Esempi per Organizations con AWS CLI
Gli esempi di codice seguenti mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface con Organizations.
Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le operazioni mostrino come richiamare le singole funzioni del servizio, è possibile visualizzarle contestualizzate negli scenari correlati.
Ogni esempio include un link al codice sorgente completo, dove è possibile trovare le istruzioni su come configurare ed eseguire il codice nel contesto.
Argomenti
Operazioni
L’esempio di codice seguente mostra come utilizzare accept-handshake.
- AWS CLI
-
Come accettare un handshake da un altro account
Bill, il proprietario di un’organizzazione, ha invitato l’account di Juan a partecipare alla sua organizzazione. L’esempio seguente mostra l’account di Juan che accetta l’handshake e quindi l’invito.
aws organizations accept-handshake --handshake-idh-examplehandshakeid111L’output mostra quanto segue:
{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "RequestedTimestamp": 1481656459.257, "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "ALL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "ACCEPTED" } }-
Per informazioni dettagliate sull’API, consulta AcceptHandshake
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare attach-policy.
- AWS CLI
-
Come collegare una policy a una root, un’unità organizzativa (UO) o un account
Esempio 1
L’esempio seguente mostra come collegare una policy di controllo dei servizi a un’unità organizzativa (UO):
aws organizations attach-policy --policy-idp-examplepolicyid111--target-idou-examplerootid111-exampleouid111Esempio 2
L’esempio seguente mostra come collegare una policy di controllo dei servizi direttamente a un account:
aws organizations attach-policy --policy-idp-examplepolicyid111--target-id333333333333-
Per informazioni dettagliate sull’API, consulta AttachPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare cancel-handshake.
- AWS CLI
-
Come annullare un handshake inviato da un altro account
Bill ha inviato un invito all’account di Susan per partecipare alla sua organizzazione. Cambia idea e decide di annullare l’invito prima che Susan lo accetti. L’esempio seguente mostra l’annullamento di Bill:
aws organizations cancel-handshake --handshake-idh-examplehandshakeid111L’output include un oggetto handshake che mostra che lo stato è
CANCELED:{ "Handshake": { "Id": "h-examplehandshakeid111", "State":"CANCELED", "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "susan@example.com", "Type": "EMAIL" } ], "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "CONSOLIDATED_BILLING" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" }, { "Type": "NOTES", "Value": "This is a request for Susan's account to join Bob's organization." } ], "RequestedTimestamp": 1.47008383521E9, "ExpirationTimestamp": 1.47137983521E9 } }-
Per informazioni dettagliate sull’API, consulta CancelHandshake
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-account.
- AWS CLI
-
Come creare un account membro automaticamente appartenente all’organizzazione
L’esempio seguente mostra come creare un account membro in un’organizzazione. L’account membro è configurato con il nome Production Account e l’indirizzo e-mail susan@example.com. Organizations crea automaticamente un ruolo IAM utilizzando il nome predefinito OrganizationAccountAccessRole perché il parametro roleName non è specificato. Inoltre, l’impostazione che consente agli utenti o ai ruoli IAM con autorizzazioni sufficienti di accedere ai dati di fatturazione dell’account è impostata sul valore predefinito ALLOW perché il parametro IamUserAccessToBilling non è specificato. Organizations invia automaticamente a Susan un messaggio e-mail di benvenuto su AWS:
aws organizations create-account --emailsusan@example.com--account-name"Production Account"L’output include un oggetto richiesta che mostra che lo stato è
IN_PROGRESS:{ "CreateAccountStatus": { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111" } }Sarà quindi possibile eseguire una query sullo stato corrente della richiesta fornendo il valore dell’ID risposta al comando describe-create-account-status come valore del parametro create-account-request-id.
Per ulteriori informazioni, consulta Creating an AWS Account in Your Organization nella Guida per l’utente di AWS Organizations.
-
Per informazioni dettagliate sull’API, consulta CreateAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-organization.
- AWS CLI
-
Esempio 1: creare una nuova organizzazione
Bill desidera creare un’organizzazione utilizzando le credenziali dell’account 111111111111. L’esempio seguente mostra che l’account diventa l’account principale nella nuova organizzazione. Poiché non specifica un set di funzionalità, per impostazione predefinita la nuova organizzazione prevede che tutte le funzionalità siano abilitate e le policy di controllo del servizio siano abilitate nella root.
aws organizations create-organizationL’output include un oggetto organizzazione con dettagli sulla nuova organizzazione:
{ "Organization": { "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ], "MasterAccountId": "111111111111", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "FeatureSet": "ALL", "Id": "o-exampleorgid", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid" } }Esempio 2: creare una nuova organizzazione solo con le funzionalità di fatturazione consolidata abilitate
L’esempio seguente crea un’organizzazione che supporta solo le funzionalità di fatturazione consolidata:
aws organizations create-organization --feature-setCONSOLIDATED_BILLINGL’output include un oggetto organizzazione con dettagli sulla nuova organizzazione:
{ "Organization": { "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [], "Id": "o-exampleorgid", "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "FeatureSet": "CONSOLIDATED_BILLING" } }Per ulteriori informazioni, consulta Creating an Account in Your Organization nella Guida per l’utente di AWS Organizations.
-
Per informazioni dettagliate sull’API, consulta CreateOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-organizational-unit.
- AWS CLI
-
Come creare un’unità organizzativa in un’unità organizzativa root o principale
L’esempio seguente mostra come creare un’unità organizzativa denominata AccountingOU:
aws organizations create-organizational-unit --parent-idr-examplerootid111--nameAccountingOUL’output include un oggetto organizationalUnit con dettagli sulla nuova unità organizzativa:
{ "OrganizationalUnit": { "Id": "ou-examplerootid111-exampleouid111", "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Name": "AccountingOU" } }-
Per informazioni dettagliate sull’API, consulta CreateOrganizationalUnit
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-policy.
- AWS CLI
-
Esempio 1: creare una policy con un file di origine di testo per la policy JSON
L’esempio seguente mostra come creare una policy di controllo dei servizi denominata
AllowAllS3Actions. Il contenuto della policy è tratto da un file presente sul computer locale chiamatopolicy.json.aws organizations create-policy --contentfile://policy.json--nameAllowAllS3Actions,--typeSERVICE_CONTROL_POLICY--description"Allows delegation of all S3 actions"L’output include un oggetto policy con dettagli sulla nuova policy:
{ "Policy": { "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"s3:*\"],\"Resource\":[\"*\"]}]}", "PolicySummary": { "Arn": "arn:aws:organizations::o-exampleorgid:policy/service_control_policy/p-examplepolicyid111", "Description": "Allows delegation of all S3 actions", "Name": "AllowAllS3Actions", "Type":"SERVICE_CONTROL_POLICY" } } }Esempio 2: creare una policy con una policy JSON come parametro
L’esempio seguente mostra come creare la stessa policy di controllo dei servizi, questa volta incorporando il contenuto della policy come stringa JSON nel parametro. La stringa deve essere preceduta da barre rovesciate come caratteri di escape prima delle virgolette doppie affinché queste ultime vengano considerate valori letterali del parametro, che a sua volta dovrà essere racchiuso tra virgolette doppie:
aws organizations create-policy --content "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"s3:*\"],\"Resource\":[\"*\"]}]}" --nameAllowAllS3Actions--typeSERVICE_CONTROL_POLICY--description"Allows delegation of all S3 actions"Per ulteriori informazioni sulla creazione e sull’utilizzo delle policy nell’organizzazione, consulta Managing Organization Policies nella Guida per l’utente di AWS Organizations.
-
Per i dettagli sulla API, consulta CreatePolicy
nella AWS CLIDocumentazione di riferimento dei comandi.
-
L’esempio di codice seguente mostra come utilizzare decline-handshake.
- AWS CLI
-
Come rifiutare un handshake inviato da un altro account
L’esempio seguente mostra che Susan, un’amministratore proprietaria dell’account 222222222222, rifiuta un invito a partecipare all’organizzazione di Bill. L’operazione DeclineHandshake restituisce un oggetto handshake, che mostra che lo stato è DECLINED:
aws organizations decline-handshake --handshake-idh-examplehandshakeid111L’output include un oggetto handshake che mostra il nuovo stato
DECLINED:{ "Handshake": { "Id": "h-examplehandshakeid111", "State": "DECLINED", "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" } ] }, { "Type": "EMAIL", "Value": "susan@example.com" }, { "Type": "NOTES", "Value": "This is an invitation to Susan's account to join the Bill's organization." } ], "Parties": [ { "Type": "EMAIL", "Id": "susan@example.com" }, { "Type": "ORGANIZATION", "Id": "o-exampleorgid" } ], "Action": "INVITE", "RequestedTimestamp": 1470684478.687, "ExpirationTimestamp": 1471980478.687, "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111" } }-
Per informazioni dettagliate sull’API, consulta DeclineHandshake
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-organization.
- AWS CLI
-
Per eliminare un'organizzazione
L’esempio seguente mostra come eliminare un’organizzazione. Per eseguire questa operazione, è necessario essere un amministratore dell’account principale dell’organizzazione. L’esempio presuppone che in precedenza siano stati rimossi tutti gli account membro, le unità organizzative e le policy dall’organizzazione:
aws organizations delete-organization-
Per informazioni dettagliate sull’API, consulta DeleteOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-organizational-unit.
- AWS CLI
-
Come eliminare un’unità organizzativa
L'esempio seguente mostra come eliminare un'UO. L’esempio presuppone che in precedenza siano stati rimossi tutti gli account e le altre unità organizzative dall’unità organizzativa:
aws organizations delete-organizational-unit --organizational-unit-idou-examplerootid111-exampleouid111-
Per informazioni dettagliate sull’API, consulta DeleteOrganizationalUnit
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-policy.
- AWS CLI
-
Come eliminare una policy
L’esempio seguente mostra come eliminare una policy da un’organizzazione. L’esempio presuppone che in precedenza la policy sia stata scollegata da tutte le entità:
aws organizations delete-policy --policy-idp-examplepolicyid111-
Per informazioni dettagliate sulla API, consulta DeletePolicy
nella AWS CLI Documentazione di riferimento dei comandi.
-
L’esempio di codice seguente mostra come utilizzare describe-account.
- AWS CLI
-
Come ottenere i dettagli su un account
L’esempio seguente mostra come richiedere i dettagli relativi a un account:
aws organizations describe-account --account-id555555555555L’output mostra un oggetto account con i dettagli sull’account:
{ "Account": { "Id": "555555555555", "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/555555555555", "Name": "Beta account", "Email": "anika@example.com", "JoinedMethod": "INVITED", "JoinedTimeStamp": 1481756563.134, "Status": "ACTIVE" } }-
Per informazioni dettagliate sull’API, consulta DescribeAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-create-account-status.
- AWS CLI
-
Come ottenere lo stato più recente di una richiesta per creare un account
L’esempio seguente mostra come richiedere lo stato più recente di una precedente richiesta per creare un account in un’organizzazione. L’identificatore --request-id specificato proviene dalla risposta della chiamata originale a create-account. La richiesta di creazione dell’account indica nel campo Stato che Organizations ha completato la creazione dell’account.
Comando:
aws organizations describe-create-account-status --create-account-request-idcar-examplecreateaccountrequestid111Output:
{ "CreateAccountStatus": { "State": "SUCCEEDED", "AccountId": "555555555555", "AccountName": "Beta account", "RequestedTimestamp": 1470684478.687, "CompletedTimestamp": 1470684532.472, "Id": "car-examplecreateaccountrequestid111" } }-
Per informazioni dettagliate sull’API, consulta DescribeCreateAccountStatus
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-handshake.
- AWS CLI
-
Come ottenere informazioni su un handshake
L’esempio seguente mostra come richiedere i dettagli relativi a un handshake. L’ID dell’handshake proviene dalla chiamata originale a
InviteAccountToOrganizationo da una chiamata aListHandshakesForAccountoListHandshakesForOrganization:aws organizations describe-handshake --handshake-idh-examplehandshakeid111L’output include un oggetto handshake che contiene tutti i dettagli sull’handshake richiesto:
{ "Handshake": { "Id": "h-examplehandshakeid111", "State": "OPEN", "Resources": [ { "Type": "ORGANIZATION", "Value": "o-exampleorgid", "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@example.com" }, { "Type": "MASTER_NAME", "Value": "Master Account" } ] }, { "Type": "EMAIL", "Value": "anika@example.com" } ], "Parties": [ { "Type": "ORGANIZATION", "Id": "o-exampleorgid" }, { "Type": "EMAIL", "Id": "anika@example.com" } ], "Action": "INVITE", "RequestedTimestamp": 1470158698.046, "ExpirationTimestamp": 1471454698.046, "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111" } }-
Per informazioni dettagliate sulla API, consulta DescribeHandshake
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-organization.
- AWS CLI
-
Come ottenere informazioni sull’organizzazione corrente
L’esempio seguente mostra come richiedere i dettagli relativi a un’organizzazione:
aws organizations describe-organizationL’output include un oggetto organizzazione con dettagli sull’organizzazione:
{ "Organization": { "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "MasterAccountEmail": "bill@example.com", "MasterAccountId": "111111111111", "Id": "o-exampleorgid", "FeatureSet": "ALL", "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid", "AvailablePolicyTypes": [ { "Status": "ENABLED", "Type": "SERVICE_CONTROL_POLICY" } ] } }-
Per informazioni dettagliate sull’API, consulta DescribeOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-organizational-unit.
- AWS CLI
-
Come ottenere informazioni su un’unità organizzativa
L’esempio
describe-organizational-unitseguente richiede dettagli su un’unità organizzativa.aws organizations describe-organizational-unit \ --organizational-unit-idou-examplerootid111-exampleouid111Output:
{ "OrganizationalUnit": { "Name": "Accounting Group", "Arn": "arn:aws:organizations::123456789012:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Id": "ou-examplerootid111-exampleouid111" } }-
Per informazioni dettagliate sull’API, consulta DescribeOrganizationalUnit
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-policy.
- AWS CLI
-
Come ottenere informazioni su una policy
L’esempio seguente mostra come richiedere informazioni su una policy:
aws organizations describe-policy --policy-idp-examplepolicyid111L’output include un oggetto policy contenente i dettagli sulla policy:
{ "Policy": { "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-examplepolicyid111", "AwsManaged": false, "Name": "AllowAllS3Actions", "Description": "Enables admins to delegate S3 permissions" } } }-
Per informazioni dettagliate sull’API, consulta DescribePolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare detach-policy.
- AWS CLI
-
Come scollegare una policy da una root, un’unità organizzativa o un account
L’esempio seguente mostra come scollegare una policy da un’unità organizzativa.
aws organizations detach-policy --target-idou-examplerootid111-exampleouid111--policy-idp-examplepolicyid111-
Per informazioni dettagliate sull’API, consulta DetachPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disable-policy-type.
- AWS CLI
-
Come disabilitare un tipo di policy in una root
L’esempio seguente mostra come disabilitare il tipo di policy di controllo dei servizi in una root:
aws organizations disable-policy-type --root-idr-examplerootid111--policy-typeSERVICE_CONTROL_POLICYL’output mostra che l’elemento di risposta PolicyTypes non include più SERVICE_CONTROL_POLICY:
{ "Root": { "PolicyTypes": [], "Name": "Root", "Id": "r-examplerootid111", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111" } }-
Per informazioni dettagliate sull’API, consulta DisablePolicyType
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare enable-all-features.
- AWS CLI
-
Come abilitare tutte le funzionalità in un’organizzazione
Questo esempio mostra che l’amministratore chiede a tutti gli account invitati dell’organizzazione di approvare l’attivazione di tutte le funzionalità abilitate dell’organizzazione AWS. Organizations invia un messaggio e-mail all’indirizzo registrato con ogni account membro invitato chiedendo al proprietario di approvare la modifica a tutte le funzionalità accettando l’handshake inviato. Dopo che tutti gli account membro invitati hanno accettato l’handshake, l’amministratore dell’organizzazione può finalizzare la modifica a tutte le funzionalità e gli account con le autorizzazioni appropriate possono creare policy e applicarle a root, unità organizzative e account:
aws organizations enable-all-featuresL’output è un oggetto handshake che viene inviato a tutti gli account membro invitati per l’approvazione:
{ "Handshake": { "Action": "ENABLE_ALL_FEATURES", "Arn":"arn:aws:organizations::111111111111:handshake/o-exampleorgid/enable_all_features/h-examplehandshakeid111", "ExpirationTimestamp":1.483127868609E9, "Id":"h-examplehandshakeid111", "Parties": [ { "id":"o-exampleorgid", "type":"ORGANIZATION" } ], "requestedTimestamp":1.481831868609E9, "resources": [ { "type":"ORGANIZATION", "value":"o-exampleorgid" } ], "state":"REQUESTED" } }-
Per informazioni dettagliate sull’API, consulta EnableAllFeatures
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare enable-policy-type.
- AWS CLI
-
Come abilitare l’uso di un tipo di policy in una root
L’esempio seguente mostra come abilitare il tipo di policy di controllo dei servizi in una root:
aws organizations enable-policy-type --root-idr-examplerootid111--policy-typeSERVICE_CONTROL_POLICYL’output mostra un oggetto root con un elemento di risposta policyTypes che indica che le policy di controllo dei servizi sono abilitate:
{ "Root": { "PolicyTypes": [ { "Status":"ENABLED", "Type":"SERVICE_CONTROL_POLICY" } ], "Id": "r-examplerootid111", "Name": "Root", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111" } }-
Per informazioni dettagliate sull’API, consulta EnablePolicyType
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare invite-account-to-organization.
- AWS CLI
-
Come invitare un account a partecipare a un’organizzazione
L’esempio seguente mostra l’account master di proprietà di bill@example.com che invita l’account di proprietà di juan@example.com a partecipare a un’organizzazione:
aws organizations invite-account-to-organization --target '{"Type": "EMAIL", "Id": "juan@example.com"}' --notes"This is a request for Juan's account to join Bill's organization."L’output include una struttura handshake che mostra ciò che viene inviato all’account invitato:
{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }-
Per informazioni dettagliate sull’API, consulta InviteAccountToOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare leave-organization.
- AWS CLI
-
Come lasciare un’organizzazione come account membro
L’esempio seguente mostra l’amministratore di un account membro che richiede di lasciare l’organizzazione di cui è attualmente membro:
aws organizations leave-organization-
Per informazioni dettagliate sull’API, consulta LeaveOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-accounts-for-parent.
- AWS CLI
-
Come recuperare un elenco di tutti gli account in una root o un’unità organizzativa principale specificata
L’esempio seguente mostra come richiedere un elenco degli account in un’unità organizzativa:
aws organizations list-accounts-for-parent --parent-idou-examplerootid111-exampleouid111L’output include un elenco di oggetti di riepilogo degli account.
{ "Accounts": [ { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835795.536, "Id": "333333333333", "Name": "Development Account", "Email": "juan@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/444444444444", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835812.143, "Id": "444444444444", "Name": "Test Account", "Email": "anika@example.com", "Status": "ACTIVE" } ] }-
Per informazioni dettagliate sull’API, consulta ListAccountsForParent
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-accounts.
- AWS CLI
-
Come recuperare un elenco di tutti gli account di un’organizzazione
L’esempio seguente mostra come richiedere un elenco degli account in un’organizzazione:
aws organizations list-accountsL’output include un elenco di oggetti di riepilogo degli account.
{ "Accounts": [ { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481830215.45, "Id": "111111111111", "Name": "Master Account", "Email": "bill@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/222222222222", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835741.044, "Id": "222222222222", "Name": "Production Account", "Email": "alice@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835795.536, "Id": "333333333333", "Name": "Development Account", "Email": "juan@example.com", "Status": "ACTIVE" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/444444444444", "JoinedMethod": "INVITED", "JoinedTimestamp": 1481835812.143, "Id": "444444444444", "Name": "Test Account", "Email": "anika@example.com", "Status": "ACTIVE" } ] }-
Per informazioni dettagliate sull’API, consulta ListAccounts
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-children.
- AWS CLI
-
Come recuperare gli account e le unità organizzative secondari di un’unità organizzativa o una root principale
L’esempio seguente illustra come elencare la root o l’unità organizzativa che contiene l’account 444444444444:
aws organizations list-children --child-typeORGANIZATIONAL_UNIT--parent-idou-examplerootid111-exampleouid111L’output mostra le due unità organizzative secondarie contenute nell’unità principale:
{ "Children": [ { "Id": "ou-examplerootid111-exampleouid111", "Type":"ORGANIZATIONAL_UNIT" }, { "Id":"ou-examplerootid111-exampleouid222", "Type":"ORGANIZATIONAL_UNIT" } ] }-
Per informazioni dettagliate sull’API, consulta ListChildren
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-create-account-status.
- AWS CLI
-
Esempio 1: recuperare un elenco delle richieste di creazione di account effettuate nell’organizzazione corrente
L’esempio seguente mostra come richiedere un elenco di richieste di creazione di account che sono state completate per un’organizzazione:
aws organizations list-create-account-status --statesSUCCEEDEDL’output include una serie di oggetti con informazioni su ogni richiesta.
{ "CreateAccountStatuses": [ { "AccountId": "444444444444", "AccountName": "Developer Test Account", "CompletedTimeStamp": 1481835812.143, "Id": "car-examplecreateaccountrequestid111", "RequestedTimeStamp": 1481829432.531, "State": "SUCCEEDED" } ] }Esempio 2: recuperare un elenco delle richieste di creazione di account in corso nell’organizzazione corrente
L’esempio seguente ottiene un elenco di richieste di creazione di account in corso per un’organizzazione:
aws organizations list-create-account-status --statesIN_PROGRESSL’output include una serie di oggetti con informazioni su ogni richiesta.
{ "CreateAccountStatuses": [ { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111", "RequestedTimeStamp": 1481829432.531, "AccountName": "Production Account" } ] }-
Per informazioni dettagliate sull’API, consulta ListCreateAccountStatus
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-handshakes-for-account.
- AWS CLI
-
Come recuperare un elenco di handshake inviati a un account
L’esempio seguente mostra come ottenere un elenco di tutti gli handshake associati all’account delle credenziali utilizzate per chiamare l’operazione:
aws organizations list-handshakes-for-accountL’output include un elenco di strutture handshake con informazioni su ogni handshake, incluso lo stato corrente:
{ "Handshake": { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" } ], "State": "OPEN" } }-
Per informazioni dettagliate sull’API, consulta ListHandshakesForAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-handshakes-for-organization.
- AWS CLI
-
Come recuperare un elenco di handshake associati a un’organizzazione
L’esempio seguente mostra come ottenere un elenco di handshake associati all’organizzazione corrente:
aws organizations list-handshakes-for-organizationL’output mostra due handshake. Il primo è un invito all’account di Juan e mostra lo stato OPEN. Il secondo è un invito all’account di Anika e mostra lo stato ACCEPTED:
{ "Handshakes": [ { "Action": "INVITE", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1482952459.257, "Id": "h-examplehandshakeid111", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "juan@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1481656459.257, "Resources": [ { "Resources": [ { "Type": "MASTER_EMAIL", "Value": "bill@amazon.com" }, { "Type": "MASTER_NAME", "Value": "Org Master Account" }, { "Type": "ORGANIZATION_FEATURE_SET", "Value": "FULL" } ], "Type": "ORGANIZATION", "Value": "o-exampleorgid" }, { "Type": "EMAIL", "Value": "juan@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Juan's account to join Bill's organization." } ], "State": "OPEN" }, { "Action": "INVITE", "State":"ACCEPTED", "Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111", "ExpirationTimestamp": 1.471797437427E9, "Id": "h-examplehandshakeid222", "Parties": [ { "Id": "o-exampleorgid", "Type": "ORGANIZATION" }, { "Id": "anika@example.com", "Type": "EMAIL" } ], "RequestedTimestamp": 1.469205437427E9, "Resources": [ { "Resources": [ { "Type":"MASTER_EMAIL", "Value":"bill@example.com" }, { "Type":"MASTER_NAME", "Value":"Master Account" } ], "Type":"ORGANIZATION", "Value":"o-exampleorgid" }, { "Type":"EMAIL", "Value":"anika@example.com" }, { "Type":"NOTES", "Value":"This is an invitation to Anika's account to join Bill's organization." } ] } ] }-
Per informazioni dettagliate sull’API, consulta ListHandshakesForOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-organizational-units-for-parent.
- AWS CLI
-
Come recuperare un elenco delle unità organizzative in un’unità organizzativa o in una root principale
L’esempio seguente mostra come ottenere un elenco di unità organizzative nella root specificata:
aws organizations list-organizational-units-for-parent --parent-idr-examplerootid111L’output mostra che la root specificata contiene due unità organizzative assieme ai relativi dettagli:
{ "OrganizationalUnits": [ { "Name": "AccountingDepartment", "Arn": "arn:aws:organizations::o-exampleorgid:ou/r-examplerootid111/ou-examplerootid111-exampleouid111" }, { "Name": "ProductionDepartment", "Arn": "arn:aws:organizations::o-exampleorgid:ou/r-examplerootid111/ou-examplerootid111-exampleouid222" } ] }-
Per informazioni dettagliate sull’API, consulta ListOrganizationalUnitsForParent
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-parents.
- AWS CLI
-
Come elencare le unità organizzative o le root principali di un account o di un’unità organizzativa secondaria
L’esempio seguente illustra come elencare la root o l’unità organizzativa principale che contiene l’account 444444444444:
aws organizations list-parents --child-id444444444444L’output mostra che l’account specificato si trova nell’unità organizzativa con l’ID specificato:
{ "Parents": [ { "Id": "ou-examplerootid111-exampleouid111", "Type": "ORGANIZATIONAL_UNIT" } ] }-
Per informazioni dettagliate sull’API, consulta ListParents
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-policies-for-target.
- AWS CLI
-
Come recuperare un elenco delle policy di controllo dei servizi collegate direttamente a un account
L’esempio seguente mostra come ottenere un elenco di tutte le policy di controllo dei servizi, come specificato dal parametro Filter, collegate direttamente a un account:
aws organizations list-policies-for-target --filterSERVICE_CONTROL_POLICY--target-id444444444444L’output include un elenco di strutture policy con informazioni di riepilogo sulle policy. L’elenco non include le policy che si applicano all’account a causa dell’ereditarietà dalla posizione in una gerarchia di unità organizzative:
{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged", false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::o-exampleorgid:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." } ] }-
Per informazioni dettagliate sull’API, consulta ListPoliciesForTarget
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-policies.
- AWS CLI
-
Come recuperare un elenco di tutte le policy di un’organizzazione di un determinato tipo
L’esempio seguente mostra come ottenere un elenco di policy di controllo dei servizi, come specificato dal parametro filter:
aws organizations list-policies --filterSERVICE_CONTROL_POLICYL’output include un elenco di policy con informazioni di riepilogo:
{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllS3Actions", "AwsManaged": false, "Id": "p-examplepolicyid111", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111", "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts." }, { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged": false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." }, { "AwsManaged": true, "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess" } ] }-
Per informazioni dettagliate sulle API, consulta ListPolicies
nella Documentazione di riferimento dei comandi della AWS CLI.
-
L’esempio di codice seguente mostra come utilizzare list-roots.
- AWS CLI
-
Come recuperare un elenco delle root di un’organizzazione
L’esempio seguente mostra come ottenere l’elenco delle root per un’organizzazione:
aws organizations list-rootsL’output include un elenco di strutture root con informazioni di riepilogo:
{ "Roots": [ { "Name": "Root", "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Id": "r-examplerootid111", "PolicyTypes": [ { "Status":"ENABLED", "Type":"SERVICE_CONTROL_POLICY" } ] } ] }-
Per informazioni dettagliate sull’API, consulta ListRoots
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-targets-for-policy.
- AWS CLI
-
Come recuperare un elenco delle root, delle unità organizzative e degli account a cui è collegata una policy
L’esempio seguente mostra come ottenere un elenco delle root, delle unità organizzative e degli account a cui è collegata la policy specificata.
aws organizations list-targets-for-policy --policy-idp-FullAWSAccessL’output include un elenco di oggetti collegamenti con informazioni di riepilogo sulle root, sulle unità organizzative e sugli account a cui è collegata la policy:
{ "Targets": [ { "Arn": "arn:aws:organizations::111111111111:root/o-exampleorgid/r-examplerootid111", "Name": "Root", "TargetId":"r-examplerootid111", "Type":"ROOT" }, { "Arn": "arn:aws:organizations::111111111111:account/o-exampleorgid/333333333333;", "Name": "Developer Test Account", "TargetId": "333333333333", "Type": "ACCOUNT" }, { "Arn":"arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111", "Name":"Accounting", "TargetId":"ou-examplerootid111-exampleouid111", "Type":"ORGANIZATIONAL_UNIT" } ] }-
Per informazioni dettagliate sull’API, consulta ListTargetsForPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare move-account.
- AWS CLI
-
Come spostare un account tra root o unità organizzative
L’esempio seguente mostra come spostare l’account master dell’organizzazione dalla root a un’unità organizzativa:
aws organizations move-account --account-id333333333333--source-parent-idr-examplerootid111--destination-parent-idou-examplerootid111-exampleouid111-
Per informazioni dettagliate sull’API, consulta MoveAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare remove-account-from-organization.
- AWS CLI
-
Come rimuovere un account da un’organizzazione come account master
L’esempio seguente mostra come rimuovere un account da un’organizzazione:
aws organizations remove-account-from-organization --account-id333333333333-
Per informazioni dettagliate sull’API, consulta RemoveAccountFromOrganization
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-organizational-unit.
- AWS CLI
-
Per rinominare un'unità organizzativa
Questo esempio mostra come rinominare un’unità organizzativa in “AccountingOU”:
aws organizations update-organizational-unit --organizational-unit-idou-examplerootid111-exampleouid111--nameAccountingOUL’output mostra il nuovo nome:
{ "OrganizationalUnit": { "Id": "ou-examplerootid111-exampleouid111" "Name": "AccountingOU", "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111"" } }-
Per informazioni dettagliate sull’API, consulta UpdateOrganizationalUnit
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-policy.
- AWS CLI
-
Esempio 1: rinominare una policy
L’esempio
update-policyseguente rinomina una policy e le fornisce una nuova descrizione.aws organizations update-policy \ --policy-idp-examplepolicyid111\ --nameRenamed-Policy\ --description"This description replaces the original."L’output mostra il nuovo nome e la descrizione.
{ "Policy": { "Content": "{\n \"Version\":\"2012-10-17\",\n \"Statement\":{\n \"Effect\":\"Allow\",\n \"Action\":\"ec2:*\",\n \"Resource\":\"*\"\n }\n}\n", "PolicySummary": { "Id": "p-examplepolicyid111", "AwsManaged": false, "Arn":"arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Description": "This description replaces the original.", "Name": "Renamed-Policy", "Type": "SERVICE_CONTROL_POLICY" } } }Esempio 2: sostituire il contenuto di testo JSON di una policy
L’esempio seguente mostra come sostituire il testo JSON della policy di controllo dei servizi dell’esempio precedente con una nuova stringa di testo della policy JSON che consente S3 anziché EC2:
aws organizations update-policy \ --policy-idp-examplepolicyid111\ --content "{\"Version\":\"2012-10-17\",\"Statement\":{\"Effect\":\"Allow\",\"Action\":\"s3:*\",\"Resource\":\"*\"}}"L’output mostra il nuovo contenuto:
{ "Policy": { "Content": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Action\": \"s3:*\", \"Resource\": \"*\" } }", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "AwsManaged": false; "Description": "This description replaces the original.", "Id": "p-examplepolicyid111", "Name": "Renamed-Policy", "Type": "SERVICE_CONTROL_POLICY" } } }-
Per informazioni dettagliate sull’API, consulta UpdatePolicy
in AWS CLI Command Reference.
-
