成员账户应用基于策略的控制。这些控制可以限制用户、甚至限制您作为管理员可以在账户中执行的操作。此类限制可能会阻止您的账户退出组织。
要批准为您的成员账户启用所有功能的请求,该成员账户必须具有以下权限:
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要
-
organizations:ListHandshakesForAccount
– 仅当使用 Organizations 控制台时才需要
-
iam:CreateServiceLinkedRole
– 仅当在成员账户中必须重新创建 AWSServiceRoleForOrganizations
角色时需要
- Amazon Web Services Management Console
-
同意在组织中启用所有功能的请求
-
登录 Amazon Organizations 控制台位于 Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)使用成员账户。
-
阅读以了解接受在组织中启用所有功能的请求对您的账户意味着什么,然后选择 Accept。在组织中的所有账户接受请求并且管理账户管理员完成流程之前,此页面一直将该流程显示为未完成。
- Amazon CLI & Amazon SDKs
-
同意在组织中启用所有功能的请求
要同意请求,您必须接受与 "Action": "APPROVE_ALL_FEATURES"
握手。
-
Amazon CLI:
以下示例演示如何列出可用于您账户的握手。输出的第四行中的 "Id"
的值是下一个命令所需的值。
$
aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
以下示例使用上一个命令中的握手 ID 来接受该握手。
$
aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
-
Amazon SDKs:
步骤 3:完成迁移过程以启用所有功能(管理账户)
所有受邀成员账户必须批准启用所有功能的请求。如果组织中没有受邀成员账户,Enable all features progress 页面将使用绿色横幅指示您可以完成流程。
要完成为组织启用所有功能的流程,您必须拥有以下权限:
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要
- Amazon Web Services Management Console
-
- Amazon CLI & Amazon SDKs
-
完成流程以启用所有功能
要完成该流程,您必须使用 "Action": "ENABLE_ALL_FEATURES"
接受握手过程。
-
Amazon CLI:
$
aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
以下示例演示如何列出可用于组织的握手。输出的第四行中的 "Id"
的值是下一个命令所需的值。
$
aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
-
Amazon SDKs: