本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用标准迁移过程启用所有 Organizations 功能
本主题介绍如何使用标准迁移过程启用所有功能。
## 第 1 步:请求受邀账户批准迁移(管理账户)
当登录到组织的管理账户时,您可以开始启用所有功能的流程。为此,请完成以下步骤。
**最小权限**
要启用组织中的所有功能,您必须具有以下权限:
`organizations:EnableAllFeatures`
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
------
#### [ Amazon Web Services 管理控制台 ]
**邀请受邀成员账户同意启用组织中的所有功能**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[设置](https://console.amazonaws.cn/organizations/v2/home/settings)**页面上,选择**开始流程以启用所有功能**。
1. 在**[启用所有功能](https://console.amazonaws.cn/organizations/v2/home/settings/enable-all-features)**页面上,确认您了解在选择**开始流程以启用所有功能**进行切换之后便无法再恢复到仅整合账单功能。
Amazon Organizations 向组织中每个受邀的(未创建的)账户发送请求,请求批准启用组织中的所有功能。如果您有任何账户是使用创建的, Amazon Organizations 而成员账户管理员删除了名为的服务相关角色`AWSServiceRoleForOrganizations`,则 Amazon Organizations 会向该账户发送重新创建该角色的请求。
控制台会显示被邀请账户的 **Request approval status (请求审批状态)** 列表。
**提示**
若要稍后返回此页面,请打开 **[Settings (设置)](https://console.amazonaws.cn/organizations/v2/home/settings)** 页面,并在 **Request sent *date* (请求发送日期)** 部分中选择 **View status (查看状态)**。
1. **[Enable all features (启用所有功能)](https://console.amazonaws.cn/organizations/v2/home/settings/enable-all-features)** 页面显示了组织中各账户的当前请求状态。同意该请求的账户将显示状态 **ACCEPTED (已接受)**。尚未同意的账户显示状态 **OPEN (待接受)**。
------
#### [ Amazon CLI & Amazon SDKs ]
**邀请受邀成员账户同意启用组织中的所有功能**
可以使用以下命令之一在组织中启用所有功能:
+ Amazon CLI: [enable-all-features](https://docs.amazonaws.cn/cli/latest/reference/organizations/enable-all-features.html)
以下命令将开始启用组织中所有功能的流程。
```
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
```
输出显示受邀成员账户必须同意的握手详细信息。
+ Amazon SDKs: [EnableAllFeatures](https://docs.amazonaws.cn/organizations/latest/APIReference/API_EnableAllFeatures.html)
------
**注意**
向成员账户发送请求之后,将开始 90 天倒计时。所有账户必须在该时段内批准请求,否则请求将过期。如果请求过期,所有与此尝试相关的请求将被取消,您必须从步骤 2 从头开始。
请求启用所有功能后,将取消所有未接受的现有账户邀请。
在所有功能迁移期间,您仍然可以发起新账户邀请并创建新账户。
组织中的所有受邀账户批准请求之后,您可以完成流程并启用所有功能。如果您的组织中没有任何*受邀*成员账户,也可以立即完成流程。要最终完成该过程,请继续根据[第 3 步:完成迁移过程以启用所有功能(管理账户)](#finalize-migration)中的内容操作。
## 第 2 步:批准该请求以启用所有功能或重新创建服务相关角色(受邀账户)
在登录到组织的受邀成员账户之一后,您可以从管理账户批准请求。如果您的账户最初受邀加入组织,则该邀请将启用所有功能并隐式包含对重新创建 `AWSServiceRoleForOrganizations` 角色的批准(如果需要)。如果您的账户是使用创建的, Amazon Organizations 而您删除了`AWSServiceRoleForOrganizations`服务相关角色,则您只会收到重新创建该角色的邀请。为此,请完成以下步骤。
**重要**
如果启用所有功能,组织中的管理账户可以对您的成员账户应用基于策略的控制。这些控制可以限制用户、甚至限制您作为管理员可以在账户中执行的操作。此类限制可能会阻止您的账户退出组织。
**最小权限**
要批准请求以为成员账户启用所有功能,该成员账户必须拥有以下权限:
`organizations:AcceptHandshake`
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:ListHandshakesForAccount` – 仅当使用 Organizations 控制台时才需要
`iam:CreateServiceLinkedRole` – 仅当在成员账户中必须重新创建 `AWSServiceRoleForOrganizations` 角色时需要
------
#### [ Amazon Web Services 管理控制台 ]
**同意在组织中启用所有功能的请求**
1. 在 Amazon Organizations 主机上登录主[Amazon Organizations 机](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 阅读以了解接受在组织中启用所有功能的请求对您的账户意味着什么,然后选择 **Accept**。在组织中的所有账户接受请求并且管理账户管理员完成流程之前,此页面一直将该流程显示为未完成。
------
#### [ Amazon CLI & Amazon SDKs ]
**同意在组织中启用所有功能的请求**
要同意请求,您必须接受与 `"Action": "APPROVE_ALL_FEATURES"` 握手。
+ Amazon CLI:
+ [accept-handshake](https://docs.amazonaws.cn/cli/latest/reference/organizations/accept-handshake.html)
+ [list-handshakes-for-account](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-handshakes-for-account.html)
以下示例演示如何列出可用于您账户的握手。输出的第四行中的 `"Id"` 的值是下一个命令所需的值。
```
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
```
以下示例使用上一个命令中的握手 ID 来接受该握手。
```
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
```
+ Amazon SDKs:
+ [list-handshakes-for-account](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-handshakes-for-account.html)
+ [AcceptHandshake](https://docs.amazonaws.cn/organizations/latest/APIReference/API_AcceptHandshake.html)
------
## 第 3 步:完成迁移过程以启用所有功能(管理账户)
所有受邀成员账户必须批准启用所有功能的请求。如果组织中没有受邀成员账户,**Enable all features progress** 页面将使用绿色横幅指示您可以完成流程。
**最小权限**
要完成为组织启用所有功能的流程,您必须拥有以下权限:
`organizations:AcceptHandshake`
`organizations:ListHandshakesForOrganization`
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
------
#### [ Amazon Web Services 管理控制台 ]
**完成流程以启用所有功能**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Settings (设置)](https://console.amazonaws.cn/organizations/v2/home/settings)** 页面上,如果所有受邀账户接受启用所有功能的请求,则页面顶部将显示一个绿色框以通知您。在绿色框中,选择 **Go to finalize (转到最终确定)**。
1. 在**[启用所有功能](https://console.amazonaws.cn/organizations/v2/home/settings/enable-all-features)**页面上,选择**最终确定**,然后在确认对话框中再次选择**最终确定**。
1. 组织现已启用所有功能。
------
#### [ Amazon CLI & Amazon SDKs ]
**完成流程以启用所有功能**
要完成该流程,您必须使用 `"Action": "ENABLE_ALL_FEATURES"` 接受握手过程。
+ Amazon CLI:
+ [list-handshakes-for-organization](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-handshakes-for-organization.html)
+ [accept-handshake](https://docs.amazonaws.cn/cli/latest/reference/organizations/accept-handshake.html)
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
```
以下示例演示如何列出可用于组织的握手。输出的第四行中的 `"Id"` 的值是下一个命令所需的值。
```
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
```
+ Amazon SDKs:
+ [ListHandshakesForOrganization](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListHandshakesForOrganization.html)
+ [AcceptHandshake](https://docs.amazonaws.cn/organizations/latest/APIReference/API_AcceptHandshake.html)
------