本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为您的组织启用自动化
当你为组织的管理账户启用自动化时,你还可以为组织的成员账户配置自动化,从而在整个组织中集中实施优化操作。这种集中式方法可以帮助您大规模优化成本和性能。
## 在整个组织中启用自动化功能的策略
以下政策声明可在整个组织中实现自动化。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:AssociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:DisassociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:ListAccounts",
"Resource": "*"
}
]
}
```
## 的可信访问权限 AWS Organizations
您必须启用可信访问权限才能管理成员账户的自动化。当您使用组织的管理帐户选择加入 Compute Optimizer 并包括所有成员帐户时,会自动启用可信访问权限。这允许 Compute Optimizer 分析资源并为成员账户生成推荐。可信访问还允许 Compute Optimizer 为同时启用了自动化功能的成员账户实施推荐。
每次您访问推荐或为成员账户应用推荐时,Compute Optimizer 都会验证是否启用了可信访问权限。如果您禁用可信访问权限,则管理账户将无法访问组织成员账户的推荐和自动化。要重新启用可信访问权限,请使用贵组织的管理帐户再次选择加入 Compute Optimizer,并将所有成员帐户包括在内。有关更多信息,请参阅[选择加入。 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)有关 Organiz AWS ations 可信访问的更多信息,请参阅《[AWS 组织用户指南》中的将 AWS 组织与其他 AWS 服务结合使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
## 为成员账户配置自动化
要为成员账户启用自动化,管理账户需要关联和取消关联账户的权限。这些权限允许管理账户为成员账户启用自动化,并配置管理账户是否可以代表成员账户实施优化。有关更多信息,请参阅 [在整个组织中启用自动化功能的策略](security-iam.md#automation-enable-org)。
关联成员账户后,管理账户或委托管理员可以查看该成员账户并对其应用建议的操作。关联成员账户时,其组织规则模式会自动设置为 “任何允许”,这允许管理账户创建自动将操作应用于该账户的自动化规则。如果成员账户之前未启用自动化功能,则关联过程会自动启用该功能。
**为成员账户启用自动化**
1. 打开 Compute Optimizer 控制台,网址为。[https://console.aws.amazon.com/compute-optimizer/](https://console.aws.amazon.com/compute-optimizer/)
1. 在导航窗格中,选择 “**偏好设置**” 部分下的**账户管理**。
1. 选择 “**自动化**” 选项卡。
1. 使用账户 ID 搜索该账户。
1. 选择账户,然后选择 “添加”。您一次最多可以为 50 个账户启用自动化功能。
## 组织规则模式
此设置控制管理账户是否可以为成员账户实施自动优化操作。如果设置为 “任何允许”,则管理账户可以直接实施建议的操作或创建适用于成员账户的自动化规则。如果设置为 “不允许”,则只有成员账户可以根据自己的建议采取行动,管理账户规则将不适用。当您为成员账户启用 “自动化” 时,其组织规则模式将自动设置为 “任何允许”。
基于组织规则模式设置,针对成员账户的组织规则会自动开始或停止应用。当模式设置为 “任意允许” 时,规则适用;当设置为 “不允许” 时,规则将停止应用。如果您将模式更改为 “不允许”,则由组织规则启动的所有正在进行的自动化步骤将继续完成,但是该账户的组织规则不会触发任何新的自动化步骤。
**为成员账户配置组织规则模式**
1. 打开 Compute Optimizer 控制台,网址为。[https://console.aws.amazon.com/compute-optimizer/](https://console.aws.amazon.com/compute-optimizer/)
1. 在导航窗格中,选择 “**偏好设置**” 部分下的**账户管理**。
1. 选择 “**自动化**” 选项卡。
1. 选择要配置的帐户。
1. 选择 “**操作**”,然后选择`Allow organization rules `或`Disallow organization rules`。一次最多可以为 50 个账户选择和更新配置。