Exemples d’utilisation de l’AWS CLI avec Organizations
Les exemples de code suivants montrent comment exécuter des actions et mettre en place des scénarios courants à l’aide de l’AWS Command Line Interface avec Organizations.
Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.
Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la configuration et l’exécution du code en contexte.
Rubriques
Actions
L’exemple de code suivant montre comment utiliser accept-handshake.
- AWS CLI
-
Pour accepter l’établissement d’une liaison provenant d’un autre compte
Bill, le propriétaire d’une organisation, a déjà invité le compte de Juan à rejoindre son organisation. L’exemple suivant montre que le compte de Juan accepte l’établissement d’une liaison et accepte ainsi l’invitation.
aws organizations accept-handshake --handshake-idh-examplehandshakeid111La sortie montre ce qui suit :
{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "RequestedTimestamp": 1481656459.257, "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "ALL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "ACCEPTED" } }-
Pour plus de détails sur l’API, consultez AcceptHandshake
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser attach-policy.
- AWS CLI
-
Pour attacher une politique à une racine, une UO ou un compte
Exemple 1
L’exemple suivant montre comment attacher une politique de contrôle des services (SCP) à une unité organisationnelle :
aws organizations attach-policy --policy-idp-examplepolicyid111--target-idou-examplerootid111-exampleouid111Exemple 2
L’exemple suivant montre comment attacher une politique de contrôle des services directement à un compte :
aws organizations attach-policy --policy-idp-examplepolicyid111--target-id333333333333-
Pour plus de détails sur l’API, consultez AttachPolicy
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser cancel-handshake.
- AWS CLI
-
Pour annuler l’établissement d’une liaison envoyé depuis un autre compte
Bill avait déjà envoyé une invitation sur le compte de Susan pour rejoindre son organisation. Il change d’avis et décide d’annuler l’invitation avant que Susan ne l’accepte. L’exemple suivant illustre l’annulation de Bill :
aws organizations cancel-handshake --handshake-idh-examplehandshakeid111La sortie inclut un objet d’établissement de liaison qui indique que l’état est désormais
CANCELED:{ "Handshake": { "Id": "h-examplehandshakeid111", "State":"CANCELED", "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "susan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "CONSOLIDATED_BILLING" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" }, { "Type": "NOTES", "Value": "This is a request for Susan's account to join Bob's organization." } ], "RequestedTimestamp": 1.47008383521E9, "ExpirationTimestamp": 1.47137983521E9 } }-
Pour plus de détails sur l’API, consultez CancelHandshake
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser create-account.
- AWS CLI
-
Pour créer un compte membre qui fait automatiquement partie de votre organisation
L’exemple suivant montre comment créer un compte membre dans une organisation. Le compte membre est configuré avec le nom Compte de production et l’adresse e-mail susan@example.com. Organizations crée automatiquement un rôle IAM en utilisant le nom par défaut OrganizationAccountAccessRole, car le paramètre roleName n’est pas spécifié. En outre, le paramètre qui permet aux utilisateurs ou aux rôles IAM disposant d’autorisations suffisantes d’accéder aux données de facturation des compte est défini sur la valeur par défaut AUTORISER, car le paramètre IamUserAccessToBilling n’est pas spécifié. Organizations envoie automatiquement à Susan un e-mail « Bienvenue dans AWS » :
aws organizations create-account --emailsusan@example.com--account-name"Production Account"La sortie inclut un objet de demande qui indique que l’état est désormais
IN_PROGRESS:{ "CreateAccountStatus": { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111" } }Vous pouvez ultérieurement interroger l’état actuel de la demande en fournissant la valeur de la réponse de l’Id à la commande describe-create-account-status comme valeur du paramètre create-account-request-id.
Pour plus d’informations, consultez Création d’un compte AWS dans votre organisation dans le Guide de l’utilisateur AWS Organizations.
-
Pour plus de détails sur l’API, consultez CreateAccount
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser create-organization.
- AWS CLI
-
Exemple 1 : pour créer une organisation
Bill souhaite créer une organisation à l’aide des informations d’identification du compte 111111111111. L’exemple suivant montre que le compte devient le compte principal de la nouvelle organisation. Comme il ne spécifie aucun ensemble de fonctionnalités, la nouvelle organisation utilise par défaut toutes les fonctionnalités activées et les politiques de contrôle des services sont activées à la racine.
aws organizations create-organizationLa sortie inclut un objet d’organisation contenant des détails sur la nouvelle organisation :
{ "Organization": { "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ], "MasterAccountId": "111111111111", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "FeatureSet": "ALL", "Id": "o-exampleorgid", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid" } }Exemple 2 : pour créer une organisation avec uniquement les fonctionnalités de facturation consolidée activées
L’exemple suivant crée une organisation qui prend uniquement en charge les fonctionnalités de facturation consolidée :
aws organizations create-organization --feature-setCONSOLIDATED_BILLINGLa sortie inclut un objet d’organisation contenant des détails sur la nouvelle organisation :
{ "Organization": { "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [], "Id": "o-exampleorgid", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "FeatureSet": "CONSOLIDATED_BILLING" } }Pour plus d’informations, consultez Création d’une organisation dans le Guide de l’utilisateur AWS Organizations.
-
Pour plus de détails sur l’API, consultez CreateOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser create-organizational-unit.
- AWS CLI
-
Pour créer une unité organisationnelle dans une unité organisationnelle racine ou parente
L’exemple suivant montre comment créer une unité organisationnelle nommée AccountingOU :
aws organizations create-organizational-unit --parent-idr-examplerootid111--nameAccountingOULa sortie inclut un objet organizationalUnit contenant des détails sur la nouvelle unité organisationnelle :
{ "OrganizationalUnit": { "Id": "ou-examplerootid111-exampleouid111", "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Name": "AccountingOU" } }-
Pour plus de détails sur l’API, consultez CreateOrganizationalUnit
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser create-policy.
- AWS CLI
-
Exemple 1 : pour créer une politique avec un fichier source texte pour la politique JSON
L’exemple suivant vous montre comment créer une politique de contrôle des services (SCP) nommée
AllowAllS3Actions. Le contenu de la politique est extrait d’un fichier sur l’ordinateur local appelépolicy.json.aws organizations create-policy --contentfile://policy.json--nameAllowAllS3Actions,--typeSERVICE_CONTROL_POLICY--description"Allows delegation of all S3 actions"La sortie inclut un objet de politique contenant des informations sur la nouvelle politique :
{ "Policy": { "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"s3:*\"],\"Resource\":[\"*\"]}]}", "PolicySummary": { "Arn": "arn:aws:organizations::o-exampleorgid:policy/service_control_policy/p-examplepolicyid111", "Description": "Allows delegation of all S3 actions", "Name": "AllowAllS3Actions", "Type":"SERVICE_CONTROL_POLICY" } } }Exemple 2 : pour créer une politique avec une politique JSON en tant que paramètre
L’exemple suivant montre comment créer la même SCP, cette fois en intégrant le contenu de la politique sous forme de chaîne JSON dans le paramètre. La chaîne doit être échappée avec des barres obliques inversées avant les guillemets doubles pour qu’ils soient interprétés comme des caractères littéraux dans le paramètre, qui est lui-même entouré de guillemets doubles :
aws organizations create-policy --content "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"s3:*\"],\"Resource\":[\"*\"]}]}" --nameAllowAllS3Actions--typeSERVICE_CONTROL_POLICY--description"Allows delegation of all S3 actions"Pour plus d’informations sur la création et l’utilisation de politiques dans votre organisation, consultez Gestion des stratégies d’organisation dans le Guide de l’utilisateur AWS Organizations.
-
Pour plus de détails sur l’API, consultez CreatePolicy
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser decline-handshake.
- AWS CLI
-
Pour refuser l’établissement d’une liaison envoyé depuis un autre compte
L’exemple suivant montre que Susan, une administratrice propriétaire du compte 222222222222, refuse une invitation à rejoindre l’organisation de Bill. L’opération DeclineHandshake renvoie un objet d’établissement de liaison, indiquant que l’état est désormais REFUSÉ :
aws organizations decline-handshake --handshake-idh-examplehandshakeid111La sortie inclut un objet d’établissement de liaison qui indique le nouvel état
DECLINED:{ "Handshake": { "Id": "h-examplehandshakeid111", "State": "DECLINED", "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" } ] }, { "Type": "EMAIL", "Value": "susan@example.com" }, { "Type": "NOTES", "Value": "This is an invitation to Susan's account to join the Bill's organization." } ], "Parties": [ { "Type": "EMAIL", "Id": "susan@example.com" }, { "Type": "ORGANIZATION", "Id": "o-exampleorgid" } ], "Action": "INVITE", "RequestedTimestamp": 1470684478.687, "ExpirationTimestamp": 1471980478.687, "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111" } }-
Pour plus de détails sur l’API, consultez DeclineHandshake
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser delete-organization.
- AWS CLI
-
Pour supprimer une organisation
L’exemple suivant montre comment supprimer une organisation. Pour effectuer cette opération, vous devez être administrateur du compte principal de l’organisation. L’exemple suppose que vous avez précédemment supprimé tous les comptes membres, les unités organisationnelles et les politiques de l’organisation :
aws organizations delete-organization-
Pour plus de détails sur l’API, consultez DeleteOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser delete-organizational-unit.
- AWS CLI
-
Pour supprimer une unité organisationnelle
L’exemple suivant montre comment supprimer une unité organisationnelle. L’exemple suppose que vous avez précédemment supprimé tous les comptes et autres unités organisationnelles de l’unité organisationnelle :
aws organizations delete-organizational-unit --organizational-unit-idou-examplerootid111-exampleouid111-
Pour plus de détails sur l’API, consultez DeleteOrganizationalUnit
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser delete-policy.
- AWS CLI
-
Pour supprimer une politique
L’exemple suivant montre comment supprimer une politique d’une organisation. L’exemple suppose que vous avez préalablement détaché la politique de toutes les entités :
aws organizations delete-policy --policy-idp-examplepolicyid111-
Pour plus de détails sur l’API, consultez DeletePolicy
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser describe-account.
- AWS CLI
-
Pour obtenir des détails sur un compte
L’exemple suivant montre comment demander des détails sur un compte :
aws organizations describe-account --account-id555555555555La sortie montre un objet de compte avec les détails du compte :
{ "Account": { "Id": "555555555555", "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/555555555555", "Name": "Beta account", "Email": "anika@example.com", "JoinedMethod": "INVITED", "JoinedTimeStamp": 1481756563.134, "Status": "ACTIVE" } }-
Pour plus de détails sur l’API, consultez DescribeAccount
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser describe-create-account-status.
- AWS CLI
-
Pour connaître l’état le plus récent d’une demande de création de compte
L’exemple suivant montre comment demander le dernier statut d’une demande précédente de création de compte dans une organisation. Le --request-id spécifié provient de la réponse de l’appel initial à create-account. La demande de création de compte indique par le champ de statut que Organizations a terminé avec succès la création du compte.
Commande :
aws organizations describe-create-account-status --create-account-request-idcar-examplecreateaccountrequestid111Sortie :
{ "CreateAccountStatus": { "State": "SUCCEEDED", "AccountId": "555555555555", "AccountName": "Beta account", "RequestedTimestamp": 1470684478.687, "CompletedTimestamp": 1470684532.472, "Id": "car-examplecreateaccountrequestid111" } }-
Pour plus de détails sur l’API, consultez DescribeCreateAccountStatus
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser describe-handshake.
- AWS CLI
-
Pour obtenir les informations sur l’établissement d’une liaison
L’exemple suivant vous montre comment demander des informations sur l’établissement d’une liaison. L’ID d’établissement de liaison provient soit de l’appel initial vers
InviteAccountToOrganization, soit d’un appel versListHandshakesForAccountouListHandshakesForOrganization:aws organizations describe-handshake --handshake-idh-examplehandshakeid111La sortie inclut un objet d’établissement de liaison contenant toutes les informations sur l’établissement de liaison demandé :
{ "Handshake": { "Id": "h-examplehandshakeid111", "State": "OPEN", "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" } ], "Parties": [ { "Type": "ORGANIZATION", "Id": "o-exampleorgid" }, { "Type": "EMAIL", "Id": "anika@example.com" } ], "Action": "INVITE", "RequestedTimestamp": 1470158698.046, "ExpirationTimestamp": 1471454698.046, "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111" } }-
Pour plus de détails sur l’API, consultez DescribeHandshake
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser describe-organization.
- AWS CLI
-
Pour obtenir les informations sur l’organisation actuelle
L’exemple suivant vous montre comment demander des informations sur une organisation :
aws organizations describe-organizationLa sortie inclut un objet d’organisation contenant des informations sur l’organisation :
{ "Organization": { "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "Id": "o-exampleorgid", "FeatureSet": "ALL", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ] } }-
Pour plus de détails sur l’API, consultez DescribeOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser describe-organizational-unit.
- AWS CLI
-
Pour obtenir les informations sur une unité organisationnelle
L’exemple
describe-organizational-unitsuivant demande des informations sur une unité organisationnelle.aws organizations describe-organizational-unit \ --organizational-unit-idou-examplerootid111-exampleouid111Sortie :
{ "OrganizationalUnit": { "Name": "Accounting Group", "Arn": "arn:aws:organizations::123456789012:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Id": "ou-examplerootid111-exampleouid111" } }-
Pour plus de détails sur l’API, consultez DescribeOrganizationalUnit
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser describe-policy.
- AWS CLI
-
Pour obtenir les informations sur une politique
L’exemple suivant montre comment demander des informations sur une politique :
aws organizations describe-policy --policy-idp-examplepolicyid111La sortie inclut un objet de politique contenant des informations sur la politique :
{ "Policy": { "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-examplepolicyid111", "AwsManaged": false, "Name": "AllowAllS3Actions", "Description": "Enables admins to delegate S3 permissions" } } }-
Pour plus de détails sur l’API, consultez DescribePolicy
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser detach-policy.
- AWS CLI
-
Pour détacher une politique d’une racine, d’une unité organisationnelle ou d’un compte
L’exemple suivant indique comment détacher une politique d’une unité organisationnelle :
aws organizations detach-policy --target-idou-examplerootid111-exampleouid111--policy-idp-examplepolicyid111-
Pour plus de détails sur l’API, consultez DetachPolicy
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser disable-policy-type.
- AWS CLI
-
Pour désactiver un type de politique dans une racine
L’exemple suivant montre comment désactiver le type de politique de contrôle des services (SCP) dans une racine :
aws organizations disable-policy-type --root-idr-examplerootid111--policy-typeSERVICE_CONTROL_POLICYLa sortie indique que l’élément de réponse PolicyTypes n’inclut plus SERVICE_CONTROL_POLICY :
{ "Root": { "PolicyTypes": [], "Name": "Root", "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111" } }-
Pour plus de détails sur l’API, consultez DisablePolicyType
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser enable-all-features.
- AWS CLI
-
Pour demander toutes les fonctionnalités dans une organisation
Cet exemple montre que l’administrateur demande à tous les comptes invités de l’organisation d’approuver l’activation de toutes les fonctionnalités de l’organisation. AWS Organizations envoie un e-mail à l’adresse enregistrée avec chaque compte membre invité demandant au propriétaire d’approuver la modification de toutes les fonctionnalités en acceptant l’établissement d’une liaison envoyé. Une fois que tous les comptes membres invités ont accepté l’établissement d’une liaison, l’administrateur de l’organisation peut finaliser la modification de toutes les fonctionnalités, et ceux qui disposent des autorisations appropriées peuvent créer des politiques et les appliquer aux racines, aux unités organisationnelles et aux comptes :
aws organizations enable-all-featuresLa sortie est un objet d’établissement de liaison qui est envoyé à tous les comptes membres invités pour approbation :
{ "Handshake": { "Action": "ENABLE_ALL_FEATURES", "Arn":"arn:aws:organizations::111111111111:handshake/o-exampleorgid/enable_all_features/h-examplehandshakeid111", "ExpirationTimestamp":1.483127868609E9, "Id":"h-examplehandshakeid111", "Parties": [ { "id":"o-exampleorgid", "type":"ORGANIZATION" } ], "requestedTimestamp":1.481831868609E9, "resources": [ { "type":"ORGANIZATION", "value":"o-exampleorgid" } ], "state":"REQUESTED" } }-
Pour plus de détails sur l’API, consultez EnableAllFeatures
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser enable-policy-type.
- AWS CLI
-
Pour activer l’utilisation d’un type de politique dans une racine
L’exemple suivant montre comment activer le type de politique de contrôle des services (SCP) dans une racine :
aws organizations enable-policy-type --root-idr-examplerootid111--policy-typeSERVICE_CONTROL_POLICYLa sortie montre un objet racine avec un élément de réponse policyTypes indiquant que les SCP sont désormais activées :
{ "Root": { "PolicyTypes": [ { "Status":"ENABLED", "Type":"SERVICE_CONTROL_POLICY" } ], "Id": "r-examplerootid111", "Name": "Root", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111" } }-
Pour plus de détails sur l’API, consultez EnablePolicyType
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser invite-account-to-organization.
- AWS CLI
-
Pour inviter un compte à rejoindre une organisation
L’exemple suivant montre le compte principal appartenant à bill@example.com invitant le compte appartenant à juan@example.com à rejoindre une organisation :
aws organizations invite-account-to-organization --target '{"Type": "EMAIL", "Id": "juan@example.com"}' --notes"This is a request for Juan's account to join Bill's organization."La sortie inclut une structure d’établissement de liaison qui montre ce qui est envoyé au compte invité :
{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }-
Pour plus de détails sur l’API, consultez InviteAccountToOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser leave-organization.
- AWS CLI
-
Pour quitter une organisation en tant que compte membre
L’exemple suivant montre l’administrateur d’un compte membre demandant à quitter l’organisation dont il est actuellement membre :
aws organizations leave-organization-
Pour plus de détails sur l’API, consultez LeaveOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-accounts-for-parent.
- AWS CLI
-
Pour récupérer une liste de tous les comptes d’une racine parent ou d’une unité organisationnelle spécifiée
L’exemple suivant montre comment demander une liste des comptes d’une unité organisationnelle :
aws organizations list-accounts-for-parent --parent-idou-examplerootid111-exampleouid111La sortie comprend une liste d’objets de résumé de compte.
{ "Accounts": [ { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835795.536, "Id": "333333333333", "Name": "Development Account", "Email": "juan@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/444444444444", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835812.143, "Id": "444444444444", "Name": "Test Account", "Email": "anika@example.com", "Status": "ACTIVE" } ] }-
Pour plus de détails sur l’API, consultez ListAccountsForParent
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-accounts.
- AWS CLI
-
Pour récupérer une liste de tous les comptes d’une organisation
L’exemple suivant vous montre comment demander une liste des comptes d’une organisation :
aws organizations list-accountsLa sortie comprend une liste d’objets de résumé de compte.
{ "Accounts": [ { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481830215.45, "Id": "111111111111", "Name": "Master Account", "Email": "bill@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/222222222222", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835741.044, "Id": "222222222222", "Name": "Production Account", "Email": "alice@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835795.536, "Id": "333333333333", "Name": "Development Account", "Email": "juan@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/444444444444", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835812.143, "Id": "444444444444", "Name": "Test Account", "Email": "anika@example.com", "Status": "ACTIVE" } ] }-
Pour plus de détails sur l’API, consultez ListAccounts
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-children.
- AWS CLI
-
Pour récupérer les comptes enfants et les unités organisationnelles d’une unité organisationnelle parent ou racine
L’exemple suivant explique comment répertorier la racine ou l’unité organisationnelle contenant ce compte 444444444444 :
aws organizations list-children --child-typeORGANIZATIONAL_UNIT--parent-idou-examplerootid111-exampleouid111La sortie montre les deux unités organisationnelles enfants contenues par le parent :
{ "Children": [ { "Id": "ou-examplerootid111-exampleouid111", "Type":"ORGANIZATIONAL_UNIT" }, { "Id":"ou-examplerootid111-exampleouid222", "Type":"ORGANIZATIONAL_UNIT" } ] }-
Pour plus de détails sur l’API, consultez ListChildren
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-create-account-status.
- AWS CLI
-
Exemple 1 : pour récupérer une liste des demandes de création de compte effectuées dans l’organisation actuelle
L’exemple suivant montre comment demander une liste des demandes de création de compte pour une organisation qui ont été traitées avec succès :
aws organizations list-create-account-status --statesSUCCEEDEDLa sortie inclut un ensemble d’objets contenant des informations sur chaque demande.
{ "CreateAccountStatuses": [ { "AccountId": "444444444444", "AccountName": "Developer Test Account", "CompletedTimeStamp": 1481835812.143, "Id": "car-examplecreateaccountrequestid111", "RequestedTimeStamp": 1481829432.531, "State": "SUCCEEDED" } ] }Exemple 2 : pour récupérer une liste des demandes de création de compte en cours effectuées dans l’organisation actuelle
L’exemple suivant obtient la liste des demandes de création de compte en cours pour une organisation :
aws organizations list-create-account-status --statesIN_PROGRESSLa sortie inclut un ensemble d’objets contenant des informations sur chaque demande.
{ "CreateAccountStatuses": [ { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111", "RequestedTimeStamp": 1481829432.531, "AccountName": "Production Account" } ] }-
Pour plus de détails sur l’API, consultez ListCreateAccountStatus
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-handshakes-for-account.
- AWS CLI
-
Pour récupérer une liste des établissements de liaison envoyés à un compte
L’exemple suivant montre comment obtenir une liste de tous les établissements de liaison associés au compte des informations d’identification qui ont été utilisés pour appeler l’opération :
aws organizations list-handshakes-for-accountLa sortie inclut une liste de structures d’établissement de liaison avec des informations sur chaque établissement de liaison, y compris son état actuel :
{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }-
Pour plus de détails sur l’API, consultez ListHandshakesForAccount
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-handshakes-for-organization.
- AWS CLI
-
Pour récupérer une liste des établissements de liaison associés à une organisation
L’exemple suivant montre comment obtenir une liste des établissements de liaison associés à l’organisation actuelle :
aws organizations list-handshakes-for-organizationLa sortie montre deux établissements de liaison. Le premier est une invitation à accéder au compte de Juan et indique l’état OUVERT. La seconde est une invitation à accéder au compte d’Anika et indique l’état ACCEPTÉ :
{ "Handshakes": [ { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Juan's account to join Bill's organization." } ], "State": "OPEN" }, { "Action": "INVITE", "State":"ACCEPTED", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1.471797437427E9, "Id": "h-examplehandshakeid222", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "anika@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1.469205437427E9, "Resources": [ { "Resources": [ { "Type":"MASTER_EMAIL", "Value":"bill@example.com" }, { "Type":"MASTER_NAME", "Value":"Master Account" } ], "Type":"ORGANIZATION", "Value":"o-exampleorgid" }, { "Type":"EMAIL", "Value":"anika@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Anika's account to join Bill's organization." } ] } ] }-
Pour plus de détails sur l’API, consultez ListHandshakesForOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-organizational-units-for-parent.
- AWS CLI
-
Pour récupérer une liste des unités organisationnelles d’une unité organisationnelle parent ou racine
L’exemple suivant vous montre comment obtenir une liste des unités organisationnelles dans une racine spécifiée :
aws organizations list-organizational-units-for-parent --parent-idr-examplerootid111Le résultat indique que la racine spécifiée contient deux unités organisationnelles et indique des informations sur chacune d’elles :
{ "OrganizationalUnits": [ { "Name": "AccountingDepartment", "Arn": "arn:aws:organizations::o-exampleorgid:ou/r-examplerootid111/ou-examplerootid111-exampleouid111" }, { "Name": "ProductionDepartment", "Arn": "arn:aws:organizations::o-exampleorgid:ou/r-examplerootid111/ou-examplerootid111-exampleouid222" } ] }-
Pour plus de détails sur l’API, consultez ListOrganizationalUnitsForParent
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-parents.
- AWS CLI
-
Pour répertorier les unités organisationnelles parents ou racines d’un compte ou d’une unité organisationnelle enfant
L’exemple suivant explique comment répertorier la racine ou l’unité organisationnelle parent contenant ce compte 444444444444 :
aws organizations list-parents --child-id444444444444La sortie indique que le compte spécifié se trouve dans l’unité organisationnelle avec l’ID spécifié :
{ "Parents": [ { "Id": "ou-examplerootid111-exampleouid111", "Type": "ORGANIZATIONAL_UNIT" } ] }-
Pour plus de détails sur l’API, consultez ListParents
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-policies-for-target.
- AWS CLI
-
Pour récupérer une liste des SCP attachées directement à un compte
L’exemple suivant montre comment obtenir une liste de toutes les politiques de contrôle des services (SCP), telles que spécifiées par le paramètre Filtrer, qui sont directement attachées à un compte :
aws organizations list-policies-for-target --filterSERVICE_CONTROL_POLICY--target-id444444444444La sortie inclut une liste de structures de politique avec des informations récapitulatives sur les politiques. La liste n’inclut pas les politiques qui s’appliquent au compte en raison de l’héritage provenant de son emplacement dans une hiérarchie des unités organisationnelles :
{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged", false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::o-exampleorgid:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." } ] }-
Pour plus de détails sur l’API, consultez ListPoliciesForTarget
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-policies.
- AWS CLI
-
Pour récupérer une liste de toutes les politiques d’une organisation d’un certain type
L’exemple suivant vous montre comment obtenir une liste de SCP, telle que spécifiée par le paramètre de filtre :
aws organizations list-policies --filterSERVICE_CONTROL_POLICYLa sortie inclut une liste des politiques avec des informations récapitulatives :
{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllS3Actions", "AwsManaged": false, "Id": "p-examplepolicyid111", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111", "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts." }, { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged": false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." }, { "AwsManaged": true, "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess" } ] }-
Pour plus de détails sur l’API, consultez ListPolicies
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-roots.
- AWS CLI
-
Pour récupérer une liste des racines d’une organisation
Cet exemple vous montre comment obtenir la liste des racines d’une organisation :
aws organizations list-rootsLa sortie inclut une liste des structures racines avec des informations récapitulatives :
{ "Roots": [ { "Name": "Root", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Id": "r-examplerootid111", "PolicyTypes": [ { "Status":"ENABLED", "Type":"SERVICE_CONTROL_POLICY" } ] } ] }-
Pour plus de détails sur l’API, consultez ListRoots
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser list-targets-for-policy.
- AWS CLI
-
Pour récupérer une liste des racines, unités organisationnelles et comptes auxquels la politique est attachée
L’exemple suivant montre comment obtenir une liste des racines, des UO et des comptes auxquels la politique spécifiée est attachée :
aws organizations list-targets-for-policy --policy-idp-FullAWSAccessLa sortie comprend une liste d’objets d’attachement avec des informations récapitulatives sur les racines, les unités organisationnelles et les comptes auxquels la politique est attachée :
{ "Targets": [ { "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "TargetId":"r-examplerootid111", "Type":"ROOT" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333;", "Name": "Developer Test Account", "TargetId": "333333333333", "Type": "ACCOUNT" }, { "Arn":"arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Name":"Accounting", "TargetId":"ou-examplerootid111-exampleouid111", "Type":"ORGANIZATIONAL_UNIT" } ] }-
Pour plus de détails sur l’API, consultez ListTargetsForPolicy
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser move-account.
- AWS CLI
-
Pour déplacer un compte entre des racines ou des unités organisationnelles
L’exemple suivant montre comment déplacer le compte principal de l’organisation de la racine vers une unité organisationnelle :
aws organizations move-account --account-id333333333333--source-parent-idr-examplerootid111--destination-parent-idou-examplerootid111-exampleouid111-
Pour plus de détails sur l’API, consultez MoveAccount
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser remove-account-from-organization.
- AWS CLI
-
Pour supprimer un compte d’une organisation en tant que compte principal
L’exemple suivant vous montre comment supprimer un compte d’une organisation :
aws organizations remove-account-from-organization --account-id333333333333-
Pour plus de détails sur l’API, consultez RemoveAccountFromOrganization
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser update-organizational-unit.
- AWS CLI
-
Pour renommer une unité organisationnelle
Cet exemple vous montre comment renommer une unité organisationnelle : dans cet exemple, l’unité organisationnelle est renommée « AccountingOU » :
aws organizations update-organizational-unit --organizational-unit-idou-examplerootid111-exampleouid111--nameAccountingOULa sortie affiche le nouveau nom :
{ "OrganizationalUnit": { "Id": "ou-examplerootid111-exampleouid111" "Name": "AccountingOU", "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111"" } }-
Pour plus de détails sur l’API, consultez UpdateOrganizationalUnit
dans la Référence des commandes de l’AWS CLI.
-
L’exemple de code suivant montre comment utiliser update-policy.
- AWS CLI
-
Exemple 1 : pour renommer une politique
L’exemple
update-policysuivant renomme une politique et lui donne une nouvelle description.aws organizations update-policy \ --policy-idp-examplepolicyid111\ --nameRenamed-Policy\ --description"This description replaces the original."La sortie affiche le nouveau nom et la nouvelle description.
{ "Policy": { "Content": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":{\n \"Effect\":\"Allow\",\n \"Action\":\"ec2:*\",\n \"Resource\":\"*\"\n }\n}\n", "PolicySummary": { "Id": "p-examplepolicyid111", "AwsManaged": false, "Arn":"arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Description": "This description replaces the original.", "Name": "Renamed-Policy", "Type": "SERVICE_CONTROL_POLICY" } } }Exemple 2 : pour remplacer le contenu textuel JSON d’une politique
L’exemple suivant vous montre comment remplacer le texte JSON de la SCP dans l’exemple précédent par une nouvelle chaîne de texte de politique JSON qui autorise S3 au lieu d’EC2 :
aws organizations update-policy \ --policy-idp-examplepolicyid111\ --content "{\"Version\":\"2012-10-17\",\"Statement\":{\"Effect\":\"Allow\",\"Action\":\"s3:*\",\"Resource\":\"*\"}}"La sortie affiche le nouveau contenu :
{ "Policy": { "Content": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Action\": \"s3:*\", \"Resource\": \"*\" } }", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "AwsManaged": false; "Description": "This description replaces the original.", "Id": "p-examplepolicyid111", "Name": "Renamed-Policy", "Type": "SERVICE_CONTROL_POLICY" } } }-
Pour plus de détails sur l’API, consultez UpdatePolicy
dans la Référence des commandes de l’AWS CLI.
-
