将 Amazon Organizations 与其他 Amazon 产品结合使用 - Amazon Organizations
允许可信访问所需的权限禁止可信访问所需的权限如何允许或禁止可信访问Amazon Organizations 和服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Organizations 与其他 Amazon 产品结合使用

您可以使用可信访问权限以启用受支持的Amazon服务,称为可信服务,以在您的组织及其账户中代表您执行任务。这涉及向可信服务授予权限,但否则会影响 IAM 用户或角色的权限。当您允许访问时,可信服务可以创建一个名为服务相关角色在您的组织中的每个帐户中,只要需要该角色。该角色具有允许可信服务执行该服务文档中所述任务的权限策略。这允许您指定您希望可信服务在代表您的组织账户中保持的设置和配置详细信息。可信服务仅在需要对账户执行管理操作时才会创建服务相关角色,而不一定在组织的所有账户中执行管理操作。

重要

we强烈推荐启用和禁用受信任访问仅限受信任服务的控制台或其Amazon CLI或 API 操作等效。这使得受信任服务在启用受信任访问时执行任何必需的初始化,例如在禁用受信任访问时创建任何必需的资源和任何必需的资源清理。

有关如何使用受信任服务启用或禁用对组织的受信任服务访问的信息,请参阅了解更多链接下的支持可信访问在中的列可与 Amazon Organizations 一起使用的 Amazon 服务.

如果您通过使用 “Organizations” 控制台、CLI 命令或 API 操作禁用访问,则会导致执行以下操作:

  • 此服务不能再在您组织的账户中创建服务相关角色的角色。这意味着该服务无法代表您对组织中的任何新帐户执行操作。该服务仍然可以在旧帐户中执行操作,直到该服务完成从Amazon Organizations.

  • 该服务不能再在组织中的成员账户中执行任务,除非附加到您的角色的 IAM 策略明确允许这些操作。这包括从成员帐户到管理帐户或委派管理员帐户(如果相关)的任何数据聚合。

  • 有些服务会检测到这一点并清理与集成相关的所有剩余数据或资源,而其他服务则停止访问组织,但将任何历史数据和配置保留到位,以支持重新启用集成的可能性。

相反,使用其他服务的控制台或命令禁用集成可确保其他服务可以清理仅用于集成的任何资源。服务如何清除组织帐户中的资源取决于该服务。有关更多信息,请参阅其他Amazon服务。

允许可信访问所需的权限

可信访问需要以下两种服务的权限:Amazon Organizations 和可信服务。要允许可信访问,请选择以下场景之一:

  • 如果您拥有具有Amazon Organizations和可信服务时,通过使用工具(控制台或Amazon CLI) 由受信任的服务提供。这允许服务在Amazon Organizations并创建此服务在您的组织中运行所需的任何资源。

    这些凭证的最低权限如下:

    • organizations:EnableAWSServiceAccess. 您也可以使用organizations:ServicePrincipal条件键以将这些操作发出的请求限制为已批准的服务委托人名称列表。有关更多信息,请参阅条件键

    • organizations:ListAWSServiceAccessForOrganization— 当您使用Amazon Organizations控制台。

    • 可信服务所需的最低权限取决于此服务。有关更多信息,请参阅可信服务的文档。

  • 如果一人拥有在 Amazon Organizations 中具有权限的凭证,但其他人拥有在可信服务中具有权限的凭证,请按以下顺序执行这些步骤:

    1. 拥有在 Amazon Organizations 中具有权限的凭证的人应使用 Amazon Organizations 控制台、Amazon CLI 或 Amazon 开发工具包允许可信服务的可信访问。这为另一服务授予在执行以下步骤 (步骤 2) 后在组织中执行其所需配置的权限。

      最低 Amazon Organizations 权限如下:

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— 仅当您使用Amazon Organizations控制台

      有关在 Amazon Organizations 中允许可信访问的步骤,请参阅如何允许或禁止可信访问

    2. 拥有在可信服务中具有权限的凭证的人可启用此服务以使用 Amazon Organizations。这指示此服务执行任何所需初始化 (如,创建可信服务在组织中运行所需的任何资源)。有关信息,请参阅可与 Amazon Organizations 一起使用的 Amazon 服务处的服务特定说明。

禁止可信访问所需的权限

当您不再需要允许可信服务在您的组织或其账户上运行时,请选择以下场景之一。

重要

禁止可信服务访问 会阻止具有相应权限的用户和角色使用该服务。要完全阻止用户和角色访问Amazon服务,您可以删除授予该访问权限的 IAM 权限.

您可以将 SCP 应用于仅成员账户。SCP 不适用于管理账户。建议您安装不在管理帐户中运行服务。相反,请在成员帐户中运行它们,您可以通过使用 SCP 控制安全性。

  • 如果您有在 Amazon Organizations 和可信服务中都具有权限的凭证,则可通过使用为可信服务提供的工具(控制台或 Amazon CLI)禁止访问。该服务之后将通过删除不再需要的资源并代表您在 Amazon Organizations 中禁止此服务的可信访问来清理。

    这些凭证的最低权限如下:

    • organizations:DisableAWSServiceAccess. 您也可以使用organizations:ServicePrincipal条件键以将这些操作发出的请求限制为已批准的服务委托人名称列表。有关更多信息,请参阅条件键

    • organizations:ListAWSServiceAccessForOrganization— 当您使用Amazon Organizations控制台。

    • 可信服务所需的最低权限取决于此服务。有关更多信息,请参阅可信服务的文档。

  • 如果在 Amazon Organizations 中具有权限的凭证不是在可信服务中具有权限的凭证,请按以下顺序执行这些步骤:

    1. 在可信服务中具有权限的人首先使用此服务禁止访问。这将指示可信服务通过删除可信服务所需的资源进行清理。有关信息,请参阅可与 Amazon Organizations 一起使用的 Amazon 服务处的服务特定说明。

    2. 在 Amazon Organizations 中具有权限的人之后可使用 Amazon Organizations 控制台、Amazon CLI 或 Amazon 开发工具包禁止可信服务的访问。这将从组织及其账户中删除可信服务的权限。

      最低 Amazon Organizations 权限如下:

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization— 仅当您使用Amazon Organizations控制台

      有关在 Amazon Organizations 中禁止可信访问的步骤,请参阅如何允许或禁止可信访问

如何允许或禁止可信访问

如果您只有 Amazon Organizations 的权限并且要代表另一 Amazon 服务的管理员允许或禁止对您组织的可信访问,请使用以下过程。

重要

we强烈推荐启用和禁用受信任访问仅限受信任服务的控制台或其Amazon CLI或 API 操作等效操作。这使得受信任服务在启用受信任访问时执行任何必需的初始化,例如在禁用受信任访问时创建任何必需的资源和任何必需的资源清理。

有关如何使用受信任服务启用或禁用对组织的受信任服务访问的信息,请参阅了解更多链接下的支持可信访问在中的列可与 Amazon Organizations 一起使用的 Amazon 服务.

如果您通过使用 “Organizations” 控制台、CLI 命令或 API 操作禁用访问,则会导致执行以下操作:

  • 此服务不能再在您组织的账户中创建服务相关角色的角色。这意味着该服务无法代表您对组织中的任何新帐户执行操作。该服务仍然可以在旧帐户中执行操作,直到该服务完成从Amazon Organizations.

  • 该服务不能再在组织中的成员账户中执行任务,除非附加到您的角色的 IAM 策略明确允许这些操作。这包括从成员帐户到管理帐户或委派管理员帐户(如果相关)的任何数据聚合。

  • 有些服务会检测到这一点并清理与集成相关的所有剩余数据或资源,而其他服务则停止访问组织,但将任何历史数据和配置保留到位,以支持重新启用集成的可能性。

相反,使用其他服务的控制台或命令禁用集成可确保其他服务可以清理仅用于集成的任何资源。服务如何清除组织帐户中的资源取决于该服务。有关更多信息,请参阅其他Amazon服务。

Amazon Web Services Management Console

启用受信任的服务访问

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或代入组织管理账户中的 IAM 角色登录。

  2. 在存储库的服务页面上,找到要启用的服务的行,然后选择其名称。

  3. 选择 Enable trusted access (启用可信访问)

  4. 在确认对话框中,选中显示启用可信访问的选项,输入enable,然后选择框中的启用可信访问权限.

  5. 如果您要允许 访问,请告知另一 Amazon 服务的管理员,他们现在可以启用另一服务以使用 Amazon Organizations。

禁用可信服务访问访问权限

  1. 登录到 Amazon Organizations 控制台您必须以 IAM 用户身份或代入组织管理账户中的 IAM 角色登录。

  2. 在存储库的服务页面上,找到要禁用的服务的行,然后选择其名称。

  3. 等到其他服务的管理员告知您已禁用此服务并已清理其资源。

  4. 在确认对话框中,输入输入disable,然后选择框中的禁用可信访问权限.

Amazon CLI, Amazon API

允许或禁止可信服务访问权限的步骤

您可以使用以下 Amazon CLI 命令或 API 操作允许或禁止可信服务访问:

Amazon Organizations 和服务相关角色

Amazon Organizations使用IAM 服务相关角色以允许可信服务代表您执行组织成员账户中的任务。当您配置可信服务并授权其与您的组织集成时,该服务可请求 Amazon Organizations 在其成员账户中创建服务相关角色。可信服务按需异步执行此操作,同时并非所有组织账户都需要。此服务相关角色具有预定义的 IAM 权限,此权限允许可信服务仅在账户内执行特定任务。一般而言,Amazon 将管理所有服务相关角色,这意味着,您通常无法更改角色或附加的策略。

为实现上述操作,当您在组织中创建账户或接受邀请以将现有账户加入组织时,将使用Amazon Organizations将成员账户预配置为服务相关角色的名为AWSServiceRoleForOrganizations. 仅 Amazon Organizations 服务自身可以代入此角色。该角色具有允许Amazon Organizations以创建其他服务相关角色的角色Amazon服务。此服务相关角色存在于所有组织中。

如果您的组织仅启用了整合账单功能(但我们建议不要这样做),则绝不使用名为 AWSServiceRoleForOrganizations 的服务相关角色并且可删除它。如果您之后要在组织中启用所有功能,则此角色是必需的并且您必须还原它。在您开始启用所有功能的流程时,将进行以下检查:

  • 对于每个成员帐户邀请加入组织— 账户管理员将收到同意启用所有功能的请求。要成功同意此请求,如果服务相关角色 (organizations:AcceptHandshake) 不存在,此管理员必须同时具有 iam:CreateServiceLinkedRole AWSServiceRoleForOrganizations 权限。如果 AWSServiceRoleForOrganizations 角色已存在,则管理员只需 organizations:AcceptHandshake 权限即可同意该请求。如果此管理员同意此请求,则 Amazon Organizations 将创建服务相关角色(如果此角色尚不存在)。

  • 对于每个成员帐户created组织中的— 账户管理员将收到重新创建服务相关角色的请求。(成员账户的管理员不会收到启用所有功能的请求,因为管理账户的管理员(以前称为 “主账户”)被视为所创建成员账户的所有者。)Amazon Organizations如果成员账户管理员同意该请求,则 将创建服务相关角色。管理员必须同时具有 organizations:AcceptHandshake iam:CreateServiceLinkedRole 权限才能成功接受握手。

在组织中启用所有功能后,您无法再删除任何账户中的 AWSServiceRoleForOrganizations 服务相关角色。

重要

Amazon Organizations SCP 决不会影响服务相关角色。这些角色将免受任何 SCP 限制。