本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与其他 Amazon Organizations 人一起使用 Amazon Web Services 服务
您可以使用可信访问权限来启用您指定的受支持 Amazon 服务(称为可信服务),以代表您在组织及其账户中执行任务。这涉及向可信服务授予权限,但不会以其他方式影响用户或角色的权限。启用访问权限后,只要需要该IAM角色,可信服务就可以在组织中的每个账户中创建一个名为服务关联角色的角色。该角色具有允许可信服务执行该服务文档中所述任务的权限策略。这允许您指定您希望可信服务在代表您的组织账户中保持的设置和配置详细信息。信任服务仅在需要对账户执行管理操作时才会创建服务相关角色,而不一定在组织的所有账户中执行管理操作。
重要
当该选项可用时,我们强烈建议您仅使用可信服务的控制台或其 Amazon CLI 或API操作等效控制台来启用和禁用可信访问。这使得信任服务在启用信任访问权限时执行任何必需的初始化,例如在禁用信任访问权限时创建任何必需的资源和任何必需的资源清理。
有关如何使用信任服务启用或禁用对组织的信任服务访问的信息,请参阅Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations中了解详情链接下的支持信任访问权限列。
如果您使用 Organizations 控制台、CLI命令或API操作禁用访问权限,则会导致以下操作发生:
-
服务不能再在您组织的账户中创建服务相关角色。这意味着该服务无法代表您对组织中的任何新账户执行操作。该服务仍然可以在旧账户中执行操作,直到服务完全从 Amazon Organizations中清理。
-
除非附加到您的角色的IAM策略明确允许这些操作,否则该服务无法再在组织中的成员账户中执行任务。这包括从成员账户到管理账户或委托管理员账户(如果相关)的任何数据聚合。
-
有些服务会检测到这一点并清理与集成相关的所有剩余数据或资源,而其他服务则停止访问组织,但会将所有历史数据和配置保留在合适位置,以支持重新启用集成的可能性。
相反,使用其他服务的控制台或命令禁用集成可确保其他服务可以清理仅用于集成的任何资源。服务清除组织账户中的资源的方式取决于该服务。有关更多信息,请参阅有关其他 Amazon 服务的文档。
允许可信访问所需的权限
可信访问需要两个服务的权限: Amazon Organizations 和可信服务。要允许可信访问,请选择以下场景之一:
-
如果您拥有同时拥有同时 Amazon Organizations 拥有可信服务权限的证书,请使用可信服务提供的工具(控制台或 Amazon CLI)启用访问权限。这样,该服务就可以 Amazon Organizations 代表您启用可信访问权限,并创建该服务在您的组织中运行所需的任何资源。
这些凭证的最低权限如下:
-
organizations:EnableAWSServiceAccess。您还可以将organizations:ServicePrincipal条件键与此操作搭配使用,以将这些操作发出的请求限制为已批准的服务委托人名称列表。有关更多信息,请参阅 条件键。 -
organizations:ListAWSServiceAccessForOrganization— 如果您使用 Amazon Organizations 控制台,则为必填项。 -
可信服务所需的最低权限取决于此服务。有关更多信息,请参阅可信服务的文档。
-
-
如果一个人拥有在中具有权限的证书, Amazon Organizations 但其他人拥有在可信服务中拥有权限的证书,请按以下顺序执行这些步骤:
-
拥有权限的凭证的人员 Amazon Organizations 应使用 Amazon Organizations 控制台 Amazon CLI、或,为可信服务启用可信访问权限。 Amazon SDK这为另一服务授予在执行以下步骤 (步骤 2) 后在组织中执行其所需配置的权限。
最低 Amazon Organizations 权限如下:
-
organizations:EnableAWSServiceAccess -
organizations:ListAWSServiceAccessForOrganization— 只有在使用 Amazon Organizations 控制台时才需要
有关在中启用可信访问的步骤 Amazon Organizations,请参阅如何允许或禁止可信访问。
-
-
拥有在可信服务中具有权限的凭证的人可启用此服务以使用 Amazon Organizations。这指示此服务执行任何所需初始化 (如,创建可信服务在组织中运行所需的任何资源)。有关信息,请参阅Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations处的服务特定说明。
-
禁止可信访问所需的权限
当您不再需要允许可信服务在您的组织或其账户上运行时,请选择以下场景之一。
重要
禁止可信服务访问不 会阻止具有相应权限的用户和角色使用该服务。要完全阻止用户和角色访问 Amazon 服务,可以移除授予该访问IAM权限的权限,也可以使用中的服务控制策略 (SCPs) Amazon Organizations。
您只能SCPs申请成员账户。 SCPs不适用于管理账户。建议您不要在管理账户中运行服务。取而代之的是,在成员帐户中运行它们,您可以通过使用来控制安全性SCPs。
-
如果您拥有同时 Amazon Organizations 对可信服务具有权限的证书,请使用可信服务可用的工具(控制台或 Amazon CLI)禁用访问权限。该服务之后将通过删除不再需要的资源并代表您在 Amazon Organizations 中禁止此服务的可信访问来清理。
这些凭证的最低权限如下:
-
organizations:DisableAWSServiceAccess。您还可以将organizations:ServicePrincipal条件键与此操作搭配使用,以将这些操作发出的请求限制为已批准的服务委托人名称列表。有关更多信息,请参阅 条件键。 -
organizations:ListAWSServiceAccessForOrganization— 如果您使用 Amazon Organizations 控制台,则为必填项。 -
可信服务所需的最低权限取决于此服务。有关更多信息,请参阅可信服务的文档。
-
-
如果中具有权限的证书 Amazon Organizations 不是在可信服务中具有权限的证书,请按以下顺序执行以下步骤:
-
在可信服务中具有权限的人首先使用此服务禁止访问。这将指示可信服务通过删除可信服务所需的资源进行清理。有关信息,请参阅Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations处的服务特定说明。
-
然后,拥有权限的 Amazon Organizations 人员可以使用 Amazon Organizations 控制台 Amazon CLI、或 Amazon SDK来禁用对可信服务的访问权限。这将从组织及其账户中删除可信服务的权限。
最低 Amazon Organizations 权限如下:
-
organizations:DisableAWSServiceAccess -
organizations:ListAWSServiceAccessForOrganization— 只有在使用 Amazon Organizations 控制台时才需要
有关在中禁用可信访问的步骤 Amazon Organizations,请参阅如何允许或禁止可信访问。
-
-
如何允许或禁止可信访问
如果您仅拥有其他服务的权限, Amazon Organizations 并且想要代表其他 Amazon 服务的管理员启用或禁用对组织的可信访问权限,请使用以下步骤。
重要
当该选项可用时,我们强烈建议您仅使用可信服务的控制台或其 Amazon CLI 或API操作等效控制台来启用和禁用可信访问。这使得信任服务在启用信任访问权限时执行任何必需的初始化,例如在禁用信任访问权限时创建任何必需的资源和任何必需的资源清理。
有关如何使用信任服务启用或禁用对组织的信任服务访问的信息,请参阅Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations中了解详情链接下的支持信任访问权限列。
如果您使用 Organizations 控制台、CLI命令或API操作禁用访问权限,则会导致以下操作发生:
-
服务不能再在您组织的账户中创建服务相关角色。这意味着该服务无法代表您对组织中的任何新账户执行操作。该服务仍然可以在旧账户中执行操作,直到服务完全从 Amazon Organizations中清理。
-
除非附加到您的角色的IAM策略明确允许这些操作,否则该服务无法再在组织中的成员账户中执行任务。这包括从成员账户到管理账户或委托管理员账户(如果相关)的任何数据聚合。
-
有些服务会检测到这一点并清理与集成相关的所有剩余数据或资源,而其他服务则停止访问组织,但会将所有历史数据和配置保留在合适位置,以支持重新启用集成的可能性。
相反,使用其他服务的控制台或命令禁用集成可确保其他服务可以清理仅用于集成的任何资源。服务清除组织账户中的资源的方式取决于该服务。有关更多信息,请参阅其他 Amazon 服务的文档。
Amazon Organizations 和服务相关角色
Amazon Organizations 使用IAM服务相关角色
为实现上述操作,当您在组织中创建账户或接受邀请以将现有账户加入组织时, Amazon Organizations
将使用名为 AWSServiceRoleForOrganizations 的服务相关角色预置成员账户。只有 Amazon Organizations 服务本身才能扮演这个角色。该角色具有允许 Amazon Organizations 为其他 Amazon Web Services 服务人创建服务相关角色的权限。此服务相关角色存在于所有组织中。
如果您的组织仅启用了整合账单功能(但我们建议不要这样做),则绝不使用名为 AWSServiceRoleForOrganizations 的服务相关角色并且可删除它。如果您之后要在组织中启用所有功能,则此角色是必需的并且您必须还原它。在您开始启用所有功能的流程时,将进行以下检查:
-
对于已受邀加入组织的每个成员账户 – 账户管理员将收到同意启用所有功能的请求。要成功同意此请求,如果服务相关角色 (
organizations:AcceptHandshake) 不存在,此管理员必须同时具有 和iam:CreateServiceLinkedRoleAWSServiceRoleForOrganizations权限。如果AWSServiceRoleForOrganizations角色已存在,则管理员只需organizations:AcceptHandshake权限即可同意该请求。管理员同意请求后,如果服务相关角色尚不存在,则 Amazon Organizations 创建该角色。 -
对于已在组织中创建的每个成员账户 – 账户管理员将收到重新创建服务相关角色的请求。(成员账户的管理员不会收到启用所有功能的请求,因为管理账户(此前称为“主账户”)的管理员被视为所创建成员账户的所有者。)如果成员账户管理员同意该请求,则 Amazon Organizations 将创建服务相关角色。管理员必须同时具有
organizations:AcceptHandshake和iam:CreateServiceLinkedRole权限才能成功接受握手。
在组织中启用所有功能后,您无法再删除任何账户中的 AWSServiceRoleForOrganizations 服务相关角色。
重要
Amazon Organizations SCPs永远不会影响与服务相关的角色。这些角色不受任何SCP限制。
使用 AWSServiceRoleForDeclarativePoliciesEC2Report 服务相关角色
Organizations 使用AWSServiceRoleForDeclarativePoliciesEC2Report服务相关角色来描述成员账户的账户属性状态,以创建声明性政策报告。角色的权限在中定义Amazon 托管策略:DeclarativePoliciesEC2Report。