将 AWS Organizations 与其他 AWS 产品结合使用 - AWS Organizations
允许可信访问所需的权限禁止可信访问所需的权限如何允许或禁止可信访问AWS Organizations 和服务相关角色
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 AWS Organizations 与其他 AWS 产品结合使用

您可以使用可信访问 启用您指定的受支持 AWS 服务(称为可信服务),以在您的组织及其代表您的账户中执行任务。这涉及向可信服务授予权限,但 会以其他方式影响 IAM 用户或角色的权限。当您允许访问时,每当需要 IAM 角色时,可信服务都可以在组织的每个账户中创建一个名为服务相关角色 的 角色。该角色具有允许可信服务执行该服务文档中所述任务的权限策略。这允许您指定您希望可信服务在代表您的组织账户中保持的设置和配置详细信息。可信服务仅在需要对账户执行管理操作时创建服务相关角色,并非所有组织账户都需要这样做。

重要

我们强烈建议您使用可信服务的控制台、其 或 API 操作等效项允许和禁用可信访问。AWS CLI这允许可信服务在启用可信访问时执行任何必需的初始化,例如,创建任何所需的资源以及在禁用可信访问时执行任何所需的资源清理。

有关如何使用可信服务允许或禁止对组织的可信服务访问的信息,请参阅中的支持可信访问列下的了解更多AWS可与 一起使用的 服务AWS Organizations链接。

如果您使用 Organizations 控制台、CLI 命令或 API 操作禁用访问,则将导致发生以下操作:

  • 该服务无法再在组织的账户中创建服务相关角色。这意味着该服务无法代表您对组织中的任何新账户执行操作。该服务仍然可以在旧账户中执行操作,直到该服务完成从 AWS Organizations 清除。

  • 该服务无法再在组织的成员账户中执行任务,除非附加到您的角色的 IAM 策略明确允许这些操作。这包括从成员账户到管理账户或委托管理员账户(如果相关)的任何数据聚合。

  • 某些服务会检测此错误,并清理与集成相关的任何剩余数据或资源,而其他服务会停止访问组织,但会保留任何历史数据和配置以支持可能重新启用集成。

相反,使用其他服务的控制台或命令禁用集成可确保其他服务可以清除仅集成所需的任何资源。该服务如何在组织账户中清理其资源取决于该服务。有关更多信息,请参阅其他 AWS 服务的文档。

允许可信访问所需的权限

可信访问需要以下两种服务的权限:AWS Organizations 和可信服务。要允许可信访问,请选择以下场景之一:

  • 如果您有在 AWS Organizations 和可信服务中都具有权限的凭证,则通过使用可信服务提供的工具(控制台或 AWS CLI)允许访问。这允许该服务代表您在 AWS Organizations 中允许可信访问,并创建该服务在您的组织中运行所需的任何资源。

    这些凭证的最低权限如下:

    • organizations:EnableAWSServiceAccess。 您还可以将 organizations:ServicePrincipal 条件键与此操作一起使用以将这些操作发出的请求限制为已批准的服务委托人名称列表。有关更多信息,请参阅 条件键.

    • organizations:ListAWSServiceAccessForOrganization – 当您使用 AWS Organizations 控制台时必需。

    • 可信服务所需的最低权限取决于此服务。有关更多信息,请参阅可信服务的文档。

  • 如果一人拥有在 AWS Organizations 中具有权限的凭证,但其他人拥有在可信服务中具有权限的凭证,请按以下顺序执行这些步骤:

    1. 拥有在 AWS Organizations 中具有权限的凭证的人应使用 AWS Organizations 控制台、AWS CLI 或 AWS 开发工具包允许可信服务的可信访问。这为另一服务授予在执行以下步骤 (步骤 2) 后在组织中执行其所需配置的权限。

      最低 AWS Organizations 权限如下:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – 仅当您使用 AWS Organizations 控制台时必需

      有关在 AWS Organizations 中允许可信访问的步骤,请参阅如何允许或禁止可信访问.

    2. 拥有在可信服务中具有权限的凭证的人可启用此服务以使用 AWS Organizations. 这指示此服务执行任何所需初始化 (如,创建可信服务在组织中运行所需的任何资源)。有关信息,请参阅处的服务特定说明。AWS可与 一起使用的 服务AWS Organizations.

禁止可信访问所需的权限

当您不再需要允许可信服务在您的组织或其账户上运行时,请选择以下场景之一。

重要

禁用可信服务访问 会阻止具有相应权限的用户和角色使用该服务。要完全阻止用户和角色访问 AWS 服务,您可以删除授予该访问权限的 IAM 权限,也可以使用

  • 如果您有在 AWS Organizations 和可信服务中都具有权限的凭证,则可通过使用为可信服务提供的工具(控制台或 AWS CLI)禁止访问。该服务之后将通过删除不再需要的资源并代表您在 AWS Organizations 中禁止此服务的可信访问来清理。

    这些凭证的最低权限如下:

    • organizations:DisableAWSServiceAccess。 您还可以将 organizations:ServicePrincipal 条件键与此操作一起使用以将这些操作发出的请求限制为已批准的服务委托人名称列表。有关更多信息,请参阅 条件键.

    • organizations:ListAWSServiceAccessForOrganization – 当您使用 AWS Organizations 控制台时必需。

    • 可信服务所需的最低权限取决于此服务。有关更多信息,请参阅可信服务的文档。

  • 如果在 AWS Organizations 中具有权限的凭证不是在可信服务中具有权限的凭证,请按以下顺序执行这些步骤:

    1. 在可信服务中具有权限的人首先使用此服务禁止访问。这将指示可信服务通过删除可信服务所需的资源进行清理。有关信息,请参阅处的服务特定说明。AWS可与 一起使用的 服务AWS Organizations.

    2. 在 AWS Organizations 中具有权限的人之后可使用 AWS Organizations 控制台、AWS CLI 或 AWS 开发工具包禁止可信服务的访问。这将从组织及其账户中删除可信服务的权限。

      最低 AWS Organizations 权限如下:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – 仅当您使用 AWS Organizations 控制台时必需

      有关在 AWS Organizations 中禁止可信访问的步骤,请参阅如何允许或禁止可信访问.

如何允许或禁止可信访问

如果您只有 AWS Organizations 的权限并且要代表另一 AWS 服务的管理员允许或禁止对您组织的可信访问,请使用以下过程。

重要

我们强烈建议您使用可信服务的控制台、其 或 API 操作等效项允许和禁用可信访问。AWS CLI这允许可信服务在启用可信访问时执行任何必需的初始化,例如,创建任何所需的资源以及在禁用可信访问时执行任何所需的资源清理。

有关如何使用可信服务允许或禁止对组织的可信服务访问的信息,请参阅中的支持可信访问列下的了解更多AWS可与 一起使用的 服务AWS Organizations链接。

如果您使用 Organizations 控制台、CLI 命令或 API 操作禁用访问,则将导致发生以下操作:

  • 该服务无法再在组织的账户中创建服务相关角色。这意味着该服务无法代表您对组织中的任何新账户执行操作。该服务仍然可以在旧账户中执行操作,直到该服务完成从 AWS Organizations 清除。

  • 该服务无法再在组织的成员账户中执行任务,除非附加到您的角色的 IAM 策略明确允许这些操作。这包括从成员账户到管理账户或委托管理员账户(如果相关)的任何数据聚合。

  • 某些服务会检测此错误,并清理与集成相关的任何剩余数据或资源,而其他服务会停止访问组织,但会保留任何历史数据和配置以支持可能重新启用集成。

相反,使用其他服务的控制台或命令禁用集成可确保其他服务可以清除仅集成所需的任何资源。该服务如何在组织账户中清理其资源取决于该服务。有关更多信息,请参阅其他 AWS 服务的文档。

旧控制台

启用可信服务访问

  1. 登录到 AWS Organizations 控制台You must sign in as an IAM user or assume an IAM role in the organization’s management account.

  2. AWS 服务的可信访问权限 下的设置 选项卡 中,找到要启用的服务对应的行,然后选择 Enable access (启用访问)

  3. 在确认对话框中,选择 Enable access for (启用对 的访问权限)。service-name.

  4. 如果您要允许 访问,请告知另一 AWS 服务的管理员,他们现在可以启用另一服务以使用 AWS Organizations.

禁用可信服务访问

  1. 登录到 AWS Organizations 控制台You must sign in as an IAM user or assume an IAM role in the organization’s management account.

  2. 请耐心等待,直到其他服务的管理员告诉您该服务已禁用并且其资源已清理。

  3. AWS 服务的可信访问权限 下的设置 选项卡 中,找到要禁用可信访问的服务的行,然后选择 Disable trusted access (禁用可信访问)

  4. 在确认对话框中,选择 Disable access for (禁用 的访问权限) service-name.

新控制台

启用可信服务访问

  1. 登录到 AWS Organizations 控制台You must sign in as an IAM user or assume an IAM role in the organization’s management account.

  2. 服务 页 上,找到要启用的服务对应的行,然后选择其名称。

  3. 选择 Enable trusted access (启用可信访问).

  4. 在确认对话框中,选中 Show the option to enable trusted access (显示允许可信访问的选项) 对应的框,在框中输入 enable,然后选择 Enable trusted access (启用可信访问)

  5. 如果您要允许 访问,请告知另一 AWS 服务的管理员,他们现在可以启用另一服务以使用 AWS Organizations.

禁用可信服务访问

  1. 登录到 AWS Organizations 控制台You must sign in as an IAM user or assume an IAM role in the organization’s management account.

  2. 服务 页 上,找到要禁用的服务对应的行,然后选择其名称。

  3. 请耐心等待,直到其他服务的管理员告诉您该服务已禁用并且其资源已清理。

  4. 在确认对话框中,在框中输入 disable,然后选择 Disable trusted access (禁用可信访问)

AWS CLI, AWS API

允许或禁止可信服务访问

您可以使用以下 AWS CLI 命令或 API 操作允许或禁止可信服务访问:

AWS Organizations 和服务相关角色

AWS Organizations 使用 IAM 服务相关角色允许可信服务代表您执行组织的成员账户中的任务。当您配置可信服务并授权其与您的组织集成时,该服务可请求 AWS Organizations 在其成员账户中创建服务相关角色。可信服务按需异步执行此操作,同时并非所有组织账户都需要。该服务相关角色具有预定义的 IAM 权限,此类权限仅允许可信服务执行该账户中的特定任务。一般而言,AWS 将管理所有服务相关角色,这意味着,您通常无法更改角色或附加的策略。

为实现上述操作,当您在组织中创建账户或接受邀请以将现有账户加入组织时,AWS Organizations 将使用名为 AWSServiceRoleForOrganizations 的服务相关角色预置成员账户。 只有 AWS Organizations 服务本身可以代入此角色。该角色具有允许 AWS Organizations 为其他 AWS 服务创建服务相关角色的权限。此服务相关角色存在于所有组织中。

虽然我们建议不要这样做,但如果您的组织仅启用了整合账单功能,则绝不使用名为 AWSServiceRoleForOrganizations 的服务相关角色,并且您可以将其删除。如果您之后要在组织中启用所有功能,则该角色是必需的,您必须还原它。在您开始启用所有功能的流程时,将进行以下检查:

  • 对于已受邀加入 组织的每个成员账户 – 账户管理员将收到同意启用所有功能的请求。要成功同意此请求,如果服务相关角色 (organizations:AcceptHandshake) 尚不存在,管理员必须同时具有 权限。iam:CreateServiceLinkedRoleAWSServiceRoleForOrganizations如果 AWSServiceRoleForOrganizations 角色已存在,则管理员只需 organizations:AcceptHandshake 权限即可同意该请求。如果此管理员同意此请求,则 AWS Organizations 将创建服务相关角色(如果此角色尚不存在)。

  • 对于已在组织中创建 的每个成员账户 – 账户管理员将收到重新创建服务相关角色的请求。(成员账户的管理员不会收到启用所有功能的请求,因为管理账户(以前称为“主账户”)的管理员被视为所创建成员账户的所有者。)AWS Organizations 在成员账户管理员同意该请求时创建服务相关角色。管理员必须同时具有 organizations:AcceptHandshake 权限才能成功接受握手。iam:CreateServiceLinkedRole

在组织中启用所有功能后,您无法再删除任何账户中的 AWSServiceRoleForOrganizations 服务相关角色。

重要

AWS Organizations SCPs 绝不会影响服务相关角色。这些角色将免受任何 SCP 限制。