启用企业中的所有功能 - Amazon Organizations
在启用所有功能之前开始启用所有功能的流程批准启用所有功能或重新创建服务相关角色的请求完成流程以启用所有功能
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用企业中的所有功能

Amazon Organizations 有两个可用的功能集:

  • 所有功能 – 此功能集是使用 Amazon Organizations 的首选方式,并且它包括整合账单功能。在创建组织时,默认情况下将启用所有功能。在启用所有功能的情况下,您可以使用 Amazon Organizations 中提供的高级账户管理功能,例如与支持的Amazon服务的集成组织管理策略

  • 整合账单功能 – 所有组织都支持此功能子集,这提供了可用于集中管理组织中的账户的基本管理工具。

如果仅创建具有整合账单功能的组织,则可以稍后启用所有功能。此页面描述启用所有功能的过程。

在启用所有功能之前

在从仅支持整合账单功能的组织更改为支持所有功能的组织之前,请注意以下几点:

  • 当您开始启用所有功能的流程时,Amazon Organizations 会向您邀请 加入组织的每个成员账户发送请求。每个受邀账户必须通过接受请求来批准启用所有功能。只有这样,您才可以完成在组织中启用所有功能的流程。如果某个账户拒绝请求,则必须从组织中删除该账户或重新发送请求。您必须接受请求,然后才能完成启用所有功能的过程。您使用 创建Amazon Organizations 的账户无需获取请求,因为这些账户无需批准额外控制。

  • 您可以在启用所有功能的同时继续邀请账户加入您的组织。邀请将通知受邀请账户的所有者是在仅启用整合账单功能的情况下加入组织,还是在启用所有功能的情况下加入组织。

    • 如果您在启用所有功能的流程中邀请一个账户,则邀请声明他们加入的组织已启用所有功能。如果在账户接受邀请之前取消启用所有功能的流程,则该邀请将被取消。您必须再次邀请账户成为仅使用整合账单功能的组织的成员。

    • 如果您邀请一个账户,但在开始启用所有功能的流程之前,该邀请未被接受,则该邀请将被取消,因为邀请声明该组织仅使用整合账单功能。您必须再次邀请账户成为已启用所有功能的组织的成员。

  • 您还可以继续在组织中创建账户。该过程不受此更改的影响。

  • Amazon Organizations 还将验证每个成员账户是否都有一个名为 AWSServiceRoleForOrganizations 的服务相关角色。此角色在要启用所有功能的所有账户中都是必需的。如果您在受邀账户中删除了此角色,则接受“启用所有功能”邀请会重新创建此角色。如果您已删除使用 Amazon Organizations 创建的账户中的此角色,则该账户会收到专门重新创建此角色的邀请。组织必须接受所有这些邀请才能完成启用所有功能的过程。

  • 从整合账单功能迁移到所有功能的过程是单向的。您无法将已启用了所有功能的组织切换回仅启用整合账单功能。

开始启用所有功能的流程

当登录到组织的管理账户时,您可以开始启用所有功能的流程。为此,请完成以下步骤。

最小权限

要启用组织中的所有功能,您必须具有以下权限:

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

Amazon Web Services Management Console
邀请受邀成员账户同意启用组织中的所有功能

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 设置页面上,选择开始流程以启用所有功能

  3. 启用所有功能页面上,确认您了解在选择开始流程以启用所有功能进行切换之后便无法再恢复到仅整合账单功能。

    Amazon Organizations 将请求发送到组织中的每个受邀 (而非已创建) 账户,要求批准请求以在组织中启用所有功能。如果您有使用 Amazon Organizations 创建的任何账户且成员账户管理员删除了名为 AWSServiceRoleForOrganizations 的服务相关角色,则 Amazon Organizations 会向该账户发送重新创建该角色的请求。

    控制台会显示被邀请账户的 Request approval status (请求审批状态) 列表。

    提示

    若要稍后返回此页面,请打开 Settings (设置) 页面,并在 Request sent date (请求发送日期) 部分中选择 View status (查看状态)

  4. Enable all features (启用所有功能) 页面显示了组织中各账户的当前请求状态。同意该请求的账户将显示状态 ACCEPTED (已接受)。尚未同意的账户显示状态 OPEN (待接受)

Amazon CLI & Amazon SDKs
邀请受邀成员账户同意启用组织中的所有功能

可以使用以下命令之一在组织中启用所有功能:

  • Amazon CLI:enable-all-features

    以下命令将开始启用组织中所有功能的流程。

    $ aws organizations enable-all-features
{
    "Handshake": {
        "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ],
        "State": "REQUESTED",
        "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
        "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
        "Action": "ENABLE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "o-a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ]
    }
}

    输出显示受邀成员账户必须同意的握手详细信息。

  • Amazon SDK:EnableAllFeatures
注意

  • 向成员账户发送请求之后,将开始 90 天倒计时。所有账户必须在该时段内批准请求,否则请求将过期。如果请求过期,所有与此尝试相关的请求将被取消,您必须从步骤 2 从头开始。

  • 请求启用所有功能后,将取消所有未接受的现有账户邀请。

  • 在所有功能迁移期间,您仍然可以发起新账户邀请并创建新账户。

组织中的所有受邀账户批准请求之后,您可以完成流程并启用所有功能。如果您的组织中没有任何受邀成员账户,也可以立即完成流程。要最终完成该过程,请继续根据完成流程以启用所有功能中的内容操作。

批准启用所有功能或重新创建服务相关角色的请求

在登录到组织的受邀成员账户之一后,您可以从管理账户批准请求。如果您的账户最初受邀加入组织,则该邀请将启用所有功能并隐式包含对重新创建 AWSServiceRoleForOrganizations 角色的批准(如果需要)。如果您的账户是使用 Amazon Organizations 创建的且您删除了 AWSServiceRoleForOrganizations 服务相关角色,则您将仅收到重新创建该角色的邀请。为此,请完成以下步骤。

重要

如果启用所有功能,组织中的管理账户可以对您的成员账户应用基于策略的控制。这些控制可以限制用户、甚至限制您作为管理员可以在账户中执行的操作。此类限制可能会阻止您的账户退出组织。

最小权限

要批准为成员账户启用所有功能的请求,您必须拥有以下权限:

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:ListHandshakesForAccount – 仅当使用 Organizations 控制台时才需要

  • iam:CreateServiceLinkedRole – 仅当在成员账户中必须重新创建 AWSServiceRoleForOrganizations 角色时需要

Amazon Web Services Management Console
同意在组织中启用所有功能的请求

  1. Amazon Organizations 控制台处登录到 Amazon Organizations 控制台。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录(不推荐)。

  2. 阅读以了解接受在组织中启用所有功能的请求对您的账户意味着什么,然后选择 Accept。在组织中的所有账户接受请求并且管理账户管理员完成流程之前,此页面一直将该流程显示为未完成。

Amazon CLI & Amazon SDKs
同意在组织中启用所有功能的请求

要同意请求,您必须接受与 "Action": "APPROVE_ALL_FEATURES" 握手。

  • Amazon CLI:

    以下示例演示如何列出可用于您账户的握手。输出的第四行中的 "Id" 的值是下一个命令所需的值。

    $ aws organizations list-handshakes-for-account
{
    "Handshakes": [
        {
            "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
            "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
            "Parties": [
                {
                    "Id": "a1b2c3d4e5",
                    "Type": "ORGANIZATION"
                },
                {
                    "Id": "111122223333",
                    "Type": "ACCOUNT"
                }
            ],
            "State": "OPEN",
            "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
            "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
            "Action": "APPROVE_ALL_FEATURES",
            "Resources": [
                {
                    "Value": "c440da758cab44068cdafc812EXAMPLE",
                    "Type": "PARENT_HANDSHAKE"
                },
                {
                    "Value": "o-aa111bb222",
                    "Type": "ORGANIZATION"
                },
                {
                    "Value": "111122223333",
                    "Type": "ACCOUNT"
                }
            ]
        }
    ]
}

    以下示例使用上一个命令中的握手 ID 来接受该握手。

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
    "Handshake": {
        "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            },
            {
                "Id": "111122223333",
                "Type": "ACCOUNT"
            }
        ],
        "State": "ACCEPTED",
        "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
        "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
        "Action": "APPROVE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "c440da758cab44068cdafc812EXAMPLE",
                "Type": "PARENT_HANDSHAKE"
            },
            {
                "Value": "o-aa111bb222",
                "Type": "ORGANIZATION"
            },
            {
                "Value": "111122223333",
                "Type": "ACCOUNT"
            }
        ]
    }
}

  • Amazon SDK:

完成流程以启用所有功能

所有受邀成员账户必须批准启用所有功能的请求。如果组织中没有受邀成员账户,Enable all features progress 页面将使用绿色横幅指示您可以完成流程。

最小权限

要完成为组织启用所有功能的流程,您必须拥有以下权限:

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

Amazon Web Services Management Console
完成流程以启用所有功能

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Settings (设置) 页面上,如果所有受邀账户接受启用所有功能的请求,则页面顶部将显示一个绿色框以通知您。在绿色框中,选择 Go to finalize (转到最终确定)

  3. Enable all features (启用所有功能) 页面上,选择 Finalize (最终确定),然后在确认对话框中再次选择 Finalize (最终确定)

  4. 组织现已启用所有功能。

Amazon CLI & Amazon SDKs
完成流程以启用所有功能

要完成该流程,您必须使用 "Action": "ENABLE_ALL_FEATURES" 接受握手过程。

  • Amazon CLI:

    $ aws organizations list-handshakes-for-organization
{
    "Handshakes": [
        {
            "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
            "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
            "Parties": [
                {
                    "Id": "a1b2c3d4e5",
                    "Type": "ORGANIZATION"
                }
            ],
            "State": "OPEN",
            "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
            "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
            "Action": "ENABLE_ALL_FEATURES",
            "Resources": [
                {
                    "Value": "o-aa111bb222",
                    "Type": "ORGANIZATION"
                }
            ]
        }
    ]
}

    以下示例演示如何列出可用于组织的握手。输出的第四行中的 "Id" 的值是下一个命令所需的值。

    $ aws organizations accept-handshake \
    --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
    "Handshake": {
        "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
        "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
        "Parties": [
            {
                "Id": "a1b2c3d4e5",
                "Type": "ORGANIZATION"
            }
        ],
        "State": "ACCEPTED",
        "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
        "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
        "Action": "ENABLE_ALL_FEATURES",
        "Resources": [
            {
                "Value": "o-aa111bb222",
                "Type": "ORGANIZATION"
            }
        ]
    }
}

  • Amazon SDK:

后续步骤: