Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用企业中的所有功能
Amazon Organizations 有两个可用的功能集:
如果仅创建具有整合账单功能的组织,则可以稍后启用所有功能。此页面描述启用所有功能的过程。
在启用所有功能之前
在从仅支持整合账单功能的组织更改为支持所有功能的组织之前,请注意以下几点:
-
当您开始启用所有功能的流程时, Amazon Organizations 会向您邀请加入组织的每个成员账户发送请求。每个受邀账户必须通过接受请求来批准启用所有功能。只有这样,您才可以完成在组织中启用所有功能的流程。如果某个账户拒绝请求,则必须从组织中删除该账户或重新发送请求。您必须接受请求,然后才能完成启用所有功能的过程。您使用 创建 Amazon Organizations 的账户无需获取请求,因为这些账户无需批准额外控制。
-
您可以在启用所有功能的同时继续邀请账户加入您的组织。邀请将通知受邀请账户的所有者是在仅启用整合账单功能的情况下加入组织,还是在启用所有功能的情况下加入组织。
-
您还可以继续在组织中创建账户。该过程不受此更改的影响。
-
Amazon Organizations 验证每个成员账户是否都有一个名为的服务相关角色。AWSServiceRoleForOrganizations
此角色在要启用所有功能的所有账户中都是必需的。如果您在受邀账户中删除了此角色,则接受“启用所有功能”邀请会重新创建此角色。如果您在使用创建的账户中删除了该角色 Amazon Organizations,则该账户将收到专门重新创建该角色的邀请。组织必须接受所有这些邀请才能完成启用所有功能的过程。
-
从整合账单功能迁移到所有功能的过程是单向的。您无法将已启用了所有功能的组织切换回仅启用整合账单功能。
开始启用所有功能的流程
当登录到组织的管理账户时,您可以开始启用所有功能的流程。为此,请完成以下步骤。
- Amazon Web Services Management Console
-
邀请受邀成员账户同意启用组织中的所有功能
-
登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在设置页面上,选择开始流程以启用所有功能。
-
在启用所有功能页面上,确认您了解在选择开始流程以启用所有功能进行切换之后便无法再恢复到仅整合账单功能。
Amazon Organizations 向组织中每个受邀的(未创建的)账户发送请求,请求批准启用组织中的所有功能。如果您有任何账户是使用创建的, Amazon Organizations 而成员账户管理员删除了名为的服务相关角色AWSServiceRoleForOrganizations
,则 Amazon Organizations 会向该账户发送重新创建该角色的请求。
控制台会显示被邀请账户的 Request approval status (请求审批状态) 列表。
若要稍后返回此页面,请打开 Settings (设置) 页面,并在 Request sent date (请求发送日期) 部分中选择 View status (查看状态)。
-
Enable all features (启用所有功能) 页面显示了组织中各账户的当前请求状态。同意该请求的账户将显示状态 ACCEPTED (已接受)。尚未同意的账户显示状态 OPEN (待接受)。
- Amazon CLI & Amazon SDKs
-
邀请受邀成员账户同意启用组织中的所有功能
可以使用以下命令之一在组织中启用所有功能:
-
Amazon CLI: enable-all-features
以下命令将开始启用组织中所有功能的流程。
$
aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
输出显示受邀成员账户必须同意的握手详细信息。
-
Amazon 软件开发工具包:EnableAllFeatures
-
向成员账户发送请求之后,将开始 90 天倒计时。所有账户必须在该时段内批准请求,否则请求将过期。如果请求过期,所有与此尝试相关的请求将被取消,您必须从步骤 2 从头开始。
-
请求启用所有功能后,将取消所有未接受的现有账户邀请。
-
在所有功能迁移期间,您仍然可以发起新账户邀请并创建新账户。
组织中的所有受邀账户批准请求之后,您可以完成流程并启用所有功能。如果您的组织中没有任何受邀成员账户,也可以立即完成流程。要最终完成该过程,请继续根据完成流程以启用所有功能中的内容操作。
批准启用所有功能或重新创建服务相关角色的请求
在登录到组织的受邀成员账户之一后,您可以从管理账户批准请求。如果您的账户最初受邀加入组织,则该邀请将启用所有功能并隐式包含对重新创建 AWSServiceRoleForOrganizations
角色的批准(如果需要)。如果您的账户是使用创建的, Amazon Organizations 而您删除了AWSServiceRoleForOrganizations
服务相关角色,则您只会收到重新创建该角色的邀请。为此,请完成以下步骤。
如果启用所有功能,组织中的管理账户可以对您的成员账户应用基于策略的控制。这些控制可以限制用户、甚至限制您作为管理员可以在账户中执行的操作。此类限制可能会阻止您的账户退出组织。
要批准为成员账户启用所有功能的请求,您必须拥有以下权限:
-
organizations:AcceptHandshake
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要
-
organizations:ListHandshakesForAccount
– 仅当使用 Organizations 控制台时才需要
-
iam:CreateServiceLinkedRole
– 仅当在成员账户中必须重新创建 AWSServiceRoleForOrganizations
角色时需要
- Amazon Web Services Management Console
-
同意在组织中启用所有功能的请求
-
在 Amazon Organizations 主机上登录主Amazon Organizations 机。您必须以 IAM 用户身份登录,担任 IAM 角色;或以组织成员账户中的根用户身份登录(不推荐)。
-
阅读以了解接受在组织中启用所有功能的请求对您的账户意味着什么,然后选择 Accept。在组织中的所有账户接受请求并且管理账户管理员完成流程之前,此页面一直将该流程显示为未完成。
- Amazon CLI & Amazon SDKs
-
同意在组织中启用所有功能的请求
要同意请求,您必须接受与 "Action": "APPROVE_ALL_FEATURES"
握手。
-
Amazon CLI:
以下示例演示如何列出可用于您账户的握手。输出的第四行中的 "Id"
的值是下一个命令所需的值。
$
aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
以下示例使用上一个命令中的握手 ID 来接受该握手。
$
aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
-
Amazon 软件开发工具包:
完成流程以启用所有功能
所有受邀成员账户必须批准启用所有功能的请求。如果组织中没有受邀成员账户,Enable all features progress 页面将使用绿色横幅指示您可以完成流程。
要完成为组织启用所有功能的流程,您必须拥有以下权限:
-
organizations:AcceptHandshake
-
organizations:ListHandshakesForOrganization
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要
- Amazon Web Services Management Console
-
- Amazon CLI & Amazon SDKs
-
完成流程以启用所有功能
要完成该流程,您必须使用 "Action": "ENABLE_ALL_FEATURES"
接受握手过程。
-
Amazon CLI:
$
aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
以下示例演示如何列出可用于组织的握手。输出的第四行中的 "Id"
的值是下一个命令所需的值。
$
aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
-
Amazon 软件开发工具包:
后续步骤: